小型企业内部控制规范

小型企业内部控制规范

　　为帮助小型企业建立和实施有效的内部控制，提高经营管理水平和风险防范及应对能力，制定了小型企业内部控制规范，下面是详细内容。

　　小型企业内部控制规范(征求意见稿)

　　第一章 总则

　　第一条 【目的和依据】为帮助小型企业建立和实施有效的内部控制，提高经营管理水平和风险防范及应对能力，促进小型企业的健康可持续发展，根据《中华人民共和国会计法》、《中华人民共和国公司法》、《企业内部控制基本规范》和其他有关法律法规，制定本规范。

　　第二条 【小型企业特征】本规范所称小型企业(以下简称“企业)，是指在中华人民共和国境内依法设立的、符合以下主要特征的小规模企业：

　　(一)由拥有多数所有权的人员管理企业;

　　(二)机构设置简单，管理层级较少;

　　(三)业务线较少且每条业务线中产品较少;

　　(四)信息系统较为简单;

　　(五)员工数量较少，部分员工一人身兼多岗;

　　(六)其他法律法规有明确规定的。

　　第三条 【适用范围】各企业应对照本规范第二条的有关规定，结合《中小企业划型标准规定》所列明的小型企业标准及企业自身特点，确定是否适用本规范。

　　执行本规范的小型企业，如因企业发展壮大不再符合本规范第二条规定的标准特征，应当自下一年度起转为执行《企业内部控制基本规范》及其配套指引。

　　已经执行《企业内部控制基本规范》及配套指引的企业，不得转为执行本规范。

　　第四条 【内控定义】本规范所称内部控制，是指由企业全员共同实施的，以风险评估为基础，通过建立和实施内部控制措施、监督评价和保障机制，旨在实现控制目标的过程。

　　第五条 【内控目标】内部控制应对企业所面临的风险进行有效管理，其目标是合理保证：

　　(一)经营的合法合规;

　　(二)资产的安全;

　　(三)经营的效率和效果;

　　(四)业务、财务和管理等相关信息的真实、准确、及时、完整。

　　第六条 【内控要素】企业内部控制应当包括下列要素：

　　(一)控制环境。控制环境是内部控制体系建立和实施以及保障其持续有效的基础，一般应包括组织结构、授权分工、问责制、人力资源管理、绩效管理、企业文化等内容和相关机制。

　　(二)风险评估。风险评估是内部控制体系建立与动态调整的依据。企业应及时识别、系统分析与实现企业控制目标相关的风险，并合理确定风险管理方式。

　　(三)控制活动。控制活动是为管理风险而建立和实施的一系列政策、制度、程序和措施。企业应根据风险评估结果，设计和实施相应的控制活动，将风险控制在可接受的水平之内。

　　(四)信息与沟通。信息与沟通是实施内部控制的必要条件。企业应及时、准确地收集、传递与风险和控制相关的信息，并确保其在企业内部以及企业与外部之间实现有效沟通。

　　(五)内部监督。内部监督是内部控制的必要保证。企业应对内部控制的建立与实施情况进行监督检查，评价内部控制体系的有效性，识别内部控制缺陷并及时督促改进。

　　在整体有效的内部控制体系中，上述要素一般应同时存在并能持续运行。

　　第七条 【内控原则】企业建立与实施内部控制，应当遵循下列原则：

　　(一)风险导向原则。内部控制应当以风险为出发点，重点关注会对企业内部控制目标的实现造成重大影响的高风险领域。

　　(二)适应性原则。内部控制应当与企业发展阶段、经营规模、管理水平、资源状况等相适应，并随着情况的变化及时加以调整。

　　(三)实质重于形式原则。内部控制应当注重风险管理的实际效果，而不拘泥于特定的表现形式和实现手段。

　　(四)成本效益原则。内部控制应当权衡投入与回报的匹配，以合理的成本实现预期的控制目标。

　　(五)持续运行原则。内部控制应形成建立、实施、监督及持续改进的管理闭环，以确保内部控制五个要素同时存在并能持续运行。

　　第八条 【建立体系总体要求】企业应当根据本规范要求，建立和实施适合企业实际情况的内部控制体系，强化内部控制长效运行保障机制，持续开展内部控制监督。

　　第九条 【内控主要责任人】企业的主要负责人对企业内部控制的建立健全和有效实施负责，应直接领导内部控制规划决策、风险评估、重要内部控制领域管理、实施保障机制的建立与实施等，持续关注执行和监督效果，及时纠偏。

