論ISO風險管理標準與企業內部控制的融合

□（中央儲備糧廣東新沙港直屬庫 廣東新沙510627）

一、ISO風險管理標準概念及應用

近年來，全球風險事件呈上升趨勢，風險管理標準與實際情況也隨之發生變化，世界許多國家先后對風險管理標準頒布了相關措施。隨著全球性經濟危機的爆發，逐漸向各國擴散并產生影響，各國際組織和企業都需要根據實際情況來制定更為科學和更為適用的國際標準。新的國際標準化組織通過分析和總結全球風險管理相關經驗，最終制定并頒布了《ISO風險管理——原則與指南》，該標準的頒布規范了全球風險管理標準理論框架，標志著企業風險管理進入到了全新的標準化時代。雖然目前在我國企業管理界推廣應用較少，但其對風險、風險評估、風險管理及應對等原則性指引起到很好的借鑒作用。

ISO風險管理的框架設計了七個主要內容，即了解組織及其環境、建立風險管理方針、責任、整合納入組織過程、資源、建立內部溝通和報告機制、建立外部溝通和報告機制。同時，對企業領導的授權與承諾、管理風險框架、實施風險管理、監測與評審、持續改進等內容之間的循環關系進行了闡述。主循環流程由“建立環境、風險評估、風險應對、監測與評審”構成，整個風險管理過程中特別強調建立環境（包括內部環境與外部環境）階段的重要性，每個循環的起點都是建立環境，終點是監測與評審，其結果還應對風險管理框架的評審提供紙質依據。

二、ISO風險管理標準與企業內部控制體系構建的階段

（一）企業內部控制體系的導入準備階段

導入準備階段主要是指，企業應當建立起完善的內部控制體系，由企業董事會、監事會、經理層和全體員工共同實施的旨在實現控制目標的管理過程。在這個內部控制體系中，針對企業內部環境、風險評估、控制活動、信息與溝通和內部監督等進行研究、分析、稽核、審核，最后總結并形成報告，為企業內部控制體系的建立提供必要的依據，并對企業職工開展ISO風險管理標準及內部控制理論相關知識的培訓，讓企業員工對ISO風險管理標準及內部控制的相關知識有充分的了解和認識。與此同時，確定企業內部控制目標，建立企業內部控制環境，開展企業內部崗位調查，明確各崗位工作職責和權利義務，規范內部控制管理體系的具體內容，全面實施內部控制管理制度，完善企業各具體運作流程的控制，并對企業現有的管理制度和規范進行重新整理和制定。

（二）企業內部控制體系的設計規劃階段

企業內部控制體系的設計規劃階段主要是指，通過分析并結合企業自身實際情況制定的戰略發展目標、經營管理目標、預計實施和需求目標以及ISO風險管理標準的基本內容，制定出與企業自身內部控制方針和預期目標相適應的標準。內部控制方針是一項企業長期實現的宗旨和經營發展方向，而預計目標是針對近期內企業可實現的經營目標來制定。與此同時，依據企業的內部控制方針和預期目標與企業生產經營活動的特點相結合，制定出符合企業發展所需的內部控制體系框架，規范內部控制體系結構、思路與原則，制定并實施以企業自身情況為出發點的內部控制制度，并對其進行審核和修改完善，使其與企業運行情況相結合，為企業生產經營管理提供保障，其后由企業經營管理者審批并通過該內部控制制度的實施，使其作為企業內部控制管理的必要依據。

（三）企業內部控制體系的運行完善階段

運行完善階段主要是指，結合企業內部控制體系制度，對企業全體職工進行內部控制體系制度的培訓，保證企業全體職工通過學習、貫徹、執行企業制定的制度，實施全面內部控制管理。與此同時，利用ISO的風險管理標準及時識別、科學分析企業經營活動中與實際控制目標相關的風險，對企業開展全面的、有效的監督與控制管理，并根據企業實際情況去逐漸完善內部控制體系。通過對企業經濟運行流程中風險的評估，制定有效的風險應對措施，避免因個人風險偏好給企業經營帶來重大損失。除此之外，企業還應當設置內部控制體系的審核部門，對企業內部控制制度執行情況實施內部監測、審核與評價，建立完善的自我評價機制，通過實施企業內部審核、自我評價來發現企業管理過程中存在的主要問題和控制缺陷，從整改目標、內容、步驟、措施、方法和期限制定內部控制缺陷的整改方案。同時，企業應制定風險管理預防措施和糾正措施，完善ISO風險管理標準與內部控制的管理實效，促進企業內部控制體系的完善和改進。

