管理體系內(nèi)審與內(nèi)部控制自我評價的整合與實踐——北京三星九千認(rèn)證中心有限公司 宋國義
作者:admin 發(fā)表時間:2022/8/25 10:32:00 點擊:2891
在我國��,按相關(guān)管理體系標(biāo)準(zhǔn)系統(tǒng)建立實施管理體系已經(jīng)有30余年的歷程��,隨著相關(guān)標(biāo)準(zhǔn)的不斷改版完善以及組織對管理體系標(biāo)準(zhǔn)理解的不斷加深��,體系實施運行的有效性和成熟度也在持續(xù)提升��。內(nèi)部審核是過程方法在管理體系建立���、實施和保持過程中的重要一環(huán)��,由最初的機械模仿��,到較為系統(tǒng)���、成熟的實施模式,成為組織管理體系績效的持續(xù)改進(jìn)的重要途徑��。
為了加強對上市企業(yè)的監(jiān)管���,COSO(全國虛假財務(wù)報告委員會下屬的發(fā)起人委員會)于1992年發(fā)布了《內(nèi)部控制整合框架》,后經(jīng)增補���、完善��,配套發(fā)布了內(nèi)部控制框架原則報告��。2008年以來��,我國財政部等五部委也陸續(xù)發(fā)布《企業(yè)內(nèi)部控制基本規(guī)范》及其配套指引���,為我國企業(yè)實施內(nèi)部控制提供了系統(tǒng)的規(guī)范依據(jù)��。自我評價是企業(yè)對內(nèi)部控制體系建立��、實施開展內(nèi)部監(jiān)督的重要方式��,也是過程方法在企業(yè)內(nèi)部控制體系的具體體現(xiàn)���。
盡管管理體系內(nèi)部審核與內(nèi)部控制自我評價均存在相似或相同的目的、程序到結(jié)果���,但在企業(yè)經(jīng)營管理的實踐中���,多數(shù)企業(yè)還未將兩者進(jìn)行有效整合,導(dǎo)致相關(guān)工作的重復(fù)交叉���,從而影響管理體系績效評價的有效性和效率��。系統(tǒng)地理解相關(guān)管理體系標(biāo)準(zhǔn)和內(nèi)部控制規(guī)范對兩者的要求本質(zhì)���,并對管理體系內(nèi)部審核和內(nèi)部控制自我評價進(jìn)行有效整合,已經(jīng)成為國內(nèi)多數(shù)企業(yè)管理體系和內(nèi)部控制有效性持續(xù)改進(jìn)必須面對和解決的問題���。筆者曾在國內(nèi)某大型國有企業(yè)參與管理體系與內(nèi)部控制一體化整合��,對管理體系內(nèi)部審核與內(nèi)部控制自我評價的整合進(jìn)行了有益探索��,并取得了較好效果���。
一���、管理體系標(biāo)準(zhǔn)和內(nèi)控規(guī)范概述
(一)管理體系標(biāo)準(zhǔn)關(guān)于內(nèi)部審核的要求
我國多數(shù)企業(yè)建立、實施了一個或多個管理體系��,例如:質(zhì)量��、環(huán)境��、職業(yè)健康安全���、能源等管理體系。這些管理體系標(biāo)準(zhǔn)對內(nèi)部審核的要求目的相似(評價管理體系的符合性和有效性)��,程序基本相同(一般推薦參照《管理體系審核指南》給出的程序��、方法)��,實施的結(jié)果也基本相似(持續(xù)改進(jìn)管理體系的有效性)。以GB/T19001-2016《質(zhì)量管理體系 要求》的9.2“內(nèi)部審核”為例:
明確了內(nèi)部審核的目的——評價管理體系是否符合相關(guān)的要求���;管理體系是否得到有效實施和保持
明確了實施內(nèi)部審核的程序和基本要求——策劃���、制定、實施和保持審核方案���;規(guī)定審核準(zhǔn)則和范圍���;客觀公正地實施審核;利用審核結(jié)果(報告相關(guān)管理者���,采取適當(dāng)?shù)募m正和糾正措施)��;內(nèi)部審核相關(guān)信息的文件化���;
給出了內(nèi)部審核的基本指南——GB/T19011《管理體系審核指南》。
(二)內(nèi)部控制規(guī)范關(guān)于自我評價的要求
