L12基于風(fēng)險(xiǎn)管理審計(jì)基礎(chǔ)上的體系融合(獨(dú)著)

1、基于風(fēng)險(xiǎn)管理審計(jì)基礎(chǔ)上的內(nèi)控體系和QHSE體系融合研究 中國石油審計(jì)服務(wù)中心 于伯新【摘要】國內(nèi)許多企業(yè)風(fēng)險(xiǎn)管理審計(jì)因受多種因素的限制未能有效開展，其中一個(gè)重要影響因素是沒有從總體上對(duì)內(nèi)控框架和QHSE框架進(jìn)行審計(jì)評(píng)價(jià)，尤其是前幾年開展的內(nèi)控體系測(cè)試和評(píng)價(jià)，動(dòng)用了大量的人力物力，但效果不明顯，重大安全環(huán)保質(zhì)量事故仍時(shí)有發(fā)生，如何依托兩個(gè)體系開展好風(fēng)險(xiǎn)管理審計(jì)，審計(jì)人員要?jiǎng)?chuàng)新思維，不能單純的就審計(jì)說審計(jì)，要向管理延伸，探索兩個(gè)體系的融合，以期為風(fēng)險(xiǎn)管理審計(jì)奠定基礎(chǔ)，本文擬從兩個(gè)體系融合的必要性和可行性入手， 分析兩個(gè)體系整合的路徑，逐步形成雙輪驅(qū)動(dòng)的風(fēng)險(xiǎn)管理審計(jì)模式。【關(guān)鍵詞】風(fēng)險(xiǎn)管理審計(jì)基礎(chǔ)；

2、內(nèi)控體系和QHSE體系；融合研究按照國際內(nèi)部審計(jì)框架和中國內(nèi)部審計(jì)準(zhǔn)則的要求，企業(yè)內(nèi)部審計(jì)的一項(xiàng)重要內(nèi)容是風(fēng)險(xiǎn)管理審計(jì)，但在審計(jì)實(shí)務(wù)中此項(xiàng)工作進(jìn)展緩慢，主要原因是內(nèi)控審計(jì)評(píng)價(jià)本身是一個(gè)系統(tǒng)工程，一方面內(nèi)控體系測(cè)試和評(píng)價(jià)投入了大量的人力和物力，但經(jīng)過前幾年多輪內(nèi)控測(cè)試和評(píng)價(jià)，財(cái)務(wù)風(fēng)險(xiǎn)已逐步減少和固化，審計(jì)成效不明顯，另一方面安全環(huán)保和質(zhì)量事故時(shí)有發(fā)生，同時(shí)，隨著內(nèi)外部監(jiān)管的加強(qiáng)，安全、環(huán)境和質(zhì)量風(fēng)險(xiǎn)日益成為公司內(nèi)控的重點(diǎn)，依托兩個(gè)體系開展安全環(huán)保質(zhì)量審計(jì)勢(shì)在必行，但由于內(nèi)控測(cè)試和評(píng)價(jià)職責(zé)分工不明，人員力量有限，許多單位未開展或全面開展此項(xiàng)工作。如何依托兩個(gè)體系，做好風(fēng)險(xiǎn)管理審計(jì)成為一個(gè)亟待解決的

3、新課題，而要系統(tǒng)的做好風(fēng)險(xiǎn)管理框架的評(píng)價(jià)工作，在內(nèi)控體系和QHSE體系未整合的情況下，審計(jì)人員要?jiǎng)?chuàng)造性的工作，研究如何整合兩個(gè)體系，以減少評(píng)價(jià)工作量，建立全面評(píng)價(jià)、重點(diǎn)突出的風(fēng)險(xiǎn)管理審計(jì)評(píng)價(jià)體系。隨著現(xiàn)代企業(yè)制度的建立和企業(yè)競(jìng)爭(zhēng)的加劇，許多企業(yè)都建立了內(nèi)控體系制度和QHSE體系制度，目前大部分企業(yè)已完成了兩個(gè)體系的建設(shè)，兩個(gè)體系在規(guī)范管理、防范風(fēng)險(xiǎn)，提高產(chǎn)品和服務(wù)質(zhì)量方面都起到了積極的促進(jìn)作用，但由于兩個(gè)體系內(nèi)容存在重復(fù)和交集，內(nèi)外部測(cè)試和審核的單位也不相同，造成地區(qū)公司體系維護(hù)、測(cè)試和迎檢工作量較大，所屬單位和職工感到管理繁雜而無所適從，也不利于風(fēng)險(xiǎn)管理審計(jì)的整體評(píng)價(jià)。一、內(nèi)控體系和QHSE

