• 学术园地 News

    管理体系内审与内部控制自我评价的整合与实践——北京三星九千认证中心有限公司 宋国义


    作者:admin  发表时间:2022/8/25 10:32:00  点击:331

        在我国,按相关管理体系标准系统建立实施管理体系已经有30余年的历程,随着相关标准的不断改版完善以及组织对管理体系标准理解的不断加深,体系实施运行的有效性和成熟度也在持续提升。内部审核是过程方法在管理体系建立、实施和保持过程中的重要一环,由最初的机械模仿,到较为系统、成熟的实施模式,成为组织管理体系绩效的持续改进的重要途径。

        为了加强对上市企业的监管,COSO(全国虚假财务报告委员会下属的发起人委员会)于1992年发布了《内部控制整合框架》,后经增补、完善,配套发布了内部控制框架原则报告。2008年以来,我国财政部等五部委也陆续发布《企业内部控制基本规范》及其配套指引,为我国企业实施内部控制提供了系统的规范依据。自我评价是企业对内部控制体系建立、实施开展内部监督的重要方式,也是过程方法在企业内部控制体系的具体体现。

        尽管管理体系内部审核与内部控制自我评价均存在相似或相同的目的、程序到结果,但在企业经营管理的实践中,多数企业还未将两者进行有效整合,导致相关工作的重复交叉,从而影响管理体系绩效评价的有效性和效率。系统地理解相关管理体系标准和内部控制规范对两者的要求本质,并对管理体系内部审核和内部控制自我评价进行有效整合,已经成为国内多数企业管理体系和内部控制有效性持续改进必须面对和解决的问题。笔者曾在国内某大型国有企业参与管理体系与内部控制一体化整合,对管理体系内部审核与内部控制自我评价的整合进行了有益探索,并取得了较好效果。

    一、管理体系标准和内控规范概述

        (一)管理体系标准关于内部审核的要求

        我国多数企业建立、实施了一个或多个管理体系,例如:质量、环境、职业健康安全、能源等管理体系。这些管理体系标准对内部审核的要求目的相似(评价管理体系的符合性和有效性),程序基本相同(一般推荐参照《管理体系审核指南》给出的程序、方法),实施的结果也基本相似(持续改进管理体系的有效性)。以GB/T19001-2016《质量管理体系 要求》的9.2“内部审核”为例:

        明确了内部审核的目的——评价管理体系是否符合相关的要求;管理体系是否得到有效实施和保持

        明确了实施内部审核的程序和基本要求——策划、制定、实施和保持审核方案;规定审核准则和范围;客观公正地实施审核;利用审核结果(报告相关管理者,采取适当的纠正和纠正措施);内部审核相关信息的文件化;

        给出了内部审核的基本指南——GB/T19011《管理体系审核指南》。

        (二)内部控制规范关于自我评价的要求

        我国多数企业采用的内部控制规范为COSO发布的内部控制整合框架及其原则或国务院五部委发布的《企业内部控制基本规范》及其配套指引。与管理体系内部审核类似,这些规范对内部控制自我评价的要求目的相似,程序基本相同,实施结果也基本相似。以我国《内部控制基本规范》(第四十六条)及其配套指引(评价指引)为例:

        明确了内部控制自我评价的目的——评价内部控制设计和运行的有效性(《内部控制基本规范》第四十六条);

        提出了内部控制自我评价方式、范围、程序和频率的基本要求——企业应根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等确定;

        给出了内部控制评价的基本指引——《企业内部控制评价指引》。

        (三)管理体系内审与内部控制自我评价的相关比较

        根据管理体系标准及内部控制规范关于内部审核和内部控制自我评价,结合对《管理体系审核指南》和《企业内部控制评价指引》相关内容的理解,对两者的相关比较见表1:

