ISO三标管理体系与风险管理、内部控制管理体系的融合
2021-09-28
在众多企业中,特别是跨国上市的大型央企公司,在日常经营管理过程中,除了企业自身需要一些管理工具协助管理之外,还要满足众多监管部门的监管要求。如能将这些管理工具有机融合,实现统筹兼顾、流程简化,就可以大大提升管理效率,促进企业平稳有序、创新发展。
一.三种管理体系特点
1.三标管理体系特点
三标管理体系简单地说就是基于质量管理体系(QMS)、环境管理体系(EMS)、职业健康安全管理体系(OHSAS)三个管理体系的管理原则、体系结构、总体要求一致并且相融合,因此由三个管理体系整合而成的一个管理体系。企业可根据自身的具体情况,依据3个管理体系的要求,建立适合自己的三标管理体系。但要注意的是,三标管理体系并非3个管理体系的简单叠加,而是一个有机融合体,因为三个体系各自关注的目标不同,要求控制的要素也不尽相同。
作为跨国企业开展国际性业务,都要遵循相关体系标准。企业遵照三标管理体系要求,采用过程方法,运用标准提供的管理思想和管理体系运行的最基本要素通过规范工作流程,对企业围绕提供合格产品、持续改进绩效等各元素进行具体地组织和协调,并通过策划、控制和改进,达到为顾客(社会)负责的目的。
2.内部控制管理体系特点
企业内部控制基本规范是财政部、证监会等五部委依据国家法律法规制定的,并且属于上市企业要强制执行的规范。旨在保证企业管理合法合规、保障资产安全、实现企业财务报告及相关信息真实、完整,提高企业经营效率和效果,最终实现发展战略。
3.全面风险管理体系特点
中央企业全面风险管理指引由国资委制定,是中央企业全面开展风险管理工作的指导文件,旨在通过对未来的不确定性进行识别、评估及应对,降低企业实现目标的风险,实现经营收益最大化。全面风险管理体系要求主要负责人要亲自抓,层层落实,确保企业持续稳定健康发展。
二.三种管理体系的共同点
1.风险管理体系与内部控制管理体系的共同点
风险管理体系和内部控制管理体系从理论角度来看,两者都是为战略目标服务。从实际运作角度来看,两者在日常工作中的融合体现为,用完善的内部控制制度去控制日常工作风险事项的发生,或要求针对重大风险事项制定应对方案,来达到控制成本、实现战略目标的目的。诸多企业包括上市公司都将风险管理和内部控制进行相互融合。而健全内部控制机制是防范企业风险的重要保障,对于提升管理水平同样具有十分重要的作用。
2.三标管理体系与内部控制管理体系的共同点
从实现预期目标角度来看,两者都是通过建立一套内部体系,并加以控制,通过检查并持续改进,规范企业管理,提高管理水平,从而高效地实现企业各项发展目标。
从理论角度和实际操作的过程来看,两者都要求建立一套管理体系,均在既有的管理模式的基础上,对既已存在的体系进行梳理、补充、修订,持续优化其规范性(标准化)、操作性及可评价性,第三方可独立根据要求进行外部评价;两者还要求有专门的归口部门采取定期及不定期的监督检查,这一行为在三标管理体系中称为内审、管理评审,在内部控制管理体系中称为内部控制自我评价;两者都要将检查结果向第三方披露,三标管理体系要将内审、管理评审的报告向外审机构进行披露,内部控制体系是否有效运行要接受会计师事务所的审计,并出具审计报告,并披露给证监会及股东。
3.三标管理体系与风险管理体系的共同点
从理论层面来看,两者“风险”的定义相似。风险管理体系中对风险的定义为,风险是对预期结果不确定性的后果。是指在公司发展过程中,各种不确定性对公司实现其经营目标的影响,包括纯粹风险(只带来损失一种可能性)和机会风险(带来损失和盈利的可能性并存)。
ISO 9001新标准用系统的方法关注风险,增加了“基于风险的思想”,即风险是“不确定性的影响”(注:影响是指偏离预期,可以是正面的或负面的)。“明确提出确定风险和机会应对措施的要求”。“基于风险的思想”和“应对风险的措施”体现了“预防措施”的概念,通过基于风险的方法,积极地寻求改进机会。
两种管理体系都是将风险管理嵌入管理(组织)的过程,确保实现期望的结果。通过对风险的管理得到有效管控,防止非期望结果的出现;通过执行风险管理基本流程,制定并执行的规章制度、程序和措施,确保将风险控制在与总体目标相适应并可承受的范围内,将应对风险的措施融入到管理(组织)过程中并予以实施。
三.三种管理体系融合的可行性
1.内部控制管理体系与全面风险管理体系的融合
