一、内部控制目标

1.不同内部控制目标体系的比较

2.内部控制目标的实务分类

3.从一般内部控制目标到具体内部控制目标

二、控制风险

《中央企业全面风险管理指引》及其相关评价规定则进一步将风险划分为战略风险、财务风险、市场风险、运营风险和法律风险五大类，并且每大类内部又分解为一级、二级和三级风险。

以销售活动为例：

销售活动面临的最大风险是销售不足（图1）。销售不足的原因可能是产品定位问题（战略风险），也可能是竞争者提供了更具优势的解决方案（市场风险），或客户受资金不足而出现的需求不足（运营风险）等。

针对客户资金不足问题，我们可以采取担保政策，也可以采取信用管理政策。如果采取信用管理政策，则随之而来的就是如何确定客户的授信额度问题。如授信过高（财务风险）则会导致后期坏账和催款成本激增；如授信不足（运营风险），又无法对销售起到刺激作用，因此，需要一个授信额度的审批程序来规范授信过程。

解决这个困境的方法就是在原有条块横向分割的基础上，再按风险影响的涉及面纵向划分为：战略性风险、战术性风险和操作性风险三个层次。

仍以销售活动为例，销售不足为战略性风险；授信不足或过高为战术性风险；授信审批没有按照要求执行则为操作性风险。

构建自上而下的风险指标体系即符合企业目标管理、绩效管理和流程管理的原理，又能通过追踪至操作性风险来检查是否所有战略性风险和战术性风险都已得到有效控制。

实务中，可以将原有的横向风险清单作为索引工具，这样既便于合规性检查，又便于员工按图索骥，理解相关风险的具体控制措施及其在整个业务循环中的前后配合协调工作。

三、控制措施

1.控制措施的具体内容

在实务中，经常会有企业的管理层特别是高管，抱怨内部控制体系就是增加一堆表格和签字，但却没有人能解释为什么要签字；同时，企业管理层真正希望解决的问题，却几乎没有触及到。

造成这种局面的直接原因就是缺乏对风险层次的清晰认识，进而导致在内部控制建设过程中只局限在操作性的业务流程层面，而忽略了或者无法将针对战略性风险和战术性风险的控制措施落实到位。

战略性风险的主要控制措施是完善决策机制和企业定位，常见的内部控制措施包括决策程序、决策标准和决策能力的建设。企业战略目标的涉及面从抽象到具体可以包括愿景、定位、规划和产品，因此，对战略风险的管控措施更多是从资产组合、决策/定位和培养竞争优势等着手。

战略性风险的内部控制建设成果可以体现在公司治理文件、集团管控模式、企业的战略定位和商业模式等载体中。

战术性风险的主要控制措施就是完善管理机制，常见的内部控制措施包括岗位设置、预算管理、运营分析、绩效管理和预警机制等。

其建设成果可以体现在岗责体系、流程体系/价值链（即一级流程）和基本管理制度等载体中。

操作性风险的主要控制措施是作业动作，常见的具体措施包括不相容职责分离、授权/审批、查证/核对/复核、财产保护和会计系统控制等。

其建设成果可以体现在权限指引、具体管理制度、标准操作流程（对流程体系的细化和分解）和业务表单等载体中。

在企业管理中，这三个层次的管理活动是层层推导的，因此，同样的战略定位可能因为不同的策略而需要不同的管理机制和业务流程，进而需要不同的控制措施。

比如，同样以创新战略作为战略性风险的控制措施，索尼公司将研发团队分为三个小组，第三组的任务就是淘汰前面两组的产品；而3M公司则鼓励员工利用20%的工作时间和公司的资源去做自己的发明创造。两者落实战略的管理机制不同，对应的流程活动和控制措施也将大相径庭；但两者最终都在市场上取得了成功。

2.将控制措施嵌入管理过程

法约尔在管理史上首先研究并定义了管理的要素，包括：计划、组织、命令、协调和控制。所以，内部控制不是抛开原有的管理体系另起炉灶，而“是管理过程的一部分”。

内部控制建设最直观的成果就是内部控制手册，其核心内容是风险控制矩阵和流程图等。

正确理解内部控制手册的使用应当包括两个层面。

第一，内部控制手册使用者主要是内部审计人员和外部审计师，供其在内控自我评价和内控审计鉴证时快速确定关键控制点；

第二，在内部控制手册完成后，企业需要将风险控制矩阵中的控制措施，更新到原有的制度和流程文件中去，并且以划线标注或编号标注等方式体现出哪些是控制措施。对于非内部审计部门而言，内部控制手册在日常工作中，只能作为一种索引工具使用。

内控管理师（ICM）”着力解决企事业单位内部控制体系建设专业知识不足，内控管理专业人才匮乏的共性问题。