在这个行当工作，希望可以积累一些专业知识，于是决定开设这个专栏，不定期的更新。欢迎同行指正。

　　顾名思义，风控就是对于企业风险的控制，一般来说市面上最常见的办法是使用ERM，即全面风险管理体系。这个体系中的风险偏好、风险识别、风险打分、风险管理、风险汇报形成一个完整的闭环，泛亚电竞平台在企业中循环运行。全面风险管理中所涉及的内容很多，前沿技术也可以讨论到很深，有机会单独拎出来说我对于它的理解。今天只是希望能理清标题这几个概念之间的区别与联系。

　　在一个公司所面临的所有风险中，有一些可以通过内部控制来加以管理，最典型的例子就是操作风险：在生产经营中由于操作不当造成的风险。针对这样的风险，可以通过制定更加详细的操作手册、流程标准加以规范以减少风险发生的可能性及风险发生后产生的影响。而相对的，对于另一些风险，比如战略风险、投资风险等，虽然也可以有针对性的制定一些政策，但一般来说内控在这领域能取得的成果很低。

　　所以我认为区隔风控与内控概念的标准在于是否可以使用流程管控、制度或操作细则这些手段来进行风险管理。当然风控是更大的概念，包含了内控。内控是风控的其中一种手段、一种形式。

　　合规与内控类似，也是通过明确的规章约束员工的行为。但合规所管辖行为的范围更加小但更加严格。一大部分的合规要求来自于国家或行业的法律法规，比如贪污、腐败、滥用职权。这些行为最本质的特征就是有一条明显的红线，越过即违规。而反过来看当我们进行内控评价的时候，往往不是这样的一刀切，在合规之上，我们还会评价内控有多好，有多有效。

　　所以我认为区隔内控与合规概念的标准在于是否有一条明确的违规界线来评价一个行为。内控是一个更大的概念，包含了合规。合规是内控中最基本、最严格的部分。

　　总结而言，这三个概念从大到小是风控-内控-合规。如果一个事情不合规，那么他一定也不符合内部控制流程，一定会是企业的风险。但一个风险不一定通过内控的方式管理，当然也不一定在合规的管辖范围之内。

　　个人认为审计是完全独立于风控、内控及合规的。这种独立并不是源自于业务上的分离，更应该是来自于权责上的划分。

　　在我们行使风险管理、内控评价以及合规审查的职能时，是在行驶作为第二道防线的职能（第一道防线就是业务单位自身在工作中减少问题的产生）。而第二道防线并不完全是独立的，它往往依赖于第一道防线所提供的资料，甚至可以说泛亚电竞平台，泛亚电竞平台泛亚电竞平台一二道防线的工作是紧密相连、不可分割的。风控部门更多的只是提供方法论、进行过程监督、协助调度资源等工作。但是对于一线部门提供资料的准确性是没有办法进行直接审查的。 实际操作中，风险点的梳理与打分是业务部门完成的，内控评价往往也都是自评，合规调查更是大多依赖于一线员工的举报。这个时候我们就需要一个完全独立的部门行使复核的职能，而这个部门就是审计。

　　审计在制定自己的巡检方案时可以参考之前发生的历史数据，但一定是在自主的选择一个认为应该被调查的领域。而在调查中的资料收集也是尽可能的拿到原始数据而非各部门提供的二手汇总材料（理论情况下）。

　　举个例子，内控部门开展内控测评，其工作的重点在于汇总和整理一线部门反馈中薄弱的流程，并提出加强的办法。而那些得分为良好或者优秀的流程是否真的如汇报所示呢？这里的检查工作就应交给审计进行核查。

　　当然以上说的只是我认为理想状态下的分工，实际操作中的执行又是另外的一回事了。

　　以上就是我对这几个概念的理解，最后画了一页（非常简陋的）图加以说明。欢迎大家批评指正。