一、核心定义不同

1.风险管理：

在于识别、评估和应对影响企业目标实现的各种不确定性（包括风险和机遇），关注的是未来的这些事情发生的可能性和影响有多大？。

它的核心问题：

• 我们的目标是什么？（战略、运营、报告、合规）

• 阻碍我们实现目标的内外部风险有哪些？

• 哪些风险是重大风险，需要优先处理？

• 我们应该如何应对这些风险？（规避、降低、分担、接受）

  
  

产出：一份风险清单（风险库）、风险评估报告、风险应对策略等。它回答了“要管什么”和“管到什么程度”的问题。

2.内部控制

内部控制为企业实现目标提供合理保证，是一个由董事会、管理层和全体员工共同实施的，旨在合理保证实现运营效果和效率、财务报告的可靠性、法律法规的遵循性等目标的过程。

关注的是“我们应该建立什么样的流程、制度和活动，来确保风险应对策略得到有效执行？”。

它的核心问题：

• 为了应对某个已识别的风险，我们需要设置哪些控制活动？（例如：审批、复核、对账、权限分离）

• 这些控制活动是否设计得有效？

• 这些控制活动是否在持续地、有效地运行？

• 我们如何监督这些控制活动？

  
  

产出：一系列的制度、流程、岗位职责、操作手册、信息系统控制等。它回答了“怎么管”的问题。

二、一个生动的比喻：保卫城堡

为了更好地理解，我们用一个“保卫城堡”的比喻：

风险管理：

第一步：识别敌人。派出侦察兵，了解周围有哪些潜在的敌人（如敌国军队、山贼、间谍），他们可能从哪个方向来，兵力如何（风险识别）。

第二步：评估威胁。分析哪个敌人威胁最大（比如敌国大军），哪个只是小麻烦（比如零星山贼），并确定防御的重点和资源分配（风险评估与排序）。

第三步：制定战略。决定如何应对：是主动出击消灭敌人（风险规避），还是加固城墙、深挖壕沟（风险降低），或是与邻国结盟共同防御（风险分担），或者对某些小股山贼暂时不理会（风险接受）。

产出：一份详细的《敌情分析及防御战略报告》。

内部控制建设（内部控制）：

第一步：落实防御工事。根据防御战略，开始具体建造。比如，修建高大坚固的城墙（控制环境），在城墙上设置箭楼和瞭望塔（控制活动），规定士兵24小时轮班值守（职责分离与监督），建立烽火台和传令兵系统（信息与沟通）。

第二步：日常运营与维护。确保士兵按时上岗、弓箭充足、城墙没有裂缝（控制活动的执行）。将军会定期检查城墙和士兵的执勤情况（监督活动）。

产出：一座坚固的、有具体防御措施和士兵管理的城堡本身。

从这个比喻可以看出：

没有风险建设（不知道敌人是谁、在哪），内部控制建设（造城堡）就是盲目的。你可能在敌人不会来的方向花重金修建城墙，而忽略了真正的薄弱环节。

没有内部控制建设，风险建设（制定战略）就是空谈。你知道敌人要来了，也制定了防御策略，但如果城墙没修、士兵没训，一切战略都等于零。

三、两者的关系：相辅相成，互为前提

1. 风险建设是内部控制建设的前提和方向

风险导向： 现代内部控制的核心思想是“风险导向”。也就是说，内部控制的建设必须以风险评估的结果为起点。企业不应该为了控制而控制，而是为了应对已识别的重大风险而设计控制措施。

避免过度控制或控制不足： 如果没有风险评估，企业可能会在一些低风险领域投入过多控制资源（过度控制，增加成本、降低效率），而在高风险领域却缺乏必要的控制（控制不足，导致损失）。

2. 内部控制建设是风险建设的落地和保障

执行工具： 风险管理策略最终需要通过具体的内部控制活动来落地。比如，风险管理策略要求“降低采购过程中的舞弊风险”，那么内部控制就需要设计“供应商准入评估”、“采购与付款职责分离”、“三方比价”、“高层审批”等具体控制活动。

效果反馈： 内部控制的运行情况会反过来为风险管理提供反馈。如果某个控制措施持续失效，可能意味着该风险比原先评估的更严重，或者控制设计本身有问题，需要重新进行风险评估和调整策略。

四、总结：

一个成熟的企业，必然是将风险管理融入内部控制建设，形成一个“识别风险 → 制定策略 → 设计控制 → 执行监督 → 再评估风险”的持续改进的闭环。两者缺一不可，共同构成了企业治理的基石。