在企业的内控体系建设中，一共分为五个主要的步骤，包括控制环境建设、风险识别与评估、控制活动建设、建立信息与沟通渠道、内部监督体系建设。在这五个步骤中，风险识别与评估、控制活动建设无疑是最为核心与关键的两个部分。特别是控制活动建设，在内控手册中往往占据了绝大部分的篇章，成为企业内控建设中最为人关注的领域。

控制活动建设一般在风险识别与评估活动之后，在识别出企业可能面临的风险，并对风险有效分类之后，应该根据风险的类别以及控制目标，设计出针对性的控制活动，以通过这些有效的活动，降低风险发生的概率，或者杜绝风险的发生。

那么具体如何设计出既满足风控要求、又符合行业特点的控制活动呢，下面我们就介绍以下各类办法。

一、对控制活动现状进行分析

无论企业是否刻意建设起了一套完整的内控体系，形成了一本完善的内控手册，企业都会客观存在着一些零散的内控手段。这些内控手段以更种形态散落在企业的各个角落，或为组织手段、或为职责分配、或者是流程与制度，都在一定程度身上发挥着风险控制的一般职能。

在对控制活动现状开展分析的工作中，我们一定要充分了解以下信息，以为未来的控制活动设计提供依据：

（1）能做什么工作来降低发生风险的可能性?

（2）这些工作或活动现在存在吗? 足够吗?

（3）现有的控制活动是否明确, 独特且没有彼此重复?

（4）效率:有没有更容易的或者成本更低的控制风险的方法?

（5）效果:这些控制活动是不是有效地降低了风险?

二、设计风险应对策略

在对控制活动现状进行诊断之后，我们根据前期风险评估与分类的结果，针对性的设计控制活动。一般来看，根据风险分类的结果，一般会将风险策略分为四类：

（1）风险规避：风险规避是企业对超出风险承受度的风险，通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。

