管理体系内审与内部控制自我评价的整合及实践

时间：2022-05-20作者：山东世通国际认证有限公司浏览：156

在我国，按相关管理体系标准系统建立实施管理体系已经有30 余年的历程，随着相关标准的不断改版完善以及组织对管理体系标准理解的不断加深，体系实施运行的有效性和成熟度也在持续提升。内部审核是过程方法在管理体系建立、实施和保持过程中的重要一环，由较初的机械模仿，到较为系统、成熟的实施模式，成为组织管理体系绩效的持续改进的重要途径。

为了加强对上市企业的监管，全国虚假财务报告**下属的发起人**（COSO）于1992 年发布了《内部控制整合框架》，后经增补、完善，配套发布了内部控制框架原则报告。2008 年以来，财政部等五部委陆续发布《企业内部控制基本规范》及其配套指引，为我国企业实施内部控制提供了系统的规范依据。自我评价是企业对内部控制体系建立、实施开展内部监督的重要方式，也是过程方法在企业内部控制体系的具体体现。

尽管管理体系内部审核与内部控制自我评价存在相似或相同的目的、程序乃至结果，但在企业经营管理的实践中，多数企业还未将两者进行有效整合，导致相关工作的重复交叉，从而影响管理体系绩效评价的有效性和效率。

系统地理解相关管理体系标准和内部控制规范对两者的要求本质，并对管理体系内部审核和内部控制自我评价进行有效整合，已经成为国内多数企业管理体系和内部控制有效性持续改进必须面对和解决的问题。笔者曾在国内某大型国有企业参与管理体系与内部控制一体化整合，对管理体系内部审核与内部控制自我评价的整合进行了有益探索，并取得了较好效果。




一、管理体系标准和内控规范概述

（一）管理体系标准关于内部审核的要求

我国多数企业建立、实施了一个或多个管理体系，例如：质量、环境、职业健康安全、能源等管理体系。这些管理体系标准对内部审核的要求目的相似（评价管理体系的符合性和有效性），程序基本相同（一般推荐参照《管理体系审核指南》给出的程序、方法），实施的结果也基本相似（持续改进管理体系的有效性）。以GB/T 19001-2016《质量管理体系 要求》的9.2“内部审核”为例：

明确了内部审核的目的——评价管理体系是否符合相关的要求；管理体系是否得到有效实施和保持；

明确了实施内部审核的程序和基本要求——策划、制定、实施和保持审核方案，规定审核准则和范围，客观公正地实施审核，利用审核结果（报告相关管理者，采取适当的纠正和纠正措施），内部审核相关信息的文件化；给出了内部审核的基本指南——GB/T 19011《管理体系审核指南》。

（二）内部控制规范关于自我评价的要求

我国多数企业采用的内部控制规范为COSO 发布的内部控制整合框架及其原则或**五部委发布的《企业内部控制基本规范》及其配套指引，与管理体系内部审核类似，这些规范对内部控制自我评价的要求目的相似，程序基本相同，实施结果也基本相似。以我国《内部控制基本规范》（*四十六条）及其配套指引（评价指引）为例：

明确了内部控制自我评价的目的——评价内部控制设计和运行的有效性（《内部控制基本规范》*四十六条）；

提出了内部控制自我评价方式、范围、程序和频率的基本要求——企业应根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等确定；

给出了内部控制评价的基本指引——《企业内部控制评价指引》。

（三）管理体系内审与内部控制自我评价的相关比较

根据管理体系标准及内部控制规范关于内部审核和内部控制自我评价，结合对《管理体系审核指南》和《企业内部控制评价指引》相关内容的理解，对两者的相关比较见表1。从表1 的相关对比中可发现，管理体系内部审核与内部控制自我评价的特征、目的、过程、结果等基本相似，特别是方案、实施程序、文件化信息的相关要求基本能够相互对应匹配。同时鉴于相关管理体系标准及审核指南、内部控制规范及配套指引对内部审核及内控评价并没有给出相关的文件化信息的模板要求，给企业提供了充分的自主策划空间。基于上述对比和分析可见，内部审核和内控评价的整合具有较高的相似度。




