內控、風控、內審

公司存在的目的：生存、發展、獲利。內審、內控、風控的落腳點要導向組織的戰略目標、遠景、規劃，從近處說，要服務組織某階段的發展目標（短期目標），從這個角度分析，三者目標導向是一致的。內控是點，風控是線，內審是用線把點串起來組成面。

內控(內部控制)

指一般公司企業內部的控制運作。內部會計控制是指單位為了提高會計信息質量，保護資產的安全、完整，確保有關法律法規和規章制度的貫徹執行等而制定和實施的一系列控制方法、措施和程序。

自2012年起，中國對上市公司實施全面內控審計的序幕將正式拉開，為了有效地通過內控審計，企業首先需要提交一份合格內部控制自我評價報告。經過一年多的發展，內控流程梳理、風險識別與評估和內控體系建設已成為企業持續穩健發展和員工提升勝任能力的必修課。國際注冊內控師也隨即成為各大企業急需的高端人才，呈現出供不應求的發展態勢。企業管理人員需要更好地掌握從事企業內部控制系統建設所需的基本理論、法規要求、實務操作技能、評價指標和管理方法，從而協助企業提高內部控制系統的有效性。為了適應日益增長的內控人才需求，為內控管理領域源源不斷地輸送人才。

風控(風險控制)

金融的核心是風險控制，風險伴隨著項目執行的整個過程，風險的出現會增加項目的費用，減緩項目的進度，并對項目的完成質量產生很大的影響，從而影響投資者的預期收益。因此，對項目風險進行分析，并探討如何控制風險就變得非常必要。

風險控制內容包括:決策風險、項目可行性研究風險、決策體制風險、投資成本控制風險、投資體制風險、項目法人責任制風險、項目建設考核風險、項目建設后評估制度、投資前的風險控制措施、投資中的風險控制實施及風險發生后的補救措施、制定內部風險控制制度等方面。

風險控制的四種基本方法是:風險回避、損失控制、風險轉移和風險保留。

內審(內部審計)

內部審計之父索耶關于內部審計的定義是:對組織中各類業務和控制進行獨立評價，以確定是否遵循公認的方針和程序，是否符合規定和標準，是否有效和經濟地使用了資源，是否在實現組織目標。

合規-內控-風控

合規是“打基礎”

合規的核心

“確保公司各項生產經營活動遵循內外部的法律、制度、條例、規范、指引等”

合規的產出

合規可以起到最基本的抑制操作風險的作用

合規的短板

只能發現問題而不能解決問題

內控是合規的“最高等級”

內控的核心

不但要求合規，還要考察“規”的狀態（是否完善、是否有配套指引、執行過程是否完善）

內控的重點

與合規相比，合規注重結果，內控重視過程。并在此基礎上發展較完善的工具和方法（COSO框架）

內控的優點

內控是抑制操作層面風險的最佳手段

內控的缺點

內控對需要站在一定管理高度的風險（如戰略風險等）無能為力。（例如內控無法衡量資本市場波動會給公司帶來多大風險）

風控管理是風險管控的“最高形式”

風控管理的核心：“兩個必須”

必須把風險管理的職能提升到高級管理層

必須設立獨立于業務部門的風險管理部門

公司內各類風險相對分散、獨立，設立統一的部門，站在管理層的高度來對風險進行檢視，才能避免“頭痛醫頭腳痛醫腳”。

相同點

風控與內控本質上都是通過評估、防范、控制企業風險，從而促進企業經營目標的實現。

不同點

兩者審視風險的角度不同

風控主要圍繞企業戰略經營目標，“自上而下”地辨識、評估、分析風險，并提出風險預警防范和應急管理的策略和措施。

內控主要從流程合規、反舞弊角度出發，“自下而上”地診斷招標采購、銷售、資金等具體運營流程中的內部控制缺陷，并進行整改。

風控好比企業的“保健醫生”，主要職責是“治未病”。內控好比企業的“急診醫生”，主要職責是“治已病”。

兩者處置風險的工具不同

風控主要采用風險地圖、流程數據分析、調查問卷、控制分析、專家評分等工具。隨著企業信息化程度的逐漸提高，以數據分析為核心的量化風險分析、風險評估指標體系（如REI指數）等越來越受到重視。

內控主要采用例行審計、專項審計、合規檢查等形式，主要使用穿行測試、控制測試等工具，診斷重點業務、重要流程的內部控制設計及運行缺陷。

目標導向一致：戰略目標導向

內審、內控、風控都是基于治理、監管等因素下的“產品”，繼續追溯產生的動因。

從內部角度分析，兩權分立（所有權與經營權）是重要的因素之一，從外部角度分析，組織運營要滿足法律法規遵循性的要求。

內審、內控和風控對公司的運營就是一種制衡，對人的制衡，對事的制衡，對利益的制衡，制衡之外是對組織健康發展的一種促進。