内部控制管理体系与全面风险管理体系的融合,从实际运作角度来看,目前诸多企业包括上市公司也都已经实施。其直接目的就是针对公司的业务流程,分析内控现状,找出各业务的风险点、控制点及检查点,建立相关控制制度,通过企业内部监督,对过程中发现的控制缺陷分析性质和原因,提出整改方案并进行及时整改,同时接受外部审核,最终达到确保企业运营的效率和效果、财务报告的可靠性和遵守适用的法律法规,实现对股东负责,这是对上市公司的强制性管理要求。
内控管理体系重在风险点的识别,特别关注决策、投资和运营中的风险控制,通过风险识别确定重点监控点,并通过流程、程序和制度加以管理和控制,达到风险控制的目的。企业管理者都意识到健全内部控制机制、是防范企业风险的重要保障。
2.内部控制管理体系与三标管理体系的融合
内部控制管理体系与三标管理体系的融合,体现在工作的基本程序和方法基本相同,二者都要履行相关的程序。
三标管理体系相关程序包括:组织员工培训、建立适宜的规章制度、制定程序文件(含作业指导书)、过程控制(记录)、内审(持续改进召开评审会)、外审(出具审核结果)。
内部控制管理体系包括:制定评价工作方案、组成评价工作组、组织评价前的工作组的培训、实施现场测试、认定控制缺陷、汇总评价结果、编报评价报告等环节。
不难看出,两种管理体系的工作内容实质相近,只是名称略有区别。
内部控制管理体系与三标管理体系的融合,就覆盖范围而言,内部控制管理体系的覆盖范围略大于三标管理体系:
1.在公司层级方面,三标管理体系一般只覆盖一个独立法人,限于公司本级,内部控制管理体系除公司本级外,还覆盖纳入上市范围的下属子公司或业务部门;
2.在人员方面,三标管理体系覆盖的是经理层至普通员工,内部控制管理体系覆盖的范围是董事会、经理层至普通员工;
3.在产品范围方面,由于内部控制管理体系覆盖公司本级及下属公司及业务部门,其范围是公司各项管理活动中与风险控制相关的一切业务流程的各个环节,略大于三标管理体系只覆盖公司本级的管理活动。
综合以上管理体系的特点进行分析,只要依据有关法律、法规、标准,结合行业和企业特点,建立并实施统筹兼顾的一整套管理体系,就可以避免“多张皮”的重复劳动。
三标管理体系文件中大部分可以作为内部控制管理体系文件的组成部分,建立一套同时满足三者要求的统一的管理制度,对重合的部分,应顺次依照要求较高的条款建立制度,实施管理,并同时满足相关方的要求,这部分的管理制度三方共用,对非重合的部分,应根据各自管理体系的要求单独建立控制制度并实施监督。
一.三种管理体系特点
1.三标管理体系特点
三标管理体系简单地说就是基于质量管理体系(QMS)、环境管理体系(EMS)、职业健康安全管理体系(OHSAS)三个管理体系的管理原则、体系结构、总体要求一致并且相融合,因此由三个管理体系整合而成的一个管理体系。企业可根据自身的具体情况,依据3个管理体系的要求,建立适合自己的三标管理体系。但要注意的是,三标管理体系并非3个管理体系的简单叠加,而是一个有机融合体,因为三个体系各自关注的目标不同,要求控制的要素也不尽相同。
作为跨国企业开展国际性业务,都要遵循相关体系标准。企业遵照三标管理体系要求,采用过程方法,运用标准提供的管理思想和管理体系运行的最基本要素通过规范工作流程,对企业围绕提供合格产品、持续改进绩效等各元素进行具体地组织和协调,并通过策划、控制和改进,达到为顾客(社会)负责的目的。
2.内部控制管理体系特点
企业内部控制基本规范是财政部、证监会等五部委依据国家法律法规制定的,并且属于上市企业要强制执行的规范。旨在保证企业管理合法合规、保障资产安全、实现企业财务报告及相关信息真实、完整,提高企业经营效率和效果,最终实现发展战略。
3.全面风险管理体系特点
中央企业全面风险管理指引由国资委制定,是中央企业全面开展风险管理工作的指导文件,旨在通过对未来的不确定性进行识别、评估及应对,降低企业实现目标的风险,实现经营收益最大化。全面风险管理体系要求主要负责人要亲自抓,层层落实,确保企业持续稳定健康发展。
二.三种管理体系的共同点
1.风险管理体系与内部控制管理体系的共同点
风险管理体系和内部控制管理体系从理论角度来看,两者都是为战略目标服务。从实际运作角度来看,两者在日常工作中的融合体现为,用完善的内部控制制度去控制日常工作风险事项的发生,或要求针对重大风险事项制定应对方案,来达到控制成本、实现战略目标的目的。诸多企业包括上市公司都将风险管理和内部控制进行相互融合。而健全内部控制机制是防范企业风险的重要保障,对于提升管理水平同样具有十分重要的作用。
2.三标管理体系与内部控制管理体系的共同点
从实现预期目标角度来看,两者都是通过建立一套内部体系,并加以控制,通过检查并持续改进,规范企业管理,提高管理水平,从而高效地实现企业各项发展目标。