我國多數(shù)企業(yè)采用的內(nèi)部控制規(guī)范為COSO發(fā)布的內(nèi)部控制整合框架及其原則或國務(wù)院五部委發(fā)布的《企業(yè)內(nèi)部控制基本規(guī)范》及其配套指引��。與管理體系內(nèi)部審核類似���,這些規(guī)范對內(nèi)部控制自我評價的要求目的相似��,程序基本相同��,實施結(jié)果也基本相似���。以我國《內(nèi)部控制基本規(guī)范》(第四十六條)及其配套指引(評價指引)為例:
明確了內(nèi)部控制自我評價的目的——評價內(nèi)部控制設(shè)計和運行的有效性(《內(nèi)部控制基本規(guī)范》第四十六條)���;
提出了內(nèi)部控制自我評價方式、范圍���、程序和頻率的基本要求——企業(yè)應(yīng)根據(jù)經(jīng)營業(yè)務(wù)調(diào)整���、經(jīng)營環(huán)境變化、業(yè)務(wù)發(fā)展?fàn)顩r���、實際風(fēng)險水平等確定���;
給出了內(nèi)部控制評價的基本指引——《企業(yè)內(nèi)部控制評價指引》��。
(三)管理體系內(nèi)審與內(nèi)部控制自我評價的相關(guān)比較
根據(jù)管理體系標(biāo)準(zhǔn)及內(nèi)部控制規(guī)范關(guān)于內(nèi)部審核和內(nèi)部控制自我評價���,結(jié)合對《管理體系審核指南》和《企業(yè)內(nèi)部控制評價指引》相關(guān)內(nèi)容的理解��,對兩者的相關(guān)比較見表1:
表1 管理體系內(nèi)部審核與內(nèi)部控制自我評價對比表
對比項目
|
管理體系內(nèi)部審核
|
內(nèi)部控制自我評價
|
基本特征
|
系統(tǒng)性���、獨立性��、形成文件
|
全面性��、重要性��、客觀性
|
目的
|
評價管理體系是否符合相關(guān)要求
評價管理體系是否得到有效實施和保持
|
評價內(nèi)部控制的設(shè)計和運行的有效性
|
實施組織
|
管理層指定或委托成立審核組
|
董事會或高層委托的獨立評價組
|
方案
|
依據(jù)有關(guān)過程的重要性���、對組織產(chǎn)生影響的變化和以往的審核結(jié)果,策劃���、制定��、實施和保持審核方案���。
審核方案包括頻次、方法���、職責(zé)��、策劃要求和報告
|
結(jié)合內(nèi)部控制設(shè)計與運行的實際情況���,制定具體的內(nèi)部控制評價辦法��,規(guī)定評價的原則��、內(nèi)容��、程序��、方法和報告形式等��。
圍繞內(nèi)部環(huán)境���、風(fēng)險評估、控制活動���、信息與溝通��、內(nèi)部監(jiān)督等要素���,確定內(nèi)部控制評價的具體內(nèi)容
|
基本實施程序
|
制定方案、計劃
成立審核組并分工
收集信息��、獲取客觀證據(jù)
對照準(zhǔn)則��,形成審核發(fā)現(xiàn)
審核結(jié)論
審核結(jié)果報告
|
制定評價工作方案
組成評價工作組
實施現(xiàn)場測試
認(rèn)定控制缺陷
匯總評價結(jié)果
編報評價報告
|
實施效果
|
實施糾正或糾正措施
實現(xiàn)管理體系的持續(xù)改進(jìn)
|
缺陷整改
內(nèi)部控制設(shè)計和運行的完善
|
主要文件化信息
|
審核方案和計劃
檢查表
審核發(fā)現(xiàn)(包括不符合項或問題項)
審核報告
|
評價方案
檢查底稿
認(rèn)定結(jié)果(包括內(nèi)部控制缺陷認(rèn)定匯總表)
評價報告
|
從表1的相關(guān)對比中發(fā)現(xiàn)��,管理體系內(nèi)部審核與內(nèi)部控制自我評價的特征��、目的���、過程���、結(jié)果等基本相似,特別是方案��、實施程序���、文件化信息的相關(guān)要求基本能夠相互對應(yīng)匹配��。
同時鑒于相關(guān)管理體系標(biāo)準(zhǔn)及審核指南��、內(nèi)部控制規(guī)范及配套指引對內(nèi)部審核及內(nèi)控評價并沒有給出相關(guān)的文件化信息的模板要求��,給企業(yè)提供了充分的自主策劃空間���。
基于上述對比和分析可見���,內(nèi)部審核和內(nèi)控評價的整合具有較高的相似度。
二���、管理體系內(nèi)審與內(nèi)部控制自我評價在企業(yè)的實施情況
(一)實施情況
1.管理體系內(nèi)部審核
