小型企业内部控制规范(2)

　　第二节 建设程序和内容

　　第十六条 【总述】企业应以风险为导向确定内部控制体系建设的领域，建立良好的内部控制环境，通过设计相应的控制活动或对现有的控制活动进行梳理、完善和优化，确保内部控制体系有效并持续运行。

　　第十七条 【风险评估】企业可以依据所设定的控制目标，选择采用经营管理会议、专家访谈、风险调查问卷、风险研讨会等适当的方式、方法和程序开展风险识别和评估，了解所面临的主要风险及其影响，评估是否超过企业所能承受的水平，并以此为基础来作出接受、规避、降低或分担的风险应对决策，进而明确应予重点关注和优先控制的风险，以及如何对这些风险实现管理。

　　第十八条 【风险评估的对象】企业可以依据所设定的目标和建设工作规划，针对性地选择评估对象开展风险评估。评估对象可以是整个组织或某个职能，也可以是某个业务领域、某个产品或某个具体事项。

　　第十九条 【风险评估的内容】企业应结合自身不同发展阶段和业务拓展的情况，持续评估各类风险对内部控制目标的实现所造成的预期影响，包括风险发生的可能性、风险发生后可能的影响程度以及相应影响预计会持续的时间。

　　第二十条 【风险评估的方式和频率】企业开展风险评估应选择高效灵活的方式方法。既可以结合管理经营分析进行，也可以系统全面地开展。

　　企业应当至少每年开展一次系统全面的风险评估，并鼓励各个层级的管理人员和全体员工参与风险信息的提供以及风险评估的讨论。企业在风险、业务等发生快速变化以及需要对重大事项进行决策时，应考虑相应增加风险评估的频率。

　　第二十一条【风险评估技术】企业应当掌握和逐步优化风险评估技术。如果企业缺乏风险评估经验和技术，尤其是对于某些特定的重要风险，应考虑获得外部专家的支持。

　　企业可以在条件成熟时，逐步建立适合自身特点的重大风险预警机制，设立风险预警指标体系，以提升整体风险评估的质量和时效性。

　　第二十二条【需关注的风险】企业应持续关注对其内部控制目标的实现可能造成重大影响的内外部风险及其变化，如：

　　(一)与经营的合法合规相关的政策风险、舞弊风险、违法违规风险等。

　　(二)与资产的安全相关的资金风险、资产安全风险、核心信息泄露风险等。

　　(三)与经营的效率和效果相关的行业风险、组织战略风险、业务模式风险、市场营销风险、人员流失风险等。

　　(四)与业务、财务和管理等相关信息的真实、准确、及时、完整相关的信息系统风险、会计与报告风险等。

　　第二十三条【控制活动总体】企业应当结合风险评估结果，考虑其所处的'行业特点、业务复杂程度、员工操作习惯等，采用预防性控制与发现性控制相结合的方法，在重要业务流程中选择和执行不相容职责分离控制、授权审批控制、信息技术控制、财产保护控制、预算控制、运营分析控制和绩效考评等适当的控制活动，将风险降低到可接受的水平。

　　对于由于外部事件影响而难以实现控制目标的风险，如外部经济环境变化、法律法规变化等，企业应建立和实施相应的控制活动，以帮助其及时了解相关信息。

　　第二十四条【重要的对象和环节】企业应当关注高风险及重要管理领域内部控制活动的建立与持续运行，包括但不限于：

　　(一)资金管理;

　　(二)重要资产管理;

　　(三)关键人员管理;

　　(四)关键客户管理;

　　(五)关键的供应商管理;

　　(六)关键技术与信息管理;

　　(七)重要外包业务管理;

　　(八)例外事项的处理;

　　(九)外部监管要求的内容;

　　(十)其他需要关注的领域。

　　第二十五条【控制活动设计的具体要求】在设计控制活动时，企业应能明确具体的实施要求和工作标准，包括但不限于明确控制责任人、控制频率、控制执行方式、控制痕迹的保留等，以确保可以正确理解和执行该内部控制，并对其进行检查。

　　对于重要的流程，企业可考虑采用内部控制手册等书面的形式进行说明，并通过沟通和培训，有效地传达给负责实施控制措施的部门和人员。

　　第二十六条【考虑控制责任人的胜任能力】企业应确保每项控制活动的控制责任人具备相应的专业胜任能力并符合国家有关岗位执业资格要求，定期评估并确保其专业胜任能力与其工作职责相匹配。

　　对于相关人员尚未具备相应专业胜任能力的，企业可以考虑采用强化培训、调整人力安排、强化独立检查等方法进行弥补，必要时应对控制活动作出适当调整，以免因执行偏差给企业经营带来重大损失。

　　第二十七条【与现有管理体系相结合】对于管理相对成熟的领域，企业应当尽可能的利用已有的管理基础、工作标准和操作习惯，将内部控制要求与现有管理体系相融合，确保内部控制体系建设的实效性。

　　第二十八条【不相容职责】企业应当根据国家有关法律法规的要求及自身业务特点，识别和分配业务活动中涉及的不相容职责，包括但不限于在重要的业务流程中设置必要的审阅、检查、评估环节，合理划分业务决策、执行、监督等方面的责任，形成适当的职责分工和制衡机制。

　　当因资源限制而无法实现职责分离时，企业应考虑选择并执行替代性的审阅系统报告、抽查交易文档、定期资产盘点等控制活动。对于无法实现职责分离的关键敏感职能，企业还可考虑强化相应的检查要求，防止因兼岗而可能造成的控制缺失或无效。

　　第二十九条【管理层凌驾】管理层凌驾是指管理层出于不正当的目的而逾越现有的内部控制，以获取个人利益、粉饰业绩或掩盖违法违规等行为。企业应当考虑建立相应的控制措施来降低管理层凌驾的风险，包括建设高度尊重诚信和道德价值观的企业文化、设计和实施有效的举报机制、建立健全符合企业自身实际情况的内部审计职能等。

　　第三十条 【IT系统控制的考虑】运用信息技术的企业，应当加强系统开发控制、系统变化控制、数据安全性和访问控制、计算机操作控制、应用控制、终端用户运算控制等方面的控制，保证信息系统安全稳定运行。

　　第三十一条【应急机制】企业应当建立突发事件应急处理机制，对可能发生的重大风险或突发事件，制定应急预案、明确责任人员，确保突发事件得到及时妥善处理。

　　第三十二条【反舞弊】根据风险评估的结果，舞弊风险较高的企业，应当建立反舞弊机制，明确反舞弊工作的重点领域和关键环节，强化对可能诱发舞弊的动机和压力、舞弊的机会以及员工对舞弊行为的认识等方面的管理和监控。舞弊事项一旦发生，应针对舞弊案件进行及时调查、处理、报告和补救。

　　必要时，企业可以建立举报流程，设置独立的举报专线，并应当让全体员工、客户、供应商和其他利益相关方知晓。

　　第三十三条【更新维护】企业应持续关注并检查控制活动的有效性，在发生以下情况时组织内部控制体系的更新与优化：

　　(一)企业战略方向、业务范畴、经营管理模式、管理层发生重大变化;

　　(二)企业风险发生重大变化;

　　(三)发现冗余、过时或低效的控制活动;

　　(四)通过监督发现无法整改的重大问题;

　　(五)关键岗位人员胜任能力不足;

　　(六)出现大量的例外事项;

　　(七)外部监管要求规定的调整。