审计、内控、风险管理三者之间的关系
审计、内控、风险管理三者之间的关系标 风险管理侧重的是“可能性”。因此,风险管理应该是最早的环节,从企业整体评估 风险状况,找到应对策略。这其中, 又可分为不可控风险和可控风险。不可控风险通常通过 风险转移、保险、风险接受等方式进行应对;可控的风险通常通过内部控制手段进行应对。 所以内部控制本质上就是企业管理中通过日常管控手段降低风险的行为。 那内控执行的效果 如何,就通过审计来检查。审计检查完后有一些发现问题, 可能是最早风险评估环节就没考 虑到的,那么审计发现问题又回过头来指导风险管理的完善。 所负责部门,每个企业都不太一样。有的是分设三个部门:风险管理部、内控部、审 计部。也有的将这几块自由排列组合,也有放到一个部门的,甚至放到财务部底下的都有。 风险管理——风险管理—— 内部控制——内部控制—— 风险控制风险控制 内部审计是内部控制的重要手段。 内部控制和内部审计的互动共进, 有效提升公司治理效率。 内部控制是内部审计的“风向标”, 内部审计是内部控制的“测试仪”。 三者的本质都是为了控制好风险。三者区别是:三者的本质都是为了控制好风险。三者区别是: 1.内控是让你好好开车别撞人, 也别开到沟里去, 它是一切风险管理的基础, 特别是治理层 面的内部控制。 2.风险管理是一个更广的含义,不仅仅是不撞人、不翻车,更要保证方向是对的, 速度是合 适的,开车的方式是可持续的,还要保证尽量不被别人撞,万一被撞要能扛得住…… 3.风险管理包括内部控制,但他们都不是一个部门的事情,是一个组织行为。 4.审计是风险管理的一种手段, 也是内控要素中监督要素的一种体现。 是风险管理工作具体 落地的方式,和之前的两个不在一个层面上。 实务中全面的应用到了风险、 内控与审计三个概念的, 主要是银行业及部分工业企业 (如核 电、采矿、化工等)。其他企业中实际上真正界定了这三个概念并付诸实施的其实很少。 以下只针对银行业有些皮毛理解,如下: 对于银行来说,三道防线的概念可以清晰的把风险、内控与审计联系起来。 三道防线示意图 风险管理,是一个相对宏观的概念,对于银行来说,也可以说是经营的本质。银行所面临风 险可分为市场风险、信用风险、操作风险、流动性风险等等。 这个区分方法一直在修正和改 变,不再展开。 上图表达了银行业风险管理的一个典型权责架构: 自左至右,风险逐层缓释 风险来自于业务决策与业务操作, 业务部门作为风险管理的“第一责任人”对于风险管 控执行具有实质上的责任。业务部门深入理解市场、理解自身业务特点、理解业务需求、 理解潜在风险所在。因此,业务部门有责任协助风管及内控部门识别风险、设计控制。同 时,在业务执行中,需严格执行制度、标准、流程及控制。当风险管理聚焦到操作风险时, 所识别风险及设计的控制,即内控设计与,日常执行所遵照的即内部控制手册及流程。体 现为日常工作即各种分权、授权、操作留痕。业务部门参与事前、事中风险管理。 第二道防线,为风险管理相关职能部门,作为制度制定者,以风险管理专业角度,制定制 度框架、内控体系、设计缓释方法、设计预警与监控等等。与业务部门的区别在于,风险 部门的视角在于风险全控全局框架,而非单一业务。同时风管部门也承担了独立的第三方 角色为管理层提供风险管理咨询与跨部门协调。风险管理职能部门,较少出现在业务流程 中。视管理架构不同,也可能存在派驻至业务部门的独立中台人员负责日常风险控制预授 权(多见于交易部门)。 第三道防线,为审计。包括专项审计,RCSA,ITRM 审计等等。