在管理體系內(nèi)部審核實踐中��,多數(shù)企業(yè)參照GB/T19011《管理體系審核指南》���,建立了內(nèi)部審核程序或制度,通常以年度為周期策劃審核方案��,采用集中的方式開展審核的相關(guān)程序���,也有部分企業(yè)采用滾動式開展審核��。審核實施過程中文件化信息種類的要求有一定差異��,但表1中所列的文件化信息種類基本都具備���,且多數(shù)規(guī)定了規(guī)范化的模板。例如:檢查表���、不符合報告等(模板示例見圖1���、圖2)
審與內(nèi)部控制自我評價的整合與實踐3.jpg)
2.內(nèi)部控制自我評價
與管理體系內(nèi)部審核類似��,在內(nèi)部控制自我評價實踐中���,多數(shù)企業(yè)參照專業(yè)審計機構(gòu)的實踐��,建立了內(nèi)控評價管理的制度���,通常以年度為周期策劃內(nèi)控評價方案��,利用日常監(jiān)督��、專項監(jiān)督等方式���,完成業(yè)務(wù)流程的現(xiàn)場測試,收集相關(guān)資料信息并進(jìn)行認(rèn)定��。內(nèi)控評價實施過程中文件化信息種類的要求有一定差異���,但表1中所列的文件化信息種類基本都具備���,且多數(shù)規(guī)定了規(guī)范化的模板���。例如:測試底稿、缺陷認(rèn)定匯總表等(模板示例見圖3��、圖4)
審與內(nèi)部控制自我評價的整合與實踐1.jpg)
(二)存在的問題
盡管多數(shù)企業(yè)管理體系內(nèi)部審核和內(nèi)部控制自我評價都形成了較為規(guī)范的機制���,并能夠系統(tǒng)地策劃和實施��,但各自都存在一定的不足��,對管理體系及內(nèi)部控制的有效性的促進(jìn)作用有限��,主要表現(xiàn)在:
1)多數(shù)企業(yè)管理體系內(nèi)審與內(nèi)部控制評價分別建立制度程序���,從主管職責(zé)、方案策劃��、實施主體等均沒有統(tǒng)籌考慮��,會導(dǎo)致實施過程相互孤立���,信息��、結(jié)果不能共享���;
2)多數(shù)企業(yè)的內(nèi)部審核和內(nèi)控評價采用集中的方式開展��,與企業(yè)的日常監(jiān)督脫離���,且參與審核或評價的成員管理層次及專業(yè)限制,在證據(jù)獲取及結(jié)果認(rèn)定方面往往不易發(fā)現(xiàn)本質(zhì)問題���,使這種評價的實施效果大打折扣;
3)部分企業(yè)的管理體系內(nèi)部審核��,盡管其系統(tǒng)性好��,但嚴(yán)謹(jǐn)程度欠缺���,主要表現(xiàn)在不符合項判定準(zhǔn)則識別不準(zhǔn)確(例如只籠統(tǒng)地與管理體系標(biāo)準(zhǔn)條款對照而忽略適用的制度規(guī)范)���、管理體系有效性結(jié)論與審核發(fā)現(xiàn)之間缺少必然聯(lián)系的分析(例如無論發(fā)現(xiàn)的不符合項數(shù)量多少,其管理體系有效性結(jié)論都是“基本有效”或“有效”)���;
4)部分企業(yè)內(nèi)控評價��,盡管其嚴(yán)謹(jǐn)���、細(xì)化��、可操作性高���,但系統(tǒng)性欠缺,主要表現(xiàn)在評價報告中僅將缺陷認(rèn)定列出���,而缺少對內(nèi)部控制設(shè)計或運行的總體評價���;
5)由于管理體系內(nèi)審與內(nèi)部控制評價的目的、范圍���、程序等高度的相似性���,兩者實施過程中必然會出現(xiàn)大量重復(fù)、交叉的活動或結(jié)果��,甚至審核或評價組的成員也常常會是同一組人���,這一方面使審核或評價人員產(chǎn)生一定的惰性情緒��,另外也會使被審核或評價部門或崗位產(chǎn)生一定的抵觸情緒��。長此以往��,不僅帶來了資源的浪費���,還會對審核或評價的有效性產(chǎn)生不良影響��,甚至影響管理體系及內(nèi)部控制的有效性��。
通過對管理體系內(nèi)審和內(nèi)控評價的比較分析���,我們發(fā)現(xiàn),兩者的原則��、特點��、基本程序一致���,完全具備整合的可行性。
