內控規范與ISO質量體系在企業管理中的結合運用

摘 要:2010年4月26日， 財政部會同證監會、審計署、銀監會、保監會等五部委聯合發布了《企業內部控制配套指引》，連同2008年五部委聯合發布的《企業內部控制基本規范》，標志著我國企業內部控制規范體系全面建成。作為兩個可以幫助企業規避經營風險的管理體系，如何將兩者有機結合起來，充分發揮其在企業經營管理中尤其是在財務管理中的作用，是很多企業面臨的問題。有鑒于此，要解決此問題，必須從內控規范和ISO9001本身特點出發，找出兩者的異同，從而將兩者結合起來。

關鍵詞:內控規范;ISO體系;結合運用

中圖分類號:C93

文獻標識碼:A

文章編號:1672-3198(2010)19-0063-01

根據五部委要求，從2011年1月1日起開始在我國上市公司和非上市大中型企業分步實施。國際標準化組織(ISO)是由各國標準化團體組成的世界性的聯合會，ISO9001由ISO/TC176/SC2質量管理和質量保證技術委員會質量體系分委員會制定。該標準提供了質量管理體系的要求，供組織證實其提供滿足顧客和適用法規要求產品的能力使用。

ISO質量管理體系標準在引言中特意提及與其他管理體系的相容性問題，提出本標準不包括針對其他管理體系的特定要求，例如環境管理、職業健康與安全管理、財務管理或風險管理有關的特定要求，ISO標準使組織能夠將自身的質量管理體系與相關的管理體系要求結合或一體化。

1 目的

內控規范與ISO體系都是建立外部信任為目的，都是企業經營管理體系的重要組成部分;兩者的側重點不同，ISO標準是從質量的角度出發，通過管理職責、資源管理、產品實現、測量分析改進得循環，達到持續改進得目的，以維護客戶利益為基本出發點，防范質量信息虛假，最終目標是達到客戶滿意;內控體系重點關注的是與資金流相關的資金管理、籌資管理、預算管理、成本費用等，以維護股東即投資人的利益為出發點，尤其是財務報告數據的真實性，防范財務數據信息虛假，最終目標是到達投資人滿意。

2 流程標準化要求

ISO體系及內控規范均要求對相關文件應予以控制，實現流程標準化。

3 涉及內容

內控規范涉及18個應用指引:

(1)組織架構;

(2)發展戰略;

(3)人力資源;

(4)社會責任;

(5)企業文化;

(6)資金活動;

(7)采購業務;

(8)資產管理;

(9)銷售業務;

(10)研究和開發;

(11)工程項目;

(12)擔保業務;

(13)業務外包;

(14)財務報告;

(15)全面預算;

(16)合同管理;

(17)內部信息傳遞;

(18)信息系統;

ISO體系涉及:

(1)管理承諾;

(2)以顧客為關注焦點;

(3)質量方針;

(4)策劃;

(5)職責、權限和溝通;

(6)管理評審;

(7)資源的提供;

(8)人力資源;

(9)基礎設施;

(10)工作環境;

(11)產品實現的策劃;

(12)與顧客有關的過程;

(13)設計和開發;

(14)采購;

(15)生產和服務提供;

(16)監視和測量;

(17)不合格品的控制;

(18)數據分析;

(19)持續改進。

從以上兩種體系涉及的內容看，ISO體系的要求雖然不涉及直接的財務過程，但仍有部分內容如銷售、采購、人力資源、存貨、合同、第三方的資產等內容及要求與內控規范相重疊;從表面看內控規范不涉及產品質量過程，但畢竟所有的生產過程都與錢相關，都會在經營活動中的預算管理、成本費用上體現出來，并進而傳遞到資金管理上，所以二者息息相關。

4 過程循環

在體系管理上，ISO更加關注文檔化的體系，體系文件和資料等強調版本控制和改進循環，而內控規范中因財務控制比較集中，標準使用出錯概率小故則沒有要求;職能管理上，內控規范所確定的風險控制框架本身就是一個循環，建立環境、評估風險、開展控制、信息溝通以及監督改進是彼此相連接的，ISO標準對于過程循環的要求深度比內控規范要高;對于既包含質量控制又包含內控的過程，內控規范相對于ISO體系則要求更多的細致管控內容，例如采購業務，內控規范及ISO體系均包含供應商的評價選擇、采購合同控制、采購驗收控制，但內控規范同時又要求憑證、發票，不相容崗位規定、定期崗位輪換等ISO體系所沒有的內容。