审计的目的在于以独立身份, 检查风险管理相关制度是否合理,及是否依据制度执行。内控相关的典型审计项目如SOX, 就会就内控框架设计、手册设计、内控执行进行审计。依照内控手册逐一检查控点是否完 备,并通过抽证据(日志、授权记录等)方式检查控制是否执行。所以,审计的视野是整 个风险控制体系(责任方在风险职能部门)及风险执行结果(责任方在业务)。审计所处 的时点是事后,对于风险管理来说,可能是未雨绸缪、也可能是亡羊补牢。对于管理层来 说,是业务稳健合规执行保障与信心。对于外部公众来说,是财报可信的认证。 审计、内控、风险管理三者之间的关系标 风险管理侧重的是“可能性” 。因此,风险管理应该是最早的环节,从企业整体评估风险状 况,找到应对策略。 这其中,又可分为不可控风险和可控风险。不可控风险通常通过风险转 移、保险、 风险接受等方式进行应对;可控的风险通常通过内部控制手段进行应对。所以内 部控制本质上就是企业管理中通过日常管控手段降低风险的行为。那内控执行的效果如何, 就通过审计来检查。 审计检查完后有一些发现问题, 可能是最早风险评估环节就没考虑到的, 那么审计发现问题又回过头来指导风险管理的完善。 所负责部门,每个企业都不太一样。有的是分设三个部门:风险管理部、内控部、审计部。 也有的将这几块自由排列组合,也有放到一个部门的,甚至放到财务部底下的都有。 风险管理——内部控制——风险控制 内部审计是内部控制的重要手段。 内部控制和内部审计的互动共进, 有效提升公司治理效率。 内部控制是内部审计的“风向标” , 内部审计是内部控制的“测试仪” 。 三者的本质都是为了控制好风险。三者区别是: 1.内控是让你好好开车别撞人,也别开到沟里去,它是一切风险管理的基础,特别是治理层 面的内部控制。 2.风险管理是一个更广的含义,不仅仅是不撞人、不翻车,更要保证方向是对的,速度是合 适的,开车的方式是可持续的,还要保证尽量不被别人撞,万一被撞要能扛得住…… 3.风险管理包括内部控制,但他们都不是一个部门的事情,是一个组织行为。 4.审计是风险管理的一种手段,也是内控要素中监督要素的一种体现。是风险管理工作具体 落地的方式,和之前的两个不在一个层面上。 实务中全面的应用到了风险、 内控与审计三个概念的, 主要是银行业及部分工业企业 (如核 电、采矿、化工等) 。其他企业中实际上真正界定了这三个概念并付诸实施的其实很少。 以下只针对银行业有些皮毛理解,如下: 对于银行来说,三道防线的概念可以清晰的把风险、内控与审计联系起来。 三道防线示意图 风险管理,是一个相对宏观的概念,对于银行来说,也可以说是经营的本质。银行所面临风 险可分为市场风险、信用风险、操作风险、流动性风险等等。 这个区分方法一直在修正和改 变,不再展开。 上图表达了银行业风险管理的一个典型权责架构: 自左至右,风险逐层缓释 第一道防线,风险来自于业务决策与业务操作,业务部门作为风险管理的“第一责任人” 对于风险管控执行具有实质上的责任。 业务部门深入理解市场、 理解自身业务特点、理解业 务需求、理解潜在风险所在。因此, 业务部门有责任协助风管及内控部门识别风险、设计控 制。同时,在业务执行中,需严格执行制度、标准、流程及控制。当风险管理聚焦到操作风 险时, 所识别风险及设计的控制, 即内控设计与, 日常执行所遵照的即内部控制手册及流程。 体现为日常工作即各种分权、授权、操作留痕。业务部门参与事前、事中风险管理。 第二道防线,为风险管理相关职能部门, 作为制度制定者,以风险管理专业角度, 制定制度 框架、内控体系、设计缓释方法、设计预警与监控等等。与业务