话不多说，先上图：

（点击查看大图）

整体上来看，企业内控规范继承了《COSO内部控制整合框架》五要素的内控体系，整个规范围绕五要素展开；而行政事业单位内控规范虽然发布稍晚，但并未完全采用五要素体系，也未明确自身“规范”是何体系，只是默默的借鉴取用了其中的风险评估、控制活动（方法）及内部监督这三个部分，是什么体系，您就自己意会吧。

（点击查看大图）

总则部分整体介绍了本规范的框架体系。从上表的对比中我们可以看出，企业是经营性组织，内部控制活动的对象是经济活动自不待言；而行政事业单位的内控活动的对象居然也是经济活动，这也就是说行政事业单位的内部控制规范将内控的对象和范围局限在了整个单位业务活动的一部分，并没有达到全面覆盖，从其目标中“有效防范舞弊和预防腐败”的描述不难看出，规范的制定者主要着眼点其实在于防范行政事业单位在涉及金钱的业务活动中可能产生的腐败和舞弊，至于是不是能够“提高公共服务的效率和效果”那就未知了，因为一个行政事业单位本职的提供公共服务的业务活动并未被“规范”考虑在内。“行政事业单位规范”的实施原则中没有“成本效益原则”，但实际上应该也是要考虑的，后文预算控制的表意就很明显。

虽然“行政事业单位规范”未明确使用企业内控规范的“内部环境”一词，但对比“行政事业单位规范”的“单位层面内部控制”和企业内控规范中的“内部环境”，可以看出二者基本是类似的，主要从单位业务活动运行的基础条件和环境等方面展开。

（左：行政事业单位；右：企业）

至于二者的风险评估差异就比较大了。

（行政事业单位风险评估）

（企业内控规范风险评估）

企业内控规范的风险评估部分给人较有系统感，有评估方法、对风险的分类以及针对性的应对策略；而行政事业单位内控规范的风险评估，条目虽多，但实际上还是属于对具体控制措施执行情况的一种检视。

1、控制方法

行政事业单位内控规范中控制方法有8种：不相容岗位分离、内部授权审批、归口管理、预算控制、财产保护控制、会计控制、单据控制、信息内部公开；企业内控规范的控制方法：首先分类，手工控制-自动控制，预防性控制-发现性控制；方法有不相容职务分离、授权审批、会计系统控制、财产保护控制、预算控制、运营分析控制及绩效考评控制等。我们发现方法在不同性质的单位之间都是可以互通借鉴的。

2、控制活动

行政事业单位的业务分了六类：预算业务、收支业务、政府采购业务、资产管理、建设项目管理、合同管理，“规范”分别从这六个领域详述应当建立什么制度、应当做到哪些，实际上还流露着浓浓的政府传统管理规定的气息。

企业的业务活动，《企业内部控制应用指引》分了18个模块（有人称为“十八罗汉”），分别是：组织架构、发展战略、人力资源、社会责任、企业文化、资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告、全面预算、合同管理、内部信息传递、信息系统。每个模块都从本模块业务介绍、可能面临的风险、风险应对及控制措施等详加阐述，可谓详尽之至。

行政事业单位内控规范并未单提信息沟通，企业内控规范特别重视信息沟通在内部控制中的作用。及时有效的信息沟通是内控有效运行的保障，它使得单位组织能够及时发现问题并加以应对，这在环境变化日益加剧的今天显得更加重要。对于行政事业单位来说，其提供公共服务的属性，不可避免的会面临一些突发事件，处理不当甚至不及时都可能会被发达的网络媒体曲解并放大化，他们也应该多多重视一下信息与沟通的问题了。

在这一点上两个规范是基本一致的，都要求单位不断的检视自身内控的运行情况，同时都要求提交“自我评价报告”，而且行政事业单位还要面临财政和审计部门的检查。

从前文对比来看，企业内控规范采用《COSO内部控制整合框架》，显得更加系统和详尽；行政事业单位内控规范则稍显没有完整系统的体系，其中风险评估与控制活动部分基本上还属于一个重复，其最大的问题就是未完整覆盖行政事业单位的全部业务活动，很难讲会建立一个完整的内控制度，有待其借鉴企业内控规范加以改进。