国家财政部等联合下发的《企业内部控制基本规范》作为加强企业管理控制、促进健康持续发展的重要举措，将于2009年7月1日率先在上市公司范围内实施；在我们推广企业信息化内控方案的时候，发现不少企业在考虑采用信息技术来完善自己的内部控制体系的过程中面临着一个困惑，“我们已经建立了完备的ISO 9001质量保证体系，也是可以帮助企业防范经营风险，它与企业内控体系是什么关系？”显然，这是一个需要澄清并予以回答的问题。　 

　　诚然，企业质量保证体系也是可以起到防范经营风险的作用，但是它所关注的是质量领域，是从质量的视角来进行管控，而企业内控体系对于企业经营风险的防范，是从资产安全、信息真实的视角来进行管控，两者之间既有着相同的理念和原则，也有着很大的操作不同之处，笔者对其异同做一简要分析，认为主要体现在如下几个方面：　 

　　应用目的方面　 

　　内控规范与ISO 标准都是建立外部信任的目的，都有着体系运行需要提供证据证实过程被有效执行的要求，都有着内部审计和外部审计的行为，两者都是企业经营管理体系的重要组成部分。　 

　　但是，ISO 标准所实现的是质量相关证实，是从维护客户的利益出发来思考问题，防范质量信息欺诈现象的发生；而企业内控体系所在意的是资金流以及物流直接相关的过程，是从维护股东即投资人的利益出发来实施管控，尤其是财务报告数据的真实性，防范财务信息欺诈的发生。　 

　　质量反映着过程与手段，财务反映着结果与目的，质量上出了问题，结果必然会反映到财务上来，从这个意义上讲，内控规范与ISO 要求都是企业需要的，而不可偏废。　 

　　管控方法的方面　 

　　两者均是采用确定关键控制点的方式来实现，都遵循如下原则　 

　　识别管控要点与要求　 

　　过程人员职责需到位　 

　　过程需要被有效执行　 

　　过程需要具备有效性　 

　　内控规范明确规定了需要遵循成本效益原则，而ISO 标准中则没有涉及到财务方面的规定和要求。在管控要点上，各自根据各自的目的也是差异非常大，内控规范所关注的是资金流直接相关的资金管理、筹资管理、投资管理、预算管理、成本费用等等；ISO 9000标准的要求则不涉及这些直接财务过程，仅有部分业务内容与内控规范涉及业务的销售、采购、存货、合同、第三方的资产等过程要求相重叠，毕竟产品损坏既是资产问题，也是质量问题，但关注重点也不一样。　 

　　从表面上看，虽然内控规范不涉及产品质量过程以及质量控制设备等，但是，所有的生产活动的展开都会跟钱拉上关系，都会在经营活动中预算管理、成本费用上得到体现，并进而传递到资金管理上，从而也是存在着相关性，并非是完全无关。