L12基于風(fēng)險管理審計基礎(chǔ)上的體系融合(獨著)

1、基于風(fēng)險管理審計基礎(chǔ)上的內(nèi)控體系和QHSE體系融合研究 中國石油審計服務(wù)中心 于伯新【摘要】國內(nèi)許多企業(yè)風(fēng)險管理審計因受多種因素的限制未能有效開展，其中一個重要影響因素是沒有從總體上對內(nèi)控框架和QHSE框架進(jìn)行審計評價，尤其是前幾年開展的內(nèi)控體系測試和評價，動用了大量的人力物力，但效果不明顯，重大安全環(huán)保質(zhì)量事故仍時有發(fā)生，如何依托兩個體系開展好風(fēng)險管理審計，審計人員要創(chuàng)新思維，不能單純的就審計說審計，要向管理延伸，探索兩個體系的融合，以期為風(fēng)險管理審計奠定基礎(chǔ)，本文擬從兩個體系融合的必要性和可行性入手， 分析兩個體系整合的路徑，逐步形成雙輪驅(qū)動的風(fēng)險管理審計模式?！娟P(guān)鍵詞】風(fēng)險管理審計基礎(chǔ)；

2、內(nèi)控體系和QHSE體系；融合研究按照國際內(nèi)部審計框架和中國內(nèi)部審計準(zhǔn)則的要求，企業(yè)內(nèi)部審計的一項重要內(nèi)容是風(fēng)險管理審計，但在審計實務(wù)中此項工作進(jìn)展緩慢，主要原因是內(nèi)控審計評價本身是一個系統(tǒng)工程，一方面內(nèi)控體系測試和評價投入了大量的人力和物力，但經(jīng)過前幾年多輪內(nèi)控測試和評價，財務(wù)風(fēng)險已逐步減少和固化，審計成效不明顯，另一方面安全環(huán)保和質(zhì)量事故時有發(fā)生，同時，隨著內(nèi)外部監(jiān)管的加強(qiáng)，安全、環(huán)境和質(zhì)量風(fēng)險日益成為公司內(nèi)控的重點，依托兩個體系開展安全環(huán)保質(zhì)量審計勢在必行，但由于內(nèi)控測試和評價職責(zé)分工不明，人員力量有限，許多單位未開展或全面開展此項工作。如何依托兩個體系，做好風(fēng)險管理審計成為一個亟待解決的

3、新課題，而要系統(tǒng)的做好風(fēng)險管理框架的評價工作，在內(nèi)控體系和QHSE體系未整合的情況下，審計人員要創(chuàng)造性的工作，研究如何整合兩個體系，以減少評價工作量，建立全面評價、重點突出的風(fēng)險管理審計評價體系。隨著現(xiàn)代企業(yè)制度的建立和企業(yè)競爭的加劇，許多企業(yè)都建立了內(nèi)控體系制度和QHSE體系制度，目前大部分企業(yè)已完成了兩個體系的建設(shè)，兩個體系在規(guī)范管理、防范風(fēng)險，提高產(chǎn)品和服務(wù)質(zhì)量方面都起到了積極的促進(jìn)作用，但由于兩個體系內(nèi)容存在重復(fù)和交集，內(nèi)外部測試和審核的單位也不相同，造成地區(qū)公司體系維護(hù)、測試和迎檢工作量較大，所屬單位和職工感到管理繁雜而無所適從，也不利于風(fēng)險管理審計的整體評價。一、內(nèi)控體系和QHSE