針對內控規范及ISO體系異同及關聯性，應從本企業實際情況出發，將兩者有機結合運用如下:

4.1 成立整合小組

整合、修正、執行成功的重要關鍵，根據兩個體系異同，由整合小組負責全面統籌安排整合，主要職責是負責會議召開、流程分析、整合程序制定、進度追蹤報告、執行檢討;從而避免重復工作及多頭管理的矛盾。

4.2 規章制度高度融合

作為ISO 與內部控制標準的支持性文件、規章制度與員工息息相關，是企業管理的基礎，必須全面體現兩個管理體系的要求。應著重解決5W1H問題，即why(為什做)、what(做什么)、when(何時)、where(何地)、who(誰來做)、how(如何做)，明確職責便于操作，同時還必須體現內部控制標準的有關要求如:

(1)授權控制 有關經濟業務活動必須經過授權和批準，方能處理，未經授權和批準的人員不允許接觸和過問;

(2)分管控制 不允許所謂一條龍式的一人包辦，必須分解相關的經濟業務職責，應實現互相制約、互相監督;

(3) 業務記錄控制必須采取得力措施和恰當方法，保證經濟業務的會計記錄真實、及時和準確;

(4) 素質控制員工應具有與其負責的工作相適應的素質，以便保證工作質量，實現預期目標;

(5)資產安全控制采取各種限制的接近的措施，確保企業資產安全完好。

4.3 手冊文件實行完整包容

把質量手冊和內部控制手冊整合成質量/內控手冊，實現一體化管理。在手冊的質量/內控方針、目標、管理職責、組織機構、基礎設施、工作環境、人力資源、采購過程、監測改進等內容中，要體現內部控制標準的有關要求，同時另辟章節專門論述內部控制標準，實現完整包容。

4.4 內部審核的整合

兩個體系整合在一起，在內部審核方面主要涉及兩個問題:

(1)整合為單一審核程序:即將兩個體系各自管理制度整合成單一管理制度，內審人員便應依規定從事查核，而不再區分為ISO 稽核與內控稽核人員，統一執行單一作業。

(2)在單一管理制度下，依其專長從事稽核:雖已整合為單一管理制度，因ISO 稽核大部分只涉及直接執行部門，而不涉及財務，ISO 稽核對財務或會計面本來就不熟悉，相反的，內控稽核人員對于查帳熟悉度雖然較ISO 稽核人員佳，但面對實際ISO 標準下的流程作業或品管程序，其了解程度卻顯不足。因此在單一稽核部門之前提下，應具有兩種內部稽核專長，妥善分配其熟悉的查核工作。

(3)執行內部稽核以督促、檢討、修正與持續改進。經由整合內部稽核后，應執行制度落實面的考核。依據統一的管理制度，查核書面文件之實際執行狀況，藉以檢討、修正與改進。企業高層需鑒別公司提供的服務產品，達成客戶需求的服務實現流程，因其直接影響公司的經營品質及成敗。至于各項行政管理之支持流程也須界定清楚，以免影響服務實現流程的效率。因此，必須將管理重點放在如下幾點:

①確定達成預期結果之流程順序及互動關系。

②確定管控中流程輸入、作業、輸出被清楚設定時效要求。

③監督工作流程輸入及輸出，以查證個別流程是否環環相扣，并且確立跨部門聯系或傳遞之有效性和效率。

④在流程間設立數據分析，以有效發揮組織績效持續改進的機制。企業高層管理者需界定組織績效的評量方法，具體有效查證企業改善組織績效策略目標之達成。

總之，不論是內控規范或是ISO 制度，制度設計與執行同樣重要，制度再完善、再完整，若缺乏執行者的重視與落實，不過是一堆廢紙。因此就管理者而言，必須支持與重視企業內控管理;就執行者而言，更需參與設計及落實。因此無論是上至企業的領導者或下至基層員工，必須有內控觀念與ISO質量保證意識，才能適應不斷變化的經濟環境或市場變遷，提高企業自身生存競爭力，從而在激烈的市場競爭中立于不敗之地。