        表1 管理体系内部审核与内部控制自我评价对比表

    对比项目

    管理体系内部审核

    内部控制自我评价

    基本特征

    系统性、独立性、形成文件

    全面性、重要性、客观性

    目的

    评价管理体系是否符合相关要求

    评价管理体系是否得到有效实施和保持

    评价内部控制的设计和运行的有效性

    实施组织

    管理层指定或委托成立审核组

    董事会或高层委托的独立评价组

    方案

    依据有关过程的重要性、对组织产生影响的变化和以往的审核结果,策划、制定、实施和保持审核方案。

    审核方案包括频次、方法、职责、策划要求和报告

    结合内部控制设计与运行的实际情况,制定具体的内部控制评价办法,规定评价的原则、内容、程序、方法和报告形式等。

    围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素,确定内部控制评价的具体内容

    基本实施程序

    制定方案、计划

    成立审核组并分工

    收集信息、获取客观证据

    对照准则,形成审核发现

    审核结论

    审核结果报告

    制定评价工作方案

    组成评价工作组

    实施现场测试

    认定控制缺陷

    汇总评价结果

    编报评价报告

    实施效果

    实施纠正或纠正措施

    实现管理体系的持续改进

    缺陷整改

    内部控制设计和运行的完善

    主要文件化信息

    审核方案和计划

    检查表

    审核发现(包括不符合项或问题项)

    审核报告

    评价方案

    检查底稿

    认定结果(包括内部控制缺陷认定汇总表)

    评价报告

     

        从表1的相关对比中发现,管理体系内部审核与内部控制自我评价的特征、目的、过程、结果等基本相似,特别是方案、实施程序、文件化信息的相关要求基本能够相互对应匹配。

        同时鉴于相关管理体系标准及审核指南、内部控制规范及配套指引对内部审核及内控评价并没有给出相关的文件化信息的模板要求,给企业提供了充分的自主策划空间。

        基于上述对比和分析可见,内部审核和内控评价的整合具有较高的相似度。

        二、管理体系内审与内部控制自我评价在企业的实施情况

        (一)实施情况

        1.管理体系内部审核

        在管理体系内部审核实践中,多数企业参照GB/T19011《管理体系审核指南》,建立了内部审核程序或制度,通常以年度为周期策划审核方案,采用集中的方式开展审核的相关程序,也有部分企业采用滚动式开展审核。审核实施过程中文件化信息种类的要求有一定差异,但表1中所列的文件化信息种类基本都具备,且多数规定了规范化的模板。例如:检查表、不符合报告等(模板示例见图1、图2)

     

     

      

        2.内部控制自我评价

        与管理体系内部审核类似,在内部控制自我评价实践中,多数企业参照专业审计机构的实践,建立了内控评价管理的制度,通常以年度为周期策划内控评价方案,利用日常监督、专项监督等方式,完成业务流程的现场测试,收集相关资料信息并进行认定。内控评价实施过程中文件化信息种类的要求有一定差异,但表1中所列的文件化信息种类基本都具备,且多数规定了规范化的模板。例如:测试底稿、缺陷认定汇总表等(模板示例见图3、图4)

     

     

     

        (二)存在的问题

        尽管多数企业管理体系内部审核和内部控制自我评价都形成了较为规范的机制,并能够系统地策划和实施,但各自都存在一定的不足,对管理体系及内部控制的有效性的促进作用有限,主要表现在:

        1)多数企业管理体系内审与内部控制评价分别建立制度程序,从主管职责、方案策划、实施主体等均没有统筹考虑,会导致实施过程相互孤立,信息、结果不能共享;

        2)多数企业的内部审核和内控评价采用集中的方式开展,与企业的日常监督脱离,且参与审核或评价的成员管理层次及专业限制,在证据获取及结果认定方面往往不易发现本质问题,使这种评价的实施效果大打折扣;

        3)部分企业的管理体系内部审核,尽管其系统性好,但严谨程度欠缺,主要表现在不符合项判定准则识别不准确(例如只笼统地与管理体系标准条款对照而忽略适用的制度规范)、管理体系有效性结论与审核发现之间缺少必然联系的分析(例如无论发现的不符合项数量多少,其管理体系有效性结论都是“基本有效”或“有效”);

