1、1 小型企业内部控制规范 (征求意见稿) 第一章 总则 第一条 【 目的和 依据】 为帮助小型企业建 立 和实施有效的内部控制,提高 经营管理水平和 风险 防范及 应对能力,促进 小型 企业的 健康可持续发展,根据 中华人民共和国会计法 、 中华人民共和国公司法 、 企业内部控制基本规范和其他有关法律法规,制定本规范。 第二条 【小 型 企业特征】 本规范所 称 小型企业 (以下简称“企业) ,是 指 在中华人民共和国境内 依法 设立的 、 符合以下 主要 特征的小规模 企业: ( 一 ) 由拥有 多数 所有权的人员管理企业 ; ( 二 ) 机构设置简单,管理层级较少 ; (三)业务线较少且每
2、条业务线中 产品较少 ; ( 四 ) 信息 系统较为简单 ; ( 五 ) 员工数量较少, 部分员工 一人身兼多岗; ( 六 )其他法律法规有明确规定的 。 第三条 【适用范围】各企业应对照本规范第二条 的有关 规定 ,结合中小企业划型标准规定所列明 的小型企业标准及企业自身特点,确定是否适用本规范。 执行本规范的小型企业,如因企业发展壮大 不再 符合 本规范第二条规定 的 标准 特征 ,应当 自下一年度起 转为执行 企业内部控制 基本2 规范 及其配套指引 。 已经执行 企业内部控制 基本 规范 及配套指引 的企业,不得转为执行本规范。 第四条 【内控定义】 本规范所称内部控制,是指由企业全员
3、 共同实 施的 ,以风险评估为基础,通过建立和实施内部控制措施、监督评价和保障机制, 旨在实现控制目标的过程 。 第五条 【内控目标】 内部控制 应 对 企业所面临的 风险进行有效管理,其目标 是合理保证: (一) 经营的合法合规 ; (二) 资产的安全 ; (三) 经营的效率和效果 ; (四) 业务、财务和管理等相关 信息 的 真实 、 准确 、 及时 、 完整 。 第六条 【内控要素】 企业内部控制应当包括下列要素: (一)控制环境。控制环境是内部控制 体系 建立 和 实施 以及 保障其 持续 有效的 基础 ,一般 应 包括 组织结构、授权 分工 、 问责制、 人力资源 管理 、 绩效管理
4、、 企业文化等 内容和 相关 机制 。 ( 二)风险评估。风险评估是 内部控制 体系 建立与 动态 调整的依据。 企业 应 及时识别、系统分析与实现 企业控制 目标相关的风险, 并合理确定风险 管理方式 。 (三)控制活动。控制活动是 为管理风险而建立和实施的一系列政策 、 制度、程序 和措施 。 企业 应 根据风险评估结果, 设计和实施 相应的控制 活动 ,将风险控制在可 接受的水平 之内。 3 (四)信息与沟通。信息与沟通是 实施内部控制的必要条件。 企业 应 及时、准确地收集、传递与 风险和 控制相关的信息, 并 确保 其 在企业内部 以及 企业与外部之间 实现 有效沟通。 (五)内部监
5、督。内部监督是 内部控制的 必要 保证。 企业 应 对 内部控制 的 建立与实施情况进行监督检查,评价内部控制 体系 的有效性, 识别 内部控制缺陷 并 及时 督促 改进。 在 整体有效的内部控制体系 中, 上述要素 一般应同时存在 并 能 持续运行 。 第七条 【内控原则】 企业建立与实施内部控制,应当遵循下列原则: (一)风险导向原则。 内部控制 应当 以风险为 出发点 , 重点 关注会 对 企业 内 部 控 制 目标 的实现 造成重大影响的 高风险领域。 (二)适应性原则。 内部控制 应当与企业 发展阶段、 经营规模、管理水平、资源状况 等相适应,并随着情况的变化 及时 加以调整。 (三
