风控

企业风控即企业全面风险控制。2004年COSO继续提出了企业风险管理整体框架，定义企业风险管理：“企业风险管理是一个过程，受企业董事会、管理当局和其他员工的影响，包括内部控制及其在战略和整个公司的应用，旨在为实现经营的效率和效果、财务报告的可靠性以及现行法规的遵循提供合理保证。”

这个对企业风险管理的定义依然有内部控制的太多痕迹。实际中，企业风险包括市场宏观政策风险、客户偏好风险、合规风险、技术风险、质量风险、履约能力风险等。

内审

内部审计是一种独立、客观的保证和咨询活动。其目的在于为组织增加价值和提高组织的运作效率。它通过系统化和规范化的方法，评价和改进风险管理、控制和治理程序的效果，帮助组织实现其目标。

从概念上分析，内部控制也有监督评价的内容；内部审计是对内部控制、风险管理与治理进行评价，确保组织正常运营，保证不偏离公司目标。

内控、风控、内审的关系

在集团内部管理而言，三者关系有一定的关系与作用。内部控制是风险管控和内部审计的基础，是风控和内审的根源根本，处在整个控制系统的前端。而风险管理则处在中端，它能为内部审计作业提供逻辑和方向，为内部审计确定问题（即评估后的风险），确定审计方向（目标）提供精准定位。

内部审计是通过确认和咨询的方式，对企业运营、内部控制、风险管理和公司治理进行评估与评价，以保证企业各项业务工作按照既定目标和标准，不偏不倚地完成公司目标。

从控制方式上分析：内控、风控、内审三者是＂基础一分析一评估＂递进关系、因果关系。从控制方式方面总结，内部控制是事前控制，因为制度与流程是为管理而生，为防止企业管理出现问题和错漏而制订。所以，它是事前预防和控制范围；

风险管理，主要在事中进行分析评价，当然事前也可以，风险评价的基本和内容也是内部控制和制度流程，作业过程的风险就属于事中控制；就算事后分析风险也是为了事中的管控。所以，个人认为风控是事中控制的范畴。

内部审计，从三者关系而言：内审工作已经在前两者之后，是根据风险提示或结果，对内控相对应节点（关键控制点）进行确认，确认风险是否存在，是否产生损失，是否可化解或转移，按照这个过程，内审就是事后的确认与评估，属事后控制范畴。

PS：内控是点，风控是线，内审是用线把点串起来组成面。

合规、内控、风控的关系

一、风险管控的层级：合规-内控-风控

（1）合规是“打基础”

合规的核心：“确保公司各项生产经营活动遵循内外部的法律、制度、条例、规范、指引等”合规的产出：合规可以起到最基本的抑制操作风险的作用