一、四者的出场顺序

不同的企业，有不同的发展的历程。不同规模的企业，不同所有制形式的企业，内控，风险管理，合规管理，内部审计的出场顺序可能会不一样。以多数经历了白手起家，逐步壮大的过程的民营企业来讲，以上部门的发展很多经历了如下过程。从企业创立之初，老板掌控一切，到企业初具规模，老板开始从亲力亲为转向监督评价，系统化企业内控显现，并建立了专门的内控部门。随着企业规模持续扩大，老板安排人专门负责检查，内审正式登场。当企业大到向投资集团转型，面临投资业务风险，此时企业需要安排专业人员集中管理投资及贷款风险；企业规模大到一定程度，市场监督管理局等政府部门对企业的监管越来越严、要求越来越细，外部合规压力激增，合规部门就出现了。

诚然内审、风险、合规、内控设置和出场的先后顺序，不一定非得按前文所述的流程。比如很多国有企业在设立之初便成立内部审计部门。国有企业作为国民经济发展的稳定器和压舱石，企业增强企业的抗风险能力尤为重要。自2006年国务院国资委颁布《中央企业全面风险管理指引》，2008年五部委颁发《企业内部控制基本规范》，国有企业陆续建立了风险管理及内部控制管理体系，随着2018年，国资委颁发《中央企业合规管理指引（试行）》，国有企业正在逐步建立合规管理体系。近几年为进一步提升国有企业防范化解重大风险能力，推动国有企业高质量发展，国务院国资委将建立健全“以风险管理为导向，合规管理监督为重点，严格规范全面的内控管理体系”作为国企改革的一项重要工作来推进，并分别于2019年、2020年发布了《关于加强中央企业内部控制体系建设与监督工作的实施意见》和《关于做好2021年中央企业内部控制体系建设与监督工作有相关事项的通知》，两份文件均提出并倡导国有企业开展风险管理体制，内部控制体系、合规管理体系的三合一工作。除监管要求外，从国有企业自身的需求出发，构建风险、内控、合规一体化管控，也符合企业发展的需求。就国有企业而言，内控、风险管理部门、合规管理部门也随着这些管理需求的出现各自应运而生。

二、四者的概念（定义）及现状

（一）内部审计（简称“内审”）

内审是内部审计的简称，是指对组织中各类业务和控制进行独立评价，以确定是否遵循公认的方针和程序，是否符合规定和标准，是否有效和经济地使用了资源，是否在实现组织目标。就发展历程来看，审计部门是这四者中资格最老，发展历史最悠久的了，早在距今3000年前的西周时期，中国出现了带有审计职能的官职-宰夫，这是审计的萌芽。内审与“合规、内控、风险”的关系界限相对明确，内审仍旧是提供独立客观的评估，有时也会参与到“合规、风控和风险管理”的设计中来，相对来说，内审是最独立，也是最易分辨的。很多企业在设立之初就会设立内部审，内部审计部门也被大多数组织接受。

（二）内部控制

内控是内部控制的简称。指一般公司企业内部的控制运作。内部会计控制是指单位为了提高会计信息质量，保护资产的安全、完整，确保有关法律法规和规章制度的贯彻执行等而制定和实施的一系列控制方法、措施和程序。最高目标是找到控制和效率的最佳平衡，支持公司高效平衡运转。它不但要求合规，还要考察“规”的状态，并在此基础上发展较完善的工具和方法（COSO框架）。企业要想健康、长远地发展，会主动完善自己的内控体系。内控管得比较宽，在深度上不及专业人士。有可能企业内控制度一大堆，但最终还是得靠专业人士来执行，专业人士有自己的管理模式，有自己的专业要求，有自己的业务特色，其专业性控制比内控制度更实用。