　　第十条 【内控建设工作责任】企业可以设置专门部门、岗位或者指定适当的部门、人员，具体负责组织协调和推动内部控制的建立、实施以及更新完善工作。

　　第十一条 【控制工作责任】企业应确定各项风险和控制活动的责任人，并明确其在相关风险和控制活动的建立、实施和日常管理等方面的职责，确保其能负责相关风险管理和控制活动的及时有效运行，并能对所发现的问题进行调查和采取相应的整改行动。

　　第二章 内部控制建设

　　第一节 内部控制建设基础要求

　　第十二条 【内部控制工作管理制度】企业应明确内部控制建设和管理要求，包括建设规划、工作责任、建设程序、保障机制、监督完善等。企业可以单独制定内部控制工作相关的管理制度，也可以将内部控制的管理要求融于流程、标准或程序管理等现有的制度体系中。

　　第十三条 【内控建设规划】企业应当对内部控制的长期建设和持续管理进行合理规划，包括落实内部控制工作的具体责任、界定内部控制建设阶段目标、明确推进方式、合理配置资源等，以确保阶段性建设成果的延续性以及避免所投入成本的浪费。

　　第十四条 【内控阶段性目标设定】企业可以综合评估自身战略安排、资源条件、管理水平以及外部监管要求，合理确定分阶段的工作目标。阶段性目标可以是实现某一内部控制目标，也可以是实现某几个内部控制目标，应反映出企业所期望达到的运营和财务绩效水平。

　　第十五条 【内控建设推进方式】企业应当在关注重要风险和成本效益的基础上，明确相应的建设推进方式。既可以在组织内系统全面同步开展，也可以采取分步实施的方法分阶段、分模块开展推进。

　　第二节 建设程序和内容

　　第十六条 【总述】企业应以风险为导向确定内部控制体系建设的领域，建立良好的内部控制环境，通过设计相应的控制活动或对现有的控制活动进行梳理、完善和优化，确保内部控制体系有效并持续运行。

　　第十七条 【风险评估】企业可以依据所设定的控制目标，选择采用经营管理会议、专家访谈、风险调查问卷、风险研讨会等适当的方式、方法和程序开展风险识别和评估，了解所面临的主要风险及其影响，评估是否超过企业所能承受的水平，并以此为基础来作出接受、规避、降低或分担的.风险应对决策，进而明确应予重点关注和优先控制的风险，以及如何对这些风险实现管理。

　　第十八条 【风险评估的对象】企业可以依据所设定的目标和建设工作规划，针对性地选择评估对象开展风险评估。评估对象可以是整个组织或某个职能，也可以是某个业务领域、某个产品或某个具体事项。

　　第十九条 【风险评估的内容】企业应结合自身不同发展阶段和业务拓展的情况，持续评估各类风险对内部控制目标的实现所造成的预期影响，包括风险发生的可能性、风险发生后可能的影响程度以及相应影响预计会持续的时间。

　　第二十条 【风险评估的方式和频率】企业开展风险评估应选择高效灵活的方式方法。既可以结合管理经营分析进行，也可以系统全面地开展。

　　企业应当至少每年开展一次系统全面的风险评估，并鼓励各个层级的管理人员和全体员工参与风险信息的提供以及风险评估的讨论。企业在风险、业务等发生快速变化以及需要对重大事项进行决策时，应考虑相应增加风险评估的频率。

