（大风控）

合规管理，可简称合规，多来自于企业组织的外部要求，例如国家法律法规、行业的监管规定等等。企业组织也会自己定立一些规章制度来约束各经营单位、部门、员工等的经营行为。合规可以起到最基本的抑制操作风险的作用。合规是企业经营的基本前提、底线目标，和企业相关“外规”，构成了企业经营的合规环境。

内部控制的最高目标是找到控制和效率的最佳平衡，支持公司高效平衡运转。它不但要求合规，还要考察“规”的状态（是否完善、是否有配套指引、执行过程是否完善），并在此基础上发展较完善的工具和方法（COSO框架）。企业要想健康、长远地发展，会主动完善自己的内控体系。

风险管理的最高目标是支持企业战略和经营目标的实现，是为实现企业的使命、愿景制定的中长期目标。企业组织面临的风险一般可以分为七大类，例如市场风险、操作风险等等。风险既可以来自外部也可以来自内部，内控不严也能产生舞弊风险。因此必须把风险管理的职能提升到高级管理层，必须设立独立于业务部门的风险管理部门。

在合规的基础上，企业通过完成日常的运营目标、实现年度经营绩效，从而支撑公司整体战略目标的实现，这就是企业价值创造的全过程。

业务领域是风险和内控的第一道防线，95%的风险在流程化作业中解决。

内控部门、合规部门、风险管理部门是风险防控的第二道防线，负责内控方法论建设及推广赋能、对跨流程跨领域高风险事项拉通管理，监督检查避免疏漏。

内审是风险防控的第三道防线，其独立评估，事后调查、对恶性事件，建立冷威慑。内审的检查方式很多种，其中穿透式的检查会涉及到整个业务流程。

从理论上说，内控、合规、风险管理更侧重过程管理以及前端管理，而内审更多地是对结果进行监督。

内控、风险管理和内审的最终目的都是为了促进企业组织达成管理目标或战略目标。

从控制方式方面总结，内部控制是事前预防和控制，因为制度与流程是为管理而生，为防止企业管理出现问题和错漏而制订；

风险管理主要在事中进行分析评价，风险评价的基本和内容也是内部控制和制度流程，作业过程的风险就属于事中控制；就算事后分析风险也是为了事中的管控；

内部审计，从三者关系而言，是事后的确认与评估。内审工作根据风险提示或结果，对内控相对应节点（关键控制点）进行确认，确认风险是否存在，是否产生损失，是否可化解或转移。

内审不能脱离企业组织的经营而存在。内控和风险管理需要从内审获得风险信息和风险判断、评估结果，以及实际或潜在的重大问题。

有人把内审比作企业组织的“免疫系统”，那么“免疫系统”是不能脱离企业组织“机体”而独立存在的。内控和风险管理要覆盖到整个机体，而内审就又像检查机体的“探测器”，在经过整个扫描之后，内审要深入具体某个局部进行问题的查找，并把问题信息反馈给内控和风险管理系统。