淺析一體化管理體系和內控手冊的結合點

溫竹林

摘 要 通過分析一體化管理體系和內控手冊建立的背景和目的，探討二者結合的必要性和可能性，尋找管理的共同點和結合點，將二者的要求落實到公司文件管理信息系統，實現制度全生命周期的動態管理，及時反映制度修訂最新版本信息，防止失效文件的誤用。用一套完整的文件體系支撐一體化管理體系、內部控制、三基管理、黨建管理等各項管理，并且在一體化管理體系和內控手冊等各項管理的相關制度使用和修訂、培訓、檢查方法、考核等方面進行有機結合。

關鍵詞 一體化管理體系 內控手冊結合點

一、分析一體化管理體系和內控手冊建立的共同點

目前，公司實施并保持持續改進一體化管理體系，符合質量管理、環境管理、職業健康和安全管理、能源管理標準要求，同時兼容中石化煉化企業HSE管理規范要求，保護顧客權益、社會效益和員工權益。它是公司自我提升的企業行為，并不是強制性的。

根據美國《薩班斯法案》，以及《企業內部控制基本規范》，上市公司必須建立并執行內控制度，從維護股東的利益出發來實施管控。實施內部控制的目標是經營管理合法合規、資產安全、財務報告及相關信息真實完整，提高經營效率和效果，促進企業實現發展戰略。內控制度是上市公司所屬企業必須執行的“家法”。

一體化管理體系注重的是企業生產出的產品本身，所以它側重的是產品生產的過程與產品的質量，同時關注減少環境污染，改善環境質量，消除或降低企業安全風險，預防事故發生，保護員工的安全健康，并無涉及財務方面的規定。而內控制度主要就經營風險的識別、評價、控制、信息溝通以及監視和測量改進提出管理要求，且內控制度更專注資金流、資產流、信息流中的關鍵風險點進行控制，以維護股東（投資者）的利益為出發點，確保財務數據的真實性與公允性，防范財務數據的虛假信息，最終目標是達到股東的滿意。

一體化管理體系和內控制度從不同的出發點提出了一個共同的問題，即企業應提高管理水平，識別、評價和控制各類風險，滿足顧客和其他相關方要求，達到企業經營管理目標。二者有以下共同點：

均重視建立企業組織機構及管理職責；均需建立文件化體系；均對企業經營目標的實現提供合理的承諾；均強調管理層的作用，對體系的運行和內控制度的有效性負最終責任；均重視作業流程的標準化；均要求定期監測，并對不合格提出糾正和糾正措施；均強調過程管理控制、強調持續改進。

二、一體化管理體系和內控手冊結合的必要性和可能性

為避免管理重疊和真空，避免重復檢查且標準不一，一個公司宜建立一套綜合管理體系，各專業管理是該體系的分體系。實踐證明，一體化管理體系可以將質量管理、環境管理、職業健康和安全管理、測量管理、能源管理、兩化融合等專業管理體系整合在一起，延伸到企業三基管理、黨建管理等其他管理活動。運行一套文件、進行統一檢查、統一內外審核和管理評審，節約了管理成本，提高了體系有效性。但是，鑒于內控制度對上市公司要求的特殊性，尚未能整合在一起。對上市公司內控制度公司層面和業務層面的內容要求，凡適用的所屬企業均要遵照執行，控制點描述的內容與公司保持一致，但可以從嚴細化，落實到相應制度中。所以，所屬企業應將一體化管理手冊、職責界定手冊和內控手冊都視為第一層次文件，屬上位法，體系管理和內控管理不可替代，但可以尋求結合點，由業務流程和工作程序圖、制度、記錄共同支撐，從而構建包括內控、體系管理等各項管理的文件管理體系。

內控制度主張包容性原則，內控手冊力求避免與公司現行各項管理制度相矛盾，盡可能包容現行制度中的內部控制，比如符合內控制度且從嚴要求的一體化管理體系程序文件、作業文件。對確實脫離實際的其他各項管理制度，應及時進行修改、完善，并以內控手冊為準。