　　第二十一条【风险评估技术】企业应当掌握和逐步优化风险评估技术。如果企业缺乏风险评估经验和技术，尤其是对于某些特定的重要风险，应考虑获得外部专家的支持。

　　企业可以在条件成熟时，逐步建立适合自身特点的重大风险预警机制，设立风险预警指标体系，以提升整体风险评估的质量和时效性。

　　第二十二条【需关注的风险】企业应持续关注对其内部控制目标的实现可能造成重大影响的内外部风险及其变化，如：

　　(一)与经营的合法合规相关的政策风险、舞弊风险、违法违规风险等。

　　(二)与资产的安全相关的资金风险、资产安全风险、核心信息泄露风险等。

　　(三)与经营的效率和效果相关的行业风险、组织战略风险、业务模式风险、市场营销风险、人员流失风险等。

　　(四)与业务、财务和管理等相关信息的真实、准确、及时、完整相关的信息系统风险、会计与报告风险等。

　　第二十三条【控制活动总体】企业应当结合风险评估结果，考虑其所处的行业特点、业务复杂程度、员工操作习惯等，采用预防性控制与发现性控制相结合的方法，在重要业务流程中选择和执行不相容职责分离控制、授权审批控制、信息技术控制、财产保护控制、预算控制、运营分析控制和绩效考评等适当的控制活动，将风险降低到可接受的水平。

　　对于由于外部事件影响而难以实现控制目标的风险，如外部经济环境变化、法律法规变化等，企业应建立和实施相应的控制活动，以帮助其及时了解相关信息。

　　第二十四条【重要的对象和环节】企业应当关注高风险及重要管理领域内部控制活动的建立与持续运行，包括但不限于：

　　(一)资金管理;

　　(二)重要资产管理;

　　(三)关键人员管理;

　　(四)关键客户管理;

　　(五)关键的供应商管理;

　　(六)关键技术与信息管理;

　　(七)重要外包业务管理;

　　(八)例外事项的处理;

　　(九)外部监管要求的内容;

　　(十)其他需要关注的领域。

　　第二十五条【控制活动设计的具体要求】在设计控制活动时，企业应能明确具体的实施要求和工作标准，包括但不限于明确控制责任人、控制频率、控制执行方式、控制痕迹的保留等，以确保可以正确理解和执行该内部控制，并对其进行检查。

　　对于重要的流程，企业可考虑采用内部控制手册等书面的形式进行说明，并通过沟通和培训，有效地传达给负责实施控制措施的部门和人员。

　　第二十六条【考虑控制责任人的胜任能力】企业应确保每项控制活动的控制责任人具备相应的专业胜任能力并符合国家有关岗位执业资格要求，定期评估并确保其专业胜任能力与其工作职责相匹配。

　　对于相关人员尚未具备相应专业胜任能力的，企业可以考虑采用强化培训、调整人力安排、强化独立检查等方法进行弥补，必要时应对控制活动作出适当调整，以免因执行偏差给企业经营带来重大损失。

　　第二十七条【与现有管理体系相结合】对于管理相对成熟的领域，企业应当尽可能的利用已有的管理基础、工作标准和操作习惯，将内部控制要求与现有管理体系相融合，确保内部控制体系建设的实效性。

　　第二十八条【不相容职责】企业应当根据国家有关法律法规的要求及自身业务特点，识别和分配业务活动中涉及的不相容职责，包括但不限于在重要的业务流程中设置必要的审阅、检查、评估环节，合理划分业务决策、执行、监督等方面的责任，形成适当的职责分工和制衡机制。

　　当因资源限制而无法实现职责分离时，企业应考虑选择并执行替代性的审阅系统报告、抽查交易文档、定期资产盘点等控制活动。对于无法实现职责分离的关键敏感职能，企业还可考虑强化相应的检查要求，防止因兼岗而可能造成的控制缺失或无效。

