控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。基本规范将控制活动或控制措施概括为7个方面，即不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制。同时规定企业应当建立重大风险预警机制和突发事件应急处理机制，明确风险预警标准，对可能发生的重大风险或突发事件，制订应急预案、明确责任人员、规范处置程序，确保突发事件得到及时妥善处理。

中山公司缺失的控制活动如下。

①丁伟对石油衍生品交易产生了浓厚的兴趣，在公司上下不知情的情况下独自决策投资了此项高风险业务。由此可见，中山公司缺失不相容职务分离控制。

②丁伟使用大额资金从事高风险投资业务，这项投资从未反映在中山公司的财务报表上，违反了相关会计准则规定。由此可见，中山公司缺失会计系统控制。

③丁伟在公司自恃以前业绩辉煌，独断专行，在没有经母公司批准的情况下使用大额资金从事高风险投资业务。由此可见，中山公司缺失授权审批控制。

④由于对油价走势判断失误，又恰逢全球金融危机爆发，导致中山公司的石油衍生品交易产生了巨额亏损，被迫平仓，公司陷入资不抵债、破产重组的状态。由此可见，中山公司缺失运营分析控制以及未建立重大风险预警机制和突发事件应急处理机制。

组织架构设计与运行中需关注的主要风险如下。

①治理结构形同虚设，缺乏科学决策、良性运行机制和执行力，可能导致企业经营失败，难以实现发展战略。

②内部机构设计不科学，权责分配不合理，可能导致机构重叠、职能交叉或缺失、推诿扯皮，运行效率低下。

中山公司在组织架构方面存在如下的风险。

①董事会制衡机制虚设，监事会不能对公司经营与财务状况、董事和公司高管人员实施有效的监督。在这种制衡机制失衡的状态下，公司的实际经营决策大权主要由公司高管人员掌握，从而形成严重的内部人控制的局面。

②该公司在内部机构设计过程中，没有按照不相容岗位相分离的原则去识别不相容职务，在涉及重大或高风险业务处理程序时，没有考虑建立各层级、各部门、各岗位之间的分离和牵制。

组织架构设计中应建立如下的内部控制制度。

①企业应当根据国家有关法律法规的规定，明确董事会、监事会和经理层的职责权限、任职条件、议事规则和工作程序，确保决策、执行和监督相互分离，形成制衡。

②企业的重大决策、重大事项、重要人事任免及大额资金支付业务等，应当按照规定的权限和程序实行集体决策审批或者联签制度。任何个人不得单独进行决策或者擅自改变集体决策意见。

③企业应当按照科学、精简、高效、透明、制衡的原则，综合考虑企业性质、发展战略、文化理念和管理要求等因素，合理设置内部职能机构，明确各机构的职责权限，避免职能交叉、缺失或权责过于集中，形成各司其职、各负其责、相互制约、相互协调的工作机制。

④企业应当对各机构的职能进行科学合理的分解，确定具体岗位的名称、职责和工作要求等，明确各个岗位的权限和相互关系。企业在确定职权和岗位分工过程中，应当体现不相容职务相互分离的要求。

⑤企业应当制定组织结构图、业务流程图、岗(职)位说明书和权限指引等内部管理制度或相关文件，使员工了解和掌握组织架构设计及权责分配情况，正确履行职责。