楼上的几乎都是照书办的。

实际操作中，大致可以从这样几个方面入手：

1、了解公司的组织架构，从而可以针对不同层级的机构、部门、岗位制定相应的内控制度；

2、了解公司的主要业务流程，从而可以有针对性的进行流程化设计，以及配套内控制度的设计；

3、了解公司整体的特殊性，如有的公司的环保方面要求较强，有的公司的资金运作方面要求较强，有的公司更注重保密程度等等。从而在已制定的内控规范中着重加强这方面的规定和要求。

4、了解公司的发展阶段，从而采取适当的方法。如有的公司处于起始阶段，那么很多内控可以从头设计，人员从一开始就规范运行。有的公司处于发展中期，由于历史沿革的原因，很多已有内控与当下的法律法规存在冲突，那么可以考虑过渡性的内控规范，实现平稳转变。

5、最后注意所制定的内控中应当有足够的监督、反馈、奖惩类的措施，以保证制度执行的准确性。

总之，内控并不是光靠制定的，做不到的内控和没制定几乎没有差别；闭门造车的内控永远是与实际相脱节的；没有监督的内控，就如同没有红绿灯的路口，混乱是早晚的事情。

你的问题有点太大了，只能从总体思路上给一些提示。