浅析风控内控内审的关系

吴坚

（浙江姬存希化妆品有限公司，浙江 宁波 315100）

A股上市公司自2012年1月1日起全面执行内部控制，经过近十年的发展，非上市大中型企业甚至中小企业均开始重视内控文化的建设，使企业经营活动做到有制度可依、有章可循，同时可以提升投资者、客户及供应商的信任度，有利于外部资源的合作支持。但在企业中实行风控、内控、内审的时间并不长，以下从概念、职责等方面来区分三者之间的联系及区别。

一、从概念上分析

（一）企业风控即全面风险管理。是指企业围绕总体经营目标，通过执行风险管理的基本流程，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统。

企业的风险可以分为外部风险和内部风险，其中内部风险主要包括战略风险、运营风险、财务风险等。

（二）内部控制。是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。

内部控制是被组织管理层使用的流程，用以确保按照规定的要求执行组织的任务、政策、程序、计划和遵从适用的法律法规。而合规风险为企业组织集体行为和代表企业组织的个人行为是否遵守法律法规或内部规章制度的不确定性。

（三）内部审计。是指组织内部的一种独立客观的监督和评价活动，它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现。而内部控制评价，则是对企业内部控制设计与运行的有效性进行审计。

从概念上分析，风险管理包含了内部控制，内部控制主要对内部风险中的运营风险和财务风险使用流程管控、制度或操作细则这些手段来进行风险管理，内部控制是风险管理的其中一种手段、一种形式；内部控制也包含了合规，合规在于有一条明确的违规界线来评价一个行为，属于内控中最基本、最严格的部分；内部审计是完全独立于风控、内控的，它是对内部控制、风险管理进行评价和改善，确保公司治理流程的有效性，帮助企业实现其战略目标。

二、从职责上分析

（一）风险管理紧密联系企业战略，高层参与承担相关责任，“自上而下”地识别、评估风险，并进行风险预警和及时处理，是事前、基于未来的一种管理。

（二）内部控制从管理层自上而下扩展，保证各级员工按照管理层的意图正确地执行各项运营活动；也从员工自下而上反馈需要关注和解决的问题以及例外事项，帮助管理层采用纠正运营缺陷所需的任何措施，主要从事先进行控制。

（三）内控评价主要关注流程的合规性，以生产经营活动为重点，兼顾控制手段，“自下而上”地认定内部控制缺陷，并建立整改机制，是对当下和过去的检查和控制。

但在实际操作中，相关部门行使风险管理、内控评价的职能时，风险点的评估归纳与定级是业务部门完成的，内控评价往往由业务部门自评，这就需要一个独立的监督部门来进行复核评定。

（四）内部审计是作为一个完全独立的行使复核职能存在的，内审人员依据历史数据自主的选择一个认为应该被调查的领域，在调查中收集原始数据并复核相关流程，对既有风险提出改进意见，控制减少损失，是事后控制手段。

三、合规、内控、风控的关系

从风险管控层级上来说，风控>内控>合规。合规仅确保公司各项生产经营活动遵循内外部的法律、制度、条例、规范、指引等，而内控不但要求合规，还要考察“规”的完整度，考虑制度设计的有效性。风控更要求设立独立于业务部门的风险管理部门，把风险管理的职能提升到管理层，从管理层的高度来检视风险，防微杜渐。

四、风控、内控、内审的区别与联系

（一）风控是企业在收集风险管理初始信息的基础上进行风险评估，围绕企业发展战略，确定风险偏好、风险承受度、风险管理有效性标准，制订相应的风险管理策略，提出风险解决方案，并对风险管理效果进行监督评价。从该意义上来说风控为内控提供了理论基础，为内审提供了逻辑和方向，集理论基础-风险评估-风险应对-监督改进于一体。

（二）内控作为风险的内部解决方案的一种，围绕风险管理策略目标，针对各项业务管理及重要的业务流程，通过执行风险管理基本流程，制定并执行规章制度、程序和措施。内控依赖于风控，作为对识别出的内部风险的一种应对手段，从公司层面和业务层面对运营风险和财务风险进行评估和控制，提供企业管理制度和流程。

而风险管理是内部控制的延伸和升华，对外部风险、内部风险、公司战略等多方面进行关注，从风险管理策略、风险理财措施、风险管理信息系统等多维度解决企业风险。

（三）风险管理评价对包括风险管理职能部门在内的各种有关部门和业务单位按照有关规定开展风险管理工作及其工作效果进行监督评价，出具风险管理评估和建议专项报告。

内控评价根据风险提示或结果，对内控相对应节点（关键控制点）进行确认，确认存在的风险及产生的损失，并提出改进意见。风险管理评价和内控评价，与尽职调查、专项审计、绩效审计、年度审计、离任审计等一起组成了企业的内审工作。

就企业内部管理而言，风控、内控和内审都是基于治理、监管等因素下的“产品”，都与风险有关，通过识别、评估、纠正等方式来控制企业风险。风险管理服务于战略目标，内部控制服务于运营目标，而内部审计对两者不断进行修正，共同促进企业经营目标的实现。