4、體系綜述（一）內(nèi)控體系概述自2004年開始為滿足美國薩班斯奧克斯利法案的要求，同時也為了提高風(fēng)險管理水平，許多海外上市公司建立了以COSO控制框架為基礎(chǔ)的內(nèi)部控制體系，達(dá)到滿足外部審計和對外披露的基本要求，目前已形成了較為成熟的內(nèi)控體系框架，既滿足了海外上市地的要求，也為公司的戰(zhàn)略目標(biāo)提供了有效保證，推動了公司經(jīng)營管理的程序化和規(guī)范化。 內(nèi)控體系包括控制環(huán)境、風(fēng)險評估、控制活動、信息與溝通及監(jiān)督五項要素, 闡明內(nèi)部控制關(guān)注點、管理措施、相關(guān)制度和文檔性記錄。每年集團(tuán)公司、所屬單位內(nèi)控管理部門、審計部門和外部審計都要按規(guī)定的程序、方法和標(biāo)準(zhǔn)，對內(nèi)部控制體系從設(shè)計和執(zhí)行兩個方面進(jìn)行測試和評價。目的

5、是查找內(nèi)部控制設(shè)計和執(zhí)行方面的問題，為內(nèi)部控制體系有效性提供合理保證。內(nèi)部控制測試方法包括詢問、觀察、檢查和再執(zhí)行等。內(nèi)部控制測試包括公司層面控制測試、業(yè)務(wù)活動層面控制測試和信息系統(tǒng)總體控制測試三部分。其中：公司層面測試主要對組織的控制環(huán)境進(jìn)行測試，評價支撐公司運營環(huán)境的有效性；業(yè)務(wù)活動層面的測試主要是對業(yè)務(wù)流程進(jìn)行測試，評價公司各業(yè)務(wù)流程的有效性；信息系統(tǒng)總體控制測試主要是對信息系統(tǒng)的控制環(huán)境、權(quán)限和電子表格進(jìn)行測試，評價應(yīng)用系統(tǒng)控制的有效性。（二）QHSE體系概述QHSE體系是指在質(zhì)量（Quality）、 健康（Health）、安全（Safety）和環(huán)境（Environment）方面指揮和

6、控制組織的管理體系。是在ISO 9001標(biāo)準(zhǔn)、ISO14001標(biāo)準(zhǔn)、ISO31000標(biāo)準(zhǔn)、GB/T28000標(biāo)準(zhǔn)和SY/T 6276 石油天然氣工業(yè) 健康、安全與環(huán)境管理體系的基礎(chǔ)上，根據(jù)共性兼容、個性互補(bǔ)的原則整合而成的管理體系。QHSE體系為實現(xiàn)企業(yè)QHSE標(biāo)準(zhǔn)化管理，把質(zhì)量、健康、安全、環(huán)境管理模式系統(tǒng)化地進(jìn)行整合，打造一套四位一體覆蓋全企業(yè)的科學(xué)、系統(tǒng)、完善的、標(biāo)準(zhǔn)化的信息化系統(tǒng)，業(yè)務(wù)內(nèi)容主要包括質(zhì)量管理、職業(yè)健康、安全管理和環(huán)境保護(hù)。每年集團(tuán)公司、所屬單位質(zhì)量管理部門和外部三星九千等認(rèn)證單位都要按規(guī)定的程序、方法和標(biāo)準(zhǔn)，對QHSE體系從設(shè)計和執(zhí)行兩個方面進(jìn)行測試。二、內(nèi)控體系和QHS

7、E體系融合的必要性和可行性（一）必要性一是重復(fù)工作量大，內(nèi)控體系和QHSE體系內(nèi)容有許多交叉和重復(fù)，兩個體系文件都要求留下實施痕跡，但由于實施證據(jù)不同，造成同一業(yè)務(wù)事項重復(fù)記錄。二是迎檢工作量大，現(xiàn)在企業(yè)面臨各類檢查，各級管理人員整天忙于迎接各類檢查，加之兩個管理體系標(biāo)準(zhǔn)的重復(fù)認(rèn)證檢查，給企業(yè)增加了不少負(fù)擔(dān)，產(chǎn)生的副作用甚至?xí)绊懫髽I(yè)經(jīng)營管理的正常進(jìn)行，三是會引起職責(zé)混亂，造成多頭安排，相互之間出現(xiàn)沖突。因此，如何將各專業(yè)管理整合在一起，建立和實施整合型管理體系是非常必要的。四是不利于風(fēng)險管理審計整體評價，內(nèi)控體系側(cè)重于財務(wù)審計和評價，QHSE體系側(cè)重于質(zhì)量安全和環(huán)保審計和評價，兩個體系各有側(cè)

