L12基于风险管理审计基础上的体系融合(独著)

1、基于风险管理审计基础上的内控体系和QHSE体系融合研究 中国石油审计服务中心 于伯新【摘要】国内许多企业风险管理审计因受多种因素的限制未能有效开展，其中一个重要影响因素是没有从总体上对内控框架和QHSE框架进行审计评价，尤其是前几年开展的内控体系测试和评价，动用了大量的人力物力，但效果不明显，重大安全环保质量事故仍时有发生，如何依托两个体系开展好风险管理审计，审计人员要创新思维，不能单纯的就审计说审计，要向管理延伸，探索两个体系的融合，以期为风险管理审计奠定基础，本文拟从两个体系融合的必要性和可行性入手， 分析两个体系整合的路径，逐步形成双轮驱动的风险管理审计模式。【关键词】风险管理审计基础；

2、内控体系和QHSE体系；融合研究按照国际内部审计框架和中国内部审计准则的要求，企业内部审计的一项重要内容是风险管理审计，但在审计实务中此项工作进展缓慢，主要原因是内控审计评价本身是一个系统工程，一方面内控体系测试和评价投入了大量的人力和物力，但经过前几年多轮内控测试和评价，财务风险已逐步减少和固化，审计成效不明显，另一方面安全环保和质量事故时有发生，同时，随着内外部监管的加强，安全、环境和质量风险日益成为公司内控的重点，依托两个体系开展安全环保质量审计势在必行，但由于内控测试和评价职责分工不明，人员力量有限，许多单位未开展或全面开展此项工作。如何依托两个体系，做好风险管理审计成为一个亟待解决的

3、新课题，而要系统的做好风险管理框架的评价工作，在内控体系和QHSE体系未整合的情况下，审计人员要创造性的工作，研究如何整合两个体系，以减少评价工作量，建立全面评价、重点突出的风险管理审计评价体系。随着现代企业制度的建立和企业竞争的加剧，许多企业都建立了内控体系制度和QHSE体系制度，目前大部分企业已完成了两个体系的建设，两个体系在规范管理、防范风险，提高产品和服务质量方面都起到了积极的促进作用，但由于两个体系内容存在重复和交集，内外部测试和审核的单位也不相同，造成地区公司体系维护、测试和迎检工作量较大，所属单位和职工感到管理繁杂而无所适从，也不利于风险管理审计的整体评价。一、内控体系和QHSE

4、体系综述（一）内控体系概述自2004年开始为满足美国萨班斯奥克斯利法案的要求，同时也为了提高风险管理水平，许多海外上市公司建立了以COSO控制框架为基础的内部控制体系，达到满足外部审计和对外披露的基本要求，目前已形成了较为成熟的内控体系框架，既满足了海外上市地的要求，也为公司的战略目标提供了有效保证，推动了公司经营管理的程序化和规范化。 内控体系包括控制环境、风险评估、控制活动、信息与沟通及监督五项要素, 阐明内部控制关注点、管理措施、相关制度和文档性记录。每年集团公司、所属单位内控管理部门、审计部门和外部审计都要按规定的程序、方法和标准，对内部控制体系从设计和执行两个方面进行测试和评价。目的

5、是查找内部控制设计和执行方面的问题，为内部控制体系有效性提供合理保证。内部控制测试方法包括询问、观察、检查和再执行等。内部控制测试包括公司层面控制测试、业务活动层面控制测试和信息系统总体控制测试三部分。其中：公司层面测试主要对组织的控制环境进行测试，评价支撑公司运营环境的有效性；业务活动层面的测试主要是对业务流程进行测试，评价公司各业务流程的有效性；信息系统总体控制测试主要是对信息系统的控制环境、权限和电子表格进行测试，评价应用系统控制的有效性。（二）QHSE体系概述QHSE体系是指在质量（Quality）、 健康（Health）、安全（Safety）和环境（Environment）方面指挥和

6、控制组织的管理体系。是在ISO 9001标准、ISO14001标准、ISO31000标准、GB/T28000标准和SY/T 6276 石油天然气工业 健康、安全与环境管理体系的基础上，根据共性兼容、个性互补的原则整合而成的管理体系。QHSE体系为实现企业QHSE标准化管理，把质量、健康、安全、环境管理模式系统化地进行整合，打造一套四位一体覆盖全企业的科学、系统、完善的、标准化的信息化系统，业务内容主要包括质量管理、职业健康、安全管理和环境保护。每年集团公司、所属单位质量管理部门和外部三星九千等认证单位都要按规定的程序、方法和标准，对QHSE体系从设计和执行两个方面进行测试。二、内控体系和QHS

7、E体系融合的必要性和可行性（一）必要性一是重复工作量大，内控体系和QHSE体系内容有许多交叉和重复，两个体系文件都要求留下实施痕迹，但由于实施证据不同，造成同一业务事项重复记录。二是迎检工作量大，现在企业面临各类检查，各级管理人员整天忙于迎接各类检查，加之两个管理体系标准的重复认证检查，给企业增加了不少负担，产生的副作用甚至会影响企业经营管理的正常进行，三是会引起职责混乱，造成多头安排，相互之间出现冲突。因此，如何将各专业管理整合在一起，建立和实施整合型管理体系是非常必要的。四是不利于风险管理审计整体评价，内控体系侧重于财务审计和评价，QHSE体系侧重于质量安全和环保审计和评价，两个体系各有侧