二、管理体系内审与内部控制自我评价在企业的实施情况

（一）实施情况

1.管理体系内部审核

在管理体系内部审核实践中，多数企业参照GB/T19011《管理体系审核指南》，建立了内部审核程序或制度，通常以年度为周期策划审核方案，采用集中的方式开展审核的相关程序，也有部分企业采用滚动式开展审核。审核实施过程中文件化信息种类的要求有一定差异，但表1 中所列的文件化信息种类基本都具备，且多数规定了规范化的模板。例如：检查表、不符合报告等（模板示例见图1、图2）。







2. 内部控制自我评价

与管理体系内部审核类似，在内部控制自我评价实践中，多数企业参照专业审计机构的实践，建立了内控评价管理的制度，通常以年度为周期策划内控评价方案，利用日常监督、专项监督等方式，完成业务流程的现场测试，收集相关资料信息并进行认定。内控评价实施过程中文件化信息种类的要求有一定差异，但表1 中所列的文件化信息种类基本都具备，且多数规定了规范化的模板。例如：测试底稿、缺陷认定汇总表等（模板示例见图3、图4）。




（二）存在的问题

尽管多数企业管理体系内部审核和内部控制自我评价都形成了较为规范的机制，并能够系统地策划和实施，但各自都存在一定的不足，对管理体系及内部控制的有效性的促进作用有限，主要表现在：

1.多数企业管理体系内审与内部控制评价分别建立制度程序，从主管职责、方案策划、实施主体等均没有统筹考虑，会导致实施过程相互孤立，信息、结果不能共享；

2. 多数企业的内部审核和内控评价采用集中的方式开展，与企业的日常监督脱离，且受参与审核或评价的成员管理层次及专业限制，在证据获取及结果认定方面往往不易发现本质问题，使这种评价的实施效果大打折扣；

3. 部分企业的管理体系内部审核，尽管其系统性好，但严谨程度欠缺，主要表现在不符合项判定准则识别不准确（例如只笼统地与管理体系标准条款对照而忽略适用的制度规范）、管理体系有效性结论与审核发现之间缺少必然联系的分析（例如无论发现的不符合项数量多少，其管理体系有效性结论都是“基本有效”或“有效”）；

4. 部分企业内控评价，尽管其严谨、细化、可操作性高，但系统性欠缺，主要表现在评价报告中仅将缺陷认定列出，而缺少对内部控制设计或运行的总体评价；

5. 由于管理体系内审与内部控制评价的目的、范围、程序等高度的相似性，两者实施过程中必然会出现大量重复、交叉的活动或结果，甚至审核或评价组的成员也常常会是同一组人，这一方面使审核或评价人员产生一定的惰性情绪，另外也会使被审核或评价部门或岗位产生一定的抵触情绪。长此以往，不仅带来了资源的浪费，还会对审核或评价的有效性产生不良影响，甚至影响管理体系及内部控制的有效性。

通过对管理体系内审和内控评价的比较分析，我们发现，两者的原则、特点、基本程序一致，完全具备整合的可行性。通过对企业实践中存在问题的分析，实现两者的整合，既是内部监督和外部监管的需要，也是完善企业管理体系绩效评价和内部控制监督机制的需要，更是提高企业经营管理有效性和效率的需要。将两者进行整合，保留各自的长处，弥补各自的欠缺，可以使评价活动的规范性、有效性进一步提高。




三、管理体系内审与内部控制自我评价整合实践

笔者曾经全程参与某大型国有企业内部控制与管理体系一体化整合项目的实施，其中建立系统的一体化的管理体系内审和内控评价机制就是该项目的重要组成部分。实施的过程和结果也进一步证明，管理体系内审和内控评价整合的可行性，并达到了预期目的，具体实施内容包括：

（一）制度层面的整合

通过组织相关人员深度研讨相关管理体系标准及内部控制规范的要求，加深理解，统一理念，在此基础上对现有的《管理体系内部审核程序》《内部控制评价管理制度》进行评审，整合形成《管理体系内审和内控评价制度》，使其同时符合管理体系标准和内部控制规范的相关要求；将企业专业监督和基层单位的内审纳入审核评价流程中（见图5），使其与企业的经营管理进一步融合。




