侧重的是“可能性”。因此，风险管理应该是最早的环节，从企业整体评估风险状况，找到应对策略。这其中，又可分为不可控风险和可控风险。不可控风险通常通过风险转移、保险、风险接受等方式进行应对；可控的风险通常通过手段进行应对。所以内部控制本质上就是企业管理中通过日常管控手段降低风险的行为。那内控执行的效果如何，就通过来检查。审计检查完后有一些发现问题，可能是最早风险评估环节就没考虑到的，那么审计发现问题又回过头来指导风险管理的完善。

　　至于负责部门，倒是每个企业都不太一样。有的是分设三个部门：风险管理部、内控部、审计部。也有的将这几块自由排列组合，也有放到一个部门的，甚至放到财务部底下的都有。

　　[风险管理、内控合规]与[审计监察]，分属企业风险治理架构的[第二道防线]和[第三道防线]。以下是我给金融行业管理层做培训宣导时，自己总结提炼的材料，三道防线的职能和彼此关系一目了然。

　　写的太虚了重写。还是举例回答吧。。公司有个柜子放文具，在角落里，总价值一般3000左右，秘书每个月底会检查库存并补满。员工自觉领取。

　　风险管理:存在多领文具私用的风险，但总体金额较小，发生风险影响小，且员工素质高，风险可能性较低。

　　内部审计:由于办公用品文具金额小，风险低不进行审计，或者，比较每月库存数，检查发现库存不稳定，上半年库存基本1000下半年开始库存300。审计怀疑可能存在多领文具的情况。

　　内部控制:解决方案1，淘宝买个监控，每月监控支出600，解决方案2，员工领文具走审批流程。

　　风险管理:分析各方案成本效益，例如风险金额1000，可能性50%，风险成本500，改进措施1每月600不划算，改进措施2，走审批流程每次领取仅增加1分钟，成本忽略不计，可以实施。

　　风险管理:出非领文具的人和审批人串通多领文具，否则不会有问题，该可能性很小，IM电竞 IM电竞app文具被多领风险极低。

　　内部审计:由于内控完善情况下风险极低，抽一个月份审批单，检查审批人是否签字，月末库存是否对得上。没有发现异常。

　　总的来说，风险管理是定性定量衡量风险，并衡量应对风险的措施的。内部控制是公司内部防范风险的措施，注意不是所有风险都能通过内部控制降低的，企业能在同意买家3个月内付款的时候对买家进行审核，但管不了买家老板突然去买股票。。。内部审计在没有内控的时候只能通过盯着看，或者分析这样的手段检查公司财产安全，有内控的时候，可以检查内控实施情况来判断公司财产安全。

　　谢邀，欠妥之处请包涵、指正。先说风险管理，IM电竞 IM电竞app啥叫风险管理，举个浅显的例子：目的是上班不迟到，我是个风险规避者，那么迟到的风险大致有：闹钟坏了、堵车、办公电梯坏了等，那怎么管理风险呢，闹钟坏了小概率事件，虽然是小概率，但是我胆子小啊，于是手机上个闹钟，还买个闹钟；堵车咋办，为了避开高峰期，我每天提前半个钟头起床；办公电梯坏了，我定期锻炼身体，可以爬楼梯，于是这些个措施都称之为风险管理。提炼下，风险管理就是，管理达成目标的过程中存在各种不确定性的一切手段。回到企业层面，经营层为了达成目标，会有很多配套的东西：譬如人财物的资源配置，各种规章制度，各种临时性的方案举措，包括成立审计部进行定期检查，从央企国企经常说的全面风险管理的范畴，这些都是风险管理的手段，所以不管企业有没有专门的风险管理部门，其实都在做风险管理这件事，这是广义的风险管理的概念。

　　IM电竞 IM电竞平台

　　讲讲风险管理的三道防线，三者关系就差不多清楚了：第一道防线，业务层面，如营销、商务、制造等必须建立健全各种流程制度来确保目标达成，防范风险。放在国家层面就是各地方政府的各条线；

　　第二道防线，如是集团公司就是职能部门层面，有的有专门的风险委员会之类，就是总体制定方针、政策的那些部门，如财务总部、商务总部、营销总部等等这些高上大的称呼就是第二道防线。放在国家层面就是各部委如证监会、发改委、银监会之流。

　　第三道防线，前线的规矩定的差不多了，总部层面也进行规范了，那我们审计出场了，看看，游戏规则是否合理，那个什么融资杠杆业务出现后没有配套的规范是吧，会有多大的风险？好，不允许高于多少杠杆配资是吧，我们抽查看看券商们执行的如何？这就是第三道防线——审计，更多的是通过科学的抽查，风险导向的审计以点带面的看风险、看政策制度执行。如果是全面检查审计，成本太高了，无异于把别人做过的所有事情重新再做一遍。审计其实不负责制定规则，只测试评价规则，当然审计部门自己的规则除外。

　　总结下，首先为了达成目标制定了很多很多规则，叫内控；其次为了评价规则的效率效果，我们需要审计；整个达成目标过程中所采取的任何手段——制定规则也好，审计也好等，叫风险管理。

　　IM电竞 IM电竞平台

　　实务中全面的应用到了风险、内控与审计三个概念的，主要是银行业及部分工业企业（如核电、采矿、化工等）。其他企业中实际上真正界定了这三个概念并付诸实施的其实很少。

　　风险管理，是一个相对宏观的概念，对于银行来说，也可以说是经营的本质。银行所面临风险可分为市场风险、信用风险、操作风险、流动性风险等等。这个区分方法一直在修正和改变，不再展开。

　　风险来自于业务决策与业务操作，业务部门作为风险管理的“第一责任人”对于风险管控执行具有实质上的责任。业务部门深入理解市场、理解自身业务特点、理解业务需求、理解潜在风险所在。因此，业务部门有责任协助风管及内控部门识别风险、设计控制。同时，在业务执行中，需严格执行制度、标准、流程及控制。当风险管理聚焦到操作风险时，所识别风险及设计的控制，即内控设计与，日常执行所遵照的即内部控制手册及流程。体现为日常工作即各种分权、授权、操作留痕。业务部门参与事前、事中风险管理。

　　第二道防线，为风险管理相关职能部门，作为制度制定者，以风险管理专业角度，制定制度框架、内控体系、设计缓释方法、设计预警与监控等等。与业务部门的区别在于，风险部门的视角在于风险全控全局框架，而非单一业务。同时风管部门也承担了独立的第三方角色为管理层提供风险管理咨询与跨部门协调。风险管理职能部门，较少出现在业务流程中。视管理架构不同，也可能存在派驻至业务部门的独立中台人员负责日常风险控制预授权（多见于交易部门）。

　　第三道防线，为审计。包括专项审计，RCSA，ITRM审计等等。审计的目的在于以独立身份，检查风险管理相关制度是否合理，及是否依据制度执行。内控相关的典型审计项目如SOX，就会就内控框架设计、手册设计、内控执行进行审计。依照内控手册逐一检查控点是否完备，并通过抽证据（日志、授权记录等）方式检查控制是否执行。所以，审计的视野是整个风险控制体系（责任方在风险职能部门）及风险执行结果（责任方在业务）。审计所处的时点是事后，对于风险管理来说，可能是未雨绸缪、也可能是亡羊补牢。对于管理层来说，是业务稳健合规执行保障与信心。对于外部公众来说，是财报可信的认证。

　　对于类似于煤炭企业，风险管理多体现为安全生产。可能整个管理理念完全不同，也请业内人士分享。