4、體系綜述（一）內(nèi)控體系概述自2004年開始為滿足美國薩班斯奧克斯利法案的要求，同時(shí)也為了提高風(fēng)險(xiǎn)管理水平，許多海外上市公司建立了以COSO控制框架為基礎(chǔ)的內(nèi)部控制體系，達(dá)到滿足外部審計(jì)和對(duì)外披露的基本要求，目前已形成了較為成熟的內(nèi)控體系框架，既滿足了海外上市地的要求，也為公司的戰(zhàn)略目標(biāo)提供了有效保證，推動(dòng)了公司經(jīng)營管理的程序化和規(guī)范化。 內(nèi)控體系包括控制環(huán)境、風(fēng)險(xiǎn)評(píng)估、控制活動(dòng)、信息與溝通及監(jiān)督五項(xiàng)要素, 闡明內(nèi)部控制關(guān)注點(diǎn)、管理措施、相關(guān)制度和文檔性記錄。每年集團(tuán)公司、所屬單位內(nèi)控管理部門、審計(jì)部門和外部審計(jì)都要按規(guī)定的程序、方法和標(biāo)準(zhǔn)，對(duì)內(nèi)部控制體系從設(shè)計(jì)和執(zhí)行兩個(gè)方面進(jìn)行測(cè)試和評(píng)價(jià)。目的

5、是查找內(nèi)部控制設(shè)計(jì)和執(zhí)行方面的問題，為內(nèi)部控制體系有效性提供合理保證。內(nèi)部控制測(cè)試方法包括詢問、觀察、檢查和再執(zhí)行等。內(nèi)部控制測(cè)試包括公司層面控制測(cè)試、業(yè)務(wù)活動(dòng)層面控制測(cè)試和信息系統(tǒng)總體控制測(cè)試三部分。其中：公司層面測(cè)試主要對(duì)組織的控制環(huán)境進(jìn)行測(cè)試，評(píng)價(jià)支撐公司運(yùn)營環(huán)境的有效性；業(yè)務(wù)活動(dòng)層面的測(cè)試主要是對(duì)業(yè)務(wù)流程進(jìn)行測(cè)試，評(píng)價(jià)公司各業(yè)務(wù)流程的有效性；信息系統(tǒng)總體控制測(cè)試主要是對(duì)信息系統(tǒng)的控制環(huán)境、權(quán)限和電子表格進(jìn)行測(cè)試，評(píng)價(jià)應(yīng)用系統(tǒng)控制的有效性。（二）QHSE體系概述QHSE體系是指在質(zhì)量（Quality）、 健康（Health）、安全（Safety）和環(huán)境（Environment）方面指揮和

6、控制組織的管理體系。是在ISO 9001標(biāo)準(zhǔn)、ISO14001標(biāo)準(zhǔn)、ISO31000標(biāo)準(zhǔn)、GB/T28000標(biāo)準(zhǔn)和SY/T 6276 石油天然氣工業(yè) 健康、安全與環(huán)境管理體系的基礎(chǔ)上，根據(jù)共性兼容、個(gè)性互補(bǔ)的原則整合而成的管理體系。QHSE體系為實(shí)現(xiàn)企業(yè)QHSE標(biāo)準(zhǔn)化管理，把質(zhì)量、健康、安全、環(huán)境管理模式系統(tǒng)化地進(jìn)行整合，打造一套四位一體覆蓋全企業(yè)的科學(xué)、系統(tǒng)、完善的、標(biāo)準(zhǔn)化的信息化系統(tǒng)，業(yè)務(wù)內(nèi)容主要包括質(zhì)量管理、職業(yè)健康、安全管理和環(huán)境保護(hù)。每年集團(tuán)公司、所屬單位質(zhì)量管理部門和外部三星九千等認(rèn)證單位都要按規(guī)定的程序、方法和標(biāo)準(zhǔn)，對(duì)QHSE體系從設(shè)計(jì)和執(zhí)行兩個(gè)方面進(jìn)行測(cè)試。二、內(nèi)控體系和QHS

7、E體系融合的必要性和可行性（一）必要性一是重復(fù)工作量大，內(nèi)控體系和QHSE體系內(nèi)容有許多交叉和重復(fù)，兩個(gè)體系文件都要求留下實(shí)施痕跡，但由于實(shí)施證據(jù)不同，造成同一業(yè)務(wù)事項(xiàng)重復(fù)記錄。二是迎檢工作量大，現(xiàn)在企業(yè)面臨各類檢查，各級(jí)管理人員整天忙于迎接各類檢查，加之兩個(gè)管理體系標(biāo)準(zhǔn)的重復(fù)認(rèn)證檢查，給企業(yè)增加了不少負(fù)擔(dān)，產(chǎn)生的副作用甚至?xí)绊懫髽I(yè)經(jīng)營管理的正常進(jìn)行，三是會(huì)引起職責(zé)混亂，造成多頭安排，相互之間出現(xiàn)沖突。因此，如何將各專業(yè)管理整合在一起，建立和實(shí)施整合型管理體系是非常必要的。四是不利于風(fēng)險(xiǎn)管理審計(jì)整體評(píng)價(jià)，內(nèi)控體系側(cè)重于財(cái)務(wù)審計(jì)和評(píng)價(jià)，QHSE體系側(cè)重于質(zhì)量安全和環(huán)保審計(jì)和評(píng)價(jià)，兩個(gè)體系各有側(cè)

