在企业的一个业务流程中，控制措施往往有很多。于是我们在对这些内控措施进行梳理和评价的时候，一定要抓住重点，认定好哪个是流程中的关键控制点，把握关键控制和一般控制。经验数据表明，在所有业务层面控制中，关键控制点一般占到20％左右。而我们在开展内控评价和测试的时候，也是重点要抓住这20%的控制措施。

基于以往的内控评价实践，我们提供了一种可供参考的区分关键控制措施和一般控制措施的逻辑划分方法。如下图所示：

列向是可能的风险，一共有五个；横向是控制措施，也是5个。其中风险和措施是一个多对多的关键，即一个风险可能由多个措施控制，而一个控制措施可能防范多个风险。

此时，关键控制措施的判断有两种方法：

方法一：基于风险的关联性分析法

当一项控制措施可以涵盖多个风险，或者一个风险只有某项控制措施能够涵盖时，该项控制措施应当被认定为关键控制，除此之外，则被认定为一般控制。

比如在上图中，控制措施C1可以涵盖风险R1、R2、R3和R5，即一项控制可以涵盖多个可能出错事项，因此控制措施C1可被认定为关键控制；而对于可能的风险R4，只有控制措施C2能够涵盖，即一个可能出错事项只有一项控制能够涵盖，因此控制措施C2可被认定为关键控制。由此分析得出，控制措施C1、C2为关键控制，控制措施C3、C4和C5为一般控制。

方法二：基于风险的重要性分析法

当一项风险被认定为重大或重要风险，而防范这个风险的措施有多个时，能够起到决定性作用，即能够让这个风险降低50%以上的措施应当被认定为关键控制，除此之外，则被认定为一般控制。

比如在上图中，如果风险R2和风险R4被认定为重大和重要风险，而另外R1、R3、R5被认定为一般风险时，我们就只需要重点看风险R2和R4。对R2来说，有C1、C3、C4、C5四个控制措施，如果C1、C3能够将风险降低50%，而C4、C5只能将风险小幅降低，那么C1、C3就是关键控制措施。再看R4，因为只有C2可以防范，所以C2也被认定为关键控制措施。由此分析得出，控制措施C1、C2、C3为关键控制，控制措施C4和C5为一般控制。