内控是点，风控是线，内审是面

国际内部审计师协会（IIA）自1941年成立以来，内部审计得到广泛的发展；九十年代伴随着外企的进入，给中国企业翻开了内部审计新的篇章，首先在中国外企得到良好的发展，其次大量的私企集团从管控中得到较大的效益，企业内部审计得到进一步的发展，业界得到较好的评价。内部审计由于其时间短、效果保密、行业特殊性，极少对外宣传，造成许多朋友对内部审计存在不理解、存在误会、存在偏见等问题。存在对内部控制、风险管理与内部审计关系不清，经常在增值内审群里争论“大内控小内审，大内审小内控”的问题。

一、从概念上分析

1、内部控制。控制—指管理层、委员会及其他各方进行的、旨在加强风险管理、增在实现发定的目标的可能性的行为。

内部控制是指一个单位为了实现其经营目标，保护资产的安全完整，保证会计信息资料的正确可靠，确保经营方针的贯彻执行，保证经营活动的经济性、效率性和效果性而在单位内部采取的自我调整、约束、规划、评价和控制的一系列方法、手段与措施的总称。

2、风险管理。风险是指可能对目标的实现产生影响的事情发生的不确定性。风险的衡量标准是后果与可能性。

 风险管理是社会组织或者个人用以降低风险的消极结果的决策过程，通过风险识别、风险估测、风险评价，并在此基础上选择与优化组合各种风险管理技术，对风险实施有效控制和妥善处理风险所致损失的后果，从而以最小的成本收获最大的安全保障。

对待风险关键在于监控。

3、内部审计。内部审计是一种独立、客观的保证和咨询活动。其目的在于为组织增加 价值和提高组织的运作效率。它通过系统化和规范化的方法，评价和改进风险管理、控制和治理程序的效果，帮助组织实现其目标。

从概念上分析，内部控制也有监督评价的内容；内部审计是对内部控制、风险管理与治理进行评价，确保组织正常运营，保证不偏离公司目标。

二、从职能职责上分析

  内部控制与风险管理对内部审计没有监管功能，内部审计则是不断地对公司的制度流程等控制程序进行评估与评价，对风险管理效果持续地评价，对公司运营效果不断地确认，对新增业务进行咨询与判定。

  显然，我们可以从三者的职能职责上可以有大致的理解。

三、从三者关系上分析

  在集团内部管理而言，三者关系有一定的关系与作用。内部控制是风险管控和内部审计的基础，是风控和内审的根源根本，处在整个控制系统的前端。而风险管理则处在中端，它能为内部审计作业提供逻辑和方向，为内部审计确定问题（即是评估后的风险），确定审计方向（目标）提供精准定位。

  内部审计是通过确认和咨询的方式，对企业运营、内部控制、风险管理和公司治理进行评估与评价，以保证企业各项业务工作按照既定目标和标准，不偏不倚地完成公司目标。

四、从控制方式上分析

  内控、风控、内审三者是＂基础一分析一评估＂递进关系、因果关系。从控制方式方面总结，内部控制是事前控制，因为制度与流程是为管理而生，为防止企业管理出现问题和错漏而制订。所以，它是事前预防和控制范围；

  风险管理，主要在事中进行分析评价，当然事前也可以，风险评价的基本和内容也是内部控制和制度流程，作业过程的风险就属于事中控制；就算事后分析风险也是为了事中的管控。所以，个人认为风控是事中控制的范畴。

  内部审计，从三者关系而言，内审工作已经在前两者之后，是根据风险提示或结果，对内控相对应节点（关键控制点）进行确认，确认风险是否存在，是否产生损失，是否可化解或转移，按照这个过程，内审就是事后的确认与评估，属事后控制范畴。