浅析一体化管理体系和内控手册的结合点

温竹林

摘 要 通过分析一体化管理体系和内控手册建立的背景和目的，探讨二者结合的必要性和可能性，寻找管理的共同点和结合点，将二者的要求落实到公司文件管理信息系统，实现制度全生命周期的动态管理，及时反映制度修订最新版本信息，防止失效文件的误用。用一套完整的文件体系支撑一体化管理体系、内部控制、三基管理、党建管理等各项管理，并且在一体化管理体系和内控手册等各项管理的相关制度使用和修订、培训、检查方法、考核等方面进行有机结合。

关键词 一体化管理体系 内控手册结合点

一、分析一体化管理体系和内控手册建立的共同点

目前，公司实施并保持持续改进一体化管理体系，符合质量管理、环境管理、职业健康和安全管理、能源管理标准要求，同时兼容中石化炼化企业HSE管理规范要求，保护顾客权益、社会效益和員工权益。它是公司自我提升的企业行为，并不是强制性的。

根据美国《萨班斯法案》，以及《企业内部控制基本规范》，上市公司必须建立并执行内控制度，从维护股东的利益出发来实施管控。实施内部控制的目标是经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。内控制度是上市公司所属企业必须执行的“家法”。

一体化管理体系注重的是企业生产出的产品本身，所以它侧重的是产品生产的过程与产品的质量，同时关注减少环境污染，改善环境质量，消除或降低企业安全风险，预防事故发生，保护员工的安全健康，并无涉及财务方面的规定。而内控制度主要就经营风险的识别、评价、控制、信息沟通以及监视和测量改进提出管理要求，且内控制度更专注资金流、资产流、信息流中的关键风险点进行控制，以维护股东（投资者）的利益为出发点，确保财务数据的真实性与公允性，防范财务数据的虚假信息，最终目标是达到股东的满意。

一体化管理体系和内控制度从不同的出发点提出了一个共同的问题，即企业应提高管理水平，识别、评价和控制各类风险，满足顾客和其他相关方要求，达到企业经营管理目标。二者有以下共同点：

均重视建立企业组织机构及管理职责；均需建立文件化体系；均对企业经营目标的实现提供合理的承诺；均强调管理层的作用，对体系的运行和内控制度的有效性负最终责任；均重视作业流程的标准化；均要求定期监测，并对不合格提出纠正和纠正措施；均强调过程管理控制、强调持续改进。

二、一体化管理体系和内控手册结合的必要性和可能性

为避免管理重叠和真空，避免重复检查且标准不一，一个公司宜建立一套综合管理体系，各专业管理是该体系的分体系。实践证明，一体化管理体系可以将质量管理、环境管理、职业健康和安全管理、测量管理、能源管理、两化融合等专业管理体系整合在一起，延伸到企业三基管理、党建管理等其他管理活动。运行一套文件、进行统一检查、统一内外审核和管理评审，节约了管理成本，提高了体系有效性。但是，鉴于内控制度对上市公司要求的特殊性，尚未能整合在一起。对上市公司内控制度公司层面和业务层面的内容要求，凡适用的所属企业均要遵照执行，控制点描述的内容与公司保持一致，但可以从严细化，落实到相应制度中。所以，所属企业应将一体化管理手册、职责界定手册和内控手册都视为第一层次文件，属上位法，体系管理和内控管理不可替代，但可以寻求结合点，由业务流程和工作程序图、制度、记录共同支撑，从而构建包括内控、体系管理等各项管理的文件管理体系。

内控制度主张包容性原则，内控手册力求避免与公司现行各项管理制度相矛盾，尽可能包容现行制度中的内部控制，比如符合内控制度且从严要求的一体化管理体系程序文件、作业文件。对确实脱离实际的其他各项管理制度，应及时进行修改、完善，并以内控手册为准。