　　第二十九条【管理层凌驾】管理层凌驾是指管理层出于不正当的目的而逾越现有的内部控制，以获取个人利益、粉饰业绩或掩盖违法违规等行为。企业应当考虑建立相应的控制措施来降低管理层凌驾的风险，包括建设高度尊重诚信和道德价值观的企业文化、设计和实施有效的举报机制、建立健全符合企业自身实际情况的内部审计职能等。

　　第三十条 【IT系统控制的考虑】运用信息技术的企业，应当加强系统开发控制、系统变化控制、数据安全性和访问控制、计算机操作控制、应用控制、终端用户运算控制等方面的控制，保证信息系统安全稳定运行。

　　第三十一条【应急机制】企业应当建立突发事件应急处理机制，对可能发生的重大风险或突发事件，制定应急预案、明确责任人员，确保突发事件得到及时妥善处理。

　　第三十二条【反舞弊】根据风险评估的结果，舞弊风险较高的企业，应当建立反舞弊机制，明确反舞弊工作的重点领域和关键环节，强化对可能诱发舞弊的动机和压力、舞弊的机会以及员工对舞弊行为的认识等方面的管理和监控。舞弊事项一旦发生，应针对舞弊案件进行及时调查、处理、报告和补救。

　　必要时，企业可以建立举报流程，设置独立的举报专线，并应当让全体员工、客户、供应商和其他利益相关方知晓。

　　第三十三条【更新维护】企业应持续关注并检查控制活动的有效性，在发生以下情况时组织内部控制体系的更新与优化：

　　(一)企业战略方向、业务范畴、经营管理模式、管理层发生重大变化;

　　(二)企业风险发生重大变化;

　　(三)发现冗余、过时或低效的控制活动;

　　(四)通过监督发现无法整改的重大问题;

　　(五)关键岗位人员胜任能力不足;

　　(六)出现大量的例外事项;

　　(七)外部监管要求规定的调整。

　　第三章 监督评价

　　第三十四条【监督评价要求】企业应当结合自身业务特性、经营环境、风险水平等因素建立适当的内部控制监督评价机制，对内部控制体系的设计和运行情况进行评价。

　　第三十五条【监督人员要求】企业应当选用具备胜任能力的人员履行内部控制的监督职能，且监督人员不得由控制执行人员兼任。同时，控制责任人所执行的控制检查并不能替代监督。

　　具备条件的企业，可以建立内部审计职能或通过业务外包，实现对内部控制有效性的监督，以提高评估的质量和客观性，并确保足够的评估范围和频率。

　　第三十六条【监督方法】企业可高效灵活地采用适当的方法实现监督。监督方法包括但不限于在业务流程中嵌入检查、分析、审核等实时监督活动，以及独立的经营分析、抽查、重新执行、专项检查等活动及其组合，以发现内部控制的设计和执行缺陷。

　　第三十七条【监督方式】企业对内部控制的有效性进行评价，可选择的方式包括开展全面系统的监督评价，或者针对某个专题开展单独的不定期的监督评价，也可以将上述两种方式组合起来开展内部控制监督评价。

　　第三十八条【监督重点】企业监督应重点关注的领域包括但不限于：

　　(一)高风险领域;

　　(二)人员胜任能力不足的领域;

　　(三)关键岗位人才流失的领域;

　　(四)与新开展的业务、新采用的技术、新进或新调整岗位的人员相关的领域;

　　(五)无法实现职责分离的领域;

　　(六)同业已发生新问题的领域;

　　(七)重大的例外事项;

　　(八)其他法律法规要求监督的领域。

　　第三十九条【缺陷认定与沟通】企业应对监督活动中发现的内部控制缺陷进行评价，分析缺陷的性质、产生的原因以及影响程度，按其影响程度分为重大缺陷、重要缺陷和一般缺陷，提出整改方案，并及时与整改责任方沟通，其中重大及重要缺陷应当向企业主要负责人报告。

