審計、內控、風險管理三者之間的關系標風險管理側重的是“可能性〞。因此，風險管理應該是最早的環節，從企業整體評估風險狀況，找到應對策略。這其中，又可分為不可控風險和可控風險。不可控風險通常通過風險轉移、保險、風險接受等方式進行應對；可控的風險通常通過內部控制手段進行應對。所以內部控制本質上就是企業管理中通過日常管控手段降低風險的行為。那內控執行的效果如何，就通過審計來檢查。審計檢查完后有一些發現問題，可能是最早風險評估環節就沒考慮到的，那么審計發現問題又回過頭來指導風險管理的完善。所負責部門，每個企業都不太一樣。有的是分設三個部門：風險管理部、內控部、審計部。也有的將這幾塊自由排列組合，也有放到一個部門的，甚至放到財務部底下的都有。風險管理——>內部控制——>風險控制內部審計是內部控制的重要手段。內部控制和內部審計的互動共進，有效提升公司治理效率。內部控制是內部審計的“風向標〞，內部審計是內部控制的“測試儀〞。三者的本質都是為了控制好風險。三者區別是：

1.內控是讓你好好開車別撞人，也別開到溝里去，它是一切風險管理的根底，特別是治理層面的內部控制。

2.風險管理是一個更廣的含義，不僅僅是不撞人、不翻車，更要保證方向是對的，速度是適宜的，開車的方式是可持續的，還要保證盡量不被別人撞，萬一被撞要能扛得住……

3.風險管理包括內部控制，但他們都不是一個部門的事情，是一個組織行為。

4.審計是風險管理的一種手段，也是內控要素中監督要素的一種表達。是風險管理工作具體落地的方式，和之前的兩個不在一個層面上。實務中全面的應用到了風險、內控與審計三個概念的，主要是銀行業及局部工業企業〔如核電、采礦、化工等〕。其他企業中實際上真正界定了這三個概念并付諸實施的其實很少。以下只針對銀行業有些皮毛理解，如下：

對于銀行來說，三道防線的概念可以清晰的把風險、內控與審計聯系起來。三道防線示意圖風險管理，是一個相對宏觀的概念，對于銀行來說，也可以說是經營的本質。銀行所面臨風險可分為市場風險、信用風險、操作風險、流動性風險等等。這個區分方法一直在修正和改變，不再展開。上圖表達了銀行業風險管理的一個典型權責架構：

