公司存在的目的：生存、發展、獲利。公司要實現其目的，內審、內控、風控可以說是公司的“防火墻”、“保健醫生”。內審、內控、風控的落腳點要導向組織的戰略目標、遠景、規劃，從近處說，要服務組織某階段的發展目標（短期目標），從這個角度分析，三者目標導向是一致的。

合規、內控、風控的關系

一、風險管控的層級：合規-內控-風控

（1）合規是“打基礎”

合規的核心：“確保公司各項生產經營活動遵循內外部的法律、制度、條例、規范、指引等”

合規的產出：合規可以起到最基本的抑制操作風險的作用

合規的短板：只能發現問題而不能解決問題

（2）內控是合規的“最高等級”

內控的核心：不但要求合規，還要考察“規”的狀態（是否完善、是否有配套指引、執行過程是否完善）

內控的重點：與合規相比，合規注重結果，內控重視過程。并在此基礎上發展較完善的工具和方法（COSO框架）

內控的優點：內控是抑制操作層面風險的最佳手段

內控的缺點：內控對需要站在一定管理高度的風險（如戰略風險等）無能為力。（例如內控無法衡量資本市場波動會給公司帶來多大風險）

（3）風控管理是風險管控的“最高形式”

風控管理的核心：“兩個必須”

必須把風險管理的職能提升到高級管理層

必須設立獨立于業務部門的風險管理部門

公司內各類風險相對分散、獨立，設立統一的部門，站在管理層的高度來對風險進行檢視，才能避免“頭痛醫頭腳痛醫腳”。

二、風控與內控的異同

（1）相同點

風控與內控本質上都是通過評估、防范、控制企業風險，從而促進企業經營目標的實現。

（2）不同點

第一兩者審視風險的角度不同

       風控主要圍繞企業戰略經營目標，“自上而下”地辨識、評估、分析風險，并提出風險預警防范和應急管理的策略和措施。

內控主要從流程合規、反舞弊角度出發，“自下而上”地診斷招標采購、銷售、資金等具體運營流程中的內部控制缺陷，并進行整改。

風控好比企業的“保健醫生”，主要職責是“治未病”。內控好比企業的“急診醫生”，主要職責是“治已病”。

第二兩者處置風險的工具不同

       風控主要采用風險地圖、流程數據分析、調查問卷、控制分析、專家評分等工具。隨著企業信息化程度的逐漸提高，以數據分析為核心的量化風險分析、風險評估指標體系（如REI指數）等越來越受到重視。

       內控主要采用例行審計、專項審計、合規檢查等形式，主要使用穿行測試、控制測試等工具，診斷重點業務、重要流程的內部控制設計及運行缺陷。

目標導向一致：戰略目標導向

       內審、內控、風控都是基于治理、監管等因素下的“產品”，繼續追溯產生的動因。

       從內部角度分析，兩權分立（所有權與經營權）是重要的因素之一，從外部角度分析，組織運營要滿足法律法規遵循性的要求。

內審、內控和風控對公司的運營就是一種制衡，對人的制衡，對事的制衡，對利益的制衡，制衡之外是對組織健康發展的一種促進。