8、重，如果將兩個(gè)體系整合到一塊，審計(jì)評(píng)價(jià)將會(huì)更加全面和有重點(diǎn)。（二）可行性雖然內(nèi)控體系和QHSE體系背景、評(píng)審部門和側(cè)重點(diǎn)不同，但都是為了管理標(biāo)準(zhǔn)化和精細(xì)化，都是通過外部對(duì)其的信任，以提高管理水平、防范風(fēng)險(xiǎn)和提高效益為目的。一是兩個(gè)體系都具包容性：內(nèi)控手冊(cè)要求避免與企業(yè)現(xiàn)有的規(guī)章制度沖突，對(duì)脫離實(shí)際的規(guī)章制度及時(shí)進(jìn)行修訂、完善，并納入內(nèi)控手冊(cè)。QHSE手冊(cè)要求對(duì)QHSE以外的體系要素可以加以整合，以建立符合要求的體系。二是兩個(gè)體系都注重過程控制和風(fēng)險(xiǎn)防范，兩個(gè)體系都要求繪制流程圖，都要對(duì)風(fēng)險(xiǎn)進(jìn)行識(shí)別和防范，標(biāo)注風(fēng)險(xiǎn)點(diǎn)和關(guān)鍵控制點(diǎn)，都要求要有制度依托和實(shí)施證據(jù)。三是兩個(gè)體系在要素和目標(biāo)上有很多交集

9、：如兩個(gè)體系都有質(zhì)量管理、健康管理、安全管理和環(huán)境管理方面的內(nèi)容，尤其是新頒布的ISO31000也強(qiáng)調(diào)風(fēng)險(xiǎn)管理，與內(nèi)部控制體系基于風(fēng)險(xiǎn)基礎(chǔ)上的控制一致，質(zhì)量管理體系的8項(xiàng)原則與內(nèi)控體系中公司治理的核心價(jià)值觀也趨同。四是兩個(gè)體系評(píng)審時(shí)間、評(píng)審步驟和方法內(nèi)容基本相同：都要求開展內(nèi)外部審核，作為地區(qū)公司每年都要接受集團(tuán)公司和外部中介機(jī)構(gòu)組織的內(nèi)外部測(cè)試和審核，并針對(duì)內(nèi)部審核發(fā)現(xiàn)的問題，做好評(píng)價(jià)和持續(xù)改進(jìn)工作。都存在一個(gè)計(jì)劃、執(zhí)行、檢查和修正的PDCA循環(huán)。兩個(gè)體系在測(cè)試方法上都要采用訪談、觀察、檢查和再執(zhí)行環(huán)節(jié)。五是兩個(gè)體系修訂、宣貫和上報(bào)要求相同：兩個(gè)體系在體系文件修訂方面都要求根據(jù)環(huán)境和制度建設(shè)

10、情況及時(shí)修訂管理手冊(cè)和程序文件。都要求加強(qiáng)對(duì)體系文件的宣貫，分層次做好制度的宣傳教育和學(xué)習(xí)，兩個(gè)體系都要求全員參與，全過程和全方位控制。兩個(gè)體系在資料上報(bào)方面都要求及時(shí)向上級(jí)管理部門報(bào)送總結(jié)、報(bào)表等。六是兩個(gè)體系的評(píng)價(jià)部門都為審計(jì)部門，按國際內(nèi)審框架和中國內(nèi)部審計(jì)準(zhǔn)則的要求，現(xiàn)代內(nèi)部審計(jì)的三大職責(zé)之一是開展風(fēng)險(xiǎn)管理審計(jì)，其目的是通過審計(jì)評(píng)價(jià)，提出風(fēng)險(xiǎn)管理建議，為公司戰(zhàn)略目標(biāo)和價(jià)值增值服務(wù)，所以按框架和準(zhǔn)則的要求，這兩個(gè)體系都是內(nèi)審的評(píng)價(jià)對(duì)象。三、內(nèi)控體系和QHSE體系融合的路徑一是將QHSE體系融入內(nèi)控體系。由于內(nèi)控體系和QHSE體系側(cè)重點(diǎn)不同、管理要求不同，內(nèi)控體系側(cè)重于財(cái)務(wù)報(bào)告，包含16個(gè)

