一、风控指向组织目标。组织之所以存在，是要结果，是从组织管理里要结果。所以一个组织最大的风险是目标达成的不确定性。而风控要关注的便是发现影响组织目标实现的因素，如战略风险、运营风险、技术风险等等。要管理这些风险，势必需要设计相应的业务流程或管理制度，配置相应的考核指标，并在实务中切实贯彻执行。

二、内控关注实务操作。所有的设计和安排都要作用于物理世界才能有所产出。实务中怎么做，得看内控设计。目标只是目标，内控是实现目标的路径。路径怎么设计，在哪设置检查站（关键控制点），检查结果决定继续往前，还是加个安全岛修整一番接着走，亦或是得回头再来，屡教不改又当如何，这是内控的事儿。而路径设计的效率和效果如何，是内控的目标之一。

三、合规是背景板。合规是最低要求，也是贯穿其中的要求。从目标的设定，到实务的执行，无一不要求合规。因此组织在设定目标的时候就要做到合规，只能做合法合规的事儿。目标合法合规了，实务执行也要求合规。这里的 “规” 不仅是 “外法” 还包括“内规”，即内部的规章制度、业务流程和管理规范等。需要把合规性要求内嵌到内控的 “路径” 和 “检查站” 中去。