提一份建议前，应该先确认采纳与否的人是谁。如果给自己写一份内控手册，一表总览应该是有必要的。

内控制手册绕不开内部环境、风险评估、控制活动、信息与沟通、内部监督五要素。

内部控制环境包括组织结构、战略管理、人力资源管理、 其他内控环境4大项。其他内控环境是指公司文化、信息沟通、反舞弊机制、社会责任、合规管理、内部审计。

内部控制活动包括资金管理、技术研发管理、采购与付款、资产管理、销售与回款、工程项目、业务外包、股权投资、关联交易、其他高风险业务、财务报告11大项。

内部控制手段包括合同管理、全面预算、信息系统3大项。

以风险为导向的内部控制，风险评估自在其中，风险评估离不开信息，所以信息沟通也自在其中。内部监督，其实可以看做作是一项独立的信息沟通机制。

编制内部控制手册，都绕不过内部控制矩阵。

内部控制矩阵的样式，好像各家有各家的干法。

总起来讲，控制是通过捕获特定的信息实现纠偏。偏离和纠偏都是相对目标（或标准）而言，目标都是人的目标，目标的层层分解一般伴随着权责的层层代理，控制最终的落脚点在于保障委托代理的有效性。

内控矩阵，需要回答为什么要控制、控制什么、怎么控制、谁来控制。

简版的内控矩阵，包括序号、风险名称、风险描述、风险编号、内部控制目标、内部控制措施描述、控制编号、是否关键控制、是否自动化控制、控制频率、责任部门、控制依据、控制证据等要素，概括起来就是风险点、控制点、责任点。

风险名称一般以所在流程节点命名。

风险描述主要内容不采取内部控制措施或内部控制措施设计不合理或执行不到位可能导致什么后果。

风险编号一般采用R+流程编号+节点编号。

内部控制的目标一般是指完善机制、健全制度、优化设计、严格执行等维度。

内部控制措施描述，包括内部控制措施涉及的工具方法、规章制度、执行标准、应用场景、信息记录规范等内容。

风险编号一般采用C+流程编号+节点编号（一个风险点的若干措施可增加一级编号）。

是否关键控制与内控缺失导致内控缺陷的程度有关。

是否自动化主要涉及信息化流程是否涉及人工判断。

控制频率有按需、每次、每月、每季度、每半年、每年度、每三年、每五年等等周期。

责任部门一般为对应流程或流程节点的操作部门，或者说是风险所有人。

控制依据一般指规章制度或政策文件。

控制证据包括设计证据和执行证据两类。

完整的内部控制矩阵，是从总目标到支撑流程、大流程节点目标、到风险点、到控制点、最后到责任人的逻辑。

如上图所示：包括序号、流程名称、流程编号、目标名称 目标编号、目标描述、风险名称、风险编号、风险描述、风险发生可能性、风险影响程度、应对策略、控制名称、控制编号、控制描述、控制依据、是否关键控制、人工/自动、信息流程编号、控制频率、控制责任人、责任岗位编号、控制责任部门、控制记录、监督责任人、监督岗位编号、监督部门、监督频率、监督记录29项等要素。鉴于过长的表格不具备良好的可阅读性，一般这种方式可作为过程文件。

责任人包括控制责任和监督责任。

对业务流程、风险、控制、信息流程、责任岗位进行编号，建立对应关系，应该是实现数字化风控的重要基础。

增加风险评估和应对策略选择维度，也可以更好的实现风险的动态监控，拓宽内部控制适用的范围。

至于在内控手册中是否需要有详细的流程图、权限表（或者不相容职责分离表），一方面要从成本效益原则出发确定“合理保证”，另一方面要区分清楚业务流程、内控流程、审批流程。过度的保证和保证不足都是一种失控。以人为单位的审批流程可以穷举，在不以制衡逻辑考虑授权机制的情况下，审批流程就是照顾一把手的用权感受，与合理保证目标无关。

从高等代数的角度理解矩阵，不过是一种相互关系，控制即是一种矩阵变换。目前大家熟知的内控矩阵，只是一个1×3矩阵，即流程*风险点、控制点、责任点，在形式上属于比较简单的矩阵，也缺乏有效的运算逻辑，实质上不能算着矩阵。