内部控制风险就是指影响内部控制功效发挥和目标实现或导致内部控制失效的不确定性。产生内部控制风险的因素很多，总体来讲可以从内部环境，风险评估、控制措施、信息与沟通监督等五大内部控制构成要素进行分析。

如企业管理层的管理哲学和经营风格是否与时代相符合、董事会和内部监督机构的设置是否合理、企业内部组织机构设置及职责权限的划分是否清晰人力资源制度是否完善、员工职业道德操守和工作能力与其所承担的工作任务是否匹配；管理层能否准确识别和分析风险的影响因素、合理评估风险发生频率与破坏性；内部控制程序和措施是否恰当；有无畅通的沟通平台和渠道使上下互通信息：有无严格有效地监控、考核评价与监督体系等这些都是影响内部控制风险的因素。一个企业要发挥内部控制功效，就必须从控制和防范内部控制风险开始。

内部控制与风险管理的区别

1、核心区别就是风险管理是事前、基于未来的一种管理，具有不确定性，而内部控制是对当下和过去的检查，相对是明确的，比如检查公司制度设计是否完善，实际工作是否按制度设计去执行的，这些都是对过去事项的控制和检查。

2、对风险管理和内控的要求是不一样的，内控是强制性的要求，如监管机构对上市公司的内部控制是有要求的，这是公司上市满足监管的标准。风险管理相当于公司的“道德品质”，没有强制性要求，但要比法律要求的标准更高，好比有的人道德水平高、有的道德水平低。企业在满足监管要求的标准后，是要不断提升企业的“道德品质”。

3、风险管理服务于战略目标，而内部控制服务于运营目标。就好比你要跟企业管理层谈风险、谈战略，跟下面具体实施的人员谈运营、谈内控。你要是跟管理层的大佬们谈内部控制，比如报销审批流程什么的，大佬是不会理你的。