【正文】 只是事中和事后的控制。COSO《企業(yè)風險管理—整合框架》認為內部控制的出發(fā)點與最終目的都是為了控制和管理風險。全面風險管理與內部控制并不是相同的概念，其根本原因在于兩者的外延有所區(qū)別。COSO《內部控制的整體框架》提出之初就是以杜絕財務報告中舞弊的產生，并杜絕因為虛假的財務信息而導致的企業(yè)危機為導向制定的。然而事實上，企業(yè)是存在于一個行業(yè)、一個大的經濟環(huán)境之中的。在當前市場經濟條件下，外部經濟環(huán)境、市場狀況、法規(guī)政策的發(fā)展變化對于企業(yè)的影響也需要得到充分的重視。相對于內部控制，企業(yè)全面風險管理從內部到外部，由整體層面制定風險戰(zhàn)略，構建管控體系，完善管理制度，優(yōu)化流程和組織職能，為企業(yè)構建風險管理的長效機制，從根本上提升了企業(yè)經營管理的效率和效果。（一）內部控制制度階段。1973年在美國審計程序公告55 號中，對內部控制制度的定義作了如下解釋：“內部控制制度有兩類：內部會計控制制度和內部管理控制制度，內部管理控制制度包括且不限于組織結構的計劃，以及關于管理部門對事項核準的決策步驟上的程序與記錄?！保ǘ﹥炔靠刂普w框架階段。該框架指出“內部控制是受企業(yè)董事會、管理層和其他人員影響，為經營的效率效果、財務報告的可靠性、相關法規(guī)的遵循性等目標的實現而提供合理保證的過程。（三）風險管理框架階段。企業(yè)風險管理整合框架認為“企業(yè)風險管理是一個過程，它由一個主體的董事會、管理當局和其他人員實施，應用于戰(zhàn)略制訂并貫穿于企業(yè)之中，旨在識別可能會影響主體的潛在事項，管理風險以使其在該主體的風險容量之內，并為主體目標的實現提供合理保證。風險管理框架包括了八大要素：內部環(huán)境、目標設定、事項識別、風險評估、風險應對、控制活動、信息與溝通、監(jiān)控?？傮w來說主要有以下三種觀點：（一）第一種觀點認為內部控制包含風險管理。巴塞爾委員會發(fā)布的《銀行業(yè)組織內部控制系統框架》中指出，“董事會負責批準并定期檢查銀行整體戰(zhàn)略及重要制度，了解銀行的主要風險，為這些風險設定可接受的水平，確保管理層采取必要的步驟去識別、計量、監(jiān)督以及控制這些風險……。加拿大注冊會計師協會控制標準委員會（1999）認為，“控制應該包括風險的識別與減輕”，其中的風險不僅包括與實現特定目標相關的風險，而且還包括一般性的風險，如不能識別和利用機會，就不能使企業(yè)在面臨未預料到事件以及不確定信息時保持靈活性或彈性。COSO委員會提出的《企業(yè)風險管理——整合框架》（2004）中明確指出，企業(yè)風險管理包含內部控制；內部控制是企業(yè)風險管理不可分割的一部分；內部控制是風險管理的一種方式，企業(yè)風險管理比內部控制范圍廣得多。（三）第三種觀點認為內部控制就是風險管理。Laura （2003）分析了內部控制是怎樣變?yōu)轱L險管理的，并指出，“將內部控制定義為風險管理強調與戰(zhàn)略制定的聯系，刻畫了內部控制作為組織支撐的特點，但是，它也掩蓋了一個不爭的事實：現在沒有人真正明自內部控制系統是什么。本文以COSO報告為基礎對內部控制與風險管理的聯系與區(qū)別進行研究。1992年的COSO《內部控制整合框架》將內部控制定義為，“受董事會、管理層及其他人員影響的，為達到經營活動的效率和效果、財務報告的真實可靠性、遵循相關法律法規(guī)等目標提供合理保證而設計的過程。它由五個方面的要素組成：控制環(huán)境、風險評估、控制活動、信息與溝通、監(jiān)控。2004年的COSO《風險管理整合框架》將風險管理定義為，“由企業(yè)的董事會、管理層以及其他人員共同實施的，應用于戰(zhàn)略制定有企業(yè)各個層次的活動，旨在識別影響企業(yè)的各種潛在事件，并按照企業(yè)的風險偏好管理風險，為企業(yè)目標的實現提供合理保證的過程。風險管理的組成要素有八個：內部環(huán)境、目的設定、事件識別、風險評估、風險對策、控制活動、信息與溝通和監(jiān)控。它們都明確是一個“過程”，不是某種靜態(tài)的東西。企業(yè)內部控制與風險管理都是滲透于企業(yè)各項活動中的一系列行動。它們都是為企業(yè)目標的實現提供合理的保證。風險管理的目標有四類，其中三類與內部控制相重合，即報告目標、經營目標和遵循性目標。另外，風險管理增加了戰(zhàn)略目標，即與企業(yè)的遠景或使命相關的高層次目標。風險管理與內部控制的組成要素有五個方面是重合的，即（控制或內部）環(huán)境、風險評估、控制活動、信息與溝通、監(jiān)督。風險管理增加了目標設定、事件識別和風險應對三個要素。風險管理的“內部環(huán)境”除包括上述七個方面外，還包括風險管理哲學、風險偏好和風險文化三個新內容。在信息與溝通方面，風險管理強調了過去、現在以及關于未來的相關數據的獲取與分析處理，規(guī)定了信息的深度與及時性等。財政部關于內部控制規(guī)范的《通知》中對內部控制的定義是：是指由企業(yè)董事會、管理層和全體員工共同實施的、旨在合理保證實現以下基本目標的一系列控制活動：企業(yè)戰(zhàn)略；經營的效率和效果；財務報告及管理信息的真實、可靠和完整；資產的安全完整；遵循國家法律法規(guī)和有關監(jiān)管要求。（二）、國內關于內部控制和全面風險管理與COSO框架的差異總體上來說，國內關于內部控制和全面風險管理的內容基本參照或遵從了COSO委員會《內部控制管理框架》和《全面風險管理框