11、流程， QHSE體系側(cè)重于質(zhì)量、健康、安全和環(huán)保，內(nèi)控體系不僅包括QHSE四個(gè)方面的內(nèi)容，還包括生產(chǎn)、經(jīng)營等其他業(yè)務(wù)流程，而且更加強(qiáng)調(diào)風(fēng)險(xiǎn)控制，QHSE僅涵蓋了質(zhì)量、健康、安全和環(huán)保四方面的內(nèi)容，基于此，在體系整合中，可以將QHSE體系植入相關(guān)內(nèi)控體系流程之中，具體的說就是將QHSE相關(guān)內(nèi)容歸入內(nèi)控體系中的質(zhì)量安全環(huán)保流程之下。內(nèi)控體系的其他內(nèi)容，如公司層面控制、信息系統(tǒng)控制和業(yè)務(wù)活動(dòng)控制的其他流程保持不變; 融合后的體系宣貫、體系自我測(cè)試（內(nèi)部評(píng)審）、體系手冊(cè)維護(hù)和持續(xù)改進(jìn)可以合并在一塊進(jìn)行。即在在現(xiàn)有的管理體制下，保持3個(gè)不變，即上報(bào)路徑不變、體系內(nèi)容不變、外部評(píng)審不變。二是將內(nèi)控體系融入

12、QHSE體系。即是以ISO 9001標(biāo)準(zhǔn)為基礎(chǔ)框架建立融合管理體系，在QHSE體系管理手冊(cè)標(biāo)準(zhǔn)項(xiàng)下融合內(nèi)控手冊(cè)總則，在QHSE體系管理職責(zé)項(xiàng)下融合內(nèi)部環(huán)境項(xiàng)，在企業(yè)風(fēng)險(xiǎn)管理項(xiàng)下融合風(fēng)險(xiǎn)評(píng)估項(xiàng)，在危險(xiǎn)源辨識(shí)與風(fēng)險(xiǎn)評(píng)價(jià)項(xiàng)下融合HSE流程，在基礎(chǔ)設(shè)施項(xiàng)下融合固定資產(chǎn)流程和無形資產(chǎn)流程，在財(cái)務(wù)資源管理項(xiàng)下融合財(cái)務(wù)資產(chǎn)相關(guān)流程，在信息資源項(xiàng)下融合信息系統(tǒng)總體控制和應(yīng)用控制流程，在與產(chǎn)品有關(guān)的要求項(xiàng)下融合存貨管理流程，在新建和改擴(kuò)建項(xiàng)下融合全面預(yù)算管理流程，在采購過程流程下融合物資采購流程，在生產(chǎn)和服務(wù)運(yùn)行管理項(xiàng)下融合生產(chǎn)調(diào)度管理流程，在合同管理及法律風(fēng)險(xiǎn)防范項(xiàng)下融合合同管理流程，在產(chǎn)品的監(jiān)視和測(cè)量項(xiàng)下融

13、合產(chǎn)品質(zhì)量管理流程，在財(cái)務(wù)績效的監(jiān)視和測(cè)量項(xiàng)下融合增加內(nèi)部審計(jì)管理流程和內(nèi)部控制評(píng)價(jià)管理流程。兩種融合路徑，筆者認(rèn)為前者方法更好一些，層次比較清晰，操作相對(duì)簡(jiǎn)單，更能滿足上市公司的要求，但后者也能滿足標(biāo)準(zhǔn)要求。兩種融合路徑的中心思想都是在內(nèi)容上將兩個(gè)體系融合，形成一套體系，以業(yè)務(wù)（重點(diǎn)是質(zhì)量和程序）為核心，以文件為載體，兼顧內(nèi)控和QHSE的要求?？傊F(xiàn)階段開展風(fēng)險(xiǎn)管理審計(jì)可以采取雙輪驅(qū)動(dòng)的模式進(jìn)行，即如果管理層已將兩個(gè)體系進(jìn)行了融合，審計(jì)人員可以在融合框架基礎(chǔ)上，對(duì)一個(gè)單位的內(nèi)部控制和風(fēng)險(xiǎn)管理進(jìn)行總體的綜合評(píng)價(jià)，如果管理層未將兩個(gè)體系融合，審計(jì)人員可以按上述融合思路進(jìn)行模擬搭建，在此基礎(chǔ)下進(jìn)行綜合評(píng)價(jià)，以期對(duì)財(cái)務(wù)風(fēng)險(xiǎn)、安全風(fēng)險(xiǎn)、環(huán)保風(fēng)險(xiǎn)和質(zhì)量風(fēng)險(xiǎn)等做一個(gè)全面而深入的評(píng)價(jià)，協(xié)助管理層實(shí)現(xiàn)戰(zhàn)略目標(biāo)和價(jià)值增值目標(biāo)。參考文獻(xiàn)：1國際內(nèi)部審計(jì)專業(yè)實(shí)務(wù)框架M（國際內(nèi)部審計(jì)師協(xié)會(huì)2011年1月修訂），西苑出版社，20