相比國際其他發達國家，我國的企業內部控制制度起步較晚，直到 1996 年，財政部頒發的《會計基礎工作規范》中才對內部控制制度做出了具體的規定。頒布于 2010 年 4 月 26日的《企業內部控制評價指引》和《企業內部控制審計指引》，標志著適應我國企業實際情況、融合國際先進經驗的“以防范風險和控制舞弊為中心、以控制標準和評價標準為主體，結構合理、層次分明、銜接有序、方法科學、體系完備”的企業內部控制規范體系基本建成。在日益激烈的市場競爭中，企業內部控制制度的建立和完善對國有乃至民營企業都是至關重要的一環，這些完善必然源自企業自身的問題之中。而風險管理下的內部控制，更是必不可少的核心問題。

1 風險管理與內部控制的關系

內部控制與風險管理的關系并不十分明確，就連國內外的學者也有不同的觀點，這些觀點主要有： 內部控制是風險管理的組成部分，內部控制包含風險管理，以及二者之間是等價的。本文認為分析任何事物之間的區別與聯系，不能割裂事物所賴以存在的特定的外部環境來考慮。唯物主義辯證法告訴我們，任何事物都是一個不斷發展變化的過程。因此，我們應該結合經濟環境的變化，動態的看待風險管理與內部控制的關系，綜合分析兩者的相同與不同之處，也許就會豁然開朗。

1. 1 風險管理和內部控制的不同點

第一，兩者的范疇有所不同。內部控制僅是管理的一項職能，主要是通過事后和過程的控制來實現其自身的目標； 而全面風險管理則貫穿于管理過程的各個方面，控制的手段不僅體現在事中和事后的控制，更重要的是在事前制訂目標時就充分考慮了風險的存在。而且，在兩者所要達到的目標上，全面風險管理多于內部控制。

第二，兩者的活動有所不同。全面風險管理的一系列具體活動并不都是內部控制要做的。目前所提倡的全面風險管理包含了風險管理目標和戰略的設定、風險評估方法的選擇、管理人員的聘用、有關的預算和行政管理、以及報告程序等活動。而內部控制所負責的是風險管理過程中間及其以后的重要活動，如對風險的評估和由此實施的控制活動、信息與交流活動和監督評審與缺陷的糾正等工作。兩者最明顯的差異在于內部控制不負責企業經營目標的具體設立，而只是對目標的制定過程進行評價，特別是對目標和戰略計劃制定當中的風險進行評估。

第三，兩者對風險的定義有所不同。在 COSO 委員會的全面風險管理框架中，把風險明確定義為“對企業的目標產生負面影響的事件發生的可能性”（ 將產生正面影響的事件視為機會） ,將風險與機會區分開來； 而在 COSO 委員會的內部控制框架中，沒有區分風險和機會。

第四，兩者對風險的對策有所不同。全面風險管理框架引入了風險偏好、風險容忍度、風險對策、壓力測試、情景分析等概念和方法，因此，該框架在風險度量的基礎上，有利于企業的發展戰略與風險偏好相一致，增長、風險與回報相聯系，進行經濟資本分配及利用風險信息支持業務前臺決策流程等，從而幫助董事會和高級管理層實現全面風險管理的四項目標。這些內容都是內部控制中沒有的，也是其所不能做到的。

1. 2 風險管理和內部控制的相同點

第一，兩者的實施參與主體相同。即都是由“企業董事會、管理層以及其他人員共同實施的”,強調了全員參與的觀點，指出各方在內部控制或風險管理中都有相應的角色與職責。

第二，兩者的性質都是動態持續的過程。不論是風險管理還是內部控制，都不是單獨或額外的活動，而是與企業運轉并存，內置于企業日常管理過程中，作為一種常規運行的機制來建設的動態持續性行為。

第三，兩者的企業目標相似。風險管理的目標有四類，其中三類與內部控制相重合，即報告類目標、經營類目標和遵循類目標。但報告類目標有所擴展，它不僅包括財務報告的準確性，還要求所有對內對外發布的非財務類報告準確可靠。

另外，風險管理增加了戰略目標，即與企業的遠景或使命相關的高層次目標。這意味著風險管理不僅僅是確保經營的效率與效果，而且介入了企業戰略（ 包括經營目標） 制定過程。

第四，兩者的組成要素重合。風險管理的八要素中包含了內部控制的五要素（ 即內部環境、風險評估、控制活動、信息與溝通、監督） .這些重合是由它們目標的多數重合及實現機制相似決定的。

1. 3 風險管理和內部控制的融合與統一

無論范圍或者內容的不同，無可辯駁的一點是---風險管理與內部控制兩者密不可分?，F今世界行業復雜化，不同行業不同時刻不同外部環境下，企業的側重點都可能發生變化。然而從上文我們可以看出，風險管理和內部控制的相同點都在于核心，不同點多側重于范圍能外圍。當前，兩者都只局限于少數職能部門，并沒有滲透或應用于企業管理過程和整個經營系統，然而隨著內部控制或風險管理的不斷完善，它們之間必然相互聯結、融合，直至統一。

2 基于風險管理的企業內部控制問題分析

自我國于 2001 年 12 月 11 日正式加入世貿組織以來，我國的企業所遭遇的企業風險越來越復雜和多樣化。既有戰略風險、財務風險，也有運營風險和法律風險。上面的四種風險，并不能簡單的區分開來，因為，現實中一種風險的發生往往也伴隨著其他風險的爆發。風險管理上的復雜性和多樣性情況對我國的企業來說是前所未有的。目前，我國的內部控制規范體系，無法很好的適應這種多樣性和復雜性的風險識別和風險評估制度，存在很多明顯的不足。

2. 1 風險管理下企業內部環境的松散和管理層的應對消極

由于我國經濟社會運行時間較短，企業管理層往往都是因國家制度或者監管而被動設立內部控制的制度或者體系，很多都是一個空有架構，沒有實際運作功能的“空架子”,在風險來臨時，企業內部控制中應對風險的措施不能迅速運行起來，公司治理結構松散無力，內部審計缺失，人力資源政策混亂等，才會導致企業在風險面前顯得如此不堪一擊。導致這些主觀上的不足的根本原因就在于管理層對于內部控制體系構建的不重視。因為管理層對內部控制體系構建的忽視，公司自身的治理結構才會不夠權責分明，企業文化中也缺失了進行風險應對的積極性。企業內部環境才會如此松散，失去了本身應該具有的應對風險管理和調節能力。這都是風險管理下企業內部的不足和主要問題所在。