在我國，按相關管理體系标準系統建立實施管理體系已經有30 餘年的曆程，随着相關标準的不斷改版完善以及組織對管理體系标準理解的不斷加深，體系實施運行的有效性和成熟度也在持續提升。内部審核是過程方法在管理體系建立、實施和保持過程中的重要一環，由最初的機械模仿，到較為系統、成熟的實施模式，成為組織管理體系績效的持續改進的重要途徑。

為了加強對上市企業的監管，全國虛假财務報告委員會下屬的發起人委員會（COSO）于1992 年發布了《内部控制整合框架》，後經增補、完善，配套發布了内部控制框架原則報告。2008 年以來，财政部等五部委陸續發布《企業内部控制基本規範》及其配套指引，為我國企業實施内部控制提供了系統的規範依據。自我評價是企業對内部控制體系建立、實施開展内部監督的重要方式，也是過程方法在企業内部控制體系的具體體現。

盡管管理體系内部審核與内部控制自我評價存在相似或相同的目的、程序乃至結果，但在企業經營管理的實踐中，多數企業還未将兩者進行有效整合，導緻相關工作的重複交叉，從而影響管理體系績效評價的有效性和效率。

系統地理解相關管理體系标準和内部控制規範對兩者的要求本質，并對管理體系内部審核和内部控制自我評價進行有效整合，已經成為國内多數企業管理體系和内部控制有效性持續改進必須面對和解決的問題。筆者曾在國内某大型國有企業參與管理體系與内部控制一體化整合，對管理體系内部審核與内部控制自我評價的整合進行了有益探索，并取得了較好效果。

一、管理體系标準和内控規範概述

（一）管理體系标準關于内部審核的要求

我國多數企業建立、實施了一個或多個管理體系，例如：質量、環境、職業健康安全、能源等管理體系。這些管理體系标準對内部審核的要求目的相似（評價管理體系的符合性和有效性），程序基本相同（一般推薦參照《管理體系審核指南》給出的程序、方法），實施的結果也基本相似（持續改進管理體系的有效性）。以GB/T 19001-2016《質量管理體系 要求》的9.2“内部審核”為例：

明确了内部審核的目的——評價管理體系是否符合相關的要求；管理體系是否得到有效實施和保持；

明确了實施内部審核的程序和基本要求——策劃、制定、實施和保持審核方案，規定審核準則和範圍，客觀公正地實施審核，利用審核結果（報告相關管理者，采取适當的糾正和糾正措施），内部審核相關信息的文件化；給出了内部審核的基本指南——GB/T 19011《管理體系審核指南》。

（二）内部控制規範關于自我評價的要求

我國多數企業采用的内部控制規範為COSO 發布的内部控制整合框架及其原則或國務院五部委發布的《企業内部控制基本規範》及其配套指引，與管理體系内部審核類似，這些規範對内部控制自我評價的要求目的相似，程序基本相同，實施結果也基本相似。以我國《内部控制基本規範》（第四十六條）及其配套指引（評價指引）為例：

明确了内部控制自我評價的目的——評價内部控制設計和運行的有效性（《内部控制基本規範》第四十六條）；

提出了内部控制自我評價方式、範圍、程序和頻率的基本要求——企業應根據經營業務調整、經營環境變化、業務發展狀況、實際風險水平等确定；

給出了内部控制評價的基本指引——《企業内部控制評價指引》。

（三）管理體系内審與内部控制自我評價的相關比較

根據管理體系标準及内部控制規範關于内部審核和内部控制自我評價，結合對《管理體系審核指南》和《企業内部控制評價指引》相關内容的理解，對兩者的相關比較見表1。從表1 的相關對比中可發現，管理體系内部審核與内部控制自我評價的特征、目的、過程、結果等基本相似，特别是方案、實施程序、文件化信息的相關要求基本能夠相互對應匹配。同時鑒于相關管理體系标準及審核指南、内部控制規範及配套指引對内部審核及内控評價并沒有給出相關的文件化信息的模闆要求，給企業提供了充分的自主策劃空間。基于上述對比和分析可見，内部審核和内控評價的整合具有較高的相似度。

二、管理體系内審與内部控制自我評價在企業的實施情況

（一）實施情況

1.管理體系内部審核

在管理體系内部審核實踐中，多數企業參照GB/T19011《管理體系審核指南》，建立了内部審核程序或制度，通常以年度為周期策劃審核方案，采用集中的方式開展審核的相關程序，也有部分企業采用滾動式開展審核。審核實施過程中文件化信息種類的要求有一定差異，但表1 中所列的文件化信息種類基本都具備，且多數規定了規範化的模闆。例如：檢查表、不符合報告等（模闆示例見圖1、圖2）。

2. 内部控制自我評價

與管理體系内部審核類似，在内部控制自我評價實踐中，多數企業參照專業審計機構的實踐，建立了内控評價管理的制度，通常以年度為周期策劃内控評價方案，利用日常監督、專項監督等方式，完成業務流程的現場測試，收集相關資料信息并進行認定。内控評價實施過程中文件化信息種類的要求有一定差異，但表1 中所列的文件化信息種類基本都具備，且多數規定了規範化的模闆。例如：測試底稿、缺陷認定彙總表等（模闆示例見圖3、圖4）。

