内部控制与企业风险管理有着十分紧密的联系，COSO报告认为，内部控制是企业风险管理的有机组成部分，企业风险管理包含内部控制，无论在理论上还是实践上，企业风险管理都比内部控制更有力。1．风险管理较内部控制内涵更宽泛，重点更加突出风险识别、风险偏好及风险管理。2．风险管理较内部控制目标层次更高：风险管理将内部控制的３个目标扩展为4个，报告类目标、经营类目标和遵循类目标，其中报告类目标不仅包括财务报告的可靠性，还要求所有对内对外发布的非财务类报告的准确可靠性。3．企业风险管理较内部控制要素更全面完整，将内部控制的5个要素演变为8个要素，包括内部环境、事项识别、风险评估、风险对策、控制活动、信息与沟通、监督。4．企业风险管理中有关人员的角色和责任发生了变化，COSO报告明确指出，企业里的每个人对企业风险管理都有责任。
由于企业风险管理是一种全新的管理理念，在现阶段我国企业对其还没有足够的认识和实践经验，主要存在以下问题：一是企业对风险管理的认识不足，风险意识不强。二是缺乏有效的风险评估监督机制。三是未能将企业风险管理与内部控制有机结合起来，形成突出风险管理而的内部控制系统。
根据现阶段我国企业的风险管理水平，企业风险管理整体框架的构建应采取“分阶段改进强化”的思路：（１）确立董事会在企业风险管理整体框架构建中的核心地位。（２）明确企业风险管理目标，建立有效的监督体系。（３）探索和建立风险评估体系。（４）营造企业风险管理的文化氛围，推进风险管理的实施。
（尚宏伟整理自《经济管理》2007 年第3期，作者：滕青）