小中大 人力资源的方面
在内控规范和ISO 9001标准中,都涉及到人力资源方面的管理要求,比如管理职责需要到位、岗位任职资格要求,都提出了全员参与等等,这也充分说明人力资源管理对于企业经营风险控制中的作用,事是靠人来做的,人的风险是最大的风险。
两者在人力资源管理的要求深度上有着较大的差别;ISO 9001标准中,原则性的提出了能力管理、培训要求、员工激励、员工满意度测量、离职调查分析等等,而企业内控规范所涉及的规定则是更加具体和全面,在其人力资源政策指引中,全面地提出了各项操作性的具体要求,基本上涉及人力资源管理的各个方面流程的要求,仅出于防范风险目的的定期轮岗、强制休假、不相容岗位分离、保密控制等均有详细规定,甚至对于企业文化建设都提出具体的要求,尤其是与能力管理无关的道德问题的重视,这也是与ISO9001标准的最大差别之处。
在ISO 9001标准中,有对人员培训的记录要求,而在内控规范中,对此却只是做了原则性规定。
过程循环的方面
无论是企业内控规范还是ISO 9001标准,都是在强调事先的计划概念,通过事先的措施来防范事后的风险的发生,同时都是基于动态管理的思维,讲求测量、分析、改进,但是两者在不同领域的关注程度是不一样的。
在体系管理上,ISO 9001更加关注文档化的体系,体系文件和资料等强调版本控制的改进循环,以防止错误引用过期版本的情况,而内控体系要求中则没有,可能这是因为财务控制比较集中,标准的使用出错概率很小的缘故,不像业务过程涉及面太广,出错风险大,故而需要加大管控成本。
职能管理上,企业内控规范所确定的风险控制框架本身就是一个循环,建立环境、评估风险、开展控制、信息沟通以及监督改进这五个步骤可以说是彼此相连接的,比如内部监督发现内部环境出现问题需要改进,那就会带来这实施内控的基础架构上的改变。相比之下,ISO 9001标准对于过程循环的要求深度比企业内控规范要高,这也是由于其管理范围的复杂程度所决定的,无论是对于横向的业务过程,还是纵向的管理过程。
在过程循环中,内控管理规范明确提出了信息技术应用的要求,而在ISO 9001标准中则没有这样的规定。
对于既包括着质量控制同时又包含有财务内控的过程,比如说企业的采购业务,内控体系则要求具有更多的细致管控内容,比如涉及财务方面的事先计划层面采购计划/合同的审批以及事后层面的付款条件审核、复审、凭证、发票等等,辅助层面的采购不相容岗位规定、定期岗位轮换等等,都是在质量控制过程不包含的,对于供应商的评价选择、采购合同控制、采购验收控制则是两个体系中都包含有的。
总之,企业的财务内控体系与质量保证体系都是企业重要的管理体系组成部分,都会影响到企业业务开展的各个方面,对规范/标准的符合性是底线,从底线上看,两者是独立的视角,而从有效性和运行成本上看,两者具有很大的关联性,可以说,彼此既有相关性,同时又具有各自的不同点,通常在企业管理架构上,两个体系分别归属于两个不同的角色统管,即CFO与COO,两个独立的角色分别向上进行独立管理汇报。