（二）实施主体的整合

综合考虑管理体系内审和内控评价对人员能力的要求，结合企业业务管理部门人力资源状况，选择培养不同专业、管理层次的人员作为审核员/ 内控评价人员资源库，针对每次审核评价的需求，从资源库中抽取适当的人员组成评价组，确保评价组中中层以上**达到规定的比例，有利于发现问题质量的提升以及对审核发现的系统分析。

（三）工具模板的整合

对管理体系内审和内控评价实施过程中的现有模板工具进行优化整合，形成了包括《管理体系内审和内控评价年度方案》《管理体系内审和内控评价检查计划》《检查测试底稿》《不符合/ 缺陷认定清单》《管理体系内审和内控评价检查报告》和《管理体系内审和内控评价年度报告》等模板。这些模板既可满足集中式总体评价的需要，也能够满足日常或专项监督评价的需要，并能够符合管理体系标准和内部控制规范的相关要求。

（四）实施的效果

企业在管理体系试运行过程中，安排了一次整合性的管理体系内审和内控评价，进一步证明了管理体系内审和内控评价整合的可行性，验证了整合后机制的合理性，在后续的第三方认证审核和上级公司内控管理部门组织的验收评审中得到了确认。




结语

管理体系内部审核与内部控制自我评价具有相同或相似的原则、特征、程序，具有有效整合的可行性。基于对管理体系标准和内部控制规范相关要求的系统理解，从制度、责任主体、工具模板等方面进行有效整合，有助于提高审核和评价的有效性，促进企业管理体系整合并与经营管理**融合，也是优化绩效评价机制的有益尝试。




来源：《中国认证认可》杂志 2022年*3期

文章来源于中国认证认可 ，作者宋国义


山东世通国际认证有限公司专注于体系认证,iso9000质量管理体系,碳足迹,3a认证,iso9001质量体系认证,质量管理体系,iso9001等

• 词条

  词条说明

• 认可中心承担CCAA碳排放标准化专业技术**秘书处职责

  2021年10月，**、**印发了《国家标准化发展纲要》，提出“建立健全碳达峰、碳中和标准”，“大力发展团体标准”。为响应党*、**的号召，科学、高效地推进“双碳”标准化工作，中国认证认可协会决定成立“中国认证认可协会碳排放标准化专业技术**”，主要负责归口管理碳排放专业领域团体标准的立项、起草、审查和复审等技术工作。中国认证认可协会碳排放标准化专业技术**由36名委员组成，其中认证

• 企业如何办理ISO27001信息安全管理体系认证

  信息安全对每个企业或组织来说都是很重要的，所以信息安全管理体系认证具有普遍的适用性，不受地域、产业类别和公司规模限制。从目前的获得认证的企业情况看，较多的是涉及电信、保险、银行、数据处理中心、IC制造和软件外包等行业。 ISO27001信息安全管理体系认证，能有效保证企业在信息安全领域的可靠性，降低企业泄密风险，更好的保存核心数据。 为了提升企业形象，提高企业的竞争力，越来越多的企业申请ISO27

• 山东企业通过ISO三体系认证有什么好处？

  ISO三体系认证是指ISO9001质量管理体系认证、ISO14001环境管理体系认证、ISO45001职业健康安全管理体系认证。企业（组织）自愿申请、通过ISO三体系认证，并贯彻落实，为企业增加一份有价值的荣誉。 ISO9001质量管理体系 我们经常能看到一些产品的广告宣传，写着该公司已经通过ISO9001质量管理体系认证，那么，ISO9001质量管理体系认证到底有什么作用呢？ ISO9001质量

• IS014001环境因素识别过程中常见的问题

  IS014001环境因素识别过程中常见的问题 发布日期：2020-07-01 浏览次数：79 1、识别不充分，仅着眼于生产活动，忽略能资源消耗及产品使用及服务过程等的环境因素 许多公司在识别、评价环境因素时针对水、气声渣(固废)等有污染物排放的环节考虑的比较全面，而在源头避免或减少污染物产生方面比较薄弱，ISO14001标准核心原则就是以污染预防为主，因此在进行环境因素识别与评估时需着眼于产品的整