（三）风险管理

近几年，风险管理是最为火爆的一个话题，查阅、搜索了很多资料，对风险管理的解释莫衷一是。不同行业，不同领域，对风险给管理的定义不一样。

很多企业有先见之明，早早搭建了风险管理部，且设立单独的管理部门：风险管理部。甚至将法务、审计、质检、安全等统统纳入到风险管理里面。但是，实务中，无论在多大的组织里规模多大的企业，真正做风险管理的专职人员并不多，很多企业只有一两专职人员。

风险管理的定义为什么如此之多。可能是因为企涵盖内容太过广泛。往大了说，风险真的是无处不在，在地球上，无论什么人，什么事儿，都会存在各种不确定性，不确定性就是风险！所以，风险管理也就无所不包：内部管理、外部环境，人财物、吃穿住行！只要能想到的，都可以纳入到风险管理体系中来。

于是，就有了各种各样的风险管理制度、风险矩阵、评估方法。但是，还是那句话，做的范围越广，精度和深度就不够。风控措施等可能沦为一纸文书，少有操作性。

反而，做得专一更有潜力。有些企业的风险管理部只审核各类内部签批手续，重点把控收支风险。有的企业风险管理部专职做投资风险管理，专管投融资。有可能业务定位专一，范围更窄的，反而更具有生命力。

（四）合规管理

合规既能对内又能对外，那我们应该怎么理解合规呢？

这就需要我们先把一个概念理清楚：“合规”到底合的是什么“规”？就外部规定而言，这个“规”包括国家法律法规、部门规章、行业规范和惯例；就内部而言应该指组织内部制度流程、企业文化要求等，总之，“规”的范围很大。

合规既包括“建立”规矩，也包括“监督”规矩，这又涉及到了内控管理和风险管理。

这就存在一悖论：组织设立一个“合规部”，如果只管一块业务的话，有点儿浪费；要是管得宽了吧？业务又太多，还会和内控和风险管理打架，引起管理混乱！最终，他可能沦为一个鸡肋：食之无味，弃之可惜。

三、统筹协调

综上对内部审计、内部控制、风险管理、合规管理的概念及现状的介绍不难看出，企业可能在实际工作开展过程中，普遍内部审计部门关系比较拎得清。而风险、内控、合规三项工作存在分头推进，分别开展体系建设、制度建设的情况，部分工作职责交叉，工作内容重复，导致内控、风险管理、合规管理制度各说各话，不能有效发挥统一管控作用的情况。在一定程度上形成了管理资源浪费，影响企业管理效率。

那么如何实现内控、内审、风险、合规一体化管理体系的构建，实现内控、内审、风险、合规一体化的落地呢。内控、内审、风险管理与合规部门如何分工协调？个人愚见工协调方式可以归纳为：

（一）风险管理和合规管理在企业自身业务所聚焦的风险领域内，主导特定制度流程编制，也可以要求其他具体业务部门根据其要求完善自身相关制度流程，但就制度流程的基础管理程序而言，需要在内控部门所维护的基本框架之下进行。

（二）风险管理部门和合规管理部门可以对其他部门进行检查，但应与内审部门进行协调，以减轻相关业务部门或者下级被检查单位的配合压力，避免就一个事项反复查，反复提供资料。

（三）内审部门则是对包括内控、风险管理和合规部门在内的所有部门进行审计、监督检查，在风险管理部和合规部所聚焦的风险领域，可以参考借鉴这两个部门的工作成果及检查发现，节省审计资源。

（四）在风险识别与评估方面，整体工作由内控部门牵头，内控部门在具体工作开展中，针对风险管理部门和合规部所聚焦的风险领域，应充分参考风险管理部门和合规部的工作成果。而风险管理部门和合规部就其所聚焦的风险领域，应主导对应风险的识别和评价工作。

内控、内审、风险管理与合规部门的日常工作协调在总经办平台上进行，涉及重大决策的，由董事会层面的风险管理委员会完成。

企业也可以结合企业自身的实际情况，通过组织职能、工作机制、管理制度及评价体系的统一，来推动一体化管理体系的落地，降低管控成本，提升管控效率。