|
【导读】:国家财政部等联合下发的《企业内部控制基本规范》作为加强企业管理控制、促进健康持续发展的重要举措,将于2009年7月1日率先在上市公司范围内实施;在我们推广企业信息化内控方案的时候,发现不少企业在考虑采用信息技术来完善自己的内部控制体系的过程中面临着一个困惑,“我们已经建立了完备的ISO 9001质量保证体系,也是可以帮助企业防范经营风险,它与企业内控体系是什么关系?”显然,这是一个需要澄清并予以回答的问题。 国家财政部等联合下发的《企业内部控制基本规范》作为加强企业管理控制、促进健康持续发展的重要举措,将于2009年7月1日率先在上市公司范围内实施;在我们推广企业信息化内控方案的时候,发现不少企业在考虑采用信息技术来完善自己的内部控制体系的过程中面临着一个困惑,“我们已经建立了完备的ISO 9001质量保证体系,也是可以帮助企业防范经营风险,它与企业内控体系是什么关系?”显然,这是一个需要澄清并予以回答的问题。 诚然,企业质量保证体系也是可以起到防范经营风险的作用,但是它所关注的是质量领域,是从质量的视角来进行管控,而企业内控体系对于企业经营风险的防范,是从资产安全、信息真实的视角来进行管控,两者之间既有着相同的理念和原则,也有着很大的操作不同之处,笔者对其异同做一简要分析,认为主要体现在如下几个方面: 6 m" r# a& H7 a+ V6 |8 o. u: l
应用目的方面
' i9 m% I5 y- S9 w4 V- e! N 内控规范与ISO 标准都是建立外部信任的目的,都有着体系运行需要提供证据证实过程被有效执行的要求,都有着内部审计和外部审计的行为,两者都是企业经营管理体系的重要组成部分。
: g l9 _: H! N1 X% |( A9 M 但是,ISO 标准所实现的是质量相关证实,是从维护客户的利益出发来思考问题,防范质量信息欺诈现象的发生;而企业内控体系所在意的是资金流以及物流直接相关的过程,是从维护股东即投资人的利益出发来实施管控,尤其是财务报告数据的真实性,防范财务信息欺诈的发生。
! C& R( n4 c0 H% o+ L0 c# M 质量反映着过程与手段,财务反映着结果与目的,质量上出了问题,结果必然会反映到财务上来,从这个意义上讲,内控规范与ISO 要求都是企业需要的,而不可偏废。
+ N3 W2 O$ m2 e1 @7 L) P1 B- T 管控方法的方面
/ U7 D, D7 {9 w9 O 两者均是采用确定关键控制点的方式来实现,都遵循如下原则 ' r* n+ b6 \8 [& Y- E3 l7 R0 n0 G
识别管控要点与要求 $ ]! D3 _! u/ a3 S3 `( y2 p
过程人员职责需到位 " Y- V: [" g! ^; n2 |) r* e* X
过程需要被有效执行
5 b) [: o% u @% D! D* h1 I 过程需要具备有效性 ' K; Y2 x5 Y* K& k" p) L
内控规范明确规定了需要遵循成本效益原则,而ISO 标准中则没有涉及到财务方面的规定和要求。在管控要点上,各自根据各自的目的也是差异非常大,内控规范所关注的是资金流直接相关的资金管理、筹资管理、投资管理、预算管理、成本费用等等;ISO 9000标准的要求则不涉及这些直接财务过程,仅有部分业务内容与内控规范涉及业务的销售、采购、存货、合同、第三方的资产等过程要求相重叠,毕竟产品损坏既是资产问题,也是质量问题,但关注重点也不一样。 9 z% M+ ~/ b9 C9 H- _0 a; m6 l* k
从表面上看,虽然内控规范不涉及产品质量过程以及质量控制设备等,但是,所有的生产活动的展开都会跟钱拉上关系,都会在经营活动中预算管理、成本费用上得到体现,并进而传递到资金管理上,从而也是存在着相关性,并非是完全无关。
