近年來，國企、外資企業(yè)和民營企業(yè)越來越重視企業(yè)風控和合規(guī)管理，有的企業(yè)成立了專門的風控部，有的企業(yè)成立了專門的合規(guī)部，當然也有企業(yè)把合規(guī)管理職責納入了企業(yè)法務部，有把風控即風險管理納入企業(yè)管理部，這樣一來，有的企業(yè)內控、內審、風控和合規(guī)、法律事務管理在企業(yè)管理工作中，似有亂花漸欲迷人眼之感！這五個方面的管理有什么交集？邊界如何？叫人欲理還亂！小編今天就帶大家一探究竟。

法務

現代企業(yè)立足市場，會面對來自方方面面的風險，諸如合同行為的風險、資本運作的風險、知識產權的風險、人力資源的風險、環(huán)境保護的風險、稅務籌劃的風險以及公共關系的風險和訴訟仲裁的風險等等。如何防范這些風險以達到保障企業(yè)安全運營的目的，從根本上預防潛在的風險變成現實的災難，防患于未然，這就需要建立企業(yè)法律風險管理服務機構，健全企業(yè)法律風險管理體系。大型企業(yè)往往會在內部設立法律法規(guī)室或法律事務部，以處理企業(yè)的日常法律事務。

鑒于公司的設立往往是以盈利為目的，在企業(yè)內部設立法務部門也是基于降低風險、減少損失、維護公司合法利益為出發(fā)點，因此企業(yè)法務以一切服務于公司業(yè)務、服務于生產經營為根本宗旨，以擴大服務范圍、提高服務水平作為根本任務，也是就通常所說的服務于業(yè)務部門工作。

法務部門主要職責如下：

1、研究公司生產經營管理相關的法律、法規(guī)、政策，對集團公司重要經營決策和重大經濟活動提出法律意見，為集團公司日常經營管理提供法律保障。

2、負責起草或參與制訂并匯編整理公司規(guī)章制度，審查其合法、合規(guī)性。

3、負責公司知識產權保護的法律事務，如日常商標注冊、專利申請及維護內控管理的意義，行業(yè)內侵權事件等。

4、負責公司涉及訴訟、仲裁、復議、聽證、公證、鑒證等訴訟或非訴訟事務。

5、負責公司新設、變更等登記事務；協助外部項目公司新設、變更法律事務。

6、審查公司經濟合同,并起草重大合同；參與招投標工作，審核招投標法律文書。

7、提供與公司生產經營有關的法律咨詢，負責或配合有關部門對職工進行法制宣傳教育及專業(yè)知識培訓等。

8、制定各單位年度法律工作責任書，并在每年度分批次對各二級單位有關工作責任書完成情況進行評審考核，并以此作為下一年度工作重點。

9、與外部法務部門進行對標學習，逐步完善本單位法務工作規(guī)范管理。

10、完成公司領導交辦的其它法律事務。

合規(guī)

國際標準化組織（ISO）在2014年12月15 日發(fā)布了國際標準《合規(guī)管理體系-指南》對“規(guī)”有定義：組織宜以適合其規(guī)模、復雜性、結構和運營的方式制定“合規(guī)義務”文件。合規(guī)義務信息應包括合規(guī)要求，可包括合規(guī)承諾。前者包括監(jiān)管機構制定發(fā)布具有強制性的法律法規(guī)、監(jiān)管條例規(guī)定等，后者包括組織與社區(qū)、公共權力機構、客戶簽訂的協議、組織要求、政策、程序、自愿原則、規(guī)程、環(huán)境的承諾等。

廣義的“合規(guī)”，有三層含義，第一層是企業(yè)要在生產經營過程中要遵守法律法規(guī)，即企業(yè)要遵守公司總部所在國和經營所在國的法律規(guī)定及監(jiān)管規(guī)定；第二層是企業(yè)經營要遵循企業(yè)內部規(guī)章制度，包括企業(yè)商業(yè)行為準則的規(guī)章；第三層是企業(yè)員工要遵守良好的職業(yè)操守和道德規(guī)范等。狹義的合規(guī)是指企業(yè)遵守反對商業(yè)賄賂方面的規(guī)定。

