浅谈内部控制制度与一体化管理体系的关系
目前许多企业都会表明企业已通过ISO9001、ISO14001、OHS18001的认证,而中国对于上市公司也于2009年7月1日起强制施行《企业内部控制基本规范》,那么关于这两者之间是怎样的关系,他们的联系在那里,本文将对此进行简单的叙述。
一、基础和背景介绍
(一)目前国际最新的版本或标准
目前国际上对内部控制最权威的定义标准应该推美国的反虚假财务报告委员会下属的发起人委员会(The Committee of Sponsoring Organizations of The National Commission of Fraudulent Financial Reporting)(简称COSO委员会)于1992年9月发布,1994年进行了增补的《内部控制一整体框架》。
一体化管理体系目前最新版本包括ISO9001:2008《质量管理体系 要求》、ISO14001:2004《环境管理体系 规范及使用指南》和OHSAS18001:2007《职业健康安全管理体系 要求》。
(二)发布机构不同
1、国际上发布机构
《内部控制一整体框架》是由美国注册会计师协会(AICPA)、美国会计协会(AAA)、财务经理人协会(FEI)、内部审计师协会(IIA)、管理会计师协会(IMA)联合创建的反虚假财务报告委员会下属的COSO委员会发布。
一体化体系中的三个体系基本都是出自于国际标准化组织。
2、中国发布或制定机构
目前中国对内部控制标准进行正式定义的机构有财政部、证监会、审计署、银监会、保监会 。
而一体化体系是由中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会发布。
(三)制度、体系制定背景或目的不同
1、内部控制制度
COSO报告是在美国金融风险加剧,财务欺诈抬头,社会各界对内部控制和独立审计师寄予厚望的“危难”时刻,由五个职业会计团体联合并潜心研究近4年左右的时间才诞生的。
内部控制基本目标是帮助企业奔向经营目标、完成使命和减少经营过程中的风险。
COSO同时把内部控制细分为经营效率与效果、财务报告可靠和遵纪守法三类具体目标。
而一体化体系三个体系各有不同的具体目的。一体化体系中质量管理体系最先出现,它的主要目的是为了证实组织具有提供满足顾客要求和适用法规要求的产品的能力,目的在于增进顾客满意。
然后随着全球化贸易的开展,企业能否在全球经贸活动中生存、竞争、发展,质量(Q)、环境(E)及职业安全健康(OSH)问题已成为不可回避的全球化的问题,如何在保证产品质量的同时对全球的环境以及职工职业健康安全提出了要求。
所以制定ISO14000环境管理系列标准的目的是规范全球企业及各种组织的活动、产品和服务的环境行为,节省资源、减少环境污染,改善环境质量,保证经济可持续发展。
而OHSMS18000(SMS)职业健康标准 是企业为了提高社会形象和控制职业伤害给企业带来的损失所制定的。
二、内部控制与一体化内容
(一)内部控制
1、五个要素
内部控制包括5个要素,分别为控制环境、风险评估、控制活动、信息的沟通与交流、内部的监控。
按照COSO的定义控制环境是指企业(按西方说法为组织)在思想意识形态方面的要求,如员工的伦理道德、管理层的管理哲学和风格等,它是其他四个要素的基础。
风险评估则是企业对所处的内外部环境的评价,任何一个企业都不是一个独立体,都存在于一定的法律、环境、行业、政策等的监管或约束,在此过程有各种不同的风险,所以企业需要先对风险进行、识别和评估。
控制活动则是在对风险识别、评估其危害性、重要性的基础对风险所进行的管理和控制,安排企业资源对风险进行控制。
控制活动必然会形成一定的报告,也可以说形成了一定的信息,包括内外部的信息,可以是书面的也可以是口头的,因此对信息的判断和利用就需要进行一定的沟通和交流。
任何制度都没有最完善的,都需要随着情况的变化而变化,所以内部的监控就是对内部控制实施情况进行监督检查,评价内部控制的有效性,以便发现内部控制缺陷,及时加以改进。
2、应当遵循的五项原则
企业建立与实施内部控制,应当遵循下列原则: 全面性原则、成本效益原则、制衡性原则、适应性原则、重要性原则。
(二)一体化体系
1、实施一体化所需的流程图(PDCA)
一体化管理所需的流程可以概括为PDCA,是指计划(plan)、实施(do)、检查(check)、和处理(action)四个阶段。
计划(plan)阶段的作用类似于内部控制的风险评估要素,实施(do)阶段就如内部控制的控制活动要素,检查(check)和处理(action)阶段则相当于内部控制的信息的沟通与交流、内部的监控要素。
2、一体化的资源管理
一体化的资源管理包括:资源提供、人力资源、基础设施、工作环境、信息、与供方(包括合作伙伴)的关系、支持性文件。
资源管理所包括的内容与内部控制的控制环境要素来对比,感觉资源管理更偏向于微观和企业某一层面来进行规范,而控制环境则是从明确治理结构和人文方面进行要求。
三、制度、体系完善程度和认证、鉴证情况和证明效果
目前内部控制还没有形成完善的体系,国内也没有官方正式公布完整的内部控制制度,对内部控制的要求散落在诸如《内部审计具体准则第 5 号——内部控制审计》《企业内部控制基本规范》等。
对于企业内部控制的实际执行情况也没有强制性或自愿性认证的指引,只是对上市公司有一个2009年7月1日开始实施的《企业内部控制鉴证指引(征求意见稿)》要求由会计师事务所对上市公司内部控制情况进行鉴证。
而一体化相比之下要完善得多,先后已经有不同的版本,同时也有官方正式制定的适合中国企业的版本,也在法律层面针对某些企业有强制性的认证要求或自愿性认证的指引。承担认证的机构要求相比内部控制只能由有资格的会计师事务所的要求要宽松。
企业对于两者的认识以及自愿认证和鉴证的要求是不同,一般企业都会自愿进行一体化认证,且认证后一般会颁发认证合格证书来证明企业在产品质量保证、环境和职业健康安全已具有的一定的国际水平。而内部鉴证一般只有会计师事务所出具的内部控制鉴证的报告,而不会颁发证书证明企业在内部控制方面达到怎样的水平。
四、内部控制的局限性
一体化经过多年的修改,现在已经有比较先进和完善的版本,而内部控制却存在不少的局限性。
首先:评价内部控制有效性标准过于主观。根据COSO报告,内部控制有效性有赖于对内部控制三类目标或五个控制要素的实现程度。但评价标准基本上都是主观判断。其实,一个企业内部控制是否有效完全可以通过它客观的市场业绩体现出来,例如企业市场价值,客户满意度,持续获利能力增长情况等。
其次:.内部控制系统中会计与审计的色彩太重,考虑企业现存的和微观的或规避风险的事情多,与业务平台和业务拓展关系不大,防范风险也是被动的,缺乏能动性。所以,至今还有许多公司认为内部控制只是财务主管和财会人员的事情。
五、小结
综上所述,笔者认为:虽然内部控制存在很多不完善的方面,但从其目的来说,内部控制与一体化体系是全面与局部的关系,一体化体系是实现内部控制三个具体目标中(经营效率与效果、财务报告可靠和遵纪守法)中的经营效率与效果目标的很好的实施工具。