□（中央储备粮广东新沙港直属库 广东新沙510627）

一、ISO风险管理标准概念及应用

近年来，全球风险事件呈上升趋势，风险管理标准与实际情况也随之发生变化，世界许多国家先后对风险管理标准颁布了相关措施。随着全球性经济危机的爆发，逐渐向各国扩散并产生影响，各国际组织和企业都需要根据实际情况来制定更为科学和更为适用的国际标准。新的国际标准化组织通过分析和总结全球风险管理相关经验，最终制定并颁布了《ISO风险管理——原则与指南》，该标准的颁布规范了全球风险管理标准理论框架，标志着企业风险管理进入到了全新的标准化时代。虽然目前在我国企业管理界推广应用较少，但其对风险、风险评估、风险管理及应对等原则性指引起到很好的借鉴作用。

ISO风险管理的框架设计了七个主要内容，即了解组织及其环境、建立风险管理方针、责任、整合纳入组织过程、资源、建立内部沟通和报告机制、建立外部沟通和报告机制。同时，对企业领导的授权与承诺、管理风险框架、实施风险管理、监测与评审、持续改进等内容之间的循环关系进行了阐述。主循环流程由“建立环境、风险评估、风险应对、监测与评审”构成，整个风险管理过程中特别强调建立环境（包括内部环境与外部环境）阶段的重要性，每个循环的起点都是建立环境，终点是监测与评审，其结果还应对风险管理框架的评审提供纸质依据。

二、ISO风险管理标准与企业内部控制体系构建的阶段

（一）企业内部控制体系的导入准备阶段

导入准备阶段主要是指，企业应当建立起完善的内部控制体系，由企业董事会、监事会、经理层和全体员工共同实施的旨在实现控制目标的管理过程。在这个内部控制体系中，针对企业内部环境、风险评估、控制活动、信息与沟通和内部监督等进行研究、分析、稽核、审核，最后总结并形成报告，为企业内部控制体系的建立提供必要的依据，并对企业职工开展ISO风险管理标准及内部控制理论相关知识的培训，让企业员工对ISO风险管理标准及内部控制的相关知识有充分的了解和认识。与此同时，确定企业内部控制目标，建立企业内部控制环境，开展企业内部岗位调查，明确各岗位工作职责和权利义务，规范内部控制管理体系的具体内容，全面实施内部控制管理制度，完善企业各具体运作流程的控制，并对企业现有的管理制度和规范进行重新整理和制定。

（二）企业内部控制体系的设计规划阶段

企业内部控制体系的设计规划阶段主要是指，通过分析并结合企业自身实际情况制定的战略发展目标、经营管理目标、预计实施和需求目标以及ISO风险管理标准的基本内容，制定出与企业自身内部控制方针和预期目标相适应的标准。内部控制方针是一项企业长期实现的宗旨和经营发展方向，而预计目标是针对近期内企业可实现的经营目标来制定。与此同时，依据企业的内部控制方针和预期目标与企业生产经营活动的特点相结合，制定出符合企业发展所需的内部控制体系框架，规范内部控制体系结构、思路与原则，制定并实施以企业自身情况为出发点的内部控制制度，并对其进行审核和修改完善，使其与企业运行情况相结合，为企业生产经营管理提供保障，其后由企业经营管理者审批并通过该内部控制制度的实施，使其作为企业内部控制管理的必要依据。

（三）企业内部控制体系的运行完善阶段

运行完善阶段主要是指，结合企业内部控制体系制度，对企业全体职工进行内部控制体系制度的培训，保证企业全体职工通过学习、贯彻、执行企业制定的制度，实施全面内部控制管理。与此同时，利用ISO的风险管理标准及时识别、科学分析企业经营活动中与实际控制目标相关的风险，对企业开展全面的、有效的监督与控制管理，并根据企业实际情况去逐渐完善内部控制体系。通过对企业经济运行流程中风险的评估，制定有效的风险应对措施，避免因个人风险偏好给企业经营带来重大损失。除此之外，企业还应当设置内部控制体系的审核部门，对企业内部控制制度执行情况实施内部监测、审核与评价，建立完善的自我评价机制，通过实施企业内部审核、自我评价来发现企业管理过程中存在的主要问题和控制缺陷，从整改目标、内容、步骤、措施、方法和期限制定内部控制缺陷的整改方案。同时，企业应制定风险管理预防措施和纠正措施，完善ISO风险管理标准与内部控制的管理实效，促进企业内部控制体系的完善和改进。