（2）风险分担：风险分担是企业准备借助他人力量，采取业务分包、购买保险等方式和适当的控制措施，将风险控制在风险承受度之内的策略。

（3）风险承受：风险承受是企业对风险承受度之内的风险，在权衡成本效益之后，不准备采取控制措施降低风险或者减轻损失的策略。

（4）风险降低：风险降低是企业在权衡成本效益之后，准备采取适当的控制措施降低风险或者减轻损失，将风险控制在风险承受度之内的策略。

在风险策略的基础上，根据中天华溥的咨询经验，我们提出风险控制活动的“十种方法”。

三、十种典型的控制活动

1、组织控制法：

通过建立完善的组织机构，形成相互监督与相互制约机制，有效控制风险，主要包括：

（1）职务不兼容制度：

杜绝交叉任职 ：强调一人一岗，严格遵守岗位职责

领导班子分设：强调设置专业分管副总职位，重大决策事项集体决策

（2）管理控制机构：

法人治理结构：按照上市公司要求，建立法人治理结构的制约机制

管理部门设置：组织架构设置符合行业要求，满足战略与经营的要求，根据经营状况随时调整组织架构

2、授权批准控制

(1)批准范围：不同的岗位有不同的批准范围，建立公司《授权体系表》  

(2)批准层次：风险越大的事项，批准的层次越高，或者越需要更高级别的岗位批准

(3)批准的责任：按照专业分工行使批准审批职能，批准过程要有明确审批依据，杜绝无责审批

(4)批准的程序：专业性审批在前，行政性审批在后，杜绝领导决策后再行使审批流程

3、全面预算控制

通过科学预算并监督执行，使经营活动处于计划中，避免临时批准失误。

(1)预算体系的建立：是否有完整的、科学的、符合行业特征的全面预算体系

(2)预算的编制和审定：预算的编制与审定是不是经历了“三上三下”，实现了科学预算

(3)预算的下达及落实：预算是否正式下达，并得到了严格的落实

(4)预算执行的监控：是否有预算执行的监控措施并执行了监控，是否有预算外情况，如何处理。

(5)预算差异的分析和调整：是否定期执行了预算执行情况的分析，对预算执行的偏差是否及时进行了调整。

(6)预算业绩的考核：对预算的执行情况是否开展了考核，是否纳入了年度的激励范畴。

4、会计控制系统

通过建立统一的会计政策并监督执行，规避或降低财务人员舞弊的风险。

(1)建立健全内部会计管理规范和监督制度：企业的会计制度完善，符合行业特点与企业管理要求。

(2)统一会计政策：在时间上执行统一的会计政策标准，对于多元化集团，应由总部建设统一的会计政策标准。

(3)统一会计科目：由集团总部总建设统一的会计科目，同一类型业务会计科目保持一致

(4)明确会计处理的程序和方法：要有标准的、明确的、可供回溯的会计处理程序和方法，涉及会计处理的流程清晰合理，标准一致。

5、财产保全控制

对重要财产建立可行的保管方法，并随时保持记录与跟踪，防止财产损失。

(1)限制直接接触：通过物理或技术手段，严格限制未经授权的人员直接接触企业资产（尤其是高价值、易变现或关键资产），以降低资产被盗窃、挪用或损坏的风险

(2)定期盘点：定期对资产进行盘点以掌握资产所处的状态

(3)记录保护：对盘点记录、财产变动情况记录进行保存，以便审计查证

(4)财产保险：对重大影响企业生存的财产实行保险控制，以分担重大风险

(5) 财产记录监控：通过系统化、持续化的方式，对资产的账面记录与实物状态进行双向核对与追踪，确保账实相符，及时发现并纠正差异，防止资产流失或信息失真

6、人力资源控制

建立符合企业发展要求的人力资源管理系统，确保提供稳定的人力资源环境。

(1)建立严格的招聘程序：避免招聘舞弊与裙带关系，统一招聘任职条件

(2)制订员工工作规范：帮助员工尽快融入工作，降低或减少工作错误；提高工作效率

(3)定期培训：为员工提供技能提升机会，培训计划

(4)加强和考核奖惩制度：公平公正评价员工工作成果

(5)对重要岗位员工建立职业信用保险机制：保护公司核心机密与知识产权

(6)工作岗位轮换：避免或者减少舞弊机会

(7)提高工资和福利：为员工提供有竞争力的待遇，稳定员工队伍

（8）加强沟通：及时了解员工心态与需求

7、风险防范控制

对公司产生重点影响的活动，通过系统的风险评估方法，来决定具体措施。

(1)筹资风险评估：公司筹资时需要进行风险评估   

(2)投资风险评估：公司投资时需要进行风险评估

(3)信用风险评估：经常开展信用风险评估以防被剔出供应商范畴 

(4)合同风险评估：重大合同、非标合同，应该开展风险评估

8、内部报告控制

经常的提供分析报告，以使高层了解具体情况，以及时采取控制措施

(1)资金分析报告     

(2) 经营分析报告    

(3)费用分析报告

(4)资产分析报告    

(5) 投资分析报告  

(6)财务分析报告

定期或非定期对生产经营与财务相关的数据进行分析，通过数据发现在以上内容中存在的偏差，对偏差进行分析，并及时根据分析结果采取应对措施。分析报告的方式主要是针对一段较长时期发展情况进行的系统性分析，从中发现变化的规律，规避了短期数据带来的短视行为，最终相应长期结果。

9、管理信息系统控制

运用电子信息系统代替人力，消除人为产生的偏差，同时电子信息系统本身就是一个风险。

(1)加强对电子信息系统本身的控制：防止黑客的侵入以及电子信息的泄密。

(2)运用信息手段控制系统，减少和消除内部人为控制的影响：用信息系统代替传统人工的处理方式。

10、内部审计

建立独立的、完善的审计机构，健全审计制度与审计机制，通过审计形成对经营的制衡，及时发现风险。

机构性质：审计部门应该独立于运营部门，直属于董事会。

组织机构：审计部门职责明确，机构健全。

审计制度：内部审计制度完善，审计机制健全。

工作开展：是否按照要求开展了内部审计工作。来源：互联网