L12基于风险管理审计基础上的体系融合(独著).docVIP

PAGE  PAGE 7 基于风险管理审计基础上的 内控体系和QHSE体系融合研究 中国石油审计服务中心 于伯新 【摘要】国内许多企业风险管理审计因受多种因素的限制未能有效开展，其中一个重要影响因素是没有从总体上对内控框架和QHSE框架进行审计评价，尤其是前几年开展的内控体系测试和评价，动用了大量的人力物力，但效果不明显，重大安全环保质量事故仍时有发生，如何依托两个体系开展好风险管理审计，审计人员要创新思维，不能单纯的就审计说审计，要向管理延伸，探索两个体系的融合，以期为风险管理审计奠定基础，本文拟从两个体系融合的必要性和可行性入手， 分析两个体系整合的路径，逐步形成双轮驱动的风险管理审计模式。 【关键词】风险管理审计基础；内控体系和QHSE体系；融合研究 按照国际内部审计框架和中国内部审计准则的要求，企业内部审计的一项重要内容是风险管理审计，但在审计实务中此项工作进展缓慢，主要原因是内控审计评价本身是一个系统工程，一方面内控体系测试和评价投入了大量的人力和物力，但经过前几年多轮内控测试和评价，财务风险已逐步减少和固化，审计成效不明显，另一方面安全环保和质量事故时有发生，同时，随着内外部监管的加强，安全、环境和质量风险日益成为公司内控的重点，依托两个体系开展安全环保质量审计势在必行，但由于内控测试和评价职责分工不明，人员力量有限，许多单位未开展或全面开展此项工作。如何依托两个体系，做好风险管理审计成为一个亟待解决的新课题，而要系统的做好风险管理框架的评价工作，在内控体系和QHSE体系未整合的情况下，审计人员要创造性的工作，研究如何整合两个体系，以减少评价工作量，建立全面评价、重点突出的风险管理审计评价体系。 随着现代企业制度的建立和企业竞争的加剧，许多企业都建立了内控体系制度和QHSE体系制度，目前大部分企业已完成了两个体系的建设，两个体系在规范管理、防范风险，提高产品和服务质量方面都起到了积极的促进作用，但由于两个体系内容存在重复和交集，内外部测试和审核的单位也不相同，造成地区公司???系维护、测试和迎检工作量较大，所属单位和职工感到管理繁杂而无所适从，也不利于风险管理审计的整体评价。 一、内控体系和QHSE体系综述 （一）内控体系概述 自2004年开始为满足美国《萨班斯—奥克斯利法案》的要求，同时也为了提高风险管理水平，许多海外上市公司建立了以COSO控制框架为基础的内部控制体系，达到满足外部审计和对外披露的基本要求，目前已形成了较为成熟的内控体系框架，既满足了海外上市地的要求，也为公司的战略目标提供了有效保证，推动了公司经营管理的程序化和规范化。 内控体系包括控制环境、风险评估、控制活动、信息与沟通及监督五项要素, 阐明内部控制关注点、管理措施、相关制度和文档性记录。每年集团公司、所属单位内控管理部门、审计部门和外部审计都要按规定的程序、方法和标准，对内部控制体系从设计和执行两个方面进行测试和评价。目的是查找内部控制设计和执行方面的问题，为内部控制体系有效性提供合理保证。内部控制测试方法包括询问、观察、检查和再执行等。内部控制测试包括公司层面控制测试、业务活动层面控制测试和信息系统总体控制测试三部分。其中：公司层面测试主要对组织的控制环境进行测试，评价支撑公司运营环境的有效性；业务活动层面的测试主要是对业务流程进行测试，评价公司各业务流程的有效性；信息系统总体控制测试主要是对信息系统的控制环境、权限和电子表格进行测试，评价应用系统控制的有效性。 （二）QHSE体系概述 QHSE体系是指在质量（Quality）、 健康（Health）、安全（Safety）和环境（Environment）方面指挥和控制组织的管理体系。是在ISO 9001标准、ISO14001标准、ISO31000标准、GB/T28000标准和SY/T 6276 《石油天然气工业 健康、安全与环境管理体系》的基础上，根据共性兼容、个性互补的原则整合而成的管理体系。 QHSE体系为实现企业QHSE标准化管理，把质量、健康、安全、环境管理模式系统化地进行整合，打造一套四位一体覆盖全企业的科学、系统、完善的、标准化的信息化系统，业务内容主要包括质量管理、职业健康、安全管理和环境保护。每年集团公司、所属单位质量管理部门和外部三星九千等认证单位都要按规定的程序、方法和标准，对QHSE体系从设计和执行两个方面进行测试。 二、内控体系和QHSE体系融合的必要性和可行性 （一）必要性 一是重复工作量大，内控体系和QHSE体系内容有许多交叉和重复，两个体系文件都要求留下实施痕迹，但由于实施证据不同，造成同一业务事项重复记录。二是迎检工作量大，现在企业面临各类检查，各级管理人员整天忙于迎接各类检查，加之两个管理体系标准的重复认证检查，给企业增加了不少负担，产