6、)实质重于形式原则。 内部控制 应当注重风险管理 的实际 效果,而不拘 泥于特定的 表 现 形式 和实现手段 。 (四)成本效益原则。 内部控制 应当权衡 投入 与 回报 的匹配 ,以合理 的成本实现 预期 的 控制 目标 。 (五)持续运行 原则。 内部控制应 形成 建立 、实施 、监督及 持续改进 的 管理 闭环, 以 确保内部控制五个要素同时存在并能持续运行 。 第八条 【 建立体系 总体要求】 企业应当根据本规范要求, 建立 和实施 适合企业实际情况的内部控制体系,强化内部控制长效 运行 保障机制, 持续开展内部控制监督。 4 第九条 【内控主要责任人】企业的主要负责人对企业内部控制的
7、建立健全和有效实施负责,应 直接领导内部控制 规划决策、风险评估、重要内 部 控 制 领域 管理、 实施 保障机制的 建立 与实施 等 ,持续关注执行和监督效果,及时纠偏。 第十条 【内控建设 工作 责任】企业 可以 设置 专门部门 、岗位 或者指定适当的 部门、 人员,具体负责组织协调和推动内部控制的 建立 、实施以及更新完善工作。 第十一条 【控制 工作 责任】企业应确定各项风险和控制活动的责任人,并明确其在相关风险和控制活动的 建立 、实施和日常管理等方面的职责,确保其能负责相关风险管理和控制活动的 及时 有效运行,并能对所发现的问题进行调查和采取相应的整改行动。 第二章 内部控制建设
8、第一节 内 部 控 制 建设基础 要求 第十二条 【内部控制工作管理制度】企业应明确内部控制建设和管理要求 ,包括建设规划、工作责任、建设程序、保障机制、监督完善等。企业可以单独制定内部控制工作相关的管理制度,也可以将内部控制的管理要求融于流程、标准或程序管理等现有的制度体系中 。 第十三条 【内控建设规划】企业应当对内部控制的 长期 建设和 持续 管理进行合理规划,包括落实内部控制工作的具体责任、界定内 部控 制 建设阶段目标、明确推进方式 、合理配置资源 等, 以 确保阶段性建设成果的延续性 以及 避免所投入成本的浪费 。 第十四条 【内控阶段性目标 设 定】 企业 可以 综合评估自身战略
9、安排、资源条件、管理水平以及外部监管要求,合理确定分阶段的工作5 目标。阶段性目标可 以是实现某一内 部 控 制 目标,也可以是实现某几个内 部 控 制 目标 ,应反映出企业所期望达到的运营和财务绩效水平。 第十五条 【 内控建设 推进 方式 】 企业 应当在关注重要风险 和成本效益 的基础上, 明确相应的建设推进方式 。既 可以 在组织内 系统全面同 步 开展,也可以 采取分步实施的方法 分阶段、分模块开展 推进 。 第二节 建设程序和内容 第十六条 【 总述 】 企业应以风险为导向 确定内 部 控 制 体系建设的领域, 建立良好的内部控制环境,通过 设计 相应 的 控制活动 或对现有的控制
10、活动 进行 梳理、 完善 和 优化 ,确保内部控制体系有效并持续运行。 第十七条 【风险评估】 企业 可以 依据 所 设定 的控制 目标,选择 采用 经营管理会议、专家 访谈、风险调查问卷、 风险研讨会等 适当的方式、 方法和 程序开展风险识别和评估,了解所面临的主要风险 及其 影响, 评估是否超过企业所能承受的水平, 并 以此为基础来 作出接受、规避、降低或分担的风险应对决策,进而明确 应予重点关注和优先控制的风险,以及 如何 对这些 风险 实现管理 。 第十八条 【风险评估的对象】企业 可以 依据所设定的目标和建设工作规划,针对性地选择评估对象开展风险评估。评估对象可以是整个组织或某个职能