8、重，如果將兩個體系整合到一塊，審計評價將會更加全面和有重點。（二）可行性雖然內(nèi)控體系和QHSE體系背景、評審部門和側(cè)重點不同，但都是為了管理標(biāo)準(zhǔn)化和精細(xì)化，都是通過外部對其的信任，以提高管理水平、防范風(fēng)險和提高效益為目的。一是兩個體系都具包容性：內(nèi)控手冊要求避免與企業(yè)現(xiàn)有的規(guī)章制度沖突，對脫離實際的規(guī)章制度及時進(jìn)行修訂、完善，并納入內(nèi)控手冊。QHSE手冊要求對QHSE以外的體系要素可以加以整合，以建立符合要求的體系。二是兩個體系都注重過程控制和風(fēng)險防范，兩個體系都要求繪制流程圖，都要對風(fēng)險進(jìn)行識別和防范，標(biāo)注風(fēng)險點和關(guān)鍵控制點，都要求要有制度依托和實施證據(jù)。三是兩個體系在要素和目標(biāo)上有很多交集

9、：如兩個體系都有質(zhì)量管理、健康管理、安全管理和環(huán)境管理方面的內(nèi)容，尤其是新頒布的ISO31000也強(qiáng)調(diào)風(fēng)險管理，與內(nèi)部控制體系基于風(fēng)險基礎(chǔ)上的控制一致，質(zhì)量管理體系的8項原則與內(nèi)控體系中公司治理的核心價值觀也趨同。四是兩個體系評審時間、評審步驟和方法內(nèi)容基本相同：都要求開展內(nèi)外部審核，作為地區(qū)公司每年都要接受集團(tuán)公司和外部中介機(jī)構(gòu)組織的內(nèi)外部測試和審核，并針對內(nèi)部審核發(fā)現(xiàn)的問題，做好評價和持續(xù)改進(jìn)工作。都存在一個計劃、執(zhí)行、檢查和修正的PDCA循環(huán)。兩個體系在測試方法上都要采用訪談、觀察、檢查和再執(zhí)行環(huán)節(jié)。五是兩個體系修訂、宣貫和上報要求相同：兩個體系在體系文件修訂方面都要求根據(jù)環(huán)境和制度建設(shè)

10、情況及時修訂管理手冊和程序文件。都要求加強(qiáng)對體系文件的宣貫，分層次做好制度的宣傳教育和學(xué)習(xí)，兩個體系都要求全員參與，全過程和全方位控制。兩個體系在資料上報方面都要求及時向上級管理部門報送總結(jié)、報表等。六是兩個體系的評價部門都為審計部門，按國際內(nèi)審框架和中國內(nèi)部審計準(zhǔn)則的要求，現(xiàn)代內(nèi)部審計的三大職責(zé)之一是開展風(fēng)險管理審計，其目的是通過審計評價，提出風(fēng)險管理建議，為公司戰(zhàn)略目標(biāo)和價值增值服務(wù)，所以按框架和準(zhǔn)則的要求，這兩個體系都是內(nèi)審的評價對象。三、內(nèi)控體系和QHSE體系融合的路徑一是將QHSE體系融入內(nèi)控體系。由于內(nèi)控體系和QHSE體系側(cè)重點不同、管理要求不同，內(nèi)控體系側(cè)重于財務(wù)報告，包含16個

