内控规范与ISO质量体系在企业管理中的结合运用
摘 要:2010年4月26日, 财政部会同证监会、审计署、银监会、保监会等五部委联合发布了《企业内部控制配套指引》,连同2008年五部委联合发布的《企业内部控制基本规范》,标志着我国企业内部控制规范体系全面建成。作为两个可以帮助企业规避经营风险的管理体系,如何将两者有机结合起来,充分发挥其在企业经营管理中尤其是在财务管理中的作用,是很多企业面临的问题。有鉴于此,要解决此问题,必须从内控规范和ISO9001本身特点出发,找出两者的异同,从而将两者结合起来。 关键词:内控规范;ISO体系;结合运用� 中图分类号:C93 文献标识码:A 文章编号:1672-3198(2010)19-0063-01 根据五部委要求,从2011年1月1日起开始在我国上市公司和非上市大中型企业分步实施。国际标准化组织(ISO)是由各国标准化团体组成的世界性的联合会,ISO9001由ISO/TC176/SC2质量管理和质量保证技术委员会质量体系分委员会制定。该标准提供了质量管理体系的要求,供组织证实其提供满足顾客和适用法规要求产品的能力使用。� ISO质量管理体系标准在引言中特意提及与其他管理体系的相容性问题,提出本标准不包括针对其他管理体系的特定要求,例如环境管理、职业健康与安全管理、财务管理或风险管理有关的特定要求,ISO标准使组织能够将自身的质量管理体系与相关的管理体系要求结合或一体化。� 1 目的� 内控规范与ISO体系都是建立外部信任为目的,都是企业经营管理体系的重要组成部分;两者的侧重点不同,ISO标准是从质量的角度出发,通过管理职责、资源管理、产品实现、测量分析改进得循环,达到持续改进得目的,以维护客户利益为基本出发点,防范质量信息虚假,最终目标是达到客户满意;内控体系重点关注的是与资金流相关的资金管理、筹资管理、预算管理、成本费用等,以维护股东即投资人的利益为出发点,尤其是财务报告数据的真实性,防范财务数据信息虚假,最终目标是到达投资人满意。� 2 流程标准化要求� ISO体系及内控规范均要求对相关文件应予以控制,实现流程标准化。� 3 涉及内容� 内控规范涉及18个应用指引:� (1)组织架构; (2)发展战略; (3)人力资源; (4)社会责任; (5)企业文化; (6)资金活动; (7)采购业务; (8)资产管理; (9)销售业务; (10)研究和开发; (11)工程项目; (12)担保业务; (13)业务外包; (14)财务报告; (15)全面预算; (16)合同管理; (17)内部信息传递; (18)信息系统;� ISO体系涉及:� (1)管理承诺; (2)以顾客为关注焦点; (3)质量方针; (4)策划; (5)职责、权限和沟通; (6)管理评审; (7)资源的提供; (8)人力资源; (9)基础设施; (10)工作环境; (11)产品实现的策划; (12)与顾客有关的过程; (13)设计和开发; (14)采购; (15)生产和服务提供; (16)监视和测量; (17)不合格品的控制; (18)数据分析; (19)持续改进。� 从以上两种体系涉及的内容看,ISO体系的要求虽然不涉及直接的财务过程,但仍有部分内容如销售、采购、人力资源、存货、合同、第三方的资产等内容及要求与内控规范相重叠;从表面看内控规范不涉及产品质量过程,但毕竟所有的生产过程都与钱相关,都会在经营活动中的预算管理、成本费用上体现出来,并进而传递到资金管理上,所以二者息息相关。� 4 过程循环� 在体系管理上,ISO更加关注文档化的体系,体系文件和资料等强调版本控制和改进循环,而内控规范中因财务控制比较集中,标准使用出错概率小故则没有要求;职能管理上,内控规范所确定的风险控制框架本身就是一个循环,建立环境、评估风险、开展控制、信息沟通以及监督改进是彼此相连接的,ISO标准对于过程循环的要求深度比内控规范要高;对于既包含质量控制又包含内控的过程,内控规范相对于ISO体系则要求更多的细致管控内容,例如采购业务,内控规范及ISO体系均包含供应商的评价选择、采购合同控制、采购验收控制,但内控规范同时又要求凭证、发票,不相容岗位规定、定期岗位轮换等ISO体系所没有的内容。