企业内控与企业已经通过了iso9000认证的不同职责:
应用目的方面
内控规范与ISO 标准都是建立外部信任的目的,都有着体系运行需要提供证据证实过程被有效执行的要求,都有着内部审计和外部审计的行为,两者都是企业经营管理体系的重要组成部分。
但是,ISO 标准所实现的是质量相关证实,是从维护客户的利益出发来思考问题,防范质量信息欺诈现象的发生;而企业内控体系所在意的是资金流以及物流直接相关的过程,是从维护股东即投资人的利益出发来实施管控,尤其是财务报告数据的真实性,防范财务信息欺诈的发生。
质量反映着过程与手段,财务反映着结果与目的,质量上出了问题,结果必然会反映到财务上来,从这个意义上讲,内控规范与ISO 9001要求都是企业需要的,而不可偏废。
管控方法的方面
两者均是采用确定关键控制点的方式来实现,都遵循如下原则
识别管控要点与要求
过程人员职责需到位
过程需要被有效执行
过程需要具备有效性
内控规范明确规定了需要遵循成本效益原则,而ISO 标准中则没有涉及到财务方面的规定和要求。在管控要点上,各自根据各自的目的也是差异非常大,内控规范所关注的是资金流直接相关的资金管理、筹资管理、投资管理、预算管理、成本费用等等;ISO 9000标准的要求则不涉及这些直接财务过程,仅有部分业务内容与内控规范涉及业务的销售、采购、存货、合同、第三方的资产等过程要求相重叠,毕竟产品损坏既是资产问题,也是质量问题,但关注重点也不一样。
从表面上看,虽然内控规范不涉及产品质量过程以及质量控制设备等,但是,所有的生产活动的展开都会跟钱拉上关系,都会在经营活动中预算管理、成本费用上得到体现,并进而传递到资金管理上,从而也是存在着相关性,并非是完全无关。
人力资源的方面
在内控规范和ISO 9001标准中,都涉及到人力资源方面的管理要求,比如管理职责需要到位、岗位任职资格要求,都提出了全员参与等等,这也充分说明人力资源管理对于企业经营风险控制中的作用,事是靠人来做的,人的风险是最大的风险。
两者在人力资源管理的要求深度上有着较大的差别;ISO 9001标准中,原则性的提出了能力管理、培训要求、员工激励、员工满意度测量、离职调查分析等等,而企业内控规范所涉及的规定则是更加具体和全面,在其人力资源政策指引中,全面地提出了各项操作性的具体要求,基本上涉及人力资源管理的各个方面流程的要求,仅出于防范风险目的的定期轮岗、强制休假、不相容岗位分离、保密控制等均有详细规定,甚至对于企业文化建设都提出具体的要求,尤其是与能力管理无关的道德问题的重视,这也是与ISO9001标准的最大差别之处。
在ISO 9001标准中,有对人员培训的记录要求,而在内控规范中,对此却只是做了原则性规定。
过程循环的方面
无论是企业内控规范还是ISO 9001标准,都是在强调事先的计划概念,通过事先的措施来防范事后的风险的发生,同时都是基于动态管理的思维,讲求测量、分析、改进,但是两者在不同领域的关注程度是不一样的。
在体系管理上,ISO 9001更加关注文档化的体系,体系文件和资料等强调版本控制的改进循环,以防止错误引用过期版本的情况,而内控体系要求中则没有,可能这是因为财务控制比较集中,标准的使用出错概率很小的缘故,不像业务过程涉及面太广,出错风险大,故而需要加大管控成本。
职能管理上,企业内控规范所确定的风险控制框架本身就是一个循环,建立环境、评估风险、开展控制、信息沟通以及监督改进这五个步骤可以说是彼此相连接的,比如内部监督发现内部环境出现问题需要改进,那就会带来这实施内控的基础架构上的改变。相比之下,ISO 9001标准对于过程循环的要求深度比企业内控规范要高,这也是由于其管理范围的复杂程度所决定的,无论是对于横向的业务过程,还是纵向的管理过程。
在过程循环中,内控管理规范明确提出了信息技术应用的要求,而在ISO 9001标准中则没有这样的规定。
对于既包括着质量控制同时又包含有财务内控的过程,比如说企业的采购业务,内控体系则要求具有更多的细致管控内容,比如涉及财务方面的事先计划层面采购计划/合同的审批以及事后层面的付款条件审核、复审、凭证、发票等等,辅助层面的采购不相容岗位规定、定期岗位轮换等等,都是在质量控制过程不包含的,对于供应商的评价选择、采购合同控制、采购验收控制则是两个体系中都包含有的。
已经通过了iso9000认证也要与内控结合才可以使组织管理更有效化。