关于风险管理与内部控制的联系与区别从背景和概念前一部分已经介绍：内部控制是以一种“实”的状态存在，重在执行实际的控制活动，并将风险评估作为其赖以确定控制重点的前提步骤；而风险管理则以是一种“虚”的形式深度融合于各项工作，重在形成一种风险导向的文化和战略理念，并将内部控制作为其一项基础活动。可以说，内部控制与风险管理的融合，是一种“术”与“道”的相遇，既促成了内部控制方法的成熟，也给予了风险管理落地的实体。

在中国的整体环境下，从法规强制的角度，所有的国企和上市公司都必须建立健全内部控制和风险管理体系，并按要求输出规范的内控与风险报告，这也是国家推动企业治理走向世界一流水平的关键要求。那么在执行层面分别应当注重哪些关键的工作呢？从风险管理和内部控制的执行要素来看，二者是高度重合的，其中内部控制五要素是：“控制环境、风险评估、控制活动、信息与沟通、监控”，风险管理的五要素是：“治理与文化、战略与目标、运行、沟通与报告、检查与修订”。我们来逐一对比。

一、控制环境 & 治理与文化

内部控制的“控制环境”要素与风险管理的“治理与文化”要素在执行层面上是一致的，都是指企业的管理文化、价值观、治理结构、组织架构等等最基础的因素。这些基础因素决定了这是一个怎样的组织，它的行动风格是怎样的。正如我们说“性格决定命运”，一个人的命运的决定因素在于他头脑中最核心的性格、价值观、处事风格。因此，基于这一要素，最重要的工作在于最高管理者和董事会能够定下基调。而作为风险管理部门最主要的是建立机制，建立风险管理的流程并推动运行，并开展相应的赋能与教育。

二、战略与目标

这一要素是风险管理特有的。现在广义的内部控制也开始将这一要素融入，但在执行层面不会作为内控的关键要素。而对于风险管理来说，战略与目标就有足够的重要性。事实上，企业制定战略与目标的过程正是充满了风险，是否能够制定适合企业的战略与目标，并合理调整，决定了后续的一切经营工作是否存在价值。风险管理者应当付出足够多的精力用于战略研究和目标设定，很多企业在这项工作上邀请外部专家参与战略的研判并投入大量的资源。另外在制定目标的时候同时要确定“风险容忍度”即所谓的“必保目标”与“挑战目标”。

三、风险评估 & 控制活动

对于内部控制来说这是两个不同的要素，对于风险管理来说都属于“运行（performance）”这个要素。在这个环节风险管理更关注风险评估的准确性，关键在于获取更多的信息，运用更科学的工具，给出最有决策价值的风险排序，并制定相应合理的应对策略，接受哪些、规避哪些、转移哪些、降低哪些。做出正确的决策是风险管理的价值。控制活动是内部控制工作的核心之核心，也是内控工作之所以被称为“实”的原因，全流程的权限与制度的设定正是这些控制活动的最直观的表现。中国五部委的《内部控制基本规范》列举了7项常用的控制方法，即：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制、绩效考评控制。这些控制方法转化为制度流程就成为了内部控制最核心的实体，同时也为实现内控目标提供了合理保证。

四、信息报告与监控检查

这两个要素是需要贯穿始终的，同时也是内部控制和风险管理相同的。在执行上首先要落实指标监控，制定KRI关键风险指标。KRI可以分为三种，“观测类”即一些外部宏观因素，比如石油价格、GDP、市场行情数据、国际关系等；“保障类”即一些底线类指标或者合规类要求等；“提升类”指标，即需要通过改善提升来实现风险控制的指标。另外，要开展专项检查，进行制度流程有效性的验证，开展穿行测试，出具内部控制有效性的评价结果。第三，关于信息的沟通要充分利用报告机制和会议机制。尤其是出具符合相关规范要求的风险报告，需要传递到董事会，让最高决策者了解到企业风险的实际情况并审批。