别混淆了！内控、合规与风控，到底是什么关系？

在企业经营管理的世界里，风险管理是个绕不开的话题。但很多人对风险管理的理解，常常陷入一些误区。比如，有人认为内部控制就是风险管理的一部分，甚至是基础。今天，我们就来好好聊聊这个话题，厘清内部控制、合规管理与风控之间的关系。

其实，这种把内部控制当成风险管理构成或基础的说法是不准确的。内部控制仅仅是通过风险管理形成的例行化风险解决措施，它既不是风险管理的构成，也不是风险管理的基础，而是风险管理产出的一种确定性 “沉淀物”。

那么，内部控制是怎么来的呢？它源于不能满足要求的风险假设，主要涉及 4 类原因：外部控制要求、内部专业化能力要求、内部管理符合性要求、保证数据正确性要求。也正因这些源头，或者说为了便于理解，人们才将其视同为一种风险管理类型。

内部控制建设有 3 项重点内容：一是反映事前设定的 “自控型” 标准；二是反映事中的流程 “他控型” 活动规范；三是按照规则标准进行过程监管与事后监督的控制机制。

而内控建设产出的结果有 3 种形式。第一种是可衡量的量化标准，以量的形式表达，方便衡量；第二种是可评价的定性活动规范标准，至少是确定的规则型信息，能评价但不可衡量；第三种是可验证的结果标准，是为了最大程度符合期望结果所采取的措施，常通过结构化模版、表单表现，实质是用确定性减少不确定性，因其内容与生成过程可追溯而可验证。不过，结果标准的达成程度往往和人的能力、经验、人性、责任密切相关。

说完了内部控制，再来看合规管理。它是在充分利用大部分内控基础上，开展的合规教育、对组织与人的行为结果进行监管与监督、为及时发现违规线索所采取的行动，以及对确认的违规行为进行处理的过程。

这里要明确的是，内控是合规管理的基础，二者有逻辑先后顺序，不能倒置。忽略内控的合规管理，本质上是人治。 毕竟，内控的目标之一就是合法合规，合规风险清单的作用也就不言而喻了。

从更大视角看合规管理，有人觉得对外部合法合规要求了解越全、掌握程度越强，就越能降低违法违规风险。这话看似有道理，但事实并非完全如此。群体往往只对高频接触、存在无法承受违法处罚可能的外部法则保持敏感，而对那些接触频度不高、关联责任不紧密但仍有违法违规可能的法则，大多人会因心存侥幸而漠视，这是人性的体现。而且，员工也不可能掌握方方面面的外部法则。

所以，最有效的方法是用确定的流程、制度、内控取代多而杂的外部法则控制。就像让企业里从事高危工作的员工谈 “安全生产法” 要求，十个有九个讲不出来，但问他公司的生产安全管理要求，他往往能说很多，哪怕只是普通操作型员工。因此，企业进行合规管理体系建设，不能不切实际地让每个员工都成为法学博士，做到各种知法、懂法、守法，毕竟专业法律人士也有专攻方向。

最后说说风控。它是在已有的流程、制度、标准、模版、表单等组织能力基础上，在流程角色行为可控的条件下，以影响绩效结果状态为目的所开展的风险评估，其结果往往为管理决策提供支持。

从公司层面，管理决策分为公司级决策、管理层级决策、执行层级决策。无论在哪个层级，风控都有 “认识风险、暴露风险、风险选择、采取影响措施”4 个标志性的共同特征。

总之，内部控制是风险管理的 “沉淀物”，合规管理以内部控制为基础，风控则为管理决策提供支持。理清这三者的关系和内涵，才能让企业的风险管理真正落到实处，而不是停留在话术层面。

<button class="weui-btn_icon weui-wa-hotarea" style="-webkit-tap-highlight-color: transparent; margin: 0px; padding: 0px; outline: 0px; position: absolute; background-image: initial; background-position: initial; background-size: initial; background-repeat: initial; background-attachment: initial; background-origin: initial; background-clip: initial; border-width: 0px; border-style: initial; border-color: initial; font-size: 0px; top: 0px; transform: translateY(-50%);"></button>