内部控制的动力源于风险防范并构成风险管理的必要环节，但内部控制只能防范风险，不能转嫁、承担、化解或分散风险。
　　内部控制的动力源自风险防范

　　何为内部控制?中国注册会计师独立审计准则第九号《内部控制与审计风险》认为：内部控制是指在一个单位内部，为了保证业务活动的有效进行，保护资产的安全和完整，防止、发现、纠正错误与舞弊，保证会计资料的真实、完整而制定和实施的政策与程序。中国证监会发布的《证券公司内部控制指引》指出：公司内部控制包括内部控制机制和内部控制制度两个方面。内部控制机制是指公司的内部组织结构及其相互之间的运行制约关系；内部控制制度是指公司为防范金融风险，保护资产的安全与完整，促进各项经营活动的有效实施而制定的各种业务操作程序、管理方法与控制措施的总称。国际组织(COSO)则将内部控制定义为一个组织设计并实施的一个程序，以便为达到该组织的经营目标提供合理保障。

　　从上述各种定义中我们不难看出，虽然对内部控制理解的角度各有侧重，但共同的认识在于内部控制是一个组织所设计并实施的程序(包括必要的制度和措施)，旨在为实现该组织的某种目标而提供合理保障。内部控制将从三个方面提供合理保障，并有助于组织某种目标的实现：经营过程有效率/效益地进行，并预防资源的损失；对外提供可靠的财务报告；相关法律法规得以遵循。良好的内部控制可以合理保证合规经营、财务报表的真实可靠和经营结果的效率与效益。而合规经营、真实的财务报告和有效益/效率的经营也正是企业风险管理所应该达到的基本状态。从这个角度出发，内部控制是风险管理的必要环节，内部控制的动力来自企业对风险的认识和管理。

　　对一个持续经营的企业而言，常见的企业风险包括：战略风险，即不恰当的行动纲领和发展规划导致的风险；经营风险，即不适宜的经营手段导致的风险；财务风险，即失去融资能力或遭致无法承受的债务而导致的风险；信息风险，即不相关、不真实信息报告导致的风险；环境与法律风险，即环境骤变和政策不明朗导致的风险；灾害风险，即由于战争、自然灾害等人为不可抗拒的因素造成的风险。

　　正是因为风险的存在，风险管理才成为必要。企业管理的重要内容之一就是建立风险评估系统，认识和分析企业整体目标及各活动层目标，以及影响这些目标实现的内在和外在因素、发生的概率及可能的后果，并采取相应的控制措施。因此，风险防范既是企业管理的必要部分，也是内部控制机制建立的内在动力。换句话说，内部控制的建立是与风险管理的要求相并存的。正是因为存在各种各样的风险，企业才应该建立良好的内部控制系统，配合风险管理，实现企业目标。

　　内部控制不等于风险管理

　　虽然内部控制的动力源于风险防范并构成风险管理的必要环节，但内部控制不等于风险管理本身。许多企业的管理者将内部控制与企业管理和风险管理等同起来，常常产生这样一些误解：内部控制可保证企业成功并使其财务报告绝对可靠合法；内部控制可以防止企业决策的失误；内部控制可以阻止两个或两个以上的人相互勾结来践踏控制系统；建立了内部控制就等于实施了科学管理，等等。

　　内部控制只能防范风险，不能转嫁、承担、化解或分散风险。风险管理是由风险识别、风险评估、风险对策、风险监测等一系列环节组成的一个循环流程，就这一循环流程而言，内部控制仅与风险识别和评估密切相联。对企业面临风险的识别和评估，既是企业选用何种风险对策，实施何种管理措施的前提，亦是建立企业内部控制的基础。在风险识别和评估基础上所建立的内部控制，只能规避经营管理活动中经常发生的错误和风险，但不能解决风险管理中企业所面临的所有风险，更不能转嫁、承担、化解、分散风险。例如，对于重要信息的异地备份，既是内部控制中信息安全性的要求，也是风险管理中规避风险的必要措施。国际著名投资银行摩根士坦利，正是严格遵循了这一基本要求，其虽置身于世贸大厦88层之高，但在“9·11”事件中，其所有客户的重要资料并未随世贸大厦的轰然倒塌而被埋葬。但是，上述内部控制措施只能防范可能的风险，并不代表风险发生后的措施。风险发生后的自救也是风险管理的重要内容。 　　即使建立了合理而有效的内部控制系统，科学而全面的管理仍是必不可少的，不能将它们二者混为一谈。对于企业经营活动中发生概率较大，且企业能够承担控制成本的风险，要力求通过企业自身的控制系统，并依托以财务管理为中心的企业管理体系予以控制。对于发生概率较小，或控制成本较大的风险，则应在加强管理、增强自身素质的基础上，降低风险对企业的影响程度。