        4)部分企业内控评价,尽管其严谨、细化、可操作性高,但系统性欠缺,主要表现在评价报告中仅将缺陷认定列出,而缺少对内部控制设计或运行的总体评价;

        5)由于管理体系内审与内部控制评价的目的、范围、程序等高度的相似性,两者实施过程中必然会出现大量重复、交叉的活动或结果,甚至审核或评价组的成员也常常会是同一组人,这一方面使审核或评价人员产生一定的惰性情绪,另外也会使被审核或评价部门或岗位产生一定的抵触情绪。长此以往,不仅带来了资源的浪费,还会对审核或评价的有效性产生不良影响,甚至影响管理体系及内部控制的有效性。

        通过对管理体系内审和内控评价的比较分析,我们发现,两者的原则、特点、基本程序一致,完全具备整合的可行性。

        通过对企业实践中存在问题的分析,实现两者的整合,既是内部监督和外部监管的需要,也是完善企业管理体系绩效评价和内部控制监督机制的需要,更是提高企业经营管理有效性和效率的需要。将两者进行整合,保留各自的长处,弥补各自的欠缺,可以使评价活动的规范性、有效性进一步提高。

        三、管理体系内审与内部控制自我评价整合实践

        笔者曾经全程参与某大型国有企业内部控制与管理体系一体化整合项目的实施,其中建立系统的一体化的管理体系内审和内控评价机制就是该项目的重要组成部分。实施的过程和结果也进一步证明管理体系内审和内控评价整合的可行性,并达到了预期目的,具体实施内容包括:

        (一)制度层面的整合

        通过组织相关人员深度研讨相关管理体系标准及内部控制规范的要求,加深理解,统一理念,在此基础上对现有的《管理体系内部审核程序》、《内部控制评价管理制度》进行评审,整合形成《管理体系内审和内控评价制度》,使其同时符合管理体系标准和内部控制规范的相关要求;将企业专业监督和基层单位的内审纳入审核评价流程中(见图5),使其与企业的经营管理进一步融合。

     

     

        (二)实施主体的整合

        综合考虑管理体系内审和内控评价对人员能力的要求,结果企业业务管理部门人力资源状况,选择培养不同专业、管理层次的人员作为审核员/内控评价人员资源库,针对每次审核评价的需求,从资源库中抽取适当的人员组成评价组,确保评价组中中层以上领导达到规定的比例,有利于发现问题质量的提升以及对审核发现的系统分析。

        (三)工具模板的整合

        对管理体系内审和内控评价实施过程中的现有模板工具进行优化整合,形成了包括《管理体系内审和内控评价年度方案》、《管理体系内审和内控评价检查计划》、《检查测试底稿》、《不符合/缺陷认定清单》、《管理体系内审和内控评价检查报告》和《管理体系内审和内控评价年度报告》等模板。这些模板既可满足集中式总体评价的需要,也能够满足日常或专项监督评价的需要,并能够符合管理体系标准和内部控制规范的相关要求。

        (四)实施的效果

        企业在管理体系试运行过程中,安排了一次整合性的管理体系内审和内控评价,进一步证明了管理体系内审和内控评价整合的可行性,验证了整合后机制的合理性,在后续的第三方认证审核和上级公司内控管理部门组织的验收评审中得到了确认。

        结语

        管理体系内部审核与内部控制自我评价具有相同或相似的原则、特征、程序,具有有效整合的可行性。基于对管理体系标准和内部控制规范相关要求的系统理解,从制度、责任主体、工具模板等方面进行有效整合,有助于提高审核和评价的有效性,促进企业管理体系整合并与经营管理有机融合,也是优化绩效评价机制的有益尝试。

     

     

        参考文献

        [1]COSO. 2013. 内部控制——整体框架

        [2]财政部等五部委. 2008.《企业内部控制基本规范》及其配套指引

        [3]GB/T19001-2016 idt ISO9001:2015 《质量管理体系 要求》

        [4]GB/T19011《管理体系审核指南》