三、ISO风险管理标准在企业内控体系融合上存在的局限性

ISO风险管理标准是对企业管理的系统规范，其与具体的规范化管理方法相结合，在企业内部控制体系建设和实施上被绝大多数企业所采用，与其他相关的企业管理标准和方法相同，ISO风险管理标准在实施过程中也存在明显的局限性，其一是ISO风险管理标准使得企业内部控制制度缺乏灵活性和弹性，在具体实施的过程中，可能由于企业的管理水平不同，企业运用ISO风险管理标准的最终结果也不相同。所以，企业的内部控制体系虽然建立并制定了具体的管理规章制度，但由于在实际工作过程中受到严格的监督管理而造成彼此之间的不匹配，使企业内部控制在完善具体工作内容和规范工作流程时存在很大的难度。其二是由于ISO风险管理标准自身不存在量化的指标进行具体的分析与衡量，尚未建立起统一的指标标准，因此，通过构建企业内部控制体系的运用也很难马上反映出效果和成效，一般情况下，需要经过一年以上的实施才会有效果。其三是ISO风险管理标准的具体标准内容比较抽象化，企业要完全通过采用ISO风险管理标准与内部控制相融合建立完善的企业内部控制体系存在一定的难度。

四、ISO风险管理标准与企业内部控制之间的融合

ISO风险管理标准与企业内部控制发展到目前为止，两者之间已经开始逐渐进行融合。但是，有些企业仍将内部控制和ISO管理标准当成两套不同的体系在运行，使管理者和执行者都感觉很疲累，在执行过程中存在较强的抵触情绪。从理论方面来看，ISO风险管理标准与企业内部控制是全面风险管理的常态化表现。

（一）ISO风险管理标准为制定全面风险管理的原则、框架和流程提供了依据

风险管理的主要过程就是一个动态的、循环的、系统的、完整的过程，其由企业在进行各项业务活动中产生，决定了企业在风险管理措施的制定上应与特定业务流程相结合，进而保证业务目标的实现，对这一风险过程的具体管理称之为内部控制。针对ISO风险管理构成的框架来说，为企业内部控制制度的设计、执行、审核和改善风险管理提供了必要的依据，并使风险的管理顺利开展，所以，实施全面风险管理应当针对内部控制来实现风险管理标准，构建有效的、科学的内部控制体系，建立起全面、规范的风险管理框架，提高企业内部控制的实效性和准确性。

（二）风险管理与企业内部控制体系融合妥善处理了企业管理制度、方法和流程

内部控制是企业应对内部操作风险的主要方式，风险管理的原则、框架和环节是通过与企业内部控制体系之间的完美融合，妥善处理风险管理与企业管理制度、方法和流程的关系，通过建立健全风险管理框架的内部控制体系来有效预防企业风险的发生。近几年来，国内外绝大多数上市公司都建立了以风险为主导的内部控制体系，并充分利用企业生产经营管理过程中可能出现的风险进行整理，将企业风险评估机制与内部控制相结合，通过事前评估预防，事后总结评价相结合的方法，提高企业识别风险的能力，使企业经济业务活动中的主要工作和主要资源避免向企业可能存在的风险区域转移，有效预防和避免风险的发生。企业经营管理过程中会遇到各种各样的事件，这些事件可能对企业产生不利影响或者有利影响。产生负面影响的事件代表了风险，可能阻碍企业价值创造。可能存在的风险和形成风险的原因在企业中具有不确定性和不可控制性的特点，企业从战略制定到日常经营过程中对待风险的一系列信念与态度，确定可能影响企业的潜在事项，通过利用ISO风险管理标准与内部控制之间的融合，建立健全企业相关管理制度对潜在的事项进行管理，为实现企业的目标提供合理的保证。同时，指派专业部门定期或不定期地对企业的各项风险进行监督与管理，明确相关职能部门权利和义务，建立健全相关控制措施和解决方案，提高企业应对风险和防范风险的能力。

（三）企业完善的内部控制体系能有效实施有赖于风险管理的技术方法

ISO风险管理与内部控制作为企业管理的两大工具，各自经历了理论体系的创新和实务操作的发展。内部控制由传统的内部牵制制度逐步发展为以风险为导向的内部控制整合框架，风险管理也由分散的财务、经营和战略风险管理逐步发展为整合风险管理。实践证明，企业完善的内部控制体系能否有效实施有赖于风险管理的技术方法，企业应当以全面风险管理为出发点，建立符合企业生产经营管理特点的全面风险管理框架，并在框架结构下根据ISO风险管理标准与内部控制的融合，建立内部控制体系，通过完善相关制度、细则以及流程应对具有突发性、系统性、危险性的相关风险进行有效管理，建立健全企业必要的危机应对机制，防范和管理企业可能存在的内部风险。依据ISO风险管理标准与内部控制的相关理论，构建完善的企业风险控制一体化，主要针对企业生产经营管理流程，确定企业可能存在的风险及风险管理措施，分析企业在实施内部控制时存在的具体问题和不足，将风险评估与ISO风险管理标准和内部控制相融合、分工，统一规范风险评价的具体处理流程和实施办法，辅助企业在风险控制一体化情况下对企业风险进行有效管理，明确企业的发展方向和实现目标，提高企业经营能力，有效防止企业由结构造成的内部控制的不合理。