风控基础—— 合规、内控、风控、内审概念及相互关系

PART 00-前言

合规、内控、风控、内审这几个概念放在一起常常会令我们眼花缭乱，无论是在新闻媒体、财经评论，还是在企业财务管理、会计审计等方面的工作和培训，我们都经常会看到这几个词。大家是否也常常觉得这几个概念很接近，又有点混淆不清。

今天探讨一下合规、内控、风控这几个概念之间的区别和联系。

PART 01-合规

（一） 合规的三个层面

合规主要强调是符合规定，包括三个层面，也就是说大家对合规的理解可以分为三个层次。

第一个层面主要是强调企业遵循相应的法律法规，这个是底线。企业经营也好，业务活动也好，相应的投融资业务流程，都必须遵循最最基本的法律的底线。

第二个层面的合规就是需要遵循企业内部各项管理、规章制度、内控要求、操作流程等等。大家一般听到企业在经营管理中所提及的合规，主要指的是这个第二层面的合规，即对企业的规章制度的相应的遵循。

第三个层面的合规是最高要求。不仅仅指对企业成文的规章制度，内控要求，管理流程等等相应的遵循，更强调对职业道德的遵循。无论你是做什么工作，销售、采购、财务、人力资源等等，都强调对职业道德方面的遵循，这是最高层次的合规。

（二） 合规的侧重点

合规的侧重点主要强调对于形式上的遵循、完备和符合。

举财务的例子，业务员报销费用时，财务会要求出具原始的发票，发票背后要有经办人的签字，要有报销的汇总单，汇总单上要有分管领导的签字，还要有主管领导的签字。这些文件都完备了，再拿到财务这边审核，通过后可以给予报销相应的费用。

合规就是强调以上提及的文件是否完备。只要发票真实，发票的内容、形式符合企业要求，各项签字完整，那么这个报销流程就合规了。所以合规的侧重点并不在这个问题的实质本身，也不在这个问题的结果，而在于这个形式是否完备，是否符合规定。

合规是一种最低层次的，或者说最基本的要求。

PART 02-内控

（一） 企业内控体系的五个要素

比合规的要求更高一些的就是内控。内控指的是内部控制，强调的是企业应该构建起一个对于相关风险的防范体系，如同人体的免疫系统，以此防范企业中出现一些坏人坏事，出现潜在的风险点，演变发展给企业造成损失。

企业的内控体系包括以下5个要素：

最基本的是控制环境，在相应的控制环境基础上进行风险评估，主要是要识别出潜在风险点，针对潜在风险点我们应该采用相应的控制流程，对潜在风险点进行相应的控制和应对。

最后，企业还有还要有一个监控体系，管着整个控制活动，看它是不是能够真实有效的在运转。与此同时还有一个要素，就是企业从上到下相应的信息与沟通体系有没有足够完备。

基于以上五大要素，就可以构建起比较完善有效的企业内部控制体系。

内控体系更多强调的是关于风险的防范，对于合规不合规已经不是他的侧重点，内控侧重点在于防范潜在的风险点，

一个企业内存在着各种各样具体的业务活动流程，比如采购与付款流程、销售与收款流程、企业的资金循环流程、固定资产管理、存货管理、合同管理、投融资管理、对外担保管理、业务外包管理等等，这些都是企业的具体业务活动。

这些具体业务循环中会存在相应的潜在风险点，企业就要通过内部控制相应的工具与方法，对潜在风险点进行规避和妥善处理。

（二） 内控的侧重点

内控的侧重点是在对企业内外部风险的防范。

对内，是在防止有人干坏事，防止有人利用工作之便贪便宜。对外部是针对汇率风险、设备风险、竞争的风险、技术风险等等。

内控归纳起来就是以业务循环作为主要对象，要运有效运用相应的工具和方法进行制度设计，防止经营过程中的这些潜在风险。

PART 03-风控

（一）风控VS内控

比内控还要再升级就到了风控，风控强调的是企业全面的风险管理体系，要建立起一个完整有效的风险应对体系，高效地去应对各种风险。这之中既可能有经济风险，也包括政治社会技术竞争、自然灾害等等，内外部相应的风险都要注意。

内控更多强调地是一些潜在风险点。风控不仅要注意业务活动中的风险，对于战略设计、企业发展方向等高层次宏观的风险，风控也要加以管理和控制。

内部风险、经济风险、业务活动是内控比较侧重的方面，而再往上发展一层，面对外部风险、政治社会技术的风险、战略风险，就是全面风险管理比较关注的内容。

所以我们可以看到风控无论是在层级上还是在范畴上都比内控要求要更高一个层次，是内控的升级版本。

▲回顾一下

合规是底线，形式上必须符合要求，是基础的要求。然后在合规的基础上透过现象看本质，就是用完善的内控系统去穿透合规的形式，看到票据背后是不是真的存在这些经济活动，真的是符合要求的管理活动。所以说内控是合规的最高形式。

风控是在内控的基础上再升级一个版本，风控是一个全面系统，完整的内部控制。

大家在实际工作中也可以去梳理，本企业目前的风险管理的工作处于哪一个层面？比如合规层面要不要加强，内控层面现在做的是哪些制度啊，有没有考虑到风控层面等等。理清了概念之后，就能够更清晰地界定自己的工作内容和工作方向。

PART 04-内审

（一）外审和内审的区别

还有一个与前面三者非常接近的概念叫内审。

审计的本质是评价和见证活动。财务经常会涉及审计工作，也经常会和审计师打交道，大多数人以往在学校里、课堂上学到的审计更多强调是一种见证，尤其是做财务工作会接触比较多的审计基本都是外部审计（外审）。

外审指的是企业聘请外部会计师事务所来对公司财务状况和经营状况做“审查”。内审和外审的区别还是比较大的，外审是要来见证会计报表做得合不合准则，有没有达到真实公认的要求。内审也是做评价和见证工作，但远远不止于此。

内审主要看各项业务活动是不是符合企业管理的规章制度，是不是符合内部控制要求、风险控制的要求和业务流程的相应规定。所以内审是对企业内部经营活动的一种监督和检查，也是一种评价。

（二）内审的侧重点

同时在前面的基础上，内审不应仅限于评价，它还应该拓展给出解决方案，指出漏洞不是最终目标，内审更重要的是要提出优化改进的方案。可以将内审看作企业内部的管理咨询公司，在企业内部通过不断的检查监督发现问题并进而解决问题。

所以内审工作由监察和咨询两部分组成，强调发现漏洞并解决漏洞，也可以理解为内审是对前面合规、内控、风控这些内控活动的一个事后的监督和评价。

▲最后我们闭环起来总结一下，企业有四项和风险管理相关的工作。

首先，合规是最基本的，内控是主体，风控是更高层面的，最后，内审是对前面三项工作的一种监督检查以及完善。