摘要:在我國,按相關管理體系標準系統建立實施管理體系已經有30 余年的歷程,隨著相關標準的不斷改版完善以及組織對管理體系標準理解的不斷加深,體系實施運行的有效性和成熟度也在持續提升。
在我國,按相關管理體系標準系統建立實施管理體系已經有30 余年的歷程,隨著相關標準的不斷改版完善以及組織對管理體系標準理解的不斷加深,體系實施運行的有效性和成熟度也在持續提升。內部審核是過程方法在管理體系建立、實施和保持過程中的重要一環,由最初的機械模仿,到較為系統、成熟的實施模式,成為組織管理體系績效的持續改進的重要途徑。為了加強對上市企業的監管,全國虛假財務報告委員會下屬的發起人委員會(COSO)于1992 年發布了《內部控制整合框架》,后經增補、完善,配套發布了內部控制框架原則報告。2008 年以來,財政部等五部委陸續發布《企業內部控制基本規范》及其配套指引,為我國企業實施內部控制提供了系統的規范依據。自我評價是企業對內部控制體系建立、實施開展內部監督的重要方式,也是過程方法在企業內部控制體系的具體體現。盡管管理體系內部審核與內部控制自我評價存在相似或相同的目的、程序乃至結果,但在企業經營管理的實踐中,多數企業還未將兩者進行有效整合,導致相關工作的重復交叉,從而影響管理體系績效評價的有效性和效率。系統地理解相關管理體系標準和內部控制規范對兩者的要求本質,并對管理體系內部審核和內部控制自我評價進行有效整合,已經成為國內多數企業管理體系和內部控制有效性持續改進必須面對和解決的問題。筆者曾在國內某大型國有企業參與管理體系與內部控制一體化整合,對管理體系內部審核與內部控制自我評價的整合進行了有益探索,并取得了較好效果。
一、管理體系標準和內控規范概述
(一)管理體系標準關于內部審核的要求
我國多數企業建立、實施了一個或多個管理體系,例如:質量、環境、職業健康安全、能源等管理體系。這些管理體系標準對內部審核的要求目的相似(評價管理體系的符合性和有效性),程序基本相同(一般推薦參照《管理體系審核指南》給出的程序、方法),實施的結果也基本相似(持續改進管理體系的有效性)。以GB/T 19001-2016《質量管理體系 要求》的9.2“內部審核”為例:明確了內部審核的目的——評價管理體系是否符合相關的要求;管理體系是否得到有效實施和保持;明確了實施內部審核的程序和基本要求——策劃、制定、實施和保持審核方案,規定審核準則和范圍,客觀公正地實施審核,利用審核結果(報告相關管理者,采取適當的糾正和糾正措施),內部審核相關信息的文件化;給出了內部審核的基本指南——GB/T 19011《管理體系審核指南》。我國多數企業采用的內部控制規范為COSO 發布的內部控制整合框架及其原則或國務院五部委發布的《企業內部控制基本規范》及其配套指引,與管理體系內部審核類似,這些規范對內部控制自我評價的要求目的相似,程序基本相同,實施結果也基本相似。以我國《內部控制基本規范》(第四十六條)及其配套指引(評價指引)為例:明確了內部控制自我評價的目的——評價內部控制設計和運行的有效性(《內部控制基本規范》第四十六條);提出了內部控制自我評價方式、范圍、程序和頻率的基本要求——企業應根據經營業務調整、經營環境變化、業務發展狀況、實際風險水平等確定;給出了內部控制評價的基本指引——《企業內部控制評價指引》。根據管理體系標準及內部控制規范關于內部審核和內部控制自我評價,結合對《管理體系審核指南》和《企業內部控制評價指引》相關內容的理解,對兩者的相關比較見表1。從表1 的相關對比中可發現,管理體系內部審核與內部控制自我評價的特征、目的、過程、結果等基本相似,特別是方案、實施程序、文件化信息的相關要求基本能夠相互對應匹配。同時鑒于相關管理體系標準及審核指南、內部控制規范及配套指引對內部審核及內控評價并沒有給出相關的文件化信息的模板要求,給企業提供了充分的自主策劃空間。基于上述對比和分析可見,內部審核和內控評價的整合具有較高的相似度。
二、管理體系內審與內部控制自我評價在企業的實施情況
(一)實施情況
在管理體系內部審核實踐中,多數企業參照GB/T19011《管理體系審核指南》,建立了內部審核程序或制度,通常以年度為周期策劃審核方案,采用集中的方式開展審核的相關程序,也有部分企業采用滾動式開展審核。審核實施過程中文件化信息種類的要求有一定差異,但表1 中所列的文件化信息種類基本都具備,且多數規定了規范化的模板。例如:檢查表、不符合報告等(模板示例見圖1、圖2)。