結合以上，合規(guī)的“規(guī)”應該按照三層涵義來正確理解：第一層是具有強制性的法律法規(guī)，即企業(yè)總部所在國和經營所在國的具有強制性的法律規(guī)定及監(jiān)管規(guī)定；第二層是企業(yè)在生產經營活動中寫入企業(yè)規(guī)制的對相關方（客戶、股東、監(jiān)管方、企業(yè)內部員工等）的自愿性承諾；第三層是企業(yè)要遵守良好的職業(yè)操守和道德規(guī)范、公序良俗等，這些不是強制性的，但在社會活動中普遍為大眾所認同。

合規(guī)風險即企業(yè)組織集體行為和代表企業(yè)組織的個人行為是否遵守合規(guī)的“規(guī)”的不確定性。

從合規(guī)的“規(guī)”三層含義看，第一層合規(guī)風險和第三層合規(guī)風險就全面包含了企業(yè)內部控制風險內容。

風控

企業(yè)風控即企業(yè)全面風險控制。2004年COSO繼續(xù)提出了企業(yè)風險管理整體框架，定義企業(yè)風險管理：“企業(yè)風險管理是一個過程，受企業(yè)董事會、管理當局和其他員工的影響，包括內部控制及其在戰(zhàn)略和整個公司的應用，旨在為實現經營的效率和效果、財務報告的可靠性以及現行法規(guī)的遵循提供合理保證?！边@個對企業(yè)風險管理的定義依然有內部控制的太多痕跡。實際中，企業(yè)風險包括市場宏觀政策風險、客戶偏好風險、合規(guī)風險、技術風險、質量風險、履約能力風險等。

內控

企業(yè)內控即企業(yè)內部控制。1994年美國反對虛假財務報告委員會下屬的COSO增補發(fā)布的《內部控制——整體框架》的內部控制定義：“由一個企業(yè)的董事長、管理層和其他人員實現的過程，旨在為下列目標提供合理保證：

（1）財務報告的可靠性；

（2）經營的效果和效率；

（3）符合適用的法律和法規(guī)。

2002年7月30日美國總統布什簽署了《薩班斯—奧克斯利法案》，對瀆職和做假賬的企業(yè)主管實行嚴厲的制裁，對上市公司實行嚴厲的監(jiān)管，以樹立上市公司的誠信！第404條款規(guī)定，上市公司編制的年度報告需包括內部控制報告內控管理的意義，并聲明管理層對于建立和保持充分的內部控制體系與財務報告程序的責任及其有效性評價，并且外部審計師要審核并報告上市公司管理層所作的評價。

可見內部控制的著重點是：假賬、假經營成果、違反法律法規(guī)與作弊！防止在賬務、經營成果（財務報表）、經營行為上串通舞弊和個人舞弊風險是內部控制的重點任務！

內審

內部審計是一種獨立、客觀的保證和咨詢活動。其目的在于為組織增加 價值和提高組織的運作效率。它通過系統化和規(guī)范化的方法，評價和改進風險管理、控制和治理程序的效果，幫助組織實現其目標。

從概念上分析，內部控制也有監(jiān)督評價的內容；內部審計是對內部控制、風險管理與治理進行評價，確保組織正常運營，保證不偏離公司目標。

（一）內控、風控、內審的關系

在集團內部管理而言，三者關系有一定的關系與作用。內部控制是風險管控和內部審計的基礎，是風控和內審的根源根本，處在整個控制系統的前端。而風險管理則處在中端，它能為內部審計作業(yè)提供邏輯和方向，為內部審計確定問題（即是評估后的風險），確定審計方向（目標）提供精準定位。

內部審計是通過確認和咨詢的方式，對企業(yè)運營、內部控制、風險管理和公司治理進行評估與評價，以保證企業(yè)各項業(yè)務工作按照既定目標和標準，不偏不倚地完成公司目標。

從控制方式上分析

內控、風控、內審三者是＂基礎一分析一評估＂遞進關系、因果關系。從控制方式方面總結，內部控制是事前控制，因為制度與流程是為管理而生，為防止企業(yè)管理出現問題和錯漏而制訂。所以，它是事前預防和控制范圍；

