如何理解法务、合规、内控、风控、审计之间的关系

公司存在的目的：生存、发展、获利。公司要实现其目的，内审、内控、风控可以说是公司的“防火墙”、“保健医生”。内审、内控、风控的落脚点要导向组织的战略目标、远景、规划，从近处说，要服务组织某阶段的发展目标（短期目标），从这个角度分析，三者目标导向是一致的。

一、法务

现代企业立足市场，会面对来自方方面面的风险，诸如合同行为的风险、资本运作的风险、知识产权的风险、人力资源的风险、环境保护的风险、税务筹划的风险以及公共关系的风险和诉讼仲裁的风险等等。如何防范这些风险以达到保障企业安全运营的目的，从根本上预防潜在的风险变成现实的灾难，防患于未然，这就需要建立企业法律风险管理服务机构，健全企业法律风险管理体系。大型企业往往会在内部设立法律法规室或法律事务部，以处理企业的日常法律事务。

鉴于公司的设立往往是以盈利为目的，在企业内部设立法务部门也是基于降低风险、减少损失、维护公司合法利益为出发点，因此企业法务以一切服务于公司业务、服务于生产经营为根本宗旨，以扩大服务范围、提高服务水平作为根本任务，也就是通常所说的服务于业务部门工作。

二、合规

国际标准化组织（ISO）在2014年12月15 日发布了国际标准ISO19600《合规管理体系－指南》对“规”有定义：组织宜以适合其规模、复杂性、结构和运营的方式制定“合规义务”文件。合规义务信息应包括合规要求，可包 ……此处隐藏3447个字…… 质上都是通过评估、防范、控制企业风险，从而促进企业经营目标的实现。

目标导向一致：战略目标导向。

内审、内控、风控都是基于治理、监管等因素下的“产品”，继续追溯产生的动因。

从内部角度分析，两权分立（所有权与经营权）是重要的因素之一，从外部角度分析，组织运营要满足法律法规遵循性的要求。

内审、内控和风控对公司的运营就是一种制衡，对人的制衡，对事的制衡，对利益的制衡，制衡之外是对组织健康发展的一种促进。

（2）不同点

第一，两者审视风险的角度不同。

风控主要围绕企业战略经营目标，“自上而下”地辨识、评估、分析风险，并提出风险预警防范和应急管理的策略和措施。

内控主要从流程合规、反舞弊角度出发，“自下而上”地诊断招标采购、销售、资金等具体运营流程中的内部控制缺陷，并进行整改。

风控好比企业的“保健医生”，主要职责是“治未病”。内控好比企业的“急诊医生”，主要职责是“治已病”。

第二，两者处置风险的工具不同。

风控主要采用风险地图、流程数据分析、调查问卷、控制分析、专家评分等工具。随着企业信息化程度的逐渐提高，以数据分析为核心的量化风险分析、风险评估指标体系（如REI指数）等越来越受到重视。

内控主要采用例行审计、专项审计、合规检查等形式，主要使用穿行测试、控制测试等工具，诊断重点业务、重要流程的内部控制设计及运行缺陷。