與管理體系內部審核類似,在內部控制自我評價實踐中,多數企業參照專業審計機構的實踐,建立了內控評價管理的制度,通常以年度為周期策劃內控評價方案,利用日常監督、專項監督等方式,完成業務流程的現場測試,收集相關資料信息并進行認定。內控評價實施過程中文件化信息種類的要求有一定差異,但表1 中所列的文件化信息種類基本都具備,且多數規定了規范化的模板。例如:測試底稿、缺陷認定匯總表等(模板示例見圖3、圖4)。
(二)存在的問題
盡管多數企業管理體系內部審核和內部控制自我評價都形成了較為規范的機制,并能夠系統地策劃和實施,但各自都存在一定的不足,對管理體系及內部控制的有效性的促進作用有限,主要表現在:1.多數企業管理體系內審與內部控制評價分別建立制度程序,從主管職責、方案策劃、實施主體等均沒有統籌考慮,會導致實施過程相互孤立,信息、結果不能共享;2. 多數企業的內部審核和內控評價采用集中的方式開展,與企業的日常監督脫離,且受參與審核或評價的成員管理層次及專業限制,在證據獲取及結果認定方面往往不易發現本質問題,使這種評價的實施效果大打折扣;3. 部分企業的管理體系內部審核,盡管其系統性好,但嚴謹程度欠缺,主要表現在不符合項判定準則識別不準確(例如只籠統地與管理體系標準條款對照而忽略適用的制度規范)、管理體系有效性結論與審核發現之間缺少必然聯系的分析(例如無論發現的不符合項數量多少,其管理體系有效性結論都是“基本有效”或“有效”);4. 部分企業內控評價,盡管其嚴謹、細化、可操作性高,但系統性欠缺,主要表現在評價報告中僅將缺陷認定列出,而缺少對內部控制設計或運行的總體評價;5. 由于管理體系內審與內部控制評價的目的、范圍、程序等高度的相似性,兩者實施過程中必然會出現大量重復、交叉的活動或結果,甚至審核或評價組的成員也常常會是同一組人,這一方面使審核或評價人員產生一定的惰性情緒,另外也會使被審核或評價部門或崗位產生一定的抵觸情緒。長此以往,不僅帶來了資源的浪費,還會對審核或評價的有效性產生不良影響,甚至影響管理體系及內部控制的有效性。通過對管理體系內審和內控評價的比較分析,我們發現,兩者的原則、特點、基本程序一致,完全具備整合的可行性。通過對企業實踐中存在問題的分析,實現兩者的整合,既是內部監督和外部監管的需要,也是完善企業管理體系績效評價和內部控制監督機制的需要,更是提高企業經營管理有效性和效率的需要。將兩者進行整合,保留各自的長處,彌補各自的欠缺,可以使評價活動的規范性、有效性進一步提高。
三、管理體系內審與內部控制自我評價整合實踐
筆者曾經全程參與某大型國有企業內部控制與管理體系一體化整合項目的實施,其中建立系統的一體化的管理體系內審和內控評價機制就是該項目的重要組成部分。實施的過程和結果也進一步證明,管理體系內審和內控評價整合的可行性,并達到了預期目的,具體實施內容包括:
通過組織相關人員深度研討相關管理體系標準及內部控制規范的要求,加深理解,統一理念,在此基礎上對現有的《管理體系內部審核程序》《內部控制評價管理制度》進行評審,整合形成《管理體系內審和內控評價制度》,使其同時符合管理體系標準和內部控制規范的相關要求;將企業專業監督和基層單位的內審納入審核評價流程中(見圖5),使其與企業的經營管理進一步融合。
綜合考慮管理體系內審和內控評價對人員能力的要求,結合企業業務管理部門人力資源狀況,選擇培養不同專業、管理層次的人員作為審核員/ 內控評價人員資源庫,針對每次審核評價的需求,從資源庫中抽取適當的人員組成評價組,確保評價組中中層以上領導達到規定的比例,有利于發現問題質量的提升以及對審核發現的系統分析。
對管理體系內審和內控評價實施過程中的現有模板工具進行優化整合,形成了包括《管理體系內審和內控評價年度方案》《管理體系內審和內控評價檢查計劃》《檢查測試底稿》《不符合/ 缺陷認定清單》《管理體系內審和內控評價檢查報告》和《管理體系內審和內控評價年度報告》等模板。這些模板既可滿足集中式總體評價的需要,也能夠滿足日常或專項監督評價的需要,并能夠符合管理體系標準和內部控制規范的相關要求。
企業在管理體系試運行過程中,安排了一次整合性的管理體系內審和內控評價,進一步證明了管理體系內審和內控評價整合的可行性,驗證了整合后機制的合理性,在后續的第三方認證審核和上級公司內控管理部門組織的驗收評審中得到了確認。
結語
管理體系內部審核與內部控制自我評價具有相同或相似的原則、特征、程序,具有有效整合的可行性。基于對管理體系標準和內部控制規范相關要求的系統理解,從制度、責任主體、工具模板等方面進行有效整合,有助于提高審核和評價的有效性,促進企業管理體系整合并與經營管理有機融合,也是優化績效評價機制的有益嘗試。
