我转了一篇类似的文章：《企业制度、流程、对标、内控、合规、风控与问题之间的逻辑及系统关系》，这篇文章以实践为开篇：01.怎么认识实践，中间部分风险管理实践五步法：02.化有形于常态的风险管理实践五步法。最后写结语。那种整篇核心是实践，是把标题内容再实践步骤进行并行、交叉、互补、迭代。

       我自己写审计、内部控制系统、全面风险管理体系、合规风险管理的逻辑关系，大家可以和别人写的对比，有哪些差别，差别程度有多大。关于制度、流程、实践，我在这里就不多说了，制度文件，其实是内部控制手册的前身，那么制度也就是内部控制原名，也就是说之前人们所说的制度，其实就是改进完善后，现代所说的内部控制。至于流程，其实无论风险管理，还是内部控制，还是审计，包括工艺品质和生产，都是说：在整个事项完整过程中，包括所有环节在先后顺序的过程。

     审计、内控、全面风险管理、合规风险管理的逻辑关系上一篇我们用图表示，这里我们用文字简单概述

      二、审计、内部控制系统、全面风险管理体系、合规风险管理的逻辑关系的简单概述

      2.1全面风险管理与合规风险管理的关系--包含和被包含的关系   

     全面风险管理体系，包括对合规风险的管理，也包括其他风险管理，比如国际风险，市场价格风险，信用风险这些就不在合规风险范畴，因此全面风险管理包括了合规风险。

      2.1.1在这里我们顺便提一下合规风险的重要程度

     在很多民营企业的老板心里，没有意识到全面风险管理的重要性，主要原因有两点：第一，老板或许叫实控人，控制着公司整体控制权，尤其是小企业老板本身就是自己企业的业务出生，对业务数量程度能运行公司；第二，老板或许叫实控人，尤其小企业的老板，由于业务的增长导致自己有创业的根基，对公司运营相关法律法规不熟导致对合规风险有恐惧感，之所以一提到合规就想请律师，这个问题的探讨可以看看《注册会计师、律师、税务师、注册风险管理师和中国合规管理师之间的关系》合规风险管理究竟是请律师还是注册会计师，还是税务师，也包括注册风险管理师或许说如何整合这三大师门的知识意见经验，是最佳的选择。

     综合以上两点，这样的实控人会认为合格风险远远比全面风险更重要，其实恰好相反，因为：

       2.1.1.1.企业本身是经过工商以及相关经营许可审批后，得到的经营需要范围经营，不是造J枪大炮，也不是卖bai粉，那么就很多法律法规都不会涉及，涉及频率最高的就是税法系列以及《公司法》，再次就是经济业务相关的法规，比如合同法，证券法（上市主体会涉及），最后是必备的也是公司自身最熟悉的行业法律法规，比如进出口涉及到的，比如食品加工类涉及的等以及国家标准和国际标准。

     2.1.1.2.我们纵观历史，历史以来，因为合规风险导致企业终止经营的有多少，而因为合规风险以外的风险导致企业终止经营的有多少，这是很多实控人在历史经营教训和学习过去，借鉴历史中最大的遗漏。

     根据以上两点分析得出结论，合规风险远远没有其他风险对企业经营成败的影响程度高。

      2.1.2 我们展开合规风险，什么样的企业需要强化合规风险管理

     上面我们说合规风险远远没有其他风险对企业经营成败的影响程度高，这是基于企业经营成败历史分析得出的结论，这里我们是基于企业实控人，也就是说企业第一责任人，企业一把手而已，在什么样的企业，第一责任人在合规风险方面责任最多呢？
    对于一家民营企业来说，按照《公司法》组织成立以及股权变动，经营活动在经营许可的范围展开，执行行业涉及的法律法规及标准，按税务要求缴纳税费，按照交易事项涉及的法律法规签约并履约义务，似乎好像其他法律法规就不多了。

     但我们看看央企以及国营企业，一样需要遵守民营企业涉及的法规中央企以及国营企业相应应该遵守的部分，除此之外，涉及到的合规内容就更多了，比如《政府采购法》、国库集中支付的规定，国有资产管理相关办法，包括购买、自建取得过程，使用过程，以及处置过程，尤其处置过程与民营企业的区别就很大了。之所以，在中央企业以及其他国营企业，合规风险管理对一把手的责任覆盖的内容是比较多的。

     2.2全面风险管理体系与内部控制系统的关系--包含和被包含的关系

    全面风险管理体系和内部控制系统是包含与被包含的关系。全面风险管理体系包含了内部控制系统。

      但当今很多人，多数人知道内部控制系统，不知道全面风险管理体系，更不知道全面风险管理体系包含了内部控制系统。

       我们根据全面风险管理的基本流程中的全面风险管理策略（形成了全面风险管理方案）：有风险放弃、风险转移、风险分散、风险缩小、风险控制等不同风险应对的方法。

      风险控制的应对方法，说到具体就是利用内部控制系统控制风险。对于采用风险控制这部分事项，梳理事项流程，识别风险点，组织人员进行适当不同的分工，对事项整个在流程不同环节的风险进行各个关键环节的风险点进行控制，这样运行内部控制，对风险策略中风险控制部分的事项，得以风险控制达到预期效果，是全面风险管理体系为战略目标保驾护航中风险控制部分的事项得以价值实现。

      2.3合规风险管理与内部控制系统的关系--交叉关系

     从上面全面风险管理与合规风险管理是包含和被包含的关系关系，全面风险管理体系与内部控制系统的关系是包含和被包含的关系，那么合规风险管理与内部控制系统其实交叉关系。因此内部控制系统针对风险控制部分的全部，包括了信用风险，产品质量风险等，内部控制系统控制的这部分事项，不是合规风险，之所以不属于合规风险范围。也就是说内部控制系统整体来说，有一部分是控制合规风险，有一部分是控制合规风险以外的其他风险。

