内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。在实务中，内控体系按目标分成三类，一是合规型内控，主要关注合法合规、资产安全和财务报告目标；二是管理型内控，除了关注前三目标，重点关注经营目标；三是战略型内控，五个目标都关注，特别是经营和战略目标。

目前，大部分企业的内控体系都属于合规型内控，只有少数企业的内控是管理型或战略型内控。主要原因有三，一是合规型内控容易设计和实施，相对于经营目标和战略目标的控制活动，合规目标、资产安全目标和财务报告目标的控制活动具有一定的强制性和普适性，变化的空间不大。二是内控管理是企业管理的一部分，企业本身的管理水平不高，因此内控管理水平也不高，无法达到管理或战略型内控，比如，战略型内控，目的是要实现战略目标，但是企业没有战略管理体系，也没有战略管理部门，企业还处于机会导向时期，完全凭老板个人的经验和直觉做战略决策，在这个阶段，往往难以建立起战略型内控。三是，内控管理部门人员专业水平比较低，无法达到管理公司的经营风险或战略风险的水平，只能在低层次的目标上开展工作。

企业建立内控体系是一个长期的过程，从合规型内控到管理型内控再到战略型内控需要循序渐进。内控体系受企业的整体管理水平的制约，同时也推动企业管理水平提升，是相互促进的过程。

目前，企业的内控体系以合规型内控为主，造成内控避重就轻，只关注控制，缺少价值创造。因此，就出现内控建设主要是增加审批环节的现象。增加审批环节后流程变长，效率变低，但风险不一定得到控制。

一些企业对某些流程设计过多控制活动，导致流程效率低下，甚至影响业务的开展。比如有一家民营企业，煤是其主要生产燃料。采购煤过磅的时，制度上设置需要参加的人员包括：仓库管理员、采购员、生产调度员、财务、经营管理部人员（负责考核的人员），经常因为无法及时召集六方人员而导致不能及时过磅。后来咨询公司给它简化控制，只要仓库管理员和采购员两方在场就可以过磅，效率提升了，也没有发生舞弊现象。又比如某国有集团企业，有一次一个下属子公司申请水沟修理，费用金额十几万，要批到集团董事长，从发起到结束有10多个环节，中间所有环节都顺利通过，集团董事长对费用额度提出质疑，申请被退回；申请人修改费用额度后重新走流程，中间所有环节又顺利通过，集团董事长又对使用的材料提出质疑，又被退回修改重新走流程，一个水沟修理的事情，审批流程走了三次花了几个月时间。这是企业内部控制中经常出现现象，一方面审批环节众多，一笔费用报销十几个人审批是平常事，其中很多是无效审批的，没有业务相关性，不能对业务作出判断；另一方面可能导致堕怠，认为反正后面还有人把关，自己说了不算，就闭着眼睛批了，而常见的现象是，前面十几个审批都过了，最后一关被退回。

价值创造环节往往因为需要较多的投入，要求专业水平较高，所以实施难度较大，往往被企业避开。比如：（1）投资前的可行性研究；（2）采购业务的供应商管理，包括供应商调查与评估、供应商选择等；（3）销售业务的客户信用管理，包括客户调查，客户信用评级，客户信用政策等；（4）研究开发业务的市场调研、研发可行性分析；（5）工程项目的可行性研究等五类控制活动做好了，可以给企业创造较大的价值，可以发现机会或避免重大的决策失误，但是很多企业做的不够。可以发现，这五类控制活动均属于事前的控制，事前控制的价值往往比事后控制大，但是事前控制比较难，所以往往被人忽略。

事后控制的控制活动一般是成本消耗，企业的内控建设要能创造价值，需要从事后控制走向事前控制，去发现价值，发现风险，从而主动管理风险。

企业在进行内控建设时，往往会走向控制一切风险的极端。特别是当企业把内控的责任完全压到内控管理部门，而这个部门的人员又是偏保守型的，这时内控建设导向就可能不自觉地变成控制一切风险，风险越低越好，最终导致流程冗长、效率低下，多做多错，业务无法开展的局面。

