在內控的建設和實施中，企業(yè)的困惑也越來越多：到底什么是流程？怎么來劃分自己的核心流程？風險、內控缺陷和損失的概念有什么差異？什么叫內控手冊？內控手冊與以往的管理制度又是什么樣的關系？內控體系與其他的管理體系有什么異同？我們將內部控制理解為一種從目標到風險到措施的管理思路。下面我們將就這一框架思路中的幾個問題進行深入討論和剖析。

業(yè)務流程詳解內控作為一系列的控制活動，存在和貫穿于企業(yè)各個流程，因此首先我們需要對業(yè)務流程做一個剖析。什么是流程？流程就是企業(yè)為了完成一定的業(yè)務目標所采取的一系列動作的集合。這里我們強調兩個名詞：業(yè)務目標和動作集合。

每個流程都是有一定的業(yè)務目標的，它是這個流程所要達到的預期。在這個目標下，我們要安排若干人員采取一系列連貫銜接的動作，即每個人做一個或幾個動作，這些動作環(huán)環(huán)相扣，串接起來就形成的一個動作鏈，這就構成了一個業(yè)務流程。比如在采購業(yè)務中，我們的業(yè)務目標是為了將所需要的東西買回來，于是我們要進行（1）請購、（2）核對庫存、（3）批準采購、（4）咨詢比價、（5）確定供應商、（6）合同會簽、（7）簽訂合同、（8）收貨、（9）驗收、（10）付款等一系列動作，從而形成采購流程。

每一個流程步驟的全部描述就構成了制度，所以制度既是對現(xiàn)有流程的總結，又是對流程的約束和規(guī)范。

在構成企業(yè)流程的動作中，我們可以分為兩類屬性：一類稱為效率性動作，另一類稱為控制性動作。每個流程中都同時包括了效率性動作和控制性動作。比如在上面描述的采購流程中，（1）請購、（5）確定供應商、（8）收貨和（10）付款這四個動作就完成了采購的業(yè)務目標，因此他們屬于效率性動作。

而剩余的動作是為了防止流程中可能出現(xiàn)的問題所采取的額外性活動，是屬于控制性動作：比如（2）核對庫存和（3）批準采購是為了防止多買貨物，造成數(shù)量的積壓；（4）咨詢比價是為了保證采購價格的合理，防止買貴了；（6）合同會簽和（7）簽訂合同是為了防止采購中出現(xiàn)的法律糾紛；（9）驗收是為了防止采購中的品質問題。

效率性動作和控制性動作本質是一對矛盾體。效率性動作強調業(yè)務的盡快完成，因此它的目的是企業(yè)經(jīng)營效率的最大化，但是帶來的后果是企業(yè)經(jīng)營風險的最大化，與此同時，內控本質就是對這些控制活動進行選擇的過程。

控制目標、風險以及控制活動企業(yè)做任何一個業(yè)務都有業(yè)務目標，還是以采購為例。采購的業(yè)務目標是為了保證能夠買回企業(yè)所需要的物資。而這個業(yè)務目標下，又可以分為四個具體的控制目標，即價格便宜、數(shù)量合適、質量上乘、供應及時。

每個流程可以從以上屬性中選取若干個主要的進行具體控制目標的提煉。比如采購中的數(shù)量目標屬于準確性；質量目標屬于有效性；價格目標屬于合理性；供貨時效屬于及時性。得出了這些具體的控制目標，我們就可以有效地進行流程的風險分析和控制活動分析。

企業(yè)要采取控制活動，必須要有針對性，這個針對的對象就是風險。那么風險是什么？風險是影響企業(yè)控制目標實現(xiàn)的不確定性。這里我們強調三個概念：控制目標、影響、不確定性。

企業(yè)的風險無處不在。按照國資委的分類，風險包括了戰(zhàn)略風險、市場風險、法律風險、財務風險和運營風險。

控制活動是對風險的防范措施。風險明確以后，我們就要建立相關的控制活動。

內控手冊本質上和企業(yè)的流程、制度是一一對應，只不過流程和制度描述了企業(yè)的所有動作過程，而內控手冊不關注效率性動作，它只囊括了控制性動作并總結了其原因和要求。