控制是指管理层、委员会及其他各方进行的、旨在加强风险管理、实现既定目标的可能性行为。内部控制是指一个单位为了实现其经营目标,保护资产的安全完整,保证会计信息资料的正确可靠,确保经营方针的贯彻执行,保证经营活动的经济性、效率性和效果性而在单位内部采取的自我调整、约束、规划、评价和控制的一系列方法、手段与措施的总称。风险是指可能对目标的实现产生影响的事情发生的不确定性。风险的衡量标准是后果与可能性。风险管理是社会组织或者个人用以降低风险的消极结果的决策过程,通过风险识别、风险估测、风险评价,并在此基础上选择与优化组合各种风险管理技术,对风险实施有效控制和妥善处理风险所致损失的后果,从而以最小的成本收获最大的安全保障。处理风险的关键在于监控。其目的在于为组织增加价值和提高组织的运作效率。它通过系统化和规范化的方法,评价和改进风险管理、控制和治理程序的效果,帮助组织实现其目标。从概念上分析,控制也有规范、监督、评价和制约的作用;风险管理重在评估、预测、回避和降低风险;而内部审计是对内部控制、风险管理与治理进行评价,确保组织正常运营,保证不偏离公司目标。
内部控制的七种方式包括:不相容职务分离、授权审批控制、预算控制、会计系统控制、财产保护控制、经营分析控制、绩效考评控制。它们均以经营过程管理为主线。内部控制与风险管理对内部审计没有监管功能,内部审计则是不断地对公司内部控制程序进行评估与评价,对风险管理效果持续地评价,对公司运营效果不断地确认,对新增业务进行咨询与判定。
从集团内部管理而言,三者之间有一定关联和相互作用。内部控制是风险管控和内部审计的基础,是风控和内审的根源,处在整个控制系统的前端。而风险管理则处在中端,它能为内部审计作业提供逻辑和方向,为内部审计确定问题(即是评估后的风险),确定审计方向(目标)提供精准定位。内部审计是通过确认和咨询的方式,对企业运营、内部控制、风险管理和公司治理进行评估与评价,以保证企业各项业务工作按照既定目标和标准,不偏不倚地完成公司目标。
内控、风控、内审三者是“基础一分析一评估”递进关系、因果关系。从控制方式方面总结,内部控制是事前控制,因为制度与流程是为管理而生,为防止企业管理出现问题和错漏而制订。所以,它是事前预防和控制范围。风险管理,主要在事中进行分析评价,当然事前也可以,风险评价的基本和内容也是内部控制和制度流程,作业过程的风险就属于事中控制;就算事后分析风险也是为了事中的管控。所以,个人认为风控是事中控制的范畴。内部审计,从三者关系而言,工作已经在前两者之后,是根据风险提示或结果,对内控相对应的地方(关键控制点)进行确认,确认风险是否存在,是否产生损失,是否可化解或转移,按照这个过程,就三者关系而论,内审就是事后的确认与评估,属于事后控制范畴。
最后,总结三者的关系是:内控是点,风控是线,内审是用线把点串起来组成面。