（二）存在的問題

盡管多數企業管理體系内部審核和内部控制自我評價都形成了較為規範的機制，并能夠系統地策劃和實施，但各自都存在一定的不足，對管理體系及内部控制的有效性的促進作用有限，主要表現在：

1.多數企業管理體系内審與内部控制評價分别建立制度程序，從主管職責、方案策劃、實施主體等均沒有統籌考慮，會導緻實施過程相互孤立，信息、結果不能共享；

2. 多數企業的内部審核和内控評價采用集中的方式開展，與企業的日常監督脫離，且受參與審核或評價的成員管理層次及專業限制，在證據獲取及結果認定方面往往不易發現本質問題，使這種評價的實施效果大打折扣；

3. 部分企業的管理體系内部審核，盡管其系統性好，但嚴謹程度欠缺，主要表現在不符合項判定準則識别不準确（例如隻籠統地與管理體系标準條款對照而忽略适用的制度規範）、管理體系有效性結論與審核發現之間缺少必然聯系的分析（例如無論發現的不符合項數量多少，其管理體系有效性結論都是“基本有效”或“有效”）；

4. 部分企業内控評價，盡管其嚴謹、細化、可操作性高，但系統性欠缺，主要表現在評價報告中僅将缺陷認定列出，而缺少對内部控制設計或運行的總體評價；

5. 由于管理體系内審與内部控制評價的目的、範圍、程序等高度的相似性，兩者實施過程中必然會出現大量重複、交叉的活動或結果，甚至審核或評價組的成員也常常會是同一組人，這一方面使審核或評價人員産生一定的惰性情緒，另外也會使被審核或評價部門或崗位産生一定的抵觸情緒。長此以往，不僅帶來了資源的浪費，還會對審核或評價的有效性産生不良影響，甚至影響管理體系及内部控制的有效性。

通過對管理體系内審和内控評價的比較分析，我們發現，兩者的原則、特點、基本程序一緻，完全具備整合的可行性。通過對企業實踐中存在問題的分析，實現兩者的整合，既是内部監督和外部監管的需要，也是完善企業管理體系績效評價和内部控制監督機制的需要，更是提高企業經營管理有效性和效率的需要。将兩者進行整合，保留各自的長處，彌補各自的欠缺，可以使評價活動的規範性、有效性進一步提高。

三、管理體系内審與内部控制自我評價整合實踐

筆者曾經全程參與某大型國有企業内部控制與管理體系一體化整合項目的實施，其中建立系統的一體化的管理體系内審和内控評價機制就是該項目的重要組成部分。實施的過程和結果也進一步證明，管理體系内審和内控評價整合的可行性，并達到了預期目的，具體實施内容包括：

（一）制度層面的整合

通過組織相關人員深度研讨相關管理體系标準及内部控制規範的要求，加深理解，統一理念，在此基礎上對現有的《管理體系内部審核程序》《内部控制評價管理制度》進行評審，整合形成《管理體系内審和内控評價制度》，使其同時符合管理體系标準和内部控制規範的相關要求；将企業專業監督和基層單位的内審納入審核評價流程中（見圖5），使其與企業的經營管理進一步融合。

（二）實施主體的整合

綜合考慮管理體系内審和内控評價對人員能力的要求，結合企業業務管理部門人力資源狀況，選擇培養不同專業、管理層次的人員作為審核員/ 内控評價人員資源庫，針對每次審核評價的需求，從資源庫中抽取适當的人員組成評價組，确保評價組中中層以上領導達到規定的比例，有利于發現問題質量的提升以及對審核發現的系統分析。

（三）工具模闆的整合

對管理體系内審和内控評價實施過程中的現有模闆工具進行優化整合，形成了包括《管理體系内審和内控評價年度方案》《管理體系内審和内控評價檢查計劃》《檢查測試底稿》《不符合/ 缺陷認定清單》《管理體系内審和内控評價檢查報告》和《管理體系内審和内控評價年度報告》等模闆。這些模闆既可滿足集中式總體評價的需要，也能夠滿足日常或專項監督評價的需要，并能夠符合管理體系标準和内部控制規範的相關要求。

（四）實施的效果

企業在管理體系試運行過程中，安排了一次整合性的管理體系内審和内控評價，進一步證明了管理體系内審和内控評價整合的可行性，驗證了整合後機制的合理性，在後續的第三方認證審核和上級公司内控管理部門組織的驗收評審中得到了确認。

結語

管理體系内部審核與内部控制自我評價具有相同或相似的原則、特征、程序，具有有效整合的可行性。基于對管理體系标準和内部控制規範相關要求的系統理解，從制度、責任主體、工具模闆等方面進行有效整合，有助于提高審核和評價的有效性，促進企業管理體系整合并與經營管理有機融合，也是優化績效評價機制的有益嘗試。

來源：《中國認證認可》雜志 2022年第3期

文章來源于中國認證認可 ，作者宋國義

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!