自左至右，風險逐層緩釋

風險來自于業務決策與業務操作，業務部門作為風險管理的“第一責任人〞對于風險管控執行具有實質上的責任。業務部門深入理解市場、理解自身業務特點、理解業務需求、理解潛在風險所在。因此，業務部門有責任協助風管及內控部門識別風險、設計控制。同時，在業務執行中，需嚴格執行制度、標準、流程及控制。當風險管理聚焦到操作風險時，所識別風險及設計的控制，即內控設計與，日常執行所遵照的即內部控制手冊及流程。表達為日常工作即各種分權、授權、操作留痕。業務部門參與事前、事中風險管理。第二道防線，為風險管理相關職能部門，作為制度制定者，以風險管理專業角度，制定制度框架、內控體系、設計緩釋方法、設計預警與監控等等。與業務部門的區別在于，風險部門的視角在于風險全控全局框架，而非單一業務。同時風管部門也承當了獨立的第三方角色為管理層提供風險管理咨詢與跨部門協調。風險管理職能部門，較少出現在業務流程中。視管理架構不同，也可能存在派駐至業務部門的獨立中臺人員負責日常風險控制預授權〔多見于交易部門〕。第三道防線，為審計。包括專項審計，RCSA，ITRM審計等等。審計的目的在于以獨立身份，檢查風險管理相關制度是否合理，及是否依據制度執行。內控相關的典型審計工程如SOX，就會就內控框架設計、手冊設計、內控執行進行審計。依照內控手冊逐一檢查控點是否完備，并通過抽證據〔日志、授權記錄等〕方式檢查控制是否執行。所以，審計的視野是整個風險控制體系〔責任方在風險職能部門〕及風險執行結果〔責任方在業務〕。審計所處的時點是事后，對于風險管理來說，可能是未雨綢繆、也可能是亡羊補牢。對于管理層來說，是業務穩健合規執行保障與信心。對于外部公眾來說，是財報可信的認證。審計、內控、風險管理三者之間的關系標風險管理側重的是“可能性〞。因此，風險管理應該是最早的環節，從企業整體評估風險狀況，找到應對策略。這其中，又可分為不可控風險和可控風險。不可控風險通常通過風險轉移、保險、風險接受等方式進行應對；可控的風險通常通過內部控制手段進行應對。所以內部控制本質上就是企業管理中通過日常管控手段降低風險的行為。那內控執行的效果如何，就通過審計來檢查。審計檢查完后有一些發現問題，可能是最早風險評估環節就沒考慮到的，那么審計發現問題又回過頭來指導風險管理的完善。所負責部門，每個企業都不太一樣。有的是分設三個部門：風險管理部、內控部、審計部。也有的將這幾塊自由排列組合，也有放到一個部門的，甚至放到財務部底下的都有。風險管理——>內部控制——>風險控制內部審計是內部控制的重要手段。內部控制和內部審計的互動共進，有效提升公司治理效率。內部控制是內部審計的“風向標〞，內部審計是內部控制的“測試儀〞。三者的本質都是為了控制好風險。三者區別是：1.內控是讓你好好開車別撞人，也別開到溝里去，它是一切風險管理的根底，特別是治理層面的內部控制。2.風險管理是一個更廣的含義，不僅僅是不撞人、不翻車，更要保證方向是對的，速度是適宜的，開車的方式是可持續的，還要保證盡量不被別人撞，萬一被撞要能扛得住……3.風險管理包括內部控制，但他們都不是一個部門的事情，是一個組織行為。4.審計是風險管理的一種手段，也是內控要素中監督要素的一種表達。是風險管理工作具體落地的方式，和之前的兩個不在一個層面上。實務中全面的應用到了風險、內控與審計三個概念的，主要是銀行業及局部工業企業〔如核電、采礦、化工等〕。其他企業中實際上真正界定了這三個概念并付諸實施的其實很少。以下只針對銀行業有些皮毛理解，如下：對于銀行來說，三道防線的概念可以清晰的把風險、內控與審計聯系起來。三道防線示意圖風險管理，是一個相對宏觀的概念，對于銀行來說，也可以說是經營的本質。銀行所面臨風險可分為市場風險、信用風險、操作風險、流動性風險等等。這個區分方法一直在修正和改變，不再展開。上圖表達了銀行業風險管理的一個典型權責架構：自左至右，風險逐層緩釋第一道防線，風險來自于業務決策與業務操作，業務部門作為風險管理的“第一責任人〞對于風險管控執行具有實質上的責任。業務部門深入理解市場、理解自身業務特點、理解業務需求、理解潛在風險所在。因此，業務部門有責任協助風管及內控部門識別風險、設計控制。同時，在業務執行中，需嚴格執行制度、標準、流程及控制。當風險管理聚焦到操作風險時，所識別風險及設計的控制，即內控設計與，日常執行所遵照的即內部控制手冊及流程。表達為日常工作即各種分權、授權、操作留痕。業務部門參與事前、事中風險管理。第二道防線，為風險管理相關職能部門，作為制度制定者，以風險管理專業角度，制定制度框架、內控體系、設計緩釋方法、設計預警與監控等等。與業務部門的區別在于，風險部門的視角在于風險全控全局框架，而非單一業務。同時風管部門也承當了獨立的第三方角色為管理層提供風險管理咨詢與跨部門協調。風險管理職能部門，較少出現在業務流程中。視管理架構不同，也可能存在派駐至業務部門的獨立中臺人員負責日常風險控制預授權〔多見于交易部門〕。第三道防線，為審計。包括專項審計，RCSA，ITRM審計等等。審計的目的在于以獨立身份，檢查風險管理相關制度是否合理，及是否依據制度執行。內控相關的典型審計工程如SOX，就會就內控框架設計、手冊設計、內控執行進行審計。依照內控