所以，内控本质就是对这些控制活动进行选择的过程。那么为什么要采取控制活动?该采取哪些控制活动?这就要对控制目标、风险和控制活动进行详细的讨论了。

　　控制目标
　　企业做任何一个业务都有业务目标，而这个业务目标又可以分解成若干个控制目标，这些控制目标是保证业务目标能够实现的基础。还是以采购为例。采购业务的目标是为了保证能够买回企业所需要的物资。而这个业务目标下，又可以分为四个具体的控制目标，价格便宜、数量合适、质量上乘、供应及时。这四个控制目标如果无法实现，那么即使东西采购回来也是没有用的，所以我们在业务流程中必须保证这四个控制目标的实现。不同的业务循环有不同的控制目标，一般来说对控制目标的识别可以从以下八个属性进行判定：完整性、及时性、真实性、准确性、有效性、合法性、合理性、保密性。
　　每个流程可以从以上属性中选取若干个主要的属性进行具体控制目标的提炼。比如采购中的数量目标属于准确性;质量目标属于有效性;价格目标属于合理性;供货时效属于及时性。得出了这些具体的控制目标我们就可以有效地进行流程的风险分析和控制活动分析。

　　风险
　　企业要采取控制活动，必须要有针对性，这个针对的对象就是风险。那么风险是什么?风险是影响企业控制目标实现的不确定性。这里强调三个概念：控制目标、影响、不确定性。控制目标如前所述，不再赘述;影响是指对某一控制目标会产生偏离的因素;而不确定性是指这一偏离发生是有概率的，并不一定发生。比如我们说供应商会提供给企业不合格的产品，这就属于风险。因为首先它影响了企业采购中质量目标的实现;其次这一事项的发生不是必然的，有可能会发生也有可能不会发生。因此，风险不等于损失。损失是指某影响控制目标实现的事件已经真实发生了，已经给企业带来了经济或声誉上的损耗，因此它不具有不确定性。
　　企业的风险无处不在。按照国资委的分类，风险包括了战略风险、市场风险、法律风险、财务风险和运营风险。我们进行风险管理和内部控制的目标并不是消灭风险，因为风险是客观存在无法消灭的。我们做的无非是通过一定的活动来减少风险对企业的影响。当然，企业的风险也不是一成不变的。一方面，企业风险会随着企业经营环境的变化而增减，比如取消了赊销政策，那么回款风险也就没有了;同样如果企业退出外贸领域，汇率风险也就没有了。另一方面企业的风险会随着内外部条件的改变而发生重要性的变化，即原来大风险的事件可能变为小风险，而原来小风险的事件会变成大风险。比如我们的供应商由大供应商变为了小供应商，那么物资采购的质量风险就随之升高了。
　　风险识别和分析是内控的前置步骤，所以在内控建设前要编制风险清单。所谓的风险清单就是把所有的风险事件进行罗列分析。当然，风险清单可能无法做到对风险的全部囊括，因为受制于每个人的经验、经历和阅历，我们无法识别完全的风险。我们只能在经验范围内不断地完善对风险的认知程度。

　　(未完待续)