1、審計、內(nèi)控、風(fēng)險管理三者之間的關(guān)系 標風(fēng)險管理側(cè)重的是“可能性”。因此，風(fēng)險管理應(yīng)該是最早的環(huán)節(jié)，從企業(yè)整體評估 風(fēng)險狀況， 找到應(yīng)對策略。這其中， 又可分為不可控風(fēng)險和可控風(fēng)險。 不可控風(fēng)險通常通過 風(fēng)險轉(zhuǎn)移、保險、風(fēng)險接受等方式進行應(yīng)對；可控的風(fēng)險通常通過內(nèi)部控制手段進行應(yīng)對。 所以內(nèi)部控制本質(zhì)上就是企業(yè)管理中通過日常管控手段降低風(fēng)險的行為。 那內(nèi)控執(zhí)行的效果 如何， 就通過審計來檢查。 審計檢查完后有一些發(fā)現(xiàn)問題， 可能是最早風(fēng)險評估環(huán)節(jié)就沒考 慮到的，那么審計發(fā)現(xiàn)問題又回過頭來指導(dǎo)風(fēng)險管理的完善。所負責部門，每個企業(yè)都不太一樣。有的是分設(shè)三個部門：風(fēng)險管理部、內(nèi)控部、審 計部。也有的將

2、這幾塊自由排列組合，也有放到一個部門的，甚至放到財務(wù)部底下的都有。風(fēng)險管理 內(nèi)部控制 風(fēng)險控制內(nèi)部審計是內(nèi)部控制的重要手段。內(nèi)部控制和內(nèi)部審計的互動共進，有效提升公司治理效率。內(nèi)部控制是內(nèi)部審計的“風(fēng)向標”，內(nèi)部審計是內(nèi)部控制的“測試儀”。 三者的本質(zhì)都是為了控制好風(fēng)險。三者區(qū)別是：1. 內(nèi)控是讓你好好開車別撞人， 也別開到溝里去， 它是一切風(fēng)險管理的基礎(chǔ)， 特別是治理層 面的內(nèi)部控制。2. 風(fēng)險管理是一個更廣的含義， 不僅僅是不撞人、 不翻車，更要保證方向是對的， 速度是合 適的，開車的方式是可持續(xù)的，還要保證盡量不被別人撞，萬一被撞要能扛得住3. 風(fēng)險管理包括內(nèi)部控制，但他們都不是一個部門

3、的事情，是一個組織行為。4. 審計是風(fēng)險管理的一種手段， 也是內(nèi)控要素中監(jiān)督要素的一種體現(xiàn)。 是風(fēng)險管理工作具體 落地的方式，和之前的兩個不在一個層面上。實務(wù)中全面的應(yīng)用到了風(fēng)險、 內(nèi)控與審計三個概念的， 主要是銀行業(yè)及部分工業(yè)企業(yè) （如核 電、采礦、化工等）。其他企業(yè)中實際上真正界定了這三個概念并付諸實施的其實很少。以下只針對銀行業(yè)有些皮毛理解，如下：對于銀行來說，三道防線的概念可以清晰的把風(fēng)險、內(nèi)控與審計聯(lián)系起來。三道防線示意圖風(fēng)險管理， 是一個相對宏觀的概念， 對于銀行來說，也可以說是經(jīng)營的本質(zhì)。銀行所面臨風(fēng) 險可分為市場風(fēng)險、 信用風(fēng)險、 操作風(fēng)險、流動性風(fēng)險等等。 這個區(qū)分方法一直在

4、修正和改 變，不再展開。上圖表達了銀行業(yè)風(fēng)險管理的一個典型權(quán)責架構(gòu)：自左至右，風(fēng)險逐層緩釋風(fēng)險來自于業(yè)務(wù)決策與業(yè)務(wù)操作， 業(yè)務(wù)部門作為風(fēng)險管理的 “第一責任人” 對于風(fēng)險管 控執(zhí)行具有實質(zhì)上的責任。業(yè)務(wù)部門深入理解市場、理解自身業(yè)務(wù)特點、理解業(yè)務(wù)需求、 理解潛在風(fēng)險所在。因此，業(yè)務(wù)部門有責任協(xié)助風(fēng)管及內(nèi)控部門識別風(fēng)險、設(shè)計控制。同 時，在業(yè)務(wù)執(zhí)行中，需嚴格執(zhí)行制度、標準、流程及控制。當風(fēng)險管理聚焦到操作風(fēng)險時， 所識別風(fēng)險及設(shè)計的控制，即內(nèi)控設(shè)計與，日常執(zhí)行所遵照的即內(nèi)部控制手冊及流程。體 現(xiàn)為日常工作即各種分權(quán)、授權(quán)、操作留痕。業(yè)務(wù)部門參與事前、事中風(fēng)險管理。 第二道防線，為風(fēng)險管理相關(guān)職能