     从风险管理流程来说，合规风险的管理的流程和全面风险管理的流程一样的，只是管理的范围不同，合规风险管理仅仅是全面风险管理的一部分。那么合规风险管理中风险放弃、风险转移也就不需要内部控制系统了，但风险管理策略抉择时，决定用风险控制的应对方法控制合规风险，那么这部分合规风险也就依赖内部控制系统中相应的流程制度进行控制。

    这里我们可以强调一下，有这样的风险管理方案，就是其他风险不纳入方案考虑，单独把合规风险进行风险管理，那么就成了合规风险管理体系及相应的合规内部控制系统。至今，已经有这样的专项审计，专门对是否合规的范畴进行审计。

    2.4内部控制系统与审计的关系--时间顺序先后的逻辑关系为主

    内部控制是在经营过程，也可以说叫业务活动过程运行的，一般会事前预防性控制，事中执行控制，和事后检查控制。

     事前预防性控制，是活动没有开始，对前提条件进行的控制，比如我们对人员招聘，需要面试，就是一种预防性控制，控制不能胜任的人员在工作中出错，预防性控制非常重要，方法也很多。

    事中执行控制，就是控制在活动过程中，只能这样做（正确的），不能那样做（错的）

    事后检查控制，是相对活动流程中具体环节，具体过程之后的检查，检查发现后及时纠正和采取有效解决措施。相对主体而已，还在主体范围之内，对于主体之外来说，还不是事后。

     相对主体而言，是事后的就是审计了，当然也有内部审计，但内部审计和管理责任部分的职责是分开的。

      注册会计师的目标是，通过恰当的方式设计和实施审计程序，获取充分、适当的审计证据，以得出合理的结论，作为形成审计意见的基础，发表适当的审计意见。

     预算、估算、预测自身数据，没有已经发生数据的依据，不在审计证据的范围。

      审计风险评估在识别和评估财务报表重大错报风险的准则中，中国注册会计师审计准则第1211号——通过了解被审计单位及其环境识别和评估重大错报风险目标是，通过了解被审计单位及其环境，识别和评估财务报表层次和认定层次的重大错报风险（无论该错报由于舞弊或错误导致），从而为设计和实施针对评估的重大错报风险釆取的应对措施提供基础。第二节 要求了解被审计单位及其环境，也包括了内部控制，第二节第十四条的内容如下：

      （一）相关行业状况、法律环境和监管环境及其他外部因素，包括适用的财务报告编制基础；

      （二）被审计单位的性质，包括经营活动、所有权和治理结构、正在实施和计划实施的投资（包括对特殊目的实体的投资）的类型、组织结构和筹资方式。了解被审计单位的性质，可以使注册会计师了解预期在财务报表中反映的各类交易、账户余额和披露；

      （三）被审计单位对会计政策的选择和运用，包括变更会计政策的原因。注册会计师应当根据被审计单位的经营活动，评价会计政策是否适当，并与适用的财务报告编制基础、相关行业使用的会计政策保持一致；

     （四）被审计单位的目标、战略以及可能导致重大错报风险的相关经营风险；

     （五）对被审计单位财务业绩的衡量和评价；

      （六）被审计单位的内部控制。

      从以上（一）至（六），有内部控制内容，也有内部控制之外的内容

     如果我们把风险管理、审计以及内部控制系统，在组织架构里去划分，用图示如下：

       股东会出资人，包括国企、央企一般是国资委，如果是小企业，股东对行业选择，产品确定，已经不是管理层能决定的了，也不会需要治理层参与监督管理层。

        但企业规模大和产业多元化企业，股东会就不会有太多时间插手，那么对于长期投资，产业选择，产品确定、股权收购、资产重组等等等重大事项，都会在管理层对各种可行性提出信息和申请审批资料，这些决策的风险因素就不一定不在已经确定进入内部控制系统的风险因素了，治理结构和所有权，管理层更是无权调整变动的，就是为经验管理以及经验管理的内部控制系统负责。但在考虑是否选择的过程，属于全面风险管理体系应该对风险进行识别分析和风险评估，是风险管理的范畴。

        这些内部控制之外的部分为什么也是审计关注的范围呢，因为如果重大事项决定后，进入内部控制，如果管理层凌驾内部控制并且进行串通舞弊，得出决定后的结果在财务报表中体现，审计通过内控很难识别到重大错报风险，但通过了解重大决策的相关风险因素，也就是全面风险管理体系关注的风险因素，财务报表中体现结果可能会被质疑，甚至受到职业怀疑评估有重大错报风险。比如一个行业投资，管理层凌驾内部控制系统进行串通舞弊后，是获利的结果在财务报表中体现，但审计根据对这个行业的了解，行业已经处于衰退阶段无利可图，那么财务报表中体现的获利就可能受到职业怀疑是虚假的，是重大错报。

        2.5全面风险管理与审计的区别--交叉关系

       这个交叉关系很简单，全面风险管理体系要求对风险管理结果进行审计，对风险管理体系本身进行监督及改进，其实就是用审计对风险管理结果进行审计评价，并改进风险管理体系。也就是说风险管理体系里有审计部分。这么说，全面风险管理体系也是一个自我批评自我改进的循环体系。

       但并非审计都是为风险管理结果进行审计评价，提供风险管理体系管理参考。如果不是为风险管理结果的审计，比如：财务报表审计、内部控制审计，司法监督审计，追责审计等等，并不是因为风险管理体系改进需要，对风险管理结果进行审计评价的，这些审计，也就是说大多审计不属于全面风险管理体系之内。相关部分可以阅读以下关联部分。