在许多企业中，风险管理与内部控制常被视为两套平行轨道。管理层讨论风险时强调战略与不确定性，而谈到内部控制时则落到制度、流程与合规。但从审计的角度看，这两者其实是镜像关系：风险决定控制的方向与力度，控制则是风险管理的落脚点与抓手。

COSO《企业风险管理框架》明确指出，风险管理的核心在于识别可能影响目标实现的不确定性，并在风险偏好与容忍度内进行应对。这意味着，内部控制不是抽象存在，而是风险处方的执行药方。

例如：

如果企业面临汇率波动风险，风险管理的选择是规避还是对冲，就决定了内部控制该设置何种流程（比如远期合约审批、风险敞口监控）。

如果企业担心供应商舞弊风险，风险管理的策略可能是分散供应链，那么内部控制就要落实在供应商准入、合同审查、付款审批上。

没有风险识别，控制就容易异化为合规清单；而脱离控制的风险管理，则只是一纸报告。

控制是风险的制度化答案

内部控制往往被误解为降低舞弊的工具。实际上，COSO《内部控制框架》指出，控制的五要素（环境、风险评估、控制活动、信息沟通、监督）构成的是一整套 制度化应对机制。

从审计的角度看，内部控制的价值在于：

将风险应对具体化：把风险接受风险缓释翻译为审批流、限额、双签、监控等制度安排。

提供可验证的证据：让风险管理不止于战略意图，而能通过测试与审查来证明其有效性。

构成问责链条：谁在流程中履责，谁对偏差负责，形成责任闭环。

所以，内部控制不是风险管理的替代，而是风险管理的可审计语言。

在实践中，内部审计经常发现风险与控制存在错位现象：

1. 风险升级，控制滞后例如企业业务全球化，但内部控制还停留在国内财务合规层面。结果导致跨境合规风险无人覆盖。

2. 控制繁多，风险空白部分企业控得很细，但未必与重大风险对接。比如对差旅报销盯得很紧，却忽视了信息安全外包的高风险点。

3. 责任界限模糊风险管理部门和内部控制部门各自为政，第一线与第二线重叠，最后都等着审计来兜底。

这种错位恰恰说明：风险管理和内部控制如果不在同一治理逻辑下融合，企业的防线就会出现盲区。

从治理层看，风险管理与内部控制需要一个共同的接口，这个接口就是 董事会及其审计委员会。

风险管理 提供战略与全局视野，告诉组织哪些威胁和机遇最关键。

内部控制 提供执行与制度保障，确保风险应对不是口号，而是可以监督的机制。

内部审计 在其中发挥关键朋友作用：既不替代管理层决策，也不局限于流程合规，而是检查二者是否对齐，是否存在盲点。

换句话说，审计不负责替企业规避风险，而是确认风险管理与内部控制之间的桥梁是否坚固。

站在审计视角，风险管理与内部控制的关系并不是孰轻孰重，而是彼此成全。风险没有控制就会悬空，控制没有风险就会僵化。审计的任务，就是在二者之间发现错位与断层，推动它们在治理框架下重新对齐。

从风险管理与内部控制的互动关系出发，内部审计的实务启示至少有三点：

1. 不要把风险当报告、把控制当清单审计人要警惕形式化的倾向。风险管理不是报告数量，内部控制也不是制度厚度。关键在于两者是否对齐，是否真正覆盖企业的核心不确定性。

2. 在错位中寻找切入口很多有价值的审计发现，并不是源自流程中的小瑕疵，而是风险与控制的错位。例如：战略层面已经调整，但控制流程还停留在旧模式；或控制设置繁琐，却对重大风险无动于衷。审计人要敢于在这些断层中提出问题。

3. 把视角提升到治理层内部审计不只是核查执行细节，更要评估董事会、审计委员会是否真正理解风险与控制的关系。只有治理层面重视，企业才能形成完整的闭环。

审计人的价值，不是帮管理层多发现几个差错，而是推动风险管理与内部控制真正融合，避免组织陷入战略在天上飞、控制在地上趴的结构性失控。