实际上，内控管理的首要目的就是防范风险，做到对细微风险的有效控制。常言说：“善正者正于始，能禁者禁于微。”西方有个著名的“钉子亡国”的典故：

丢了一颗铁钉，坏了一只蹄铁；坏了一只蹄铁，折了一匹战马；折了一匹战马，伤了一位骑士；伤了一位骑士，输了一场战争；输了一场战争，亡了一个帝国。

可见，细节决定成败！所以，发现隐患比解决隐患更重要。道理大家都懂，做起来却总是很难。对风险重重的金融及相关企业来说，如何才能找准各业务环节的风险源头，避免“狗咬刺猬，无从下口”的局面呢？

第一，在建立具体的内控体系时要坚持以“源头治理”和“过程控制”为核心；第二，全面梳理现有的管理制度、业务流程和职责权限；第三，准确评估当前风险和潜在风险；第四，将风险管理融入日常经营管理活动中；第五，实现管理工作的标准化、规范化和制度化；第六，增强企业抵御风险的能力，保证目标的合理实现。

在企业内部的各个业务部门，监理具体履行对相应业务的风险控制职责，而控制主要体现在业务上，因此，“控制成为监控的基础”。内部控制部门侧重的是“不可以怎么办”，而监理环节侧重“只能怎么办”，两者之间互相呼应。

随着业务发展规模的扩大，企业对分支机构的管理也越来越重要。分支机构必须有明确清晰的职责与权限，其经理、财务、内控等重要职位要实行总部“委派制”或总部集中管理制度，由总部对其相应人员进行任免、考核。企业要完善重要的业务管理制度，如资金管理制度、产品销售管理制度、财务管理制度、项目审批管理制度以及监审管理制度等，并按照以下五个层面将各种制度具体落实下去：

第一个层面，企业或公司章程及相关议事规则。《章程》就是企业的“宪法”，是开展各项业务的基本法，也是制定各项规章制度的基础和依据。议事规则包括企业股东会议事规则、董事会议事规则、监事会议事规则、董事会风险控制委员会议事规则、董事会审计委员会议事规则等，另外还包括风险控制大纲及各专业决策委员会工作条例等。

第二个层面，企业基本管理制度。它包括财务管理制度、人力资源管理制度、授权管理制度等，这些制度具有对企业人事、财务、授权等基本事项管理和控制的作用，是企业经营管理和内部控制的基础。