在我們推廣企業信息化內控方案的時候，發現不少企業在考慮采用信息技術來完善自己的內部控制體系的過程中面臨著一個困惑，“我們已經建立了完備的ISO9001質量保證體系，也是可以幫助企業防范經營風險，它與企業內控體系是什么關系？”顯然，這是一個需要澄清并予以回答的問題。

 

　　誠然，企業質量保證體系也是可以起到防范經營風險的作用，但是它所關注的是質量領域，是從質量的視角來進行管控，而企業內控體系對于企業經營風險的防范，是從資產安全、信息真實的視角來進行管控，兩者之間既有著相同的理念和原則，也有著很大的操作不同之處，筆者對其異同做一簡要分析，認為主要體現在如下幾個方面：

 

應用目的方面

 

　　內控規范與ISO標準都是建立外部信任的目的，都有著體系運行需要提供證據證實過程被有效執行的要求，都有著內部審計和外部審計的行為，兩者都是企業經營管理體系的重要組成部分。

 

　　但是，ISO標準所實現的是質量相關證實，是從維護客戶的利益出發來思考問題，防范質量信息欺詐現象的發生；而企業內控體系所在意的是資金流以及物流直接相關的過程，是從維護股東即投資人的利益出發來實施管控，尤其是財務報告數據的真實性，防范財務信息欺詐的發生。

 

　　質量反映著過程與手段，財務反映著結果與目的，質量上出了問題，結果必然會反映到財務上來，從這個意義上講，內控規范與ISO要求都是企業需要的，而不可偏廢。

 

管控方法的方面

 

兩者均是采用確定關鍵控制點的方式來實現，都遵循如下原則

 

　　識別管控要點與要求

 

　　過程人員職責需到位

 

　　過程需要被有效執行

 

　　過程需要具備有效性

 

　　內控規范明確規定了需要遵循成本效益原則，而ISO標準中則沒有涉及到財務方面的規定和要求。在管控要點上，各自根據各自的目的也是差異非常大，內控規范所關注的是資金流直接相關的資金管理、籌資管理、投資管理、預算管理、成本費用等等；ISO9000標準的要求則不涉及這些直接財務過程，僅有部分業務內容與內控規范涉及業務的銷售、采購、存貨、合同、第三方的資產等過程要求相重疊，畢竟產品損壞既是資產問題，也是質量問題，但關注重點也不一樣。

 

　　從表面上看，雖然內控規范不涉及產品質量過程以及質量控制設備等，但是，所有的生產活動的展開都會跟錢拉上關系，都會在經營活動中預算管理、成本費用上得到體現，并進而傳遞到資金管理上，從而也是存在著相關性，并非是完全無關。

 

人力資源的方面

 

　　在內控規范和ISO9001標準中，都涉及到人力資源方面的管理要求，比如管理職責需要到位、崗位任職資格要求，都提出了全員參與等等，這也充分說明人力資源管理對于企業經營風險控制中的作用，事是靠人來做的，人的風險是最大的風險。

 

　　兩者在人力資源管理的要求深度上有著較大的差別；ISO9001標準中，原則性的提出了能力管理、培訓要求、員工激勵、員工滿意度測量、離職調查分析等等，而企業內控規范所涉及的規定則是更加具體和全面，在其人力資源政策指引中，全面地提出了各項操作性的具體要求，基本上涉及人力資源管理的各個方面流程的要求，僅出于防范風險目的的定期輪崗、強制休假、不相容崗位分離、保密控制等均有詳細規定，甚至對于企業文化建設都提出具體的要求，尤其是與能力管理無關的道德問題的重視，這也是與ISO9001標準的最大差別之處。

 

　　在ISO9001標準中，有對人員培訓的記錄要求，而在內控規范中，對此卻只是做了原則性規定。

 

過程循環的方面

 

　　無論是企業內控規范還是ISO9001標準，都是在強調事先的計劃概念，通過事先的措施來防范事后的風險的發生，同時都是基于動態管理的思維，講求測量、分析、改進，但是兩者在不同領域的關注程度是不一樣的。

 

　　在體系管理上，ISO9001更加關注文檔化的體系，體系文件和資料等強調版本控制的改進循環，以防止錯誤引用過期版本的情況，而內控體系要求中則沒有，可能這是因為財務控制比較集中，標準的使用出錯概率很小的緣故，不像業務過程涉及面太廣，出錯風險大，故而需要加大管控成本。

 

　　職能管理上，企業內控規范所確定的風險控制框架本身就是一個循環，建立環境、評估風險、開展控制、信息溝通以及監督改進這五個步驟可以說是彼此相連接的，比如內部監督發現內部環境出現問題需要改進，那就會帶來這實施內控的基礎架構上的改變。相比之下，ISO9001標準對于過程循環的要求深度比企業內控規范要高，這也是由于其管理范圍的復雜程度所決定的，無論是對于橫向的業務過程，還是縱向的管理過程。

 

　　在過程循環中，內控管理規范明確提出了信息技術應用的要求，而在ISO9001標準中則沒有這樣的規定。

 

　　對于既包括著質量控制同時又包含有財務內控的過程，比如說企業的采購業務，內控體系則要求具有更多的細致管控內容，比如涉及財務方面的事先計劃層面采購計劃/合同的審批以及事后層面的付款條件審核、復審、憑證、發票等等，輔助層面的采購不相容崗位規定、定期崗位輪換等等，都是在質量控制過程不包含的，對于供應商的評價選擇、采購合同控制、采購驗收控制則是兩個體系中都包含有的。

 

　　總之，企業的財務內控體系與質量保證體系都是企業重要的管理體系組成部分，都會影響到企業業務開展的各個方面，對規范/標準的符合性是底線，從底線上看，兩者是獨視角，而從有效性和運行成本上看，兩者具有很大的關聯性，可以說，彼此既有相關性，同時又具有各自的不同點，通常在企業管理架構上，兩個體系分別歸屬于兩個不同的角色統管，即CFO與COO，兩個獨立的角色分別向上進行獨立管理匯報。