《小型企业内部控制规范》由会员分享,可在线阅读,更多相关《小