从理论角度和实际操作的过程来看,两者都要求建立一套管理体系,均在既有的管理模式的基础上,对既已存在的体系进行梳理、补充、修订,持续优化其规范性(标准化)、操作性及可评价性,第三方可独立根据要求进行外部评价;两者还要求有专门的归口部门采取定期及不定期的监督检查,这一行为在三标管理体系中称为内审、管理评审,在内部控制管理体系中称为内部控制自我评价;两者都要将检查结果向第三方披露,三标管理体系要将内审、管理评审的报告向外审机构进行披露,内部控制体系是否有效运行要接受会计师事务所的审计,并出具审计报告,并披露给证监会及股东。
3.三标管理体系与风险管理体系的共同点
从理论层面来看,两者“风险”的定义相似。风险管理体系中对风险的定义为,风险是对预期结果不确定性的后果。是指在公司发展过程中,各种不确定性对公司实现其经营目标的影响,包括纯粹风险(只带来损失一种可能性)和机会风险(带来损失和盈利的可能性并存)。
ISO 9001新标准用系统的方法关注风险,增加了“基于风险的思想”,即风险是“不确定性的影响”(注:影响是指偏离预期,可以是正面的或负面的)。“明确提出确定风险和机会应对措施的要求”。“基于风险的思想”和“应对风险的措施”体现了“预防措施”的概念,通过基于风险的方法,积极地寻求改进机会。
两种管理体系都是将风险管理嵌入管理(组织)的过程,确保实现期望的结果。通过对风险的管理得到有效管控,防止非期望结果的出现;通过执行风险管理基本流程,制定并执行的规章制度、程序和措施,确保将风险控制在与总体目标相适应并可承受的范围内,将应对风险的措施融入到管理(组织)过程中并予以实施。
三.三种管理体系融合的可行性
1.内部控制管理体系与全面风险管理体系的融合
内部控制管理体系与全面风险管理体系的融合,从实际运作角度来看,目前诸多企业包括上市公司也都已经实施。其直接目的就是针对公司的业务流程,分析内控现状,找出各业务的风险点、控制点及检查点,建立相关控制制度,通过企业内部监督,对过程中发现的控制缺陷分析性质和原因,提出整改方案并进行及时整改,同时接受外部审核,最终达到确保企业运营的效率和效果、财务报告的可靠性和遵守适用的法律法规,实现对股东负责,这是对上市公司的强制性管理要求。
内控管理体系重在风险点的识别,特别关注决策、投资和运营中的风险控制,通过风险识别确定重点监控点,并通过流程、程序和制度加以管理和控制,达到风险控制的目的。企业管理者都意识到健全内部控制机制、是防范企业风险的重要保障。
2.内部控制管理体系与三标管理体系的融合
内部控制管理体系与三标管理体系的融合,体现在工作的基本程序和方法基本相同,二者都要履行相关的程序。
三标管理体系相关程序包括:组织员工培训、建立适宜的规章制度、制定程序文件(含作业指导书)、过程控制(记录)、内审(持续改进召开评审会)、外审(出具审核结果)。
内部控制管理体系包括:制定评价工作方案、组成评价工作组、组织评价前的工作组的培训、实施现场测试、认定控制缺陷、汇总评价结果、编报评价报告等环节。
不难看出,两种管理体系的工作内容实质相近,只是名称略有区别。
内部控制管理体系与三标管理体系的融合,就覆盖范围而言,内部控制管理体系的覆盖范围略大于三标管理体系:
1.在公司层级方面,三标管理体系一般只覆盖一个独立法人,限于公司本级,内部控制管理体系除公司本级外,还覆盖纳入上市范围的下属子公司或业务部门;
2.在人员方面,三标管理体系覆盖的是经理层至普通员工,内部控制管理体系覆盖的范围是董事会、经理层至普通员工;
3.在产品范围方面,由于内部控制管理体系覆盖公司本级及下属公司及业务部门,其范围是公司各项管理活动中与风险控制相关的一切业务流程的各个环节,略大于三标管理体系只覆盖公司本级的管理活动。
综合以上管理体系的特点进行分析,只要依据有关法律、法规、标准,结合行业和企业特点,建立并实施统筹兼顾的一整套管理体系,就可以避免“多张皮”的重复劳动。
三标管理体系文件中大部分可以作为内部控制管理体系文件的组成部分,建立一套同时满足三者要求的统一的管理制度,对重合的部分,应顺次依照要求较高的条款建立制度,实施管理,并同时满足相关方的要求,这部分的管理制度三方共用,对非重合的部分,应根据各自管理体系的要求单独建立控制制度并实施监督。
在企业的日常管理中,整合多种管理体系一体化的思路是,以企业为整体,以战略为目标,将组织中所有资源和活动按照过程方法重新整合成一体的一种管理体系模式。在为一体化管理体系建立制度或条款时,采取就高不就低的原则,表面上看过于严格,且需要投入资源较多,但是就企业发展而言,新的高标准结构适用于所有管理体系标准,当企业开始了解并体会到不同的管理体系在同一种结构下的价值时,真正的受益者是企业。
来源:网络