审计、内控、风险管理三者之间的关系标风险管理侧重的是“可能性”
因此,风险管理应该是最早的环节,从企业整体评估风险状况, 找到应对策略
这其中,又可分为不可控风险和可控风险
不可控风险通常通过风险转移、保险、风险接受等方式进行应对;可控的风险通常通过内部控制手段进行应对
所以内部控制本质上就是企业管理中通过日常管控手段降低风险的行为
那内控执行的效果如何, 就通过审计来检查
审计检查完后有一些发现问题,可能是最早风险评估环节就没考虑到的,那么审计发现问题又回过头来指导风险管理的完善
所负责部门,每个企业都不太一样
有的是分设三个部门:风险管理部、内控部、审计部
也有的将这几块自由排列组合,也有放到一个部门的,甚至放到财务部底下的都有
风险管理—— >内部控制—— >风险控制内部审计是内部控制的重要手段
内部控制和内部审计的互动共进,有效提升公司治理效率
内部控制是内部审计的“风向标”,内部审计是内部控制的“测试仪”
三者的本质都是为了控制好风险
三者区别是:1
内控是让你好好开车别撞人,也别开到沟里去, 它是一切风险管理的基础,特别是治理层面的内部控制
风险管理是一个更广的含义,不仅仅是不撞人、不翻车,更要保证方向是对的,速度是合适的,开车的方式是可持续的,还要保证尽量不被别人撞,万一被撞要能扛得住⋯⋯3
风险管理包括内部控制,但他们都不是一个部门的事情,是一个组织行为
审计是风险管理的一种手段,也是内控要素中监督要素的一种体现
是风险管理工作具体落地的方式,和之前的两个不在一个层面上
实务中全面的应用到了风险、内控与审计三个概念的,主要是银行业及部分工业企业(如核电、采矿、化工等)
其他企业中实际上真正界定了这三个概念并付诸实施的其实很少
以下只针对银行业有些皮毛理解,如下:对于银行来说,三道防线的概念可以清晰的把风险、内控与审计联系起来
三道防线示意图风
