審計、內(nèi)控、風險管理三者之間的關系

1、歡迎閱讀審計、內(nèi)控、風險管理三者之間的關系標風險管理側(cè)重的是“可能性”。因此，風險管理應該是最早的環(huán)節(jié)，從企業(yè) 整體評估風險狀況，找到應對策略。這其中，又可分為不可控風險和可控風險。 不可控風險通常通過風險轉(zhuǎn)移、保險、風險接受等方式進行應對；可控的風險通 常通過內(nèi)部控制手段進行應對。所以內(nèi)部控制本質(zhì)上就是企業(yè)管理中通過日常管 控手段降低風險的行為。那內(nèi)控執(zhí)行的效果如何，就通過審計來檢查。審計檢查 完后有一些發(fā)現(xiàn)問題，可能是最早風險評估環(huán)節(jié)就沒考慮到的，那么審計發(fā)現(xiàn)問 題又回過頭來指導風險管理的完善。所負責部門，每個企業(yè)都不太一樣。有的是分設三個部門：風險管理部、內(nèi) 控部、審計部。也有的將這幾塊

2、自由排列組合，也有放到一個部門的，甚至放到 財務部底下的都有。風險管理一一 內(nèi)部控制一一 風險控制內(nèi)部審計是內(nèi)部控制的重要手段。內(nèi)部控制和內(nèi)部審計的互動共進，有效提升公司治理效率。內(nèi)部控制是內(nèi)部審計的“風向標”，內(nèi)部審計是內(nèi)部控制的“測試儀”。三者的本質(zhì)都是為了控制好風險。三者區(qū)別是：1.1. 內(nèi)控是讓你好好開車別撞人，也別開到溝里去，它是一切風險管理的基礎，特 別是治理層面的內(nèi)部控制。2.2. 風險管理是一個更廣的含義，不僅僅是不撞人、不翻車，更要保證方向是對的，速度是合適的，開車的方式是可持續(xù)的，還要保證盡量不被別人撞，萬一被撞要 能扛得住3.3. 風險管理包括內(nèi)部控制，但他們都不是一個部

3、門的事情，是一個組織行為。4.4. 審計是風險管理的一種手段，也是內(nèi)控要素中監(jiān)督要素的一種體現(xiàn)。是風險管 理工作具體落地的方式，和之前的兩個不在一個層面上。實務中全面的應用到了風險、內(nèi)控與審計三個概念的，主要是銀行業(yè)及部分工業(yè) 企業(yè)（如核電、采礦、化工等）。其他企業(yè)中實際上真正界定了這三個概念并付 諸實施的其實很少。以下只針對銀行業(yè)有些皮毛理解，如下：歡迎閱讀對于銀行來說，三道防線的概念可以清晰的把風險、內(nèi)控與審計聯(lián)系起來三道防線示意圖風險管理，是一個相對宏觀的概念，對于銀行來說，也可以說是經(jīng)營的本質(zhì)。銀 行所面臨風險可分為市場風險、信用風險、操作風險、流動性風險等等。這個區(qū) 分方法一直在修正

4、和改變，不再展開。上圖表達了銀行業(yè)風險管理的一個典型權責架構：自左至右，風險逐層緩釋? ?風險來自于業(yè)務決策與業(yè)務操作，業(yè)務部門作為風險管理的“第一責任人” 對于風險管控執(zhí)行具有實質(zhì)上的責任。業(yè)務部門深入理解市場、理解自身業(yè)務 特點、理解業(yè)務需求、理解潛在風險所在。因此，業(yè)務部門有責任協(xié)助風管及 內(nèi)控部門識別風險、設計控制。同時，在業(yè)務執(zhí)行中，需嚴格執(zhí)行制度、標準、 流程及控制。當風險管理聚焦到操作風險時，所識別風險及設計的控制，即內(nèi) 控設計與，日常執(zhí)行所遵照的即內(nèi)部控制手冊及流程。體現(xiàn)為日常工作即各種 分權、授權、操作留痕。業(yè)務部門參與事前、事中風險管理。第二道防線，為風險管理相關職能部門，

5、作為制度制定者，以風險管理專業(yè)角 度，制定制度框架、內(nèi)控體系、設計緩釋方法、設計預警與監(jiān)控等等。與業(yè)務 部門的區(qū)別在于，風險部門的視角在于風險全控全局框架，而非單一業(yè)務。同 時風管部門也承擔了獨立的第三方角色為管理層提供風險管理咨詢與跨部門協(xié) 調(diào)。風險管理職能部門，較少出現(xiàn)在業(yè)務流程中。視管理架構不同，也可能存 在派駐至業(yè)務部門的獨立中臺人員負責日常風險控制預授權（多見于交易部 門）。第三道防線，為審計。包括專項審計，RCSARCSA ITRMITRM 審計等等。審計的目的在于以獨立身份，檢查風險管理相關制度是否合理，及是否依據(jù)制度執(zhí)行。內(nèi)控相 關的典型審計項目如 SOXSOX 就會就內(nèi)控框架

