内部控制与风险管理密不可分。风险管理是内部控制的核心，也是内部控制的目标，内部控制是管理风险的一种手段。因此在理解内部控制之前，首先要弄清楚企业有哪些风险，哪些是可以通过内部控制防范的，哪些是通过其他手段防范的。

首先，企业风险分类。

风险分类的方式有很多，跟内部控制联系在一起，可以把风险分为两大类：可控风险与不可控风险。不可控风险主要包括政策变更、自然灾害、宏观经济变化等。可控风险主要包括企业运营层面的风险。

内部控制一般来讲控制的是可控的风险，即运营层面的风险。

从这里也可以看到，企业全面风险管理讲的是针对所有风险的管理，而内部控制讲的是针对可控风险的管理，这是内部控制与风险管理的区别和联系。

其次，内部控制的目标。

广义的风险是中性的概念，它既有可能给企业带来损失，也有可能给企业带来收益。因此，企业采取内部控制措施的时候，还需要把可控风险再进一步分类。