一文带你初步理解区分风险管理、内部控制和合规管理区别！

在当今复杂且不断变化的商业环境中，企业在已选择合适的战略、赛道、商业模式及拥有核心技术竞争力后，企业如何进一步抵御潜在的各项风险，并确保其经营活动的稳健呢？

答案我想是要做好企业的风险管理、内部控制及合规管理！

它们为企业提供了一套完整的工具和方法，帮助企业在面临挑战时做出合理的决策，防范企业在经营过程中免受各项损失。

不过，风险管理、内控控制及合规管理之间确实也存在重叠，但确实有各自的差异点。

接下来，对三者作个解析！

风险管理

风险管理强调将风险纳入经营决策与管理(譬如战略制定与执行、经营决策与执行)的应用，即企业在制定商业战略、作出一项经营决策时，需将潜在风险及风险因素纳入决策环节，并在决策执行过程中对风险变化进行动态监控，以保证作出的战略与经营决策目标实现。

譬如，企业，

是否要进入某个业务领域；

是否要搞某一款产品研发；

是否承接某个定制化的销售订单，交期及价格如何确定；

新开发的供应商是否要与其合作；

是否要投入某个投资项目；

有一笔对外担保是否要做；

安全库存储备计划定多少水位；

生产计划排产多少；

业务外包或自制；

.....

以上每一经营事项，企业在作出要不要做，或做多少等诸如此类决策时，不仅要考虑决策带来的效益，还要考虑决策所面临的潜在固有风险，以及作出决策的依据、条件或假设因素可能会出现不利变化时该如何面对，只有这样，相机决策平衡情况下，作出的决策才更具有可靠性。

在作出决策后，接下来决策执行效果会如何呢，企业决策者不仅要跟踪决策目标的完成情况与效果，还要监控决策所带来的潜在风险，以及决策条件或假设因素是否存在不利变化，若执行过程中遇到决策时所考虑的不利因素出现，则需启动应对机制。

当决策事项执行完毕，实现预期的目标后，做事后总结回顾，是否有哪些风险点未考虑到，也就是所谓的剩余风险，可以在下次决策时，需要一并考虑。

结论：风险管理的核心或最大价值是为企业战略与商业经营决策服务，让企业作出的每项一决策尽量正确，即做正确的事情。相对而言，决策风险影响最大，决策前端风险水平决定着企业后端执行风险水平。

内部控制

内部控制，强调企业组织层级、各业务与交易环节的执行方式与标准、以及对各岗位人员行为的约束与激励要求。

内部控制是针对已识别、评估出的内部风险进行控制或应对的一个过程，一般不包括未识别的风险。针对未识别的内部风险，若一旦发生，企业只能被动承受。

另外，来自外部风险并非企业所能控制，只能识别，并根据识别的外部风险对企业所造成的预期影响，采取相应的应对措施

一般而言，内部控制绝大部分（并非绝对）指的是内部流程层面的控制、程序或步骤控制、关键环节及动作节点控制。

从“人性”角度，为确保所规定的动作都能有效做到位，以实现预期的结果，在“镣铐”上再加一把“激励的钥匙”，以调动人的积极性和主动性，以降低人的因素而给内部控制造成的局限性。

总结：让事情的开始、过程和结果全部按照“应该的”来做，并且按照“以后不会有问题发生”的预期要求来执行，即正确合理的做事。

合规管理

合规管理强调对规则，包括法律、规章制度、商业伦理及社会道德的遵守，是对企业和员工经营管理行为的一种硬约束，合规是底线、是红线，不能以突破法律的红线为前提条件实施经营运作。

一般而言，合规的“规”，有三层规

第一层，具有强制性的法律法规，即企业所在国和经营所在国的具有强制性的法律规定及监管规定；

第二层，企业在生产经营活动中写入企业规制的对相关方（客户、股东、监管方、企业内部员工等）的自愿性承诺；

第三层，企业要遵守良好的职业操守和道德规范、公序良俗等，非强制性，社会活动中普遍为大众所认同。

总结:合规管理是不做错事，侧重防范来自外部的法律法规与政策风险，合规风险具有根本性、底线性特征，一旦触及，后果很严重!