美国COSO委员会于1992年发表并于1994年修订的《内部控制——整体框架》报告将内部控制定义为由董事会、管理层和员工共同设计并实施的，旨在为实现组织目标提供合理保证的过程;并设定了三类目标——经营的效果和效率、财务报告的可靠性、法律法规的遵循性;阐述了五项构成要素——控制环境、风险评估、控制活动、信息与沟通、监督。这个报告很快被世界上许多企业所采用，但同时人们也发现该报告存在着对风险强调不足等问题。COSO委员会针对这些问题，结合《萨班斯——奥克斯利法案》的要求，在原报告的基础上扩展研究出《企业风险管理——整体框架》报告(ERM报告)，并于2004年正式颁布。ERM报告是对内部控制框架的新发展，在内容和范围上都得到了扩大和提高，讨论的范围扩大到包含内部控制系统的风险管理过程，侧重于用风险的理念来看待企业的管理和目标的实现。

(一)内部控制与风险管理的区别

1、两者职能定位不同。内部控制仅是管理的一项职能，主要是通过事后和过程的控制来实现其自身的目标;而全面风险管理则贯穿于管理过程的各个方面，控制的手段不仅体现在事中和事后的控制，更重要的是在事前制订目标时就充分考虑了风险的存在。

2、两者活动范围不同。风险管理的一系列具体活动并不都是内部控制要做的，两者最明显的差异在于内部控制不负责企业经营目标的具体设立，而只是对目标的制定过程进行评价，特别是对目标和战略计划制定当中的风险进行评估。风险管理包含了风险管理目标和战略的设定、风险评估方法的选择、管理人员的聘用、有关的预算和行政管理、以及报告程序等活动。而内部控制所负责的是风险管理过程中间及其以后的重要活动，如对风险的评估和由此实施的控制活动、信息与交流活动和监督评审与缺陷的纠正等工作。

(二)内部控制与风险管理的联系

1、两者的总体目标是一致的，都是为了增加组织的价值而服务的。内部控制是全面风险管理的必要环节，内部控制的动力来自企业对风险的认识和管理。

2、两者的组成要素多方面是重合的，从COSO委员会的全面风险管理框架和内部控制框架可以看出，风险管理除包括内部控制的3个目标之外，还增加了战略目标;全面风险管理的8个要素除了包括内部控制的全部5个要素之外，还增加了目标设定、事件识别和风险对策3个要素。

(三)内部控制与风险管理的融合

在学术界，当今很多学者认为风险管理实质上就是内部控制，两者相互融合。在2007年4月19日中国内部审计协会举办的《融合之道--2007年度内部控制与风险管理春季高峰论坛》上也突出了内部控制与风险管理相融合的主题。中国内部审计协会会长王道成在高峰论坛会议上指出，内部控制与风险管理走向融合，是一个必然的趋势，是内部控制体系向前迈进了一大步，因此为了适应这样一种发展趋势，我国现行的内部控制体系有必要逐步地向全面风险管理体系升级和完善。

在实务界，内部控制与风险管理也要实现融合。企业在实现目标的漫长征程中会遇到各种各样的风险;因此就要采取措施控制风险，也正因为有风险才要控制，如果没有风险，控制就是多余的了，当然更是浪费资源。通过分析普遍认为在企业实际的经营过程中，风险管理与内部控制是密不可分的。在企业内部的不同层次，风险管理与内部控制的主导性相对次序可能不同，例如，从企业的战略风险依次到经营风险、财务风险，最后到财务报告，风险管理与内部控制的相对重要性应该各有不同。在战略风险方面，风险管理应该发挥主导作用，内部控制起到配合作用。这一角色逐步逆转，到财务报告层次，应该是内部控制发挥主导作用，风险管理起到配合作用。