內(nèi)部控制的動力源于風險防范并構成風險管理的必要環(huán)節(jié)，但內(nèi)部控制只能防范風險，不能轉嫁、承擔、化解或分散風險。

　　內(nèi)部控制的動力源自風險防范 

　　何為內(nèi)部控制?中國注冊會計師獨立審計準則第九號《內(nèi)部控制與審計風險》認為：內(nèi)部控制是指在一個單位內(nèi)部，為了保證業(yè)務活動的有效進行，保護資產(chǎn)的安全和完整，防止、發(fā)現(xiàn)、糾正錯誤與舞弊，保證會計資料的真實、完整而制定和實施的政策與程序。中國證監(jiān)會發(fā)布的《證券公司內(nèi)部控制指引》指出：公司內(nèi)部控制包括內(nèi)部控制機制和內(nèi)部控制制度兩個方面。內(nèi)部控制機制是指公司的內(nèi)部組織結構及其相互之間的運行制約關系；內(nèi)部控制制度是指公司為防范金融風險，保護資產(chǎn)的安全與完整，促進各項經(jīng)營活動的有效實施而制定的各種業(yè)務操作程序、管理方法與控制措施的總稱。國際組織(COSO)則將內(nèi)部控制定義為一個組織設計并實施的一個程序，以便為達到該組織的經(jīng)營目標提供合理保障。 

　　從上述各種定義中我們不難看出，雖然對內(nèi)部控制理解的角度各有側重，但共同的認識在于內(nèi)部控制是一個組織所設計并實施的程序(包括必要的制度和措施)，旨在為實現(xiàn)該組織的某種目標而提供合理保障。內(nèi)部控制將從三個方面提供合理保障，并有助于組織某種目標的實現(xiàn)：經(jīng)營過程有效率/效益地進行，并預防資源的損失；對外提供可靠的財務報告；相關法律法規(guī)得以遵循。良好的內(nèi)部控制可以合理保證合規(guī)經(jīng)營、財務報表的真實可靠和經(jīng)營結果的效率與效益。而合規(guī)經(jīng)營、真實的財務報告和有效益/效率的經(jīng)營也正是企業(yè)風險管理所應該達到的基本狀態(tài)。從這個角度出發(fā)，內(nèi)部控制是風險管理的必要環(huán)節(jié)，內(nèi)部控制的動力來自企業(yè)對風險的認識和管理。 

　　對一個持續(xù)經(jīng)營的企業(yè)而言，常見的企業(yè)風險包括：戰(zhàn)略風險，即不恰當?shù)男袆泳V領和發(fā)展規(guī)劃導致的風險；經(jīng)營風險，即不適宜的經(jīng)營手段導致的風險；財務風險，即失去融資能力或遭致無法承受的債務而導致的風險；信息風險，即不相關、不真實信息報告導致的風險；環(huán)境與法律風險，即環(huán)境驟變和政策不明朗導致的風險；災害風險，即由于戰(zhàn)爭、自然災害等人為不可抗拒的因素造成的風險。 

　　正是因為風險的存在，風險管理才成為必要。企業(yè)管理的重要內(nèi)容之一就是建立風險評估系統(tǒng)，認識和分析企業(yè)整體目標及各活動層目標，以及影響這些目標實現(xiàn)的內(nèi)在和外在因素、發(fā)生的概率及可能的后果，并采取相應的控制措施。因此，風險防范既是企業(yè)管理的必要部分，也是內(nèi)部控制機制建立的內(nèi)在動力。換句話說，內(nèi)部控制的建立是與風險管理的要求相并存的。正是因為存在各種各樣的風險，企業(yè)才應該建立良好的內(nèi)部控制系統(tǒng)，配合風險管理，實現(xiàn)企業(yè)目標。 

　　內(nèi)部控制不等于風險管理 

　　雖然內(nèi)部控制的動力源于風險防范并構成風險管理的必要環(huán)節(jié)，但內(nèi)部控制不等于風險管理本身。許多企業(yè)的管理者將內(nèi)部控制與企業(yè)管理和風險管理等同起來，常常產(chǎn)生這樣一些誤解：內(nèi)部控制可保證企業(yè)成功并使其財務報告絕對可靠合法；內(nèi)部控制可以防止企業(yè)決策的失誤；內(nèi)部控制可以阻止兩個或兩個以上的人相互勾結來踐踏控制系統(tǒng)；建立了內(nèi)部控制就等于實施了科學管理，等等。 

　　內(nèi)部控制只能防范風險，不能轉嫁、承擔、化解或分散風險。風險管理是由風險識別、風險評估、風險對策、風險監(jiān)測等一系列環(huán)節(jié)組成的一個循環(huán)流程，就這一循環(huán)流程而言，內(nèi)部控制僅與風險識別和評估密切相聯(lián)。對企業(yè)面臨風險的識別和評估，既是企業(yè)選用何種風險對策，實施何種管理措施的前提，亦是建立企業(yè)內(nèi)部控制的基礎。在風險識別和評估基礎上所建立的內(nèi)部控制，只能規(guī)避經(jīng)營管理活動中經(jīng)常發(fā)生的錯誤和風險，但不能解決風險管理中企業(yè)所面臨的所有風險，更不能轉嫁、承擔、化解、分散風險。例如，對于重要信息的異地備份，既是內(nèi)部控制中信息安全性的要求，也是風險管理中規(guī)避風險的必要措施。國際著名投資銀行摩根士坦利，正是嚴格遵循了這一基本要求，其雖置身于世貿(mào)大廈88層之高，但在“9·11”事件中，其所有客戶的重要資料并未隨世貿(mào)大廈的轟然倒塌而被埋葬。但是，上述內(nèi)部控制措施只能防范可能的風險，并不代表風險發(fā)生后的措施。風險發(fā)生后的自救也是風險管理的重要內(nèi)容。 

　　即使建立了合理而有效的內(nèi)部控制系統(tǒng)，科學而全面的管理仍是必不可少的，不能將它們二者混為一談。對于企業(yè)經(jīng)營活動中發(fā)生概率較大，且企業(yè)能夠承擔控制成本的風險，要力求通過企業(yè)自身的控制系統(tǒng)，并依托以財務管理為中心的企業(yè)管理體系予以控制。對于發(fā)生概率較小，或控制成本較大的風險，則應在加強管理、增強自身素質(zhì)的基礎上，降低風險對企業(yè)的影響程度。