1.内部控制只能防范风险，不能转嫁、承担、化解或分散风险 　　

风险管理是由风险识别、风险评估、风险对策、风险监测等一系列环节组成的一个循环流程，就这一循环流程而言，内部控制仅与风险识别和评估密切相连。对企业面临风险的识别和评估，既是企业选用何种风险对策，实施何种管理措施的前提，亦是建立企业内部控制的基础。

在风险识别和评估基础上所建立的内部控制，只能规避经营管理活动中经常发生的错误和风险，但不能解决风险管理中企业所面临的所有风险，更不能转嫁、承担、化解、分散风险。 　　

2.即使建立了合理而有效的内部控制系统，科学而全面的管理仍是必不可少的，不能将它们二者混为一谈

对于企业经营活动中发生概率较大，且企业能够承担控制成本的风险，要力求通过企业自身的控制系统，并依托以财务管理为中心的企业管理体系予以控制。对于发生概率较小，或控制成本较大的风险，则应在加强管理、增强自身素质的基础上，降低风险对企业的影响程度。