一、内控、合规与风险管理

内控、合规和风险管理的概念在很多书籍以及网络上都有描述，这里不再剖析。我们仅仅从直观的感觉上来看看三者的关系。

内控更多地来自企业组织自身发展的管理需求。尽管外部监管部门会对企业，尤其是上市企业的内控有更具体的需求，但企业要想健康、长远地发展，会主动完善自己的内控体系。

合规管理，可简称合规，多来自于企业组织的外部要求，例如国家法律法规、行业的监管规定等等。企业组织也会自己定立一些规章制度来约束各经营单位、部门、员工等的经营行为，这也是合规。

风险管理，是企业组织面对经营中的风险采取的一系列管理措施。企业组织面临的风险一般可以分为七大类，例如市场风险、操作风险等等。风险既可以来自外部也可以来自内部。内控不严也能产生舞弊风险。

如上图所示，内控的范畴最小，合规的范畴要大些，风险管理的范畴更大。不是所有流程的所有环节都要有内控节点，而所有流程都要符合合规要求。而风险对企业组织来说，更具有复杂性和不可控性，尤其是外部风险。风险的范畴相对合规更大，合规风险就是众多风险中的一种。狭义地看，合规包含内控，风险管理又包含合规管理。

当然，如果从更多的角度看，内控、合规和风险管理并不是单纯的包含关系，可以互相有所交叉和渗透。合规中也有内控的要求，内控也是为了控制风险，降低合规风险也是风险管理的任务之一。

之所以在图中以包含的关系展示，是为了便于理解。实际工作中，为了便于组织和协作，我们可能对一些任务进行人为划分。例如审计项目中，我们可能会分为业务检查小组、财务检查小组、行政检查小组等，如果从一条完整的业务线来看，业务、财务、行政等环节都会涉及，这样划分主要从审计人员的知识结构、工作背景等方面来考虑的。

二、内审与内控、合规、风险管理

内审是风险防控的第三道防线，内控部门、合规部门、风险管理部门是风险防控的第二道防线。内审因为其独立性，会对企业组织的内控、合规管理和风险管理进行检查监督和评价。内审的检查方式很多种，其中穿透式的检查会涉及到整个业务流程。从理论上说，内控、合规、风险管理更侧重过程管理以及前端管理，而内审虽说也在往前端扩展，但因为其独立性不能参与具体操作，更多地是对结果进行监督。内审往前端扩展也是指审计范围向制度制定、方案、流程和系统设计等的结果扩展。内控、合规、风险管理部门是要制定制度和政策的，如果内审部门也参与制度和政策的制定，就失去了内审的独立性，也就很难发挥监督职能，也就不容易或不愿意发现制度和政策制定中存在的问题。

实务中，还有很多企业组织把内审与内控、合规、风险管理放在一个部门，使内审也参与到了具体操作；还有企业组织把内审和纪检、监察放在一个部门，把监督权和处罚权放在了一起。这也使对内审不了解的人，分不清内审与内控、合规、风险管理、纪检监察的区别。不过，存在也有其合理性。把内审与内控、合规等部门放在一起，虽然丧失了一些内审的独立性，但也会使监督和问题整改之间的距离缩短，管理措施能够更快落地。

三、广义的内控、风险管理又包含内审

如果从企业整体来看，内控、风险管理又包含内审，即内审又是内控和风险管理的重要手段和有机组成部分。内控、风险管理和内审的最终目的都是为了促进企业组织达成管理目标或战略目标。内审不能脱离企业组织的经营而存在。内控和风险管理需要从内审获得风险信息和风险判断、评估结果，以及实际或潜在的重大问题。

有人把内审比作企业组织的“免疫系统”，那么“免疫系统”是不能脱离企业组织“机体”而独立存在的。内控和风险管理要覆盖到整个机体，而内审就又像检查机体的“探测器”，在经过整个扫描之后，内审要深入具体某个局部进行问题的查找，并把问题信息反馈给内控和风险管理系统。所以，内审又是完善内控和风险管理体系的重要手段。

四、内审部门的定位

理论上，内审部门的定位可以很高大上，比如战略的推动者、风险第三道防线、管理咨询师等等。但内审最基本的定位应该是发现问题、揭示风险。即使是这最基本的地位还能再进一步地明确，发现什么问题？揭示什么风险？企业组织不同的发展阶段、不同的经营模式和策略，都需要内审部门重新审视和调整自己的定位。定位很重要，定位就像阶梯，虽然方向是对的，如果阶梯之间的距离过大或过小，都会对内审部门的发展产生影响。阶梯之间的距离过大，内审部门就很难迈过去，阶梯之间的距离过小，就会减缓内审部门前进的速度。