风险管理体系与内部控制管理体系的共同点
风险管理体系和内部控制管理体系从理论角度来看,两者都是为战略目标服务。从实际运作角度来看,两者在日常工作中的融合体现为,用完善的内部控制制度去控制日常工作风险事项的发生,或要求针对重大风险事项制定应对方案,来达到控制成本、实现战略目标的目的。诸多企业包括上市公司都将风险管理和内部控制进行相互融合。而健全内部控制机制是防范企业风险的重要保障,对于提升管理水平同样具有十分重要的作用。
三标管理体系与内部控制管理体系的共同点
从实现预期目标角度来看,两者都是通过建立一套内部体系,并加以控制,通过检查并持续改进,规范企业管理,提高管理水平,从而高效地实现企业各项发展目标。
从理论角度和实际操作的过程来看,两者都要求建立一套管理体系,均在既有的管理模式的基础上,对既已存在的体系进行梳理、补充、修订,持续优化其规范性(标准化)、操作性及可评价性,第三方可独立根据要求进行外部评价;两者还要求有专门的归口部门采取定期及不定期的监督检查,这一行为在三标管理体系中称为内审、管理评审,在内部控制管理体系中称为内部控制自我评价;两者都要将检查结果向第三方披露,三标管理体系要将内审、管理评审的报告向外审机构进行披露,内部控制体系是否有效运行要接受会计师事务所的审计,并出具审计报告,并披露给证监会及股东。
三标管理体系与风险管理体系的共同点
从理论层面来看,两者“风险”的定义相似。风险管理体系中对风险的定义为,风险是对预期结果不确定性的后果。是指在公司发展过程中,各种不确定性对公司实现其经营目标的影响,包括纯粹风险(只带来损失一种可能性)和机会风险(带来损失和盈利的可能性并存)。
2015年9月份换版的新标准中主要变化之一,就是ISO 9001新标准用系统的方法关注风险,增加了“基于风险的思想”,即风险是“不确定性的影响”(注:影响是指偏离预期,可以是正面的或负面的)。“明确提出确定风险和机会应对措施的要求”。“基于风险的思想”和“应对风险的措施”体现了“预防措施”的概念,通过基于风险的方法,积极地寻求改进机会。
两种管理体系都是将风险管理嵌入管理(组织)的过程,确保实现期望的结果。通过对风险的管理得到有效管控,防止非期望结果的出现;通过执行风险管理基本流程,制定并执行的规章制度、程序和措施,确保将风险控制在与总体目标相适应并可承受的范围内,将应对风险的措施融入到管理(组织)过程中并予以实施。