11、流程， QHSE體系側(cè)重于質(zhì)量、健康、安全和環(huán)保，內(nèi)控體系不僅包括QHSE四個方面的內(nèi)容，還包括生產(chǎn)、經(jīng)營等其他業(yè)務(wù)流程，而且更加強(qiáng)調(diào)風(fēng)險控制，QHSE僅涵蓋了質(zhì)量、健康、安全和環(huán)保四方面的內(nèi)容，基于此，在體系整合中，可以將QHSE體系植入相關(guān)內(nèi)控體系流程之中，具體的說就是將QHSE相關(guān)內(nèi)容歸入內(nèi)控體系中的質(zhì)量安全環(huán)保流程之下。內(nèi)控體系的其他內(nèi)容，如公司層面控制、信息系統(tǒng)控制和業(yè)務(wù)活動控制的其他流程保持不變; 融合后的體系宣貫、體系自我測試（內(nèi)部評審）、體系手冊維護(hù)和持續(xù)改進(jìn)可以合并在一塊進(jìn)行。即在在現(xiàn)有的管理體制下，保持3個不變，即上報路徑不變、體系內(nèi)容不變、外部評審不變。二是將內(nèi)控體系融入

12、QHSE體系。即是以ISO 9001標(biāo)準(zhǔn)為基礎(chǔ)框架建立融合管理體系，在QHSE體系管理手冊標(biāo)準(zhǔn)項下融合內(nèi)控手冊總則，在QHSE體系管理職責(zé)項下融合內(nèi)部環(huán)境項，在企業(yè)風(fēng)險管理項下融合風(fēng)險評估項，在危險源辨識與風(fēng)險評價項下融合HSE流程，在基礎(chǔ)設(shè)施項下融合固定資產(chǎn)流程和無形資產(chǎn)流程，在財務(wù)資源管理項下融合財務(wù)資產(chǎn)相關(guān)流程，在信息資源項下融合信息系統(tǒng)總體控制和應(yīng)用控制流程，在與產(chǎn)品有關(guān)的要求項下融合存貨管理流程，在新建和改擴(kuò)建項下融合全面預(yù)算管理流程，在采購過程流程下融合物資采購流程，在生產(chǎn)和服務(wù)運行管理項下融合生產(chǎn)調(diào)度管理流程，在合同管理及法律風(fēng)險防范項下融合合同管理流程，在產(chǎn)品的監(jiān)視和測量項下融

13、合產(chǎn)品質(zhì)量管理流程，在財務(wù)績效的監(jiān)視和測量項下融合增加內(nèi)部審計管理流程和內(nèi)部控制評價管理流程。兩種融合路徑，筆者認(rèn)為前者方法更好一些，層次比較清晰，操作相對簡單，更能滿足上市公司的要求，但后者也能滿足標(biāo)準(zhǔn)要求。兩種融合路徑的中心思想都是在內(nèi)容上將兩個體系融合，形成一套體系，以業(yè)務(wù)（重點是質(zhì)量和程序）為核心，以文件為載體，兼顧內(nèi)控和QHSE的要求。總之，現(xiàn)階段開展風(fēng)險管理審計可以采取雙輪驅(qū)動的模式進(jìn)行，即如果管理層已將兩個體系進(jìn)行了融合，審計人員可以在融合框架基礎(chǔ)上，對一個單位的內(nèi)部控制和風(fēng)險管理進(jìn)行總體的綜合評價，如果管理層未將兩個體系融合，審計人員可以按上述融合思路進(jìn)行模擬搭建，在此基礎(chǔ)下進(jìn)行綜合評價，以期對財務(wù)風(fēng)險、安全風(fēng)險、環(huán)保風(fēng)險和質(zhì)量風(fēng)險等做一個全面而深入的評價，協(xié)助管理層實現(xiàn)戰(zhàn)略目標(biāo)和價值增值目標(biāo)。參考文獻(xiàn)：1國際內(nèi)部審計專業(yè)實務(wù)框架M（國際內(nèi)部審計師協(xié)會2011年1月修訂），西苑出版社，20