风险评估是内控建设的重要一环，是设计有效控制活动的重要依据和前提。企业在风险识别和风险评估后制定风险应对的策略。风险应对策略一般有四种，一是风险分担，如采取业务外包、购买保险等方式，将风险控制在可以承受的范围内；二是风险规避，对于高风险的业务活动，企业通过放弃或停止相关业务活动的方式来避免或减轻损失；三是风险降低，企业在成本效益的原则下，采取一定控制活动来降低风险，企业大部分的流程和控制活动都是为了降低风险；四是风险承受，对于在可以承受范围内的低风险，不采取控制措施。

所谓“风险越大收益越大”，风险和收益是成正比的，没有风险就没有收益，没有风险企业就没有发展。内控管理不是要控制一切风险，内控管理要把企业的风险控制在企业能够承受的范围内，不是越小越好，也不是越大越好。

企业在建设内控体系的时候，一般会对照《企业内部控制应用指引》的18个指引进行检查诊断，全面建设。18个指引包括：组织架构、发展战略、人力资源、社会责任、企业文化、资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告、全面预算、合同管理、内部信息传递和信息系统。但这18个指引并非完全适合每个企业。

比如很多企业没有外包业务，没有担保业务；金融类企业可能不涉及工程项目；贸易类企业不涉及产品与技术的研究开发。因此，企业需要根据自身的业务情况，参照《指引》的内容进行内控建设。

比如理赔是保险公司一项重要业务；组团和地接是旅行社的主要业务，《指引》中没有涉及。又比如上市公司的关联交易管理和信息披露是一个风险点，在《指引》中没有涉及。因此，企业需要根据自身的业务情况，而不能仅仅局限于《指引》的内容进行内控建设。

对于同一个指引，有些行业是核心业务，有些行业是辅助性业务，那么它们对内控的要求就不一样。比如对房地产行业，工程项目是其核心业务，工程项目模块的内控体系就要细化，要根据房地产的业务链分成投资、设计、采购管理、成本管理、施工管理、竣工验收和项目后评估等细分模块，每个细分模块都要有详细的制度和流程，最后整合成工程项目管理制度集。而对一般的制造企业，工程项目是非核心业务，日常只有一些零星工程，大型工程并不经常发生，风险也不高，那么在做制造业企业的工程项目控制体系时，就不用像房地产企业一样分模块细化，控制活动可以相对简单些。 

由于不同发展阶段的企业，其规模、管理水平、经济实力、风险偏好等都不一样，因此其对内控建设的深度也不一样。比如信息系统，中小企业业务简单、流程简单、人员少、经济实力有限，企业没有信息系统或只有简单的信息系统，这样企业的信息系统风险不大，重要性不高，信息系统模块的内控体系就可以设计的简单些；而对于大型企业，业务复杂、流程复杂、人员众多，特别是一些数据型大型企业，数据量大，数据是其核心资产，这样企业的信息系统就非常重要，风险也很大，信息系统模块的内控体系就要严格细化。

因此，企业在进行内控建设的时候，需要根据企业的实际情况，参考《指引》进行建设，而不能生搬硬套。

很多企业内控管理人员清一色的财务审计背景（这里的财务审计背景人员指专业知识单一，对业务不了解，缺乏经营思维的财务或审计人员，不包括既精通财务又精通业务的人），并在招聘和任职资格中，都要求具有财务和审计专业。虽然内控管理需要财务和审计专业，但是只有财务和审计专业远远做不好内控管理。内部控制包括了企业经营管理的方方面面，需要不同专业的人员和知识配备，内控管理人员需要由财务专业和其他专业人员共同组成，这样才能更好地发挥内控管理部门的作用，内控管理的效果才会更好。

从不同专业人员的职业性格特点来看，内控管理的人员配备需要结合企业当前的内控建设重点和内控策略。内部控制有五大原则：全面性、重要性、制衡性、适应性和成本效益原则。不同职业性格的人可能会对内控的五大原则有不同的关注程度，从而导致内控建设的侧重点和效果不同。长期做财务和审计的人可能会更加关注全面性和制衡性，所以他们做内控会偏控制，偏保守；长期做业务的人员，特别是做销售业务的人员，会更加关注适应性和成本效益原则，所以他们做内控会偏重效益。当企业的内控风险较大，内控体系的缺陷较多，过度追求经营扩张和忽视经营风险时，内控管理人员可以以财务、审计和法律方面的人为主；当企业的内控体系控制过严，经营效率比较低时，内控管理人员可以以业务方面的人为主。