淺析風控內(nèi)控內(nèi)審的關系

吳堅

（浙江姬存希化妝品有限公司，浙江 寧波 315100）

A股上市公司自2012年1月1日起全面執(zhí)行內(nèi)部控制，經(jīng)過近十年的發(fā)展，非上市大中型企業(yè)甚至中小企業(yè)均開始重視內(nèi)控文化的建設，使企業(yè)經(jīng)營活動做到有制度可依、有章可循，同時可以提升投資者、客戶及供應商的信任度，有利于外部資源的合作支持。但在企業(yè)中實行風控、內(nèi)控、內(nèi)審的時間并不長，以下從概念、職責等方面來區(qū)分三者之間的聯(lián)系及區(qū)別。

一、從概念上分析

（一）企業(yè)風控即全面風險管理。是指企業(yè)圍繞總體經(jīng)營目標，通過執(zhí)行風險管理的基本流程，建立健全全面風險管理體系，包括風險管理策略、風險理財措施、風險管理的組織職能體系、風險管理信息系統(tǒng)和內(nèi)部控制系統(tǒng)。

企業(yè)的風險可以分為外部風險和內(nèi)部風險，其中內(nèi)部風險主要包括戰(zhàn)略風險、運營風險、財務風險等。

（二）內(nèi)部控制。是由企業(yè)董事會、監(jiān)事會、經(jīng)理層和全體員工實施的、旨在實現(xiàn)控制目標的過程。

內(nèi)部控制是被組織管理層使用的流程，用以確保按照規(guī)定的要求執(zhí)行組織的任務、政策、程序、計劃和遵從適用的法律法規(guī)。而合規(guī)風險為企業(yè)組織集體行為和代表企業(yè)組織的個人行為是否遵守法律法規(guī)或內(nèi)部規(guī)章制度的不確定性。

（三）內(nèi)部審計。是指組織內(nèi)部的一種獨立客觀的監(jiān)督和評價活動，它通過審查和評價經(jīng)營活動及內(nèi)部控制的適當性、合法性和有效性來促進組織目標的實現(xiàn)。而內(nèi)部控制評價，則是對企業(yè)內(nèi)部控制設計與運行的有效性進行審計。

從概念上分析，風險管理包含了內(nèi)部控制，內(nèi)部控制主要對內(nèi)部風險中的運營風險和財務風險使用流程管控、制度或操作細則這些手段來進行風險管理，內(nèi)部控制是風險管理的其中一種手段、一種形式；內(nèi)部控制也包含了合規(guī)，合規(guī)在于有一條明確的違規(guī)界線來評價一個行為，屬于內(nèi)控中最基本、最嚴格的部分；內(nèi)部審計是完全獨立于風控、內(nèi)控的，它是對內(nèi)部控制、風險管理進行評價和改善，確保公司治理流程的有效性，幫助企業(yè)實現(xiàn)其戰(zhàn)略目標。

二、從職責上分析

（一）風險管理緊密聯(lián)系企業(yè)戰(zhàn)略，高層參與承擔相關責任，“自上而下”地識別、評估風險，并進行風險預警和及時處理，是事前、基于未來的一種管理。

（二）內(nèi)部控制從管理層自上而下擴展，保證各級員工按照管理層的意圖正確地執(zhí)行各項運營活動；也從員工自下而上反饋需要關注和解決的問題以及例外事項，幫助管理層采用糾正運營缺陷所需的任何措施，主要從事先進行控制。

（三）內(nèi)控評價主要關注流程的合規(guī)性，以生產(chǎn)經(jīng)營活動為重點，兼顧控制手段，“自下而上”地認定內(nèi)部控制缺陷，并建立整改機制，是對當下和過去的檢查和控制。

但在實際操作中，相關部門行使風險管理、內(nèi)控評價的職能時，風險點的評估歸納與定級是業(yè)務部門完成的，內(nèi)控評價往往由業(yè)務部門自評，這就需要一個獨立的監(jiān)督部門來進行復核評定。

（四）內(nèi)部審計是作為一個完全獨立的行使復核職能存在的，內(nèi)審人員依據(jù)歷史數(shù)據(jù)自主的選擇一個認為應該被調(diào)查的領域，在調(diào)查中收集原始數(shù)據(jù)并復核相關流程，對既有風險提出改進意見，控制減少損失，是事后控制手段。

三、合規(guī)、內(nèi)控、風控的關系

從風險管控層級上來說，風控>內(nèi)控>合規(guī)。合規(guī)僅確保公司各項生產(chǎn)經(jīng)營活動遵循內(nèi)外部的法律、制度、條例、規(guī)范、指引等，而內(nèi)控不但要求合規(guī)，還要考察“規(guī)”的完整度，考慮制度設計的有效性。風控更要求設立獨立于業(yè)務部門的風險管理部門，把風險管理的職能提升到管理層，從管理層的高度來檢視風險，防微杜漸。

四、風控、內(nèi)控、內(nèi)審的區(qū)別與聯(lián)系

（一）風控是企業(yè)在收集風險管理初始信息的基礎上進行風險評估，圍繞企業(yè)發(fā)展戰(zhàn)略，確定風險偏好、風險承受度、風險管理有效性標準，制訂相應的風險管理策略，提出風險解決方案，并對風險管理效果進行監(jiān)督評價。從該意義上來說風控為內(nèi)控提供了理論基礎，為內(nèi)審提供了邏輯和方向，集理論基礎-風險評估-風險應對-監(jiān)督改進于一體。

（二）內(nèi)控作為風險的內(nèi)部解決方案的一種，圍繞風險管理策略目標，針對各項業(yè)務管理及重要的業(yè)務流程，通過執(zhí)行風險管理基本流程，制定并執(zhí)行規(guī)章制度、程序和措施。內(nèi)控依賴于風控，作為對識別出的內(nèi)部風險的一種應對手段，從公司層面和業(yè)務層面對運營風險和財務風險進行評估和控制，提供企業(yè)管理制度和流程。

而風險管理是內(nèi)部控制的延伸和升華，對外部風險、內(nèi)部風險、公司戰(zhàn)略等多方面進行關注，從風險管理策略、風險理財措施、風險管理信息系統(tǒng)等多維度解決企業(yè)風險。

（三）風險管理評價對包括風險管理職能部門在內(nèi)的各種有關部門和業(yè)務單位按照有關規(guī)定開展風險管理工作及其工作效果進行監(jiān)督評價，出具風險管理評估和建議專項報告。

內(nèi)控評價根據(jù)風險提示或結(jié)果，對內(nèi)控相對應節(jié)點（關鍵控制點）進行確認，確認存在的風險及產(chǎn)生的損失，并提出改進意見。風險管理評價和內(nèi)控評價，與盡職調(diào)查、專項審計、績效審計、年度審計、離任審計等一起組成了企業(yè)的內(nèi)審工作。

就企業(yè)內(nèi)部管理而言，風控、內(nèi)控和內(nèi)審都是基于治理、監(jiān)管等因素下的“產(chǎn)品”，都與風險有關，通過識別、評估、糾正等方式來控制企業(yè)風險。風險管理服務于戰(zhàn)略目標，內(nèi)部控制服務于運營目標，而內(nèi)部審計對兩者不斷進行修正，共同促進企業(yè)經(jīng)營目標的實現(xiàn)。