8、重，如果将两个体系整合到一块，审计评价将会更加全面和有重点。（二）可行性虽然内控体系和QHSE体系背景、评审部门和侧重点不同，但都是为了管理标准化和精细化，都是通过外部对其的信任，以提高管理水平、防范风险和提高效益为目的。一是两个体系都具包容性：内控手册要求避免与企业现有的规章制度冲突，对脱离实际的规章制度及时进行修订、完善，并纳入内控手册。QHSE手册要求对QHSE以外的体系要素可以加以整合，以建立符合要求的体系。二是两个体系都注重过程控制和风险防范，两个体系都要求绘制流程图，都要对风险进行识别和防范，标注风险点和关键控制点，都要求要有制度依托和实施证据。三是两个体系在要素和目标上有很多交集

9、：如两个体系都有质量管理、健康管理、安全管理和环境管理方面的内容，尤其是新颁布的ISO31000也强调风险管理，与内部控制体系基于风险基础上的控制一致，质量管理体系的8项原则与内控体系中公司治理的核心价值观也趋同。四是两个体系评审时间、评审步骤和方法内容基本相同：都要求开展内外部审核，作为地区公司每年都要接受集团公司和外部中介机构组织的内外部测试和审核，并针对内部审核发现的问题，做好评价和持续改进工作。都存在一个计划、执行、检查和修正的PDCA循环。两个体系在测试方法上都要采用访谈、观察、检查和再执行环节。五是两个体系修订、宣贯和上报要求相同：两个体系在体系文件修订方面都要求根据环境和制度建设

10、情况及时修订管理手册和程序文件。都要求加强对体系文件的宣贯，分层次做好制度的宣传教育和学习，两个体系都要求全员参与，全过程和全方位控制。两个体系在资料上报方面都要求及时向上级管理部门报送总结、报表等。六是两个体系的评价部门都为审计部门，按国际内审框架和中国内部审计准则的要求，现代内部审计的三大职责之一是开展风险管理审计，其目的是通过审计评价，提出风险管理建议，为公司战略目标和价值增值服务，所以按框架和准则的要求，这两个体系都是内审的评价对象。三、内控体系和QHSE体系融合的路径一是将QHSE体系融入内控体系。由于内控体系和QHSE体系侧重点不同、管理要求不同，内控体系侧重于财务报告，包含16个

11、流程， QHSE体系侧重于质量、健康、安全和环保，内控体系不仅包括QHSE四个方面的内容，还包括生产、经营等其他业务流程，而且更加强调风险控制，QHSE仅涵盖了质量、健康、安全和环保四方面的内容，基于此，在体系整合中，可以将QHSE体系植入相关内控体系流程之中，具体的说就是将QHSE相关内容归入内控体系中的质量安全环保流程之下。内控体系的其他内容，如公司层面控制、信息系统控制和业务活动控制的其他流程保持不变; 融合后的体系宣贯、体系自我测试（内部评审）、体系手册维护和持续改进可以合并在一块进行。即在在现有的管理体制下，保持3个不变，即上报路径不变、体系内容不变、外部评审不变。二是将内控体系融入

12、QHSE体系。即是以ISO 9001标准为基础框架建立融合管理体系，在QHSE体系管理手册标准项下融合内控手册总则，在QHSE体系管理职责项下融合内部环境项，在企业风险管理项下融合风险评估项，在危险源辨识与风险评价项下融合HSE流程，在基础设施项下融合固定资产流程和无形资产流程，在财务资源管理项下融合财务资产相关流程，在信息资源项下融合信息系统总体控制和应用控制流程，在与产品有关的要求项下融合存货管理流程，在新建和改扩建项下融合全面预算管理流程，在采购过程流程下融合物资采购流程，在生产和服务运行管理项下融合生产调度管理流程，在合同管理及法律风险防范项下融合合同管理流程，在产品的监视和测量项下融

13、合产品质量管理流程，在财务绩效的监视和测量项下融合增加内部审计管理流程和内部控制评价管理流程。两种融合路径，笔者认为前者方法更好一些，层次比较清晰，操作相对简单，更能满足上市公司的要求，但后者也能满足标准要求。两种融合路径的中心思想都是在内容上将两个体系融合，形成一套体系，以业务（重点是质量和程序）为核心，以文件为载体，兼顾内控和QHSE的要求。总之，现阶段开展风险管理审计可以采取双轮驱动的模式进行，即如果管理层已将两个体系进行了融合，审计人员可以在融合框架基础上，对一个单位的内部控制和风险管理进行总体的综合评价，如果管理层未将两个体系融合，审计人员可以按上述融合思路进行模拟搭建，在此基础下进行综合评价，以期对财务风险、安全风险、环保风险和质量风险等做一个全面而深入的评价，协助管理层实现战略目标和价值增值目标。参考文献：1国际内部审计专业实务框架M（国际内部审计师协会2011年1月修订），西苑出版社，20