控制活动是帮助确保管理当局的风险应对得以实施的政策和程序。控制活动可以根据与其相关的主体目标的性质——战略、经营、报告和合规来进行分类。

尽管一些控制活动仅仅与一个类别有关，但是通常是交叉的。根据情况，一项特定的控制活动可能有助于满足主体的多个类别的目标。例如，特定的经营控制也能帮助确保可靠的报告，对控制活动的报告能够帮助实现合规目标。

选定了风险应对之后，管理当局就要确定用来帮助确保这些风险应对得以恰当地和及时地实施所需的控制活动。有效的风险控制是具体的，是需要嵌入企业的各个部门和层面的，与企业的管理流程、业务活动相连接的，即各个层面和各个部门的，与企业的业务活动、管理流程相连接的，也可以说是有效风险是贯穿于企业的所有层次和各个职能部门的。控制活动通常包括两类要素：确定应该做什么的政策和实现该政策的程序。