通過對企業(yè)實踐中存在問題的分析��,實現(xiàn)兩者的整合���,既是內(nèi)部監(jiān)督和外部監(jiān)管的需要���,也是完善企業(yè)管理體系績效評價和內(nèi)部控制監(jiān)督機制的需要���,更是提高企業(yè)經(jīng)營管理有效性和效率的需要。將兩者進(jìn)行整合��,保留各自的長處���,彌補各自的欠缺���,可以使評價活動的規(guī)范性、有效性進(jìn)一步提高��。
三��、管理體系內(nèi)審與內(nèi)部控制自我評價整合實踐
筆者曾經(jīng)全程參與某大型國有企業(yè)內(nèi)部控制與管理體系一體化整合項目的實施��,其中建立系統(tǒng)的一體化的管理體系內(nèi)審和內(nèi)控評價機制就是該項目的重要組成部分��。實施的過程和結(jié)果也進(jìn)一步證明管理體系內(nèi)審和內(nèi)控評價整合的可行性���,并達(dá)到了預(yù)期目的��,具體實施內(nèi)容包括:
(一)制度層面的整合
通過組織相關(guān)人員深度研討相關(guān)管理體系標(biāo)準(zhǔn)及內(nèi)部控制規(guī)范的要求��,加深理解���,統(tǒng)一理念��,在此基礎(chǔ)上對現(xiàn)有的《管理體系內(nèi)部審核程序》���、《內(nèi)部控制評價管理制度》進(jìn)行評審,整合形成《管理體系內(nèi)審和內(nèi)控評價制度》���,使其同時符合管理體系標(biāo)準(zhǔn)和內(nèi)部控制規(guī)范的相關(guān)要求��;將企業(yè)專業(yè)監(jiān)督和基層單位的內(nèi)審納入審核評價流程中(見圖5)���,使其與企業(yè)的經(jīng)營管理進(jìn)一步融合。
審與內(nèi)部控制自我評價的整合與實踐2.jpg)
(二)實施主體的整合
綜合考慮管理體系內(nèi)審和內(nèi)控評價對人員能力的要求���,結(jié)果企業(yè)業(yè)務(wù)管理部門人力資源狀況,選擇培養(yǎng)不同專業(yè)���、管理層次的人員作為審核員/內(nèi)控評價人員資源庫���,針對每次審核評價的需求���,從資源庫中抽取適當(dāng)?shù)娜藛T組成評價組,確保評價組中中層以上領(lǐng)導(dǎo)達(dá)到規(guī)定的比例��,有利于發(fā)現(xiàn)問題質(zhì)量的提升以及對審核發(fā)現(xiàn)的系統(tǒng)分析���。
(三)工具模板的整合
對管理體系內(nèi)審和內(nèi)控評價實施過程中的現(xiàn)有模板工具進(jìn)行優(yōu)化整合��,形成了包括《管理體系內(nèi)審和內(nèi)控評價年度方案》��、《管理體系內(nèi)審和內(nèi)控評價檢查計劃》��、《檢查測試底稿》���、《不符合/缺陷認(rèn)定清單》、《管理體系內(nèi)審和內(nèi)控評價檢查報告》和《管理體系內(nèi)審和內(nèi)控評價年度報告》等模板���。這些模板既可滿足集中式總體評價的需要���,也能夠滿足日常或?qū)m棻O(jiān)督評價的需要��,并能夠符合管理體系標(biāo)準(zhǔn)和內(nèi)部控制規(guī)范的相關(guān)要求。
(四)實施的效果
企業(yè)在管理體系試運行過程中���,安排了一次整合性的管理體系內(nèi)審和內(nèi)控評價���,進(jìn)一步證明了管理體系內(nèi)審和內(nèi)控評價整合的可行性,驗證了整合后機制的合理性��,在后續(xù)的第三方認(rèn)證審核和上級公司內(nèi)控管理部門組織的驗收評審中得到了確認(rèn)���。
結(jié)語
管理體系內(nèi)部審核與內(nèi)部控制自我評價具有相同或相似的原則��、特征��、程序��,具有有效整合的可行性�����;趯芾眢w系標(biāo)準(zhǔn)和內(nèi)部控制規(guī)范相關(guān)要求的系統(tǒng)理解,從制度���、責(zé)任主體��、工具模板等方面進(jìn)行有效整合���,有助于提高審核和評價的有效性,促進(jìn)企業(yè)管理體系整合并與經(jīng)營管理有機融合���,也是優(yōu)化績效評價機制的有益嘗試��。
參考文獻(xiàn)
[1]COSO. 2013. 內(nèi)部控制——整體框架
[2]財政部等五部委. 2008.《企業(yè)內(nèi)部控制基本規(guī)范》及其配套指引
[3]GB/T19001-2016 idt ISO9001:2015 《質(zhì)量管理體系 要求》
[4]GB/T19011《管理體系審核指南》