風險管理，主要在事中進行分析評價，當然事前也可以，風險評價的基本和內容也是內部控制和制度流程，作業(yè)過程的風險就屬于事中控制；就算事后分析風險也是為了事中的管控。所以，個人認為風控是事中控制的范疇。

內部審計，從三者關系而言，內審工作已經在前兩者之后，是根據風險提示或結果，對內控相對應節(jié)點（關鍵控制點）進行確認，確認風險是否存在，是否產生損失，是否可化解或轉移，按照這個過程，內審就是事后的確認與評估，屬事后控制范疇。

最后，小編總結為：內控是點，風控是線，內審是用線把點串起來組成面。

（二）合規(guī)、內控、風控的關系

1、風險管控的層級：合規(guī)-內控-風控

（1）合規(guī)是“打基礎”

合規(guī)的核心：“確保公司各項生產經營活動遵循內外部的法律、制度、條例、規(guī)范、指引等”

合規(guī)的產出：合規(guī)可以起到最基本的抑制操作風險的作用

合規(guī)的短板：只能發(fā)現問題而不能解決問題

（2）內控是合規(guī)的“最高等級”

內控的核心：不但要求合規(guī)，還要考察“規(guī)”的狀態(tài)（是否完善、是否有配套指引、執(zhí)行過程是否完善）

內控的重點：與合規(guī)相比，合規(guī)注重結果，內控重視過程。并在此基礎上發(fā)展較完善的工具和方法（COSO框架）

內控的優(yōu)點：內控是抑制操作層面風險的最佳手段

內控的缺點：內控對需要站在一定管理高度的風險（如戰(zhàn)略風險等）無能為力。（例如內控無法衡量資本市場波動會給公司帶來多大風險）

（3）風控管理是風險管控的“最高形式”

風控管理的核心：“兩個必須”

必須把風險管理的職能提升到高級管理層

必須設立獨立于業(yè)務部門的風險管理部門

公司內各類風險相對分散、獨立，設立統一的部門，站在管理層的高度來對風險進行檢視，才能避免“頭痛醫(yī)頭腳痛醫(yī)腳”。

2、風控與內控的異同

（1）相同點

風控與內控本質上都是通過評估、防范、控制企業(yè)風險，從而促進企業(yè)經營目標的實現。

（2）不同點

第一兩者審視風險的角度不同

風控主要圍繞企業(yè)戰(zhàn)略經營目標，“自上而下”地辨識、評估、分析風險，并提出風險預警防范和應急管理的策略和措施。

內控主要從流程合規(guī)、反舞弊角度出發(fā)，“自下而上”地診斷招標采購、銷售、資金等具體運營流程中的內部控制缺陷，并進行整改。

風控好比企業(yè)的“保健醫(yī)生”，主要職責是“治未病”。內控好比企業(yè)的“急診醫(yī)生”，主要職責是“治已病”。

第二兩者處置風險的工具不同。

風控主要采用風險地圖、流程數據分析、調查問卷、控制分析、專家評分等工具。隨著企業(yè)信息化程度的逐漸提高，以數據分析為核心的量化風險分析、風險評估指標體系（如REI指數）等越來越受到重視。

內控主要采用例行審計、專項審計、合規(guī)檢查等形式，主要使用穿行測試、控制測試等工具，診斷重點業(yè)務、重要流程的內部控制設計及運行缺陷。

目標導向一致：戰(zhàn)略目標導向

內審、內控、風控都是基于治理、監(jiān)管等因素下的“產品”，繼續(xù)追溯產生的動因。

從內部角度分析，兩權分立（所有權與經營權）是重要的因素之一，從外部角度分析，組織運營要滿足法律法規(guī)遵循性的要求。

內審、內控和風控對公司的運營就是一種制衡，對人的制衡，對事的制衡，對利益的制衡，制衡之外是對組織健康發(fā)展的一種促進。

公司存在的目的：生存、發(fā)展、獲利。公司要實現其目的，內審、內控、風控可以說是公司的“防火墻”、“保健醫(yī)生”。內審、內控、風控的落腳點要導向組織的戰(zhàn)略目標、遠景、規(guī)劃，從近處說，要服務組織某階段的發(fā)展目標（短期目標），從這個角度分析，三者目標導向是一致的。