1 风险管理与内部控制的关系

　　内部控制与风险管理的关系并不十分明确，就连国内外的学者也有不同的观点，这些观点主要有： 内部控制是风险管理的组成部分，内部控制包含风险管理，以及二者之间是等价的。本文认为分析任何事物之间的区别与联系，不能割裂事物所赖以存在的特定的外部环境来考虑。唯物主义辩证法告诉我们，任何事物都是一个不断发展变化的过程。因此，我们应该结合经济环境的变化，动态的看待风险管理与内部控制的关系，综合分析两者的相同与不同之处，也许就会豁然开朗。

　　1. 1 风险管理和内部控制的不同点

　　第一，两者的范畴有所不同。内部控制仅是管理的一项职能，主要是通过事后和过程的控制来实现其自身的目标； 而全面风险管理则贯穿于管理过程的各个方面，控制的手段不仅体现在事中和事后的控制，更重要的是在事前制订目标时就充分考虑了风险的存在。而且，在两者所要达到的目标上，全面风险管理多于内部控制。

　　第二，两者的活动有所不同。全面风险管理的一系列具体活动并不都是内部控制要做的。目前所提倡的全面风险管理包含了风险管理目标和战略的设定、风险评估方法的选择、管理人员的聘用、有关的预算和行政管理、以及报告程序等活动。而内部控制所负责的是风险管理过程中间及其以后的重要活动，如对风险的评估和由此实施的控制活动、信息与交流活动和监督评审与缺陷的纠正等工作。两者最明显的差异在于内部控制不负责企业经营目标的具体设立，而只是对目标的制定过程进行评价，特别是对目标和战略计划制定当中的风险进行评估。

　　第三，两者对风险的定义有所不同。在 COSO 委员会的全面风险管理框架中，把风险明确定义为“对企业的目标产生负面影响的事件发生的可能性”（ 将产生正面影响的事件视为机会） ,将风险与机会区分开来； 而在 COSO 委员会的内部控制框架中，没有区分风险和机会。

　　第四，两者对风险的对策有所不同。全面风险管理框架引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等概念和方法，因此，该框架在风险度量的基础上，有利于企业的发展战略与风险偏好相一致，增长、风险与回报相联系，进行经济资本分配及利用风险信息支持业务前台决策流程等，从而帮助董事会和高级管理层实现全面风险管理的四项目标。这些内容都是内部控制中没有的，也是其所不能做到的。

　　1. 2 风险管理和内部控制的相同点

　　第一，两者的实施参与主体相同。即都是由“企业董事会、管理层以及其他人员共同实施的”,强调了全员参与的观点，指出各方在内部控制或风险管理中都有相应的角色与职责。

　　第二，两者的性质都是动态持续的过程。不论是风险管理还是内部控制，都不是单独或额外的活动，而是与企业运转并存，内置于企业日常管理过程中，作为一种常规运行的机制来建设的动态持续性行为。

　　第三，两者的企业目标相似。风险管理的目标有四类，其中三类与内部控制相重合，即报告类目标、经营类目标和遵循类目标。但报告类目标有所扩展，它不仅包括财务报告的准确性，还要求所有对内对外发布的非财务类报告准确可靠。

　　另外，风险管理增加了战略目标，即与企业的远景或使命相关的高层次目标。这意味着风险管理不仅仅是确保经营的效率与效果，而且介入了企业战略（ 包括经营目标） 制定过程。

　　第四，两者的组成要素重合。风险管理的八要素中包含了内部控制的五要素（ 即内部环境、风险评估、控制活动、信息与沟通、监督） .这些重合是由它们目标的多数重合及实现机制相似决定的。

　　1. 3 风险管理和内部控制的融合与统一

　　无论范围或者内容的不同，无可辩驳的一点是---风险管理与内部控制两者密不可分。现今世界行业复杂化，不同行业不同时刻不同外部环境下，企业的'侧重点都可能发生变化。然而从上文我们可以看出，风险管理和内部控制的相同点都在于核心，不同点多侧重于范围能外围。当前，两者都只局限于少数职能部门，并没有渗透或应用于企业管理过程和整个经营系统，然而随着内部控制或风险管理的不断完善，它们之间必然相互联结、融合，直至统一。