11、, 也 可以是某个业务领域 、 某个产品或某个具体事项。 第十九条 【风险 评估 的内容】企业应结合自身不同发展阶段和业务拓展的情 况,持续评估各类风险对内部控制目标 的 实现 所造成的预6 期 影响,包括 风险 发生的可能性、 风险 发生后 可能的 影响程度 以及 相应 影响 预计会 持续 的 时间。 第二十条 【风险评估的方式 和频率 】企业 开展 风险 评估应选择高效灵活的 方 式 方法 。既 可以结合管理经营分析进行,也可以系统 全面地开展 。 企业 应当至少每年开展一次 系统全面的 风险评估 ,并鼓励 各个 层级的管理人员和 全体 员工参与风险信息 的 提供以及风险评估 的 讨论 。
12、企业在 风险、 业务 等发生快速变化 以及 需 要 对 重大事项 进行决策时 ,应考虑 相应 增加 风险 评估 的 频率。 第二十一条 【风险评估技术】企业 应当掌握和逐步优化 风险评估技术 。 如果企业 缺乏 风险评估 经验和技术, 尤其是对于某些特定的重要风险, 应 考虑 获得外部 专家 的支持 。 企业 可以 在条件成熟时,逐步建立适合 自身 特点的重大风险预警机制,设立风险预警指标体系,以提升 整体 风险评估的质量和时效性。 第二十二条 【需关注的风险】 企业应 持续关注对其内部控制目标的 实现可能造成重大影响的 内外部 风险 及其变化 , 如 : (一) 与 经营的合法合规 相关的
13、政策风险、 舞弊风险 、 违法违规风险 等。 (二) 与 资产的安全 相关的 资金风险、资产安全风险、 核心 信息泄露风险等。 (三) 与 经营的效率和效果 相关的 行业风险、 组织战略风险 、 业务模式 风险 、 市场营销风险 、 人员流失风险等。 7 (四) 与 业务、财务和管理等相关信息的真实 、 准确 、 及时 、 完整 相关的 信息系统风险、会计与报告风险 等。 第二十三条 【控制 活动 总体】 企业应当结合风险评估结果,考虑其 所处的 行业特点、业务 复杂程度、 员工操作习惯 等, 采用预防性控制与发现性控制相结合的方法, 在重要业务流程中选择和执行 不相容职责分离控制、 授权审批
14、控制、 信息技术 控制、财产保护控制、预算控制、运营分析控制和绩效考评 等 适当 的 控制 活动 ,将风险降低到可接受的水平。 对于 由于外部事件影响而 难以实现控制目标 的风险, 如外部经济环境变化、法律法规变化等, 企业应建立和实施 相应的控制活动,以帮助其及时了解相关 信息 。 第二十四条 【重要的 对象和环节 】企业应当关注高风险及重要管理领 域内部控制活动的建立与持续运行,包括但不限于: (一)资金管理; (二)重要资产管理; (三)关键人员管理; (四)关键客户管理; (五)关键的供应商管理; (六)关键技术与信息管理; (七)重要外包业务管理; (八)例外事项的处理; (九)外
15、部监管要求的 内容 ; (十)其他需要关注的领域。 8 第二十五条 【控制活动 设计 的 具体要求 】 在设计控制活动时,企业 应 能 明确 具体的实施要求和工作标准 ,包括但不限于明确控制责任人、控制频率、控制执行方式、控制痕迹的保留等 ,以确保可以 正确理解和执行该内部控制,并 对其进行 检查 。 对于重要的流程,企业可考虑采用 内部控制手册等 书面的形式 进行 说明,并通过沟通和培训,有效地传达给负责实施控制措施的部门和人员。 第二十六条 【 考虑 控制责任人的胜 任 能力】 企业应确保每 项控制活动的控制责任人具备相应的 专 业胜任能力并符合国家有关岗位执 业资格要求 ,定期评估并确保