三、一體化管理體系和內控手冊的結合點

（一）分析一體化管理體系與內控手冊之間的對應關系，尋求文件執行結合點

公司一體化管理體系程序文件與內控實施細則業務層面控制流程之間在生產運行、產品質量、科研開發、產品銷售、檢維修、外包方控制、物資采購、培訓、信息資源管理、HSE管理等方面存對應關系，研究二者的關系，全面把握體系管理和內控要求，提高文件執行效果，避免管理的重疊或空白。

公司一體化管理體系程序文件《檢維修控制程序》與內控實施細則業務層面控制的《3.4固定資產修理管理》內容存在一定的重疊，共同適用的制度有六項，在修訂相關制度時，將管理體系和內控要求落實到相應制度中，精簡體系程序文件和內控業務流程的描述，引用相應專業制度，特別是共同適用的制度。

公司一體化管理體系程序文件職業健康、安全隱患治理、清潔生產審核、應急準備和響應、事故事件管理等控制程序對應內控手冊業務層面控制的15.1HSE管理，體系程序文件要求更全面，依據體系程序文件相應流程進行檢查更深入。

公司一體化管理體系程序文件《項目建設控制程序》對應內控實施細則業務層面控制的1.2資本支出管理、6.2工程項目管理、6.3工程分包管理和6.4工程招標管理，內控手冊要求更全面、細致，體系程序文件《項目建設控制程序》未涉及的內容，執行內控實施細則相應流程控制點，防止管理空白。

（二）一體化管理體系和內控手冊相關文件制訂、修訂的結合點

公司通過建立文件管理信息系統，實現包括體系管理手冊、職責界定手冊、內控手冊、業務流程圖、程序文件、制度、崗位職責、技術文件、記錄等文件運行動態管理，及時反映文件修訂最新版本信息。一體化管理體系、內控手冊引用的文件均要按文件控制管理辦法，統一編號標識，防止誤用失效版本的風險。各層級文件的制訂、修訂要兼顧一體化管理體系和內控要求，避免兩層皮現象，同時優化精簡制度，體現一體化管理體系和內控對特定業務流程或工作程序的必要描述，體現二者對監督、檢查與考核標準的要求，提升文件的可執行、可考核性。

（三）建立內控、風控、制度流程和崗位職責“四位一體”的全面風險管理長效機制

修訂企業內部控制手冊，要重點做好風險清單的梳理修訂和動態更新工作，全面收集風險信息，扎實推進崗位風險識別與評估，落實崗位責任，明確崗位風險應對措施，建立內控、風控、制度流程和崗位職責“四位一體”的全面風險管理長效機制，努力推進全面風險管理工作常規化、系統化、規范化和標準化。

（四）一體化管理體系、內控手冊等的聯合培訓

公司每年要進行一體化管理體系、內控手冊、QC應用工具方法等培訓，可以根據培訓對象優化培訓方案，讓受訓人員全面了解業務管理相關的管理體系和內控手冊的要求，避免執行的片面性。對內控聯絡員和一體化管理體系內審員可以進行聯合培訓，培訓能熟悉體系管理和內控制度的內部監督（審核）人員，為體系管理與內控等管理的聯合檢查儲備人才。

（五）進行公司體系管理與內控的聯合檢查，提高檢查的效率效果

公司優化整合體系管理、風控、內控、崗檢及其他專業管理檢查評價、考核機制，避免重復檢查、防止檢查漏洞。將優化后系統控制點、崗位職責、崗檢標準、考核要求嵌入到內控信息管理系統中的風險控制操作流程節點，并逐一建立映射關系，不斷強化風險閉環管理，落實風險適時預警和崗位識別、評估及應對風險的動態監控機制，確保全面風險管理（內控）機制落地生根、執行到位。

體系管理可以借鑒內控制度風險分析的檢查方法，針對風險高低采取相應風險控制措施。優化內控穿行測試抽樣方案，擴大抽查樣本量，既要查完全貫穿控制點且符合的樣本，也要查未執行到位的樣本，督促風險控制點的全面執行和問題的及時整改。

（作者單位為中國石油化工股份有限公司天津分公司）