　　重大缺陷，是指一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标。

　　重要缺陷，是指一个或多个控制缺陷的组合，其严重程度和经济后果低于重大缺陷，但仍有可能导致企业偏离控制目标。

　　一般缺陷，是指除重大缺陷、重要缺陷之外的其他缺陷。

　　重大缺陷、重要缺陷和一般缺陷的具体认定标准，由企业根据上述要求自行确定。

　　第四十条 【整改跟进】企业应当跟踪内部控制缺陷整改情况，确保整改责任方及时采取整改措施。

　　对于无法整改或无法及时整改的缺陷，应评估相关人员的胜任能力以及内部控制设计的合理性，进而对内部控制活动做出相应更新调整，推动企业内部控制体系的持续完善和优化。

　　第四十一条【评价频率及报告】企业应当至少每年开展一次全面系统的监督评价，还可以根据自身实际需要开展不定期专项评价。

　　企业可以根据评价结果编制内部控制评价报告，提交企业主要负责人审阅。内部控制评价报告应当至少包括内部控制评价的范围、内部控制缺陷及其认定情况、针对内部控制缺陷拟采取的整改措施及整改情况等内容。

　　第四章 实施保障机制

　　第四十二条【总述】建立并实施保障机制是内部控制体系得以有效运转的重要基础，保障机制应当贯穿于内部控制建设、日常运行及监督评价的全过程中。

　　第四十三条【企业文化】企业应积极培育具有自身特色的企业文化，树立积极向上的价值观、诚实守信的经营理念和开拓创新的企业精神，积极履行社会责任。企业主要负责人应以身作则、率先垂范，通过其自身言行传达企业文化。

　　第四十四条【行为准则】企业应当建立明确的行为准则，通过沟通和培训，将与诚信、道德相关的企业价值观传达给员工、服务供应商和业务合作伙伴。

　　企业应关注并评价员工对行为准则的遵守情况，发现异常现象和不当行为，应及时调查，并采取适当的纠正措施，以表现企业对违规行为的明确态度。

　　第四十五条【信息收集】企业应当明确信息需求，在考虑成本效益原则的基础上，选择灵活便捷的方式收集、分析和筛选跟企业相关的信息。企业可以鼓励员工通过业务数据分析，利益相关方的反馈、市场的反应等渠道直接获取第一手信息，并及时传递到企业管理人员供其进一步甄别、分析和决策。

　　第四十六条【内部沟通】企业应当灵活选择适合本企业实际情况的内部信息沟通方式，以确保整个组织内各管理层级、业务部门之间，以及所有业务和环节的沟通顺畅，推动全员了解、传递和报告准确的管理和内部控制信息，包括业务和内部控制的运行情况、发生的变化、出现的问题等，以支持内部控制的有效运行。

　　第四十七条【外部沟通】企业应当考虑沟通内容、时间要求、法律法规要求等因素灵活选择与外部的信息沟通方式，及时与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间进行沟通和反馈。对于信息沟通过程中发现的问题，应当及时报告并加以解决，其中重要信息应确保连续性和可追溯性。

　　第四十八条【人力资源政策】企业应当明确和实施有利于可持续发展的、符合相关法律法规的人力资源政策，吸引、培养和留用符合企业要求的人才，实现人力资源的合理配置。

　　第四十九条【激励机制】企业应当根据各层级的责任，确定绩效考核、激励以及适当的奖励机制。绩效考核所采用的指标应适当，避免对员工产生过度压力而诱发舞弊和不当行为。

　　企业应定期对绩效衡量、激励和奖励机制的持续相关性和适当性进行审阅，以保证其能实现激励和奖励作用。

　　第五十条 【内控问责】企业应当结合业务特点建立有效的内部控制问责机制，将内部控制的相关责任传达、落实到部门和员工，并将对内部控制实施的考核纳入企业绩效考核的范围，促进内部控制的有效实施。

　　第五章 附则

　　第五十一条【解释权归属】本规范由财政部负责解释。

　　第五十二条【时效】本规范自2017年1月1日起实施。