控制活动程序，是主体实施风险控制的过程。控制活动程序是复杂的，其关键步骤包括以下方面。

（一）建立风险控制文档

主体针对各项生产经营活动，制订采购、生产、销售、服务等业务活动方面的管理规程；针对各项管理活动，制订财务、人事、行政、质量、安全、环保、监察、审计、法律事务、资本运营等管理活动方面的管理规程。主体通过建立风险控制文档进行差异分析，查找现有控制的差距和不足，然后补充和完善现有控制措施，以达到防范风险的目的。同时，为进一步补充、修订制度提供依据。风险控制文档用于确认、记录每个流程及每个步骤中存在的风险和已建立的控制，并与相应的制度和控制实施证据相对应。具体的执行步骤如下。

1.建立风险控制文档编制规范。

2.建立业务流程的风险控制文档。

3.分析查找差距，补充和完善现有控制措施。内控部门组织相关部门对风险控制文档进行分析，查找现有控制措施的缺失和不足，由相关部门整改，并补充、修订相关制度。

（二）建立关键控制

关键控制，是在相关流程中影响力和控制力相对较强的一项或多项控制，其控制作用是必不可少和不可替代的。如果缺少该项控制，将在很大程度上直接导致财务风险的产生。(www.daowen.com)

（三）制订控制程序文件

主体在建立风险控制文档的基础上，建立与控制相对应的程序文件和与控制相关、有示范意义的控制证据。

（四）根据变化的内外部环境调整控制措施，并完善相应的制度文件

随着经营活动外部环境和内部管理的变化，风险评估的结果也会不断更新，风险控制随之发生变化。因此，内控部门每年定期组织相关部门对新增或变动的风险进行以下判断：是否有新增的业务活动；已有的控制活动是否有变化；这些控制活动中哪些是关键控制。然后，将这些新增或变化后的控制活动记录在风险控制文档中，并根据识别出的关键控制对关键控制文档进行更新。

以上只是从设计层面讲的。实际上，确定设计风险控制措施重要比实施过程中真正执行所确定的风险控制措施更重要。主体应根据风险的影响、管理的复杂性和其他因素的影响，设计一套风险处理记录模式，对风险控制措施的执行情况进行适当的记录。主体应建立评估标准，对风险控制措施的执行情况进行评估，明确风险控制执行情况的责任人，并定期反馈风险控制的执行情况。

向管理层报告所有风险控制失效的情况，以保证及时采取必要的措施，纠正风险控制失效。主体根据风险控制反馈信息，评估风险控制的执行效果，并及时修正。