马修·雷奇是一位具有设计思维的内部控制专家，拥有审计、会计、实验心理学、数学和软件开发等多学科背景。2002年以前，马修·雷奇一直在普华永道工作。在为国际知名公司提供服务的过程中，作者逐渐创立了本书描述的内部控制设计方法。

    《内部控制设计：提升企业价值的战略过程》是一本很有特色的专著。它提供了一系列通过创新和设计以改进内部控制和风险管理效率的方法，致力于建立一种“智能内部控制与风险管理”，这些方法包括控制设计和控制系统的一些替代方法，还提供了监控和审计的控制手段，以及对加速学习、查找技术和回收资金的一些新技巧。尽管《内部控制设计：提升企业价值的战略过程》这本书讨论的是技术话题，但却易懂且好消化。作者采用深入浅出、循序渐进的方法系统地介绍了智能内部控制与风险管理。叙述严谨，基础坚实，实例与图表结合，易于读者理解和掌握。

    第一章 能有多大的改进<br>    人们有许多从风险控制中获得更大的商业价值的机会。风险和控制程序能够增加价值的证据之所以不完整，很可能是因为许多程序的确没有提供价值，但也有可能是因为人们几乎不注意评估或改进它们所提供的价值。<br>    这里有两个例子说明了改进的机会以及机会仍然存在的其他主要原因。这两个例子就一个相似的问题使用两种方法进行对比，以强调改进的空间。<br>    案例1：《萨班斯-奥克斯利法案》与收入保障对比<br>    过去几十年问，风险和控制背后的推动力没有受到重视。人们常常需要的是“保证”--一种舒适的感觉，对损失或仅仅是尴尬的一些预防。最常见的情况是外部需求驱使行动。监管部门要求改进它们，审计师对它们不断予以指责与批评。<br>    当审计师，特别是外部审计师建议改进控制时，通常很少考虑实施或者运行该控制的成本。在面对风险时，审计师希望通过建议执行者做一些事以获得一种“受保护”（covered）的感觉，至少在理论上是这样的。接着就是执行者决定是否值得予以控制，或者执行者附和审计师也仅仅是为了确保其自身免受批评。无论是大型组织还是小型组织都经常会出差错，但是，对于受人关注的执行者来说，若未能执行受人敬重的、独立的专家的建议，可能在这些问题上会使其个人遭受更大的伤害。<br>    ……

引言<br>第一部分：大展宏图<br>第一章  能有多大的改进<br>案例1：《萨班斯-奥克斯利法案》与收人保障对比<br>案例2：行政制度式控制与智能控制<br>本书之所为与所不为<br>本书的结构<br>第二章  风险管理和内部控制：平稳前进<br>内部控制的起源<br>与质量管理的长期战争<br>一个进步的机会<br>风险管理的起源<br>风险管理传统中的概念差异<br>另一个进步的机会<br>内部控制和风险管理之间的冲突<br>第三章  整合后的风险控制更简单<br>风险控制的印象<br>有关当下风险控制的其他观点<br>第四章  人们的目标和行为<br>风险和控制的心理学指南<br>隐瞒不确定性的案例<br>风险控制的大量信息<br>第二部分：高价值控制机制<br>第五章  旨在增加价值的控制模式概述<br>如何从这些控制模式中获益<br>描述格式<br>控制模式概况<br>第六章  生成其他控制的控制<br>1 自生型控制系统<br>2 控制开发资源指导<br>3 控制生成应用程序<br>4 双环设计<br>5 按方案自上而下设计<br>6 执行后改进<br>7 因素驱动设计<br>8 因果关系干预<br>9 进化的不确定性清单<br>10 风险登记册<br>11 风险和控制的矩阵映射<br>12 过程步骤分析<br>13 因果模型<br>14 蒙特卡罗模拟<br>15 故障树和事件树分析<br>16 叙述未来故事<br>17 通用控制设计库<br>18 控制模式<br>19 过程控制框架<br>20 项目控制框架<br>第七章  审计、审核和有效监控<br>21 控制监督层次<br>22 过程管理控制<br>23 过程统计包<br>24 个体比较<br>25 统计过程控制<br>26 风险因素监控<br>27 关于控制绩效的有益交谈<br>28 控制访谈问题<br>29 不确定性报告<br>30 解释第一分析法<br>31 图示业务分析法<br>32 随机舞弊审计<br>33 适应性审计<br>34 针对已设控制的审计<br>35 审核所有证据<br>36 灵活的文件审核<br>第八章  学习和适应<br>学习和适应的综述<br>适应性控制系统的特性<br>超越预算的案例<br>不确定性下的管理控制模式<br>37 弹性需求<br>38 风险权衡<br>39 弹性协议<br>40 弹性计划<br>41 关键链法<br>42 演化项目管理<br>43 投资组合管理<br>44 负反馈控制回路<br>45 加速目标<br>46 对完工的再预测<br>47 统计外推预测<br>第九章  防护和内在可靠性<br>48 多层进入限制<br>49 职责分离原则<br>50 认知工效学<br>第十章  检查与校正<br>51 电子数据表的改进与替换<br>52 计算机支持的授权<br>53 已扩展编辑审查<br>54 事前向事后的转变<br>55 回收<br>56 差异寻找<br>57 异常寻找<br>58 端对端调和<br>59 大规模的修正工具<br>60 通过聚类减少差错文件<br>第三部分：创造美好变化<br>第十一章  触发好的行为<br>超越强制<br>将触发机制应用于普遍的行为改变<br>实时触发的资源<br>执行步骤的一些例子<br>执行不确定性报告<br>执行风险权衡<br>执行统计外推预测<br>衡量和动机<br>第十二章  个人教育与评估<br>风险和不确定性管理评估（RUMA）<br>RuMA研究结果说明了什么<br>情景导向测试和教学的应用<br>第十三章  了解改进障碍<br>专业技能匮乏与期望低下<br>不确定性隐瞒<br>僵局<br>审计和监管重点<br>视同得以证实的拙劣或未成熟的技术<br>无益且限制性的想法<br>第十四章  关键角色及每种角色如何通过风险控制增加价值<br>关键人员扮演的角色<br>高级执行董事<br>高级非执行董事<br>包括内部审计负责人在内的内部审计经理<br>部门经理<br>信息技术经理<br>其他人<br>第十五章  创新和友好扩展战略<br>应当预期什么<br>谁会成功？<br>有用的技术<br>如何破坏创新项目<br>友好扩展战略<br>第十六章  无用思想的有效替代<br>实务对照<br>促使实务改良的六个策略<br>常见的问题领域<br>第十七章  七个前沿领域<br>第一个领域：更多的控制设计，更少的审计和修正<br>第二个领域：公司风险管理越来越接近内部控制<br>第三个领域：改进量化<br>第四个领域：超越风险登记册的行为改变<br>第五个领域：以心理因素为目标的风险管理<br>第六个领域：通过因果模型融合风险和绩效管理<br>第七个领域：风险登记册的技术改革<br>结束语