; O8 n7 a; B- v' H- k1 m5 c 人力资源的方面 + `7 h: `( r3 g# Z9 @1 u
在内控规范和ISO 9001标准中,都涉及到人力资源方面的管理要求,比如管理职责需要到位、岗位任职资格要求,都提出了全员参与等等,这也充分说明人力资源管理对于企业经营风险控制中的作用,事是靠人来做的,人的风险是最大的风险。
1 X2 T3 e) _. n q, h. z 两者在人力资源管理的要求深度上有着较大的差别;ISO 9001标准中,原则性的提出了能力管理、培训要求、员工激励、员工满意度测量、离职调查分析等等,而企业内控规范所涉及的规定则是更加具体和全面,在其人力资源政策指引中,全面地提出了各项操作性的具体要求,基本上涉及人力资源管理的各个方面流程的要求,仅出于防范风险目的的定期轮岗、强制休假、不相容岗位分离、保密控制等均有详细规定,甚至对于企业文化建设都提出具体的要求,尤其是与能力管理无关的道德问题的重视,这也是与ISO9001标准的最大差别之处。
, n# x# Q& @+ G, F y" Y0 q 在ISO 9001标准中,有对人员培训的记录要求,而在内控规范中,对此却只是做了原则性规定。 , C6 M! t5 e; v; V' H% X) p- d
过程循环的方面 1 l' l: p- O9 [, E* `+ f
无论是企业内控规范还是ISO 9001标准,都是在强调事先的计划概念,通过事先的措施来防范事后的风险的发生,同时都是基于动态管理的思维,讲求测量、分析、改进,但是两者在不同领域的关注程度是不一样的。
/ H7 v6 f, Z+ t# t 在体系管理上,ISO 9001更加关注文档化的体系,体系文件和资料等强调版本控制的改进循环,以防止错误引用过期版本的情况,而内控体系要求中则没有,可能这是因为财务控制比较集中,标准的使用出错概率很小的缘故,不像业务过程涉及面太广,出错风险大,故而需要加大管控成本。 m" U% {( I M" ` x4 k) D6 Q1 D
职能管理上,企业内控规范所确定的风险控制框架本身就是一个循环,建立环境、评估风险、开展控制、信息沟通以及监督改进这五个步骤可以说是彼此相连接的,比如内部监督发现内部环境出现问题需要改进,那就会带来这实施内控的基础架构上的改变。相比之下,ISO 9001标准对于过程循环的要求深度比企业内控规范要高,这也是由于其管理范围的复杂程度所决定的,无论是对于横向的业务过程,还是纵向的管理过程。 ; p! k4 e7 H& L* X
在过程循环中,内控管理规范明确提出了信息技术应用的要求,而在ISO 9001标准中则没有这样的规定。 ! X3 k2 c4 ]4 `1 w2 f
对于既包括着质量控制同时又包含有财务内控的过程,比如说企业的采购业务,内控体系则要求具有更多的细致管控内容,比如涉及财务方面的事先计划层面采购计划/合同的审批以及事后层面的付款条件审核、复审、凭证、发票等等,辅助层面的采购不相容岗位规定、定期岗位轮换等等,都是在质量控制过程不包含的,对于供应商的评价选择、采购合同控制、采购验收控制则是两个体系中都包含有的。
' E# Z; D% [* _% q3 a6 v" @6 l 总之,企业的财务内控体系与质量保证体系都是企业重要的管理体系组成部分,都会影响到企业业务开展的各个方面,对规范/标准的符合性是底线,从底线上看,两者是独*立的视角,而从有效性和运行成本上看,两者具有很大的关联性,可以说,彼此既有相关性,同时又具有各自的不同点,通常在企业管理架构上,两个体系分别归属于两个不同的角色统管,即CFO与COO,两个独*立的角色分别向上进行独*立管理汇报。
- a! C5 ~' |% E# c: C" B5 D) [
$ A3 R. w1 P0 Z/ w: [% q % U6 ~2 ~7 ^8 w6 q
来源:CIO时代 |
|