� 针对内控规范及ISO体系异同及关联性,应从本企业实际情况出发,将两者有机结合运用如下:� 4.1 成立整合小组� 整合、修正、执行成功的重要关键,根据两个体系异同,由整合小组负责全面统筹安排整合,主要职责是负责会议召开、流程分析、整合程序制定、进度追踪报告、执行检讨;从而避免重复工作及多头管理的矛盾。� 4.2 规章制度高度融合� 作为ISO 与内部控制标准的支持性文件、规章制度与员工息息相关,是企业管理的基础,必须全面体现两个管理体系的要求。应着重解决5W1H问题,即why(为什做)、what(做什么)、when(何时)、where(何地)、who(谁来做)、how(如何做),明确职责便于操作,同时还必须体现内部控制标准的有关要求如: (1)授权控制 有关经济业务活动必须经过授权和批准,方能处理,未经授权和批准的人员不允许接触和过问;� (2)分管控制 不允许所谓一条龙式的一人包办,必须分解相关的经济业务职责,应实现互相制约、互相监督;� (3) 业务记录控制必须采取得力措施和恰当方法,保证经济业务的会计记录真实、及时和准确;� (4) 素质控制员工应具有与其负责的工作相适应的素质,以便保证工作质量,实现预期目标;� (5)资产安全控制采取各种限制的接近的措施,确保企业资产安全完好。� 4.3 手册文件实行完整包容� 把质量手册和内部控制手册整合成质量/内控手册,实现一体化管理。在手册的质量/内控方针、目标、管理职责、组织机构、基础设施、工作环境、人力资源、采购过程、监测改进等内容中,要体现内部控制标准的有关要求,同时另辟章节专门论述内部控制标准,实现完整包容。� 4.4 内部审核的整合� 两个体系整合在一起,在内部审核方面主要涉及两个问题:� (1)整合为单一审核程序:即将两个体系各自管理制度整合成单一管理制度,内审人员便应依规定从事查核,而不再区分为ISO 稽核与内控稽核人员,统一执行单一作业。� (2)在单一管理制度下,依其专长从事稽核:虽已整合为单一管理制度,因ISO 稽核大部分只涉及直接执行部门,而不涉及财务,ISO 稽核对财务或会计面本来就不熟悉,相反的,内控稽核人员对于查帐熟悉度虽然较ISO 稽核人员佳,但面对实际ISO 标准下的流程作业或品管程序,其了解程度却显不足。因此在单一稽核部门之前提下,应具有两种内部稽核专长,妥善分配其熟悉的查核工作。� (3)执行内部稽核以督促、检讨、修正与持续改进。经由整合内部稽核后,应执行制度落实面的考核。依据统一的管理制度,查核书面文件之实际执行状况,藉以检讨、修正与改进。企业高层需鉴别公司提供的服务产品,达成客户需求的服务实现流程,因其直接影响公司的经营品质及成败。至于各项行政管理之支持流程也须界定清楚,以免影响服务实现流程的效率。因此,必须将管理重点放在如下几点:� ①确定达成预期结果之流程顺序及互动关系。� ②确定管控中流程输入、作业、输出被清楚设定时效要求。� ③监督工作流程输入及输出,以查证个别流程是否环环相扣,并且确立跨部门联系或传递之有效性和效率。� ④在流程间设立数据分析,以有效发挥组织绩效持续改进的机制。企业高层管理者需界定组织绩效的评量方法,具体有效查证企业改善组织绩效策略目标之达成。� 总之,不论是内控规范或是ISO 制度,制度设计与执行同样重要,制度再完善、再完整,若缺乏执行者的重视与落实,不过是一堆废纸。因此就管理者而言,必须支持与重视企业内控管理;就执行者而言,更需参与设计及落实。因此无论是上至企业的领导者或下至基层员工,必须有内控观念与ISO质量保证意识,才能适应不断变化的经济环境或市场变迁,提高企业自身生存竞争力,从而在激烈的市场竞争中立于不败之地。