内控、风控、内审

公司存在的目的：生存、发展、获利。内审、内控、风控的落脚点要导向组织的战略目标、远景、规划，从近处说，要服务组织某阶段的发展目标（短期目标），从这个角度分析，三者目标导向是一致的。内控是点，风控是线，内审是用线把点串起来组成面。

内控(内部控制)

指一般公司企业内部的控制运作。内部会计控制是指单位为了提高会计信息质量，保护资产的安全、完整，确保有关法律法规和规章制度的贯彻执行等而制定和实施的一系列控制方法、措施和程序。

自2012年起，中国对上市公司实施全面内控审计的序幕将正式拉开，为了有效地通过内控审计，企业首先需要提交一份合格内部控制自我评价报告。经过一年多的发展，内控流程梳理、风险识别与评估和内控体系建设已成为企业持续稳健发展和员工提升胜任能力的必修课。国际注册内控师也随即成为各大企业急需的高端人才，呈现出供不应求的发展态势。企业管理人员需要更好地掌握从事企业内部控制系统建设所需的基本理论、法规要求、实务操作技能、评价指标和管理方法，从而协助企业提高内部控制系统的有效性。为了适应日益增长的内控人才需求，为内控管理领域源源不断地输送人才。

风控(风险控制)

金融的核心是风险控制，风险伴随着项目执行的整个过程，风险的出现会增加项目的费用，减缓项目的进度，并对项目的完成质量产生很大的影响，从而影响投资者的预期收益。因此，对项目风险进行分析，并探讨如何控制风险就变得非常必要。

风险控制内容包括:决策风险、项目可行性研究风险、决策体制风险、投资成本控制风险、投资体制风险、项目法人责任制风险、项目建设考核风险、项目建设后评估制度、投资前的风险控制措施、投资中的风险控制实施及风险发生后的补救措施、制定内部风险控制制度等方面。

风险控制的四种基本方法是:风险回避、损失控制、风险转移和风险保留。

内审(内部审计)

内部审计之父索耶关于内部审计的定义是:对组织中各类业务和控制进行独立评价，以确定是否遵循公认的方针和程序，是否符合规定和标准，是否有效和经济地使用了资源，是否在实现组织目标。

合规-内控-风控

合规是“打基础”

合规的核心

“确保公司各项生产经营活动遵循内外部的法律、制度、条例、规范、指引等”

合规的产出

合规可以起到最基本的抑制操作风险的作用

合规的短板

只能发现问题而不能解决问题

内控是合规的“最高等级”

内控的核心

不但要求合规，还要考察“规”的状态（是否完善、是否有配套指引、执行过程是否完善）

内控的重点

与合规相比，合规注重结果，内控重视过程。并在此基础上发展较完善的工具和方法（COSO框架）

内控的优点

内控是抑制操作层面风险的最佳手段

内控的缺点

内控对需要站在一定管理高度的风险（如战略风险等）无能为力。（例如内控无法衡量资本市场波动会给公司带来多大风险）

风控管理是风险管控的“最高形式”

风控管理的核心：“两个必须”

必须把风险管理的职能提升到高级管理层

必须设立独立于业务部门的风险管理部门

公司内各类风险相对分散、独立，设立统一的部门，站在管理层的高度来对风险进行检视，才能避免“头痛医头脚痛医脚”。

相同点

风控与内控本质上都是通过评估、防范、控制企业风险，从而促进企业经营目标的实现。

不同点

两者审视风险的角度不同

风控主要围绕企业战略经营目标，“自上而下”地辨识、评估、分析风险，并提出风险预警防范和应急管理的策略和措施。

内控主要从流程合规、反舞弊角度出发，“自下而上”地诊断招标采购、销售、资金等具体运营流程中的内部控制缺陷，并进行整改。

风控好比企业的“保健医生”，主要职责是“治未病”。内控好比企业的“急诊医生”，主要职责是“治已病”。

两者处置风险的工具不同

风控主要采用风险地图、流程数据分析、调查问卷、控制分析、专家评分等工具。随着企业信息化程度的逐渐提高，以数据分析为核心的量化风险分析、风险评估指标体系（如REI指数）等越来越受到重视。

内控主要采用例行审计、专项审计、合规检查等形式，主要使用穿行测试、控制测试等工具，诊断重点业务、重要流程的内部控制设计及运行缺陷。

目标导向一致：战略目标导向

内审、内控、风控都是基于治理、监管等因素下的“产品”，继续追溯产生的动因。

从内部角度分析，两权分立（所有权与经营权）是重要的因素之一，从外部角度分析，组织运营要满足法律法规遵循性的要求。

内审、内控和风控对公司的运营就是一种制衡，对人的制衡，对事的制衡，对利益的制衡，制衡之外是对组织健康发展的一种促进。