6、設計、手冊設計、內(nèi)控執(zhí)行進行審 計。依照內(nèi)控手冊逐一檢查控點是否完備，并通過抽證據(jù)（日志、授權記錄等） 方式檢查控制是否執(zhí)行。所以，審計的視野是整個風險控制體系（責任方在風 險職能部門）及風險執(zhí)行結果（責任方在業(yè)務）。審計所處的時點是事后，對 于風險管理來說，可能是未雨綢繆、也可能是亡羊補牢。對于管理層來說，是 業(yè)務穩(wěn)健合規(guī)執(zhí)行保障與信心。對于外部公眾來說，是財報可信的認證。歡迎閱讀 審計、內(nèi)控、風險管理三者之間的關系標風險管理側(cè)重的是“可能性”。因此，風險管理應該是最早的環(huán)節(jié)，從企業(yè)整體 評估風險狀況，找到應對策略。這其中，又可分為不可控風險和可控風險。不可 控風險通常通過風險轉(zhuǎn)移、保險、風

7、險接受等方式進行應對；可控的風險通常通 過內(nèi)部控制手段進行應對。 所以內(nèi)部控制本質(zhì)上就是企業(yè)管理中通過日常管控手 段降低風險的行為。那內(nèi)控執(zhí)行的效果如何，就通過審計來檢查。審計檢查完后 有一些發(fā)現(xiàn)問題，可能是最早風險評估環(huán)節(jié)就沒考慮到的， 那么審計發(fā)現(xiàn)問題又 回過頭來指導風險管理的完善。所負責部門，每個企業(yè)都不太一樣。有的是分設三個部門：風險管理部、內(nèi)控部、 審計部。也有的將這幾塊自由排列組合， 也有放到一個部門的，甚至放到財務部 底下的都有。風險管理一一 內(nèi)部控制一一 風險控制內(nèi)部審計是內(nèi)部控制的重要手段。內(nèi)部控制和內(nèi)部審計的互動共進，有效提升公司治理效率。內(nèi)部控制是內(nèi)部審計的“風向標”，內(nèi)

8、部審計是內(nèi)部控制的“測試儀”。三者的本質(zhì)都是為了控制好風險。三者區(qū)別是：1.1. 內(nèi)控是讓你好好開車別撞人，也別開到溝里去，它是一切風險管理的基礎，特 別是治理層面的內(nèi)部控制。2.2. 風險管理是一個更廣的含義，不僅僅是不撞人、不翻車，更要保證方向是對的， 速度是合適的，開車的方式是可持續(xù)的，還要保證盡量不被別人撞，萬一被撞要 能扛得住3.3. 風險管理包括內(nèi)部控制，但他們都不是一個部門的事情，是一個組織行為。4.4. 審計是風險管理的一種手段，也是內(nèi)控要素中監(jiān)督要素的一種體現(xiàn)。是風險管 理工作具體落地的方式，和之前的兩個不在一個層面上。實務中全面的應用到了風險、內(nèi)控與審計三個概念的，主要是銀

9、行業(yè)及部分工業(yè) 企業(yè)（如核電、采礦、化工等）。其他企業(yè)中實際上真正界定了這三個概念并付 諸實施的其實很少。以下只針對銀行業(yè)有些皮毛理解，如下：對于銀行來說，三道防線的概念可以清晰的把風險、內(nèi)控與審計聯(lián)系起來。三道防線示意圖風險管理，是一個相對宏觀的概念，對于銀行來說，也可以說是經(jīng)營的本質(zhì)。銀 行所面臨風險可分為市場風險、信用風險、操作風險、流動性風險等等。這個區(qū) 分方法一直在修正和改變，不再展開。上圖表達了銀行業(yè)風險管理的一個典型權責架構：自左至右，風險逐層緩釋第一道防線，風險來自于業(yè)務決策與業(yè)務操作， 業(yè)務部門作為風險管理的“第 一責任人”對于風險管控執(zhí)行具有實質(zhì)上的責任。業(yè)務部門深入理解市

10、場、理解 自身業(yè)務特點、理解業(yè)務需求、理解潛在風險所在。因此，業(yè)務部門有責任協(xié)助 風管及內(nèi)控部門識別風險、設計控制。同時，在業(yè)務執(zhí)行中，需嚴格執(zhí)行制度、 標準、流程及控制。當風險管理聚焦到操作風險時，所識別風險及設計的控制， 即內(nèi)控設計與，日常執(zhí)行所遵照的即內(nèi)部控制手冊及流程。 體現(xiàn)為日常工作即各 種分權、授權、操作留痕。業(yè)務部門參與事前、事中風險管理。歡迎閱讀第二道防線，為風險管理相關職能部門，作為制度制定者，以風險管理專業(yè)角度， 制定制度框架、內(nèi)控體系、設計緩釋方法、設計預警與監(jiān)控等等。與業(yè)務部門的 區(qū)別在于，風險部門的視角在于風險全控全局框架， 而非單一業(yè)務。同時風管部 門也承擔了獨立的第三方角色為管理層提供風險管理咨詢與跨部門協(xié)調(diào)。風險管理職能部門，較少出現(xiàn)在業(yè)務流程中。視管理架構不同，也可能存在派駐至業(yè)務 部門的獨立中臺人員負責日常風險控制預授權（多見于交易部門）。第三道防線，為審計。包括專項審計， RCSARCSA ITRMITRM 審計等等。審計的目的在于 以獨立身份，檢查風險管理相關制度是否合理，及是否依據(jù)制度執(zhí)行。內(nèi)控相關 的典型審計項目如 SOXSOX 就會就內(nèi)控框架設計、手冊設計、內(nèi)控執(zhí)行進行審計。 依照