5、部門，作為制度制定者，以風(fēng)險管理專業(yè)角度，制定制 度框架、內(nèi)控體系、設(shè)計緩釋方法、設(shè)計預(yù)警與監(jiān)控等等。與業(yè)務(wù)部門的區(qū)別在于，風(fēng)險 部門的視角在于風(fēng)險全控全局框架，而非單一業(yè)務(wù)。同時風(fēng)管部門也承擔了獨立的第三方 角色為管理層提供風(fēng)險管理咨詢與跨部門協(xié)調(diào)。風(fēng)險管理職能部門，較少出現(xiàn)在業(yè)務(wù)流程 中。視管理架構(gòu)不同，也可能存在派駐至業(yè)務(wù)部門的獨立中臺人員負責日常風(fēng)險控制預(yù)授 權(quán)（多見于交易部門）。第三道防線， 為審計。 包括專項審計， RCSA，ITRM 審計等等。 審計的目的在于以獨立身份， 檢查風(fēng)險管理相關(guān)制度是否合理，及是否依據(jù)制度執(zhí)行。內(nèi)控相關(guān)的典型審計項目如SOX，就會就內(nèi)控框架設(shè)計、手冊設(shè)

6、計、內(nèi)控執(zhí)行進行審計。依照內(nèi)控手冊逐一檢查控點是否完 備，并通過抽證據(jù)（日志、授權(quán)記錄等）方式檢查控制是否執(zhí)行。所以，審計的視野是整 個風(fēng)險控制體系（責任方在風(fēng)險職能部門）及風(fēng)險執(zhí)行結(jié)果（責任方在業(yè)務(wù)）。審計所處 的時點是事后，對于風(fēng)險管理來說，可能是未雨綢繆、也可能是亡羊補牢。對于管理層來 說，是業(yè)務(wù)穩(wěn)健合規(guī)執(zhí)行保障與信心。對于外部公眾來說，是財報可信的認證。審計、內(nèi)控、風(fēng)險管理三者之間的關(guān)系標 風(fēng)險管理側(cè)重的是“可能性” 。因此，風(fēng)險管理應(yīng)該是最早的環(huán)節(jié)，從企業(yè)整體評估風(fēng)險狀 況，找到應(yīng)對策略。 這其中，又可分為不可控風(fēng)險和可控風(fēng)險。不可控風(fēng)險通常通過風(fēng)險轉(zhuǎn) 移、保險、 風(fēng)險接受等方式進行

7、應(yīng)對；可控的風(fēng)險通常通過內(nèi)部控制手段進行應(yīng)對。所以內(nèi) 部控制本質(zhì)上就是企業(yè)管理中通過日常管控手段降低風(fēng)險的行為。那內(nèi)控執(zhí)行的效果如何， 就通過審計來檢查。 審計檢查完后有一些發(fā)現(xiàn)問題， 可能是最早風(fēng)險評估環(huán)節(jié)就沒考慮到的， 那么審計發(fā)現(xiàn)問題又回過頭來指導(dǎo)風(fēng)險管理的完善。所負責部門，每個企業(yè)都不太一樣。有的是分設(shè)三個部門：風(fēng)險管理部、內(nèi)控部、審計部。 也有的將這幾塊自由排列組合，也有放到一個部門的，甚至放到財務(wù)部底下的都有。風(fēng)險管理 內(nèi)部控制 風(fēng)險控制 內(nèi)部審計是內(nèi)部控制的重要手段。 內(nèi)部控制和內(nèi)部審計的互動共進， 有效提升公司治理效率。內(nèi)部控制是內(nèi)部審計的“風(fēng)向標” ， 內(nèi)部審計是內(nèi)部控制的“

