公(gōng)司存在的目的：生存、发展、获利。公(gōng)司要实现其目的，内审、内控、风控可(kě)以说是公(gōng)司的“防火墙”、“保健医(yī)生”。内审、内控、风控的落脚点要导向组织的战略目标、遠(yuǎn)景、规划，从近处说，要服務(wù)组织某阶段的发展目标（短期目标），从这个角度分(fēn)析，三者目标导向是一致的。

合规、内控、风控的关系

一、风险管控的层级：合规-内控-风控

（1）合规是“打基础”

合规的核心：“确保公(gōng)司各项生产(chǎn)经营活动遵循内外部的法律、制度、条例、规范、指引等”

合规的产(chǎn)出：合规可(kě)以起到最基本的抑制操作(zuò)风险的作(zuò)用(yòng)

合规的短板：只能(néng)发现问题而不能(néng)解决问题

（2）内控是合规的“最高等级”

内控的核心：不但要求合规，还要考察“规”的状态（是否完善、是否有(yǒu)配套指引、执行过程是否完善）

内控的重点：与合规相比，合规注重结果，内控重视过程。并在此基础上发展较完善的工(gōng)具(jù)和方法（COSO框架）

内控的优点：内控是抑制操作(zuò)层面风险的最佳手段

内控的缺点：内控对需要站在一定管理(lǐ)高度的风险（如战略风险等）无能(néng)為(wèi)力。（例如内控无法衡量资本市场波动会给公(gōng)司带来多(duō)大风险）

（3）风控管理(lǐ)是风险管控的“最高形式”

风控管理(lǐ)的核心：“两个必须”

必须把风险管理(lǐ)的职能(néng)提升到高级管理(lǐ)层

必须设立独立于业務(wù)部门的风险管理(lǐ)部门

公(gōng)司内各类风险相对分(fēn)散、独立，设立统一的部门，站在管理(lǐ)层的高度来对风险进行检视，才能(néng)避免“头痛医(yī)头脚痛医(yī)脚”。

二、风控与内控的异同

（1）相同点

风控与内控本质(zhì)上都是通过评估、防范、控制企业风险，从而促进企业经营目标的实现。

（2）不同点

第一两者审视风险的角度不同

       风控主要围绕企业战略经营目标，“自上而下”地辨识、评估、分(fēn)析风险，并提出风险预警防范和应急管理(lǐ)的策略和措施。

内控主要从流程合规、反舞弊角度出发，“自下而上”地诊断招标采購(gòu)、销售、资金等具(jù)體(tǐ)运营流程中(zhōng)的内部控制缺陷，并进行整改。

风控好比企业的“保健医(yī)生”，主要职责是“治未病”。内控好比企业的“急诊医(yī)生”，主要职责是“治已病”。

第二两者处置风险的工(gōng)具(jù)不同

       风控主要采用(yòng)风险地图、流程数据分(fēn)析、调查问卷、控制分(fēn)析、专家评分(fēn)等工(gōng)具(jù)。随着企业信息化程度的逐渐提高，以数据分(fēn)析為(wèi)核心的量化风险分(fēn)析、风险评估指标體(tǐ)系（如REI指数）等越来越受到重视。

       内控主要采用(yòng)例行审计、专项审计、合规检查等形式，主要使用(yòng)穿行测试、控制测试等工(gōng)具(jù)，诊断重点业務(wù)、重要流程的内部控制设计及运行缺陷。

目标导向一致：战略目标导向

       内审、内控、风控都是基于治理(lǐ)、监管等因素下的“产(chǎn)品”，继续追溯产(chǎn)生的动因。

       从内部角度分(fēn)析，两权分(fēn)立（所有(yǒu)权与经营权）是重要的因素之一，从外部角度分(fēn)析，组织运营要满足法律法规遵循性的要求。

内审、内控和风控对公(gōng)司的运营就是一种制衡，对人的制衡，对事的制衡，对利益的制衡，制衡之外是对组织健康发展的一种促进。