16、其 专 业 胜任能力与其工作职责 相 匹配。 对于 相关人员 尚未 具备 相应 专 业 胜任能力的,企业 可以 考虑采用强化培训、调整人力安排、强化独立检查等 方法 进行 弥补,必要时应对控制活动作出适当调整,以免因执行偏差给 企业经营带来重大损失。 第二十七条 【与现有管理体系相结合】对于管理相对成熟的领域, 企业 应当尽可能的利用已有 的 管理基础、工作标准和操作习惯,将内部控制要求与现有管理体系 相 融合,确保内部控制体系 建设 的实效性。 第二十八条 【不相容职责】 企业应当根据国家有关法律法规 的要求及 自身 业务特点, 识别和分配业务活动中涉及的不相容职 责 , 包括但不限于在重要
17、的业务流程中设置必要的审阅、检查、评估环节, 合理划分 业务决策、执行、监督等方面的 责任 ,形成适当的职责分工和制衡机制。 9 当 因 资源限制 而 无 法实现职责分离 时 , 企业 应 考虑 选择并执行替代性的 审阅系统报告、抽查交易文档、定期资产盘点等 控制 活动 。 对于无法实现职责分离的 关键敏感职能 , 企业 还 可 考虑强化 相应 的检查要求 , 防止 因兼岗 而 可能造成的控制 缺失 或 无 效。 第二十九条 【管理层 凌驾 】 管理层凌驾是指管理层出于 不正当的目的而逾越现有的内部控制,以获取个人利益、粉饰业绩或掩盖违法违规 等 行为。 企业应当考虑 建立相应的控制措施 来降
18、低管理层凌驾的风险 ,包括建设 高度尊重诚信和道德价值观的企业文化、 设计和实施有效的举报 机制 、 建立健全符合企业自身实际 情况 的内部审计职能等。 第三十条 【 IT系统 控制的 考虑 】 运用信息技术的 企业 ,应当加强系统开发控制、系统变化控制、 数据 安全性和访问 控制 、计算机操作控制、应用控制、终端用户运算控制等 方面的控制,保证信息系统安全稳定运行。 第三十一条 【 应急机制 】 企业应当建立突发事件应急处理机制,对可能发生的重大风险或突发事件,制定应急预案、明确责任人员,确保突发事件得到及时妥善处理。 第三十二条 【 反舞弊 】 根据风险评估的结果, 舞弊风险 较高 的企业
19、, 应当建立反舞弊机制 ,明确反舞弊工作的重点领域和关键环节,强化 对可能诱发 舞弊 的 动机和压力、舞弊 的 机会以及员工对舞弊行为的认识等方面的管理和监控。舞弊事项一旦发 生,应 针对舞弊案件进行及时调查、处理、报告和补救。 必要时,企业 可以 建立举报流程,设置独立的举报专线 ,并 应当让 全体员工、客户、供应商和其他 利益相关 方 知晓 。 10 第三十三条 【更新维护】企业应持续关注 并 检查控制活动的有效性,在发生以下情况时组织内 部 控 制 体系 的更新与优化: (一) 企业战略方向、业务范畴 、经营管理 模式 、 管理层发生重大变化; (二) 企业风险发生重大变化; (三) 发
20、现冗余、过时或低效的控制活动; (四) 通过监督发现无法整改的重大问题; (五) 关键岗位人员胜任能力不足; (六) 出现大量的例外事项; (七) 外部监管要求规定的调整。 第三章 监督 评价 第三十四条 【监督评价要求】企 业应当结合自身业务 特性、经营环境、风险水平等因素建立适当的内部控制监督评价机制 ,对内部控制体系的 设计和运行情况进行 评价 。 第三十五条 【监督人员要求】企业应当选用具备胜任能力的人员履行 内部控制的 监督 职能, 且 监督人员不得由 控制 执行人员 兼任 。同时,控制责任人所执行的控制检查并不能替代监督。 具备条件的 企业 , 可 以 建立内部审计职能 或 通过 业务 外包 ,实现对内部控制有效性的 监督 ,以 提高 评估的质量和客观性, 并 确保足够的评估范围和频率 。 第三十六条 【监督方法 】企业 可 高效灵活 地采 用 适当的方法实现监督。监督方法包括 但不限于 在业务流程中嵌入检查、分析、 审核等