8、測試儀” 。 三者的本質(zhì)都是為了控制好風(fēng)險。三者區(qū)別是：1. 內(nèi)控是讓你好好開車別撞人， 也別開到溝里去， 它是一切風(fēng)險管理的基礎(chǔ)， 特別是治理層 面的內(nèi)部控制。2. 風(fēng)險管理是一個更廣的含義， 不僅僅是不撞人、 不翻車，更要保證方向是對的， 速度是合 適的，開車的方式是可持續(xù)的，還要保證盡量不被別人撞，萬一被撞要能扛得住3. 風(fēng)險管理包括內(nèi)部控制，但他們都不是一個部門的事情，是一個組織行為。4. 審計是風(fēng)險管理的一種手段， 也是內(nèi)控要素中監(jiān)督要素的一種體現(xiàn)。 是風(fēng)險管理工作具體 落地的方式，和之前的兩個不在一個層面上。實務(wù)中全面的應(yīng)用到了風(fēng)險、 內(nèi)控與審計三個概念的， 主要是銀行業(yè)及部分工業(yè)

9、企業(yè) （如核 電、采礦、化工等） 。其他企業(yè)中實際上真正界定了這三個概念并付諸實施的其實很少。 以下只針對銀行業(yè)有些皮毛理解，如下： 對于銀行來說，三道防線的概念可以清晰的把風(fēng)險、內(nèi)控與審計聯(lián)系起來。三道防線示意圖風(fēng)險管理， 是一個相對宏觀的概念， 對于銀行來說，也可以說是經(jīng)營的本質(zhì)。銀行所面臨風(fēng) 險可分為市場風(fēng)險、 信用風(fēng)險、 操作風(fēng)險、流動性風(fēng)險等等。 這個區(qū)分方法一直在修正和改 變，不再展開。上圖表達了銀行業(yè)風(fēng)險管理的一個典型權(quán)責架構(gòu)： 自左至右，風(fēng)險逐層緩釋第一道防線，風(fēng)險來自于業(yè)務(wù)決策與業(yè)務(wù)操作，業(yè)務(wù)部門作為風(fēng)險管理的“第一責任人” 對于風(fēng)險管控執(zhí)行具有實質(zhì)上的責任。 業(yè)務(wù)部門深入理

10、解市場、 理解自身業(yè)務(wù)特點、 理解業(yè) 務(wù)需求、理解潛在風(fēng)險所在。因此， 業(yè)務(wù)部門有責任協(xié)助風(fēng)管及內(nèi)控部門識別風(fēng)險、設(shè)計控 制。同時，在業(yè)務(wù)執(zhí)行中，需嚴格執(zhí)行制度、標準、流程及控制。當風(fēng)險管理聚焦到操作風(fēng) 險時，所識別風(fēng)險及設(shè)計的控制， 即內(nèi)控設(shè)計與， 日常執(zhí)行所遵照的即內(nèi)部控制手冊及流程。 體現(xiàn)為日常工作即各種分權(quán)、授權(quán)、操作留痕。業(yè)務(wù)部門參與事前、事中風(fēng)險管理。 第二道防線，為風(fēng)險管理相關(guān)職能部門， 作為制度制定者，以風(fēng)險管理專業(yè)角度， 制定制度 框架、內(nèi)控體系、設(shè)計緩釋方法、設(shè)計預(yù)警與監(jiān)控等等。與業(yè)務(wù)部門的區(qū)別在于，風(fēng)險部門 的視角在于風(fēng)險全控全局框架， 而非單一業(yè)務(wù)。 同時風(fēng)管部門也承擔了獨立的第三方角色為 管理層提供風(fēng)險管理咨詢與跨部門協(xié)調(diào)。 風(fēng)險管理職能部門， 較少出現(xiàn)在業(yè)務(wù)流程中。 視管 理架構(gòu)不同， 也可能存在派駐至業(yè)務(wù)部門的獨立中臺人員負責日常風(fēng)險控制預(yù)授權(quán) （多見于 交易部門）。第三道防線，為審計。包括專項審計， RCSA，ITRM 審計等等。審計的目的在于以獨立身份， 檢查風(fēng)險管理相關(guān)制度是否合理，及是否依據(jù)制度執(zhí)行。內(nèi)控相關(guān)的典型審計項目如SOX，就會就內(nèi)控框架設(shè)計、 手冊設(shè)計、 內(nèi)控執(zhí)行進行審計。 依照內(nèi)