三、ISO風險管理標準在企業內控體系融合上存在的局限性

ISO風險管理標準是對企業管理的系統規范，其與具體的規范化管理方法相結合，在企業內部控制體系建設和實施上被絕大多數企業所采用，與其他相關的企業管理標準和方法相同，ISO風險管理標準在實施過程中也存在明顯的局限性，其一是ISO風險管理標準使得企業內部控制制度缺乏靈活性和彈性，在具體實施的過程中，可能由于企業的管理水平不同，企業運用ISO風險管理標準的最終結果也不相同。所以，企業的內部控制體系雖然建立并制定了具體的管理規章制度，但由于在實際工作過程中受到嚴格的監督管理而造成彼此之間的不匹配，使企業內部控制在完善具體工作內容和規范工作流程時存在很大的難度。其二是由于ISO風險管理標準自身不存在量化的指標進行具體的分析與衡量，尚未建立起統一的指標標準，因此，通過構建企業內部控制體系的運用也很難馬上反映出效果和成效，一般情況下，需要經過一年以上的實施才會有效果。其三是ISO風險管理標準的具體標準內容比較抽象化，企業要完全通過采用ISO風險管理標準與內部控制相融合建立完善的企業內部控制體系存在一定的難度。

四、ISO風險管理標準與企業內部控制之間的融合

ISO風險管理標準與企業內部控制發展到目前為止，兩者之間已經開始逐漸進行融合。但是，有些企業仍將內部控制和ISO管理標準當成兩套不同的體系在運行，使管理者和執行者都感覺很疲累，在執行過程中存在較強的抵觸情緒。從理論方面來看，ISO風險管理標準與企業內部控制是全面風險管理的常態化表現。

（一）ISO風險管理標準為制定全面風險管理的原則、框架和流程提供了依據

風險管理的主要過程就是一個動態的、循環的、系統的、完整的過程，其由企業在進行各項業務活動中產生，決定了企業在風險管理措施的制定上應與特定業務流程相結合，進而保證業務目標的實現，對這一風險過程的具體管理稱之為內部控制。針對ISO風險管理構成的框架來說，為企業內部控制制度的設計、執行、審核和改善風險管理提供了必要的依據，并使風險的管理順利開展，所以，實施全面風險管理應當針對內部控制來實現風險管理標準，構建有效的、科學的內部控制體系，建立起全面、規范的風險管理框架，提高企業內部控制的實效性和準確性。

（二）風險管理與企業內部控制體系融合妥善處理了企業管理制度、方法和流程

內部控制是企業應對內部操作風險的主要方式，風險管理的原則、框架和環節是通過與企業內部控制體系之間的完美融合，妥善處理風險管理與企業管理制度、方法和流程的關系，通過建立健全風險管理框架的內部控制體系來有效預防企業風險的發生。近幾年來，國內外絕大多數上市公司都建立了以風險為主導的內部控制體系，并充分利用企業生產經營管理過程中可能出現的風險進行整理，將企業風險評估機制與內部控制相結合，通過事前評估預防，事后總結評價相結合的方法，提高企業識別風險的能力，使企業經濟業務活動中的主要工作和主要資源避免向企業可能存在的風險區域轉移，有效預防和避免風險的發生。企業經營管理過程中會遇到各種各樣的事件，這些事件可能對企業產生不利影響或者有利影響。產生負面影響的事件代表了風險，可能阻礙企業價值創造。可能存在的風險和形成風險的原因在企業中具有不確定性和不可控制性的特點，企業從戰略制定到日常經營過程中對待風險的一系列信念與態度，確定可能影響企業的潛在事項，通過利用ISO風險管理標準與內部控制之間的融合，建立健全企業相關管理制度對潛在的事項進行管理，為實現企業的目標提供合理的保證。同時，指派專業部門定期或不定期地對企業的各項風險進行監督與管理，明確相關職能部門權利和義務，建立健全相關控制措施和解決方案，提高企業應對風險和防范風險的能力。

（三）企業完善的內部控制體系能有效實施有賴于風險管理的技術方法

ISO風險管理與內部控制作為企業管理的兩大工具，各自經歷了理論體系的創新和實務操作的發展。內部控制由傳統的內部牽制制度逐步發展為以風險為導向的內部控制整合框架，風險管理也由分散的財務、經營和戰略風險管理逐步發展為整合風險管理。實踐證明，企業完善的內部控制體系能否有效實施有賴于風險管理的技術方法，企業應當以全面風險管理為出發點，建立符合企業生產經營管理特點的全面風險管理框架，并在框架結構下根據ISO風險管理標準與內部控制的融合，建立內部控制體系，通過完善相關制度、細則以及流程應對具有突發性、系統性、危險性的相關風險進行有效管理，建立健全企業必要的危機應對機制，防范和管理企業可能存在的內部風險。依據ISO風險管理標準與內部控制的相關理論，構建完善的企業風險控制一體化，主要針對企業生產經營管理流程，確定企業可能存在的風險及風險管理措施，分析企業在實施內部控制時存在的具體問題和不足，將風險評估與ISO風險管理標準和內部控制相融合、分工，統一規范風險評價的具體處理流程和實施辦法，輔助企業在風險控制一體化情況下對企業風險進行有效管理，明確企業的發展方向和實現目標，提高企業經營能力，有效防止企業由結構造成的內部控制的不合理。