《企业内部控制基本规范》
国家财政部等联合下发的《企业内部控制基本规范》作为加强企业管理控制、促进健康持续发展的重要举措,将于2009年7月1日率先在上市公司范围内实施;在我们推广企业信息化内控方案的时候,发现不少企业在考虑采用信息技术来完善自己的内部控制体系的过程中面临着一个困惑,“我们已经建立了完备的ISO 9001质量保证体系,也是可以帮助企业防范经营风险,它与企业内控体系是什么关系?”显然,这是一个需要澄清并予以回答的问题。
企业质量保证体系也是可以起到防范经营风险的作用,但是它所关注的是质量领域,是从质量的视角来进行管控,而企业内控体系对于企业经营风险的防范,是从资产安全、信息真实的视角来进行管控,两者之间既有着相同的理念和原则,也有着很大的操作不同之处,笔者对其异同做一简要分析,认为主要体现在如下几个方面:
应用目的方面
内控规范与ISO 标准都是建立外部信任的目的,都有着体系运行需要提供证据证实过程被有效执行的要求,都有着内部审计和外部审计的行为,两者都是企业经营管理体系的重要组成部分。
但是,ISO 标准所实现的是质量相关证实,是从维护客户的利益出发来思考问题,防范质量信息欺诈现象的发生;而企业内控体系所在意的是资金流以及物流直接相关的过程,是从维护股东即投资人的利益出发来实施管控,尤其是财务报告数据的真实性,防范财务信息欺诈的发生。
质量反映着过程与手段,财务反映着结果与目的,质量上出了问题,结果必然会反映到财务上来,从这个意义上讲,内控规范与ISO 要求都是企业需要的,而不可偏废。