三、一体化管理体系和内控手册的结合点

（一）分析一体化管理体系与内控手册之间的对应关系，寻求文件执行结合点

公司一体化管理体系程序文件与内控实施细则业务层面控制流程之间在生产运行、产品质量、科研开发、产品销售、检维修、外包方控制、物资采购、培训、信息资源管理、HSE管理等方面存对应关系，研究二者的关系，全面把握体系管理和内控要求，提高文件执行效果，避免管理的重叠或空白。

公司一体化管理体系程序文件《检维修控制程序》与内控实施细则业务层面控制的《3.4固定资产修理管理》内容存在一定的重叠，共同适用的制度有六项，在修订相关制度时，将管理体系和内控要求落实到相应制度中，精简体系程序文件和内控业务流程的描述，引用相应专业制度，特别是共同适用的制度。

公司一体化管理体系程序文件职业健康、安全隐患治理、清洁生产审核、应急准备和响应、事故事件管理等控制程序对应内控手册业务层面控制的15.1HSE管理，体系程序文件要求更全面，依据体系程序文件相应流程进行检查更深入。

公司一体化管理体系程序文件《项目建设控制程序》对应内控实施细则业务层面控制的1.2资本支出管理、6.2工程项目管理、6.3工程分包管理和6.4工程招标管理，内控手册要求更全面、细致，体系程序文件《项目建设控制程序》未涉及的内容，执行内控实施细则相应流程控制点，防止管理空白。

（二）一体化管理体系和内控手册相关文件制订、修订的结合点

公司通过建立文件管理信息系统，实现包括体系管理手册、职责界定手册、内控手册、业务流程图、程序文件、制度、岗位职责、技术文件、记录等文件运行动态管理，及时反映文件修订最新版本信息。一体化管理体系、内控手册引用的文件均要按文件控制管理办法，统一编号标识，防止误用失效版本的风险。各层级文件的制订、修订要兼顾一体化管理体系和内控要求，避免两层皮现象，同时优化精简制度，体现一体化管理体系和内控对特定业务流程或工作程序的必要描述，体现二者对监督、检查与考核标准的要求，提升文件的可执行、可考核性。

（三）建立内控、风控、制度流程和岗位职责“四位一体”的全面风险管理长效机制

修订企业内部控制手册，要重点做好风险清单的梳理修订和动态更新工作，全面收集风险信息，扎实推进岗位风险识别与评估，落实岗位责任，明确岗位风险应对措施，建立内控、风控、制度流程和岗位职责“四位一体”的全面风险管理长效机制，努力推进全面风险管理工作常规化、系统化、规范化和标准化。

（四）一体化管理体系、内控手册等的联合培训

公司每年要进行一体化管理体系、内控手册、QC应用工具方法等培训，可以根据培训对象优化培训方案，让受训人员全面了解业务管理相关的管理体系和内控手册的要求，避免执行的片面性。对内控联络员和一体化管理体系内审员可以进行联合培训，培训能熟悉体系管理和内控制度的内部监督（审核）人员，为体系管理与内控等管理的联合检查储备人才。

（五）进行公司体系管理与内控的联合检查，提高检查的效率效果

公司优化整合体系管理、风控、内控、岗检及其他专业管理检查评价、考核机制，避免重复检查、防止检查漏洞。将优化后系统控制点、岗位职责、岗检标准、考核要求嵌入到内控信息管理系统中的风险控制操作流程节点，并逐一建立映射关系，不断强化风险闭环管理，落实风险适时预警和岗位识别、评估及应对风险的动态监控机制，确保全面风险管理（内控）机制落地生根、执行到位。

体系管理可以借鉴内控制度风险分析的检查方法，针对风险高低采取相应风险控制措施。优化内控穿行测试抽样方案，扩大抽查样本量，既要查完全贯穿控制点且符合的样本，也要查未执行到位的样本，督促风险控制点的全面执行和问题的及时整改。

（作者单位为中国石油化工股份有限公司天津分公司）