企業(yè)內(nèi)控規(guī)范與ISO 9001 標(biāo)準(zhǔn)異同

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

國(guó)家財(cái)政部等聯(lián)合下發(fā)的《企業(yè)內(nèi)部控制基本規(guī)范》作為加強(qiáng)企業(yè)管理控制、促進(jìn)健康持續(xù)發(fā)展的重要舉措，將于2009年7月1日率先在上市公司范圍內(nèi)實(shí)施；在我們推廣企業(yè)信息化內(nèi)控方案的時(shí)候，發(fā)現(xiàn)不少企業(yè)在考慮采用信息技術(shù)來(lái)完善自己的內(nèi)部控制體系的過(guò)程中面臨著一個(gè)困惑，“我們已經(jīng)建立了完備的ISO 9001質(zhì)量保證體系，也是可以幫助企業(yè)防范經(jīng)營(yíng)風(fēng)險(xiǎn)，它與企業(yè)內(nèi)控體系是什么關(guān)系？”顯然，這是一個(gè)需要澄清并予以回答的問(wèn)題。

誠(chéng)然，企業(yè)質(zhì)量保證體系也是可以起到防范經(jīng)營(yíng)風(fēng)險(xiǎn)的作用，但是它所關(guān)注的是質(zhì)量領(lǐng)域，是從質(zhì)量的視角來(lái)進(jìn)行管控，而企業(yè)內(nèi)控體系對(duì)于企業(yè)經(jīng)營(yíng)風(fēng)險(xiǎn)的防范，是從資產(chǎn)安全、信息真實(shí)的視角來(lái)進(jìn)行管控，兩者之間既有著相同的理念和原則，也有著很大的操作不同之處，筆者對(duì)其異同做一簡(jiǎn)要分析，認(rèn)為主要體現(xiàn)在如下幾個(gè)方面：

應(yīng)用目的方面

內(nèi)控規(guī)范與ISO 標(biāo)準(zhǔn)都是建立外部信任的目的，都有著體系運(yùn)行需要提供證據(jù)證實(shí)過(guò)程被有效執(zhí)行的要求，都有著內(nèi)部審計(jì)和外部審計(jì)的行為，兩者都是企業(yè)經(jīng)營(yíng)管理體系的重要組成部分。

但是，ISO 標(biāo)準(zhǔn)所實(shí)現(xiàn)的是質(zhì)量相關(guān)證實(shí)，是從維護(hù)客戶的利益出發(fā)來(lái)思考問(wèn)題，防范質(zhì)量信息欺詐現(xiàn)象的發(fā)生；而企業(yè)內(nèi)控體系所在意的是資金流以及物流直接相關(guān)的過(guò)程，是從維護(hù)股東即投資人的利益出發(fā)來(lái)實(shí)施管控，尤其是財(cái)務(wù)報(bào)告數(shù)據(jù)的真實(shí)性，防范財(cái)務(wù)信息欺詐的發(fā)生。

質(zhì)量反映著過(guò)程與手段，財(cái)務(wù)反映著結(jié)果與目的，質(zhì)量上出了問(wèn)題，結(jié)果必然會(huì)反映到財(cái)務(wù)上來(lái)，從這個(gè)意義上講，內(nèi)控規(guī)范與ISO 要求都是企業(yè)需要的，而不可偏廢。

管控方法的方面

兩者均是采用確定關(guān)鍵控制點(diǎn)的方式來(lái)實(shí)現(xiàn)，都遵循如下原則

識(shí)別管控要點(diǎn)與要求

過(guò)程人員職責(zé)需到位

過(guò)程需要被有效執(zhí)行

過(guò)程需要具備有效性

內(nèi)控規(guī)范明確規(guī)定了需要遵循成本效益原則，而ISO 標(biāo)準(zhǔn)中則沒(méi)有涉及到財(cái)務(wù)方面的規(guī)定和要求。在管控要點(diǎn)上，各自根據(jù)各自的目的也是差異非常大，內(nèi)控規(guī)范所關(guān)注的是資金流直接相關(guān)的資金管理、籌資管理、投資管理、預(yù)算管理、成本費(fèi)用等等；ISO 9000標(biāo)準(zhǔn)的要求則不涉及這些直接財(cái)務(wù)過(guò)程，僅有部分業(yè)務(wù)內(nèi)容與內(nèi)控規(guī)范涉及業(yè)務(wù)的銷售、采購(gòu)、存貨、合同、第三方的資產(chǎn)等過(guò)程要求相重疊，畢竟產(chǎn)品損壞既是資產(chǎn)問(wèn)題，也是質(zhì)量問(wèn)題，但關(guān)注重點(diǎn)也不一樣。

從表面上看，雖然內(nèi)控規(guī)范不涉及產(chǎn)品質(zhì)量過(guò)程以及質(zhì)量控制設(shè)備等，但是，所有的生產(chǎn)活動(dòng)的展開(kāi)都會(huì)跟錢拉上關(guān)系，都會(huì)在經(jīng)營(yíng)活動(dòng)中預(yù)算管理、成本費(fèi)用上得到體現(xiàn)，并進(jìn)而傳遞到資金管理上，從而也是存在著相關(guān)性，并非是完全無(wú)關(guān)。

人力資源的方面

在內(nèi)控規(guī)范和ISO 9001標(biāo)準(zhǔn)中，都涉及到人力資源方面的管理要求，比如管理職責(zé)需要到位、崗位任職資格要求，都提出了全員參與等等，這也充分說(shuō)明人力資源管理對(duì)于企業(yè)經(jīng)營(yíng)風(fēng)險(xiǎn)控制中的作用，事是靠人來(lái)做的，人的風(fēng)險(xiǎn)是最大的風(fēng)險(xiǎn)。

兩者在人力資源管理的要求深度上有著較大的差別；ISO 9001標(biāo)準(zhǔn)中，原則性的提出了能力管理、培訓(xùn)要求、員工激勵(lì)、員工滿意度測(cè)量、離職調(diào)查分析等等，而企業(yè)內(nèi)控規(guī)范所涉及的規(guī)定則是更加具體和全面，在其人力資源政策指引中，全面地提出了各項(xiàng)操作性的具體要求，基本上涉及人力資源管理的各個(gè)方面流程的要求，僅出于防范風(fēng)險(xiǎn)目的的定期輪崗、強(qiáng)制休假、不相容崗位分離、保密控制等均有詳細(xì)規(guī)定，甚至對(duì)于企業(yè)文化建設(shè)都提出具體的要求，尤其是與能力管理無(wú)關(guān)的道德問(wèn)題的重視，這也是與ISO9001標(biāo)準(zhǔn)的最大差別之處。

在ISO 9001標(biāo)準(zhǔn)中，有對(duì)人員培訓(xùn)的記錄要求，而在內(nèi)控規(guī)范中，對(duì)此卻只是做了原則性規(guī)定。

過(guò)程循環(huán)的方面

無(wú)論是企業(yè)內(nèi)控規(guī)范還是ISO 9001標(biāo)準(zhǔn)，都是在強(qiáng)調(diào)事先的計(jì)劃概念，通過(guò)事先的措施來(lái)防范事后的風(fēng)險(xiǎn)的發(fā)生，同時(shí)都是基于動(dòng)態(tài)管理的思維，講求測(cè)量、分析、改進(jìn)，但是兩者在不同領(lǐng)域的關(guān)注程度是不一樣的。

在體系管理上，ISO 9001更加關(guān)注文檔化的體系，體系文件和資料等強(qiáng)調(diào)版本控制的改進(jìn)循環(huán)，以防止錯(cuò)誤引用過(guò)期版本的情況，而內(nèi)控體系要求中則沒(méi)有，可能這是因?yàn)樨?cái)務(wù)控制比較集中，標(biāo)準(zhǔn)的使用出錯(cuò)概率很小的緣故，不像業(yè)務(wù)過(guò)程涉及面太廣，出錯(cuò)風(fēng)險(xiǎn)大，故而需要加大管控成本。

職能管理上，企業(yè)內(nèi)控規(guī)范所確定的風(fēng)險(xiǎn)控制框架本身就是一個(gè)循環(huán)，建立環(huán)境、評(píng)估風(fēng)險(xiǎn)、開(kāi)展控制、信息溝通以及監(jiān)督改進(jìn)這五個(gè)步驟可以說(shuō)是彼此相連接的，比如內(nèi)部監(jiān)督發(fā)現(xiàn)內(nèi)部環(huán)境出現(xiàn)問(wèn)題需要改進(jìn)，那就會(huì)帶來(lái)這實(shí)施內(nèi)控的基礎(chǔ)架構(gòu)上的改變。相比之下，ISO 9001標(biāo)準(zhǔn)對(duì)于過(guò)程循環(huán)的要求深度比企業(yè)內(nèi)控規(guī)范要高，這也是由于其管理范圍的復(fù)雜程度所決定的，無(wú)論是對(duì)于橫向的業(yè)務(wù)過(guò)程，還是縱向的管理過(guò)程。

在過(guò)程循環(huán)中，內(nèi)控管理規(guī)范明確提出了信息技術(shù)應(yīng)用的要求，而在ISO 9001標(biāo)準(zhǔn)中則沒(méi)有這樣的規(guī)定。

對(duì)于既包括著質(zhì)量控制同時(shí)又包含有財(cái)務(wù)內(nèi)控的過(guò)程，比如說(shuō)企業(yè)的采購(gòu)業(yè)務(wù)，內(nèi)控體系則要求具有更多的細(xì)致管控內(nèi)容，比如涉及財(cái)務(wù)方面的事先計(jì)劃層面采購(gòu)計(jì)劃/合同的審批以及事后層面的付款條件審核、復(fù)審、憑證、發(fā)票等等，輔助層面的采購(gòu)不相容崗位規(guī)定、定期崗位輪換等等，都是在質(zhì)量控制過(guò)程不包含的，對(duì)于供應(yīng)商的評(píng)價(jià)選擇、采購(gòu)合同控制、采購(gòu)驗(yàn)收控制則是兩個(gè)體系中都包含有的。

總之，企業(yè)的財(cái)務(wù)內(nèi)控體系與質(zhì)量保證體系都是企業(yè)重要的管理體系組成部分，都會(huì)影響到企業(yè)業(yè)務(wù)開(kāi)展的各個(gè)方面，對(duì)規(guī)范/標(biāo)準(zhǔn)的符合性是底線，從底線上看，兩者是獨(dú)立的視角，而從有效性和運(yùn)行成本上看，兩者具有很大的關(guān)聯(lián)性，可以說(shuō)，彼此既有相關(guān)性，同時(shí)又具有各自的不同點(diǎn)，通常在企業(yè)管理架構(gòu)上，兩個(gè)體系分別歸屬于兩個(gè)不同的角色統(tǒng)管，即CFO與COO，兩個(gè)獨(dú)立的角色分別向上進(jìn)行獨(dú)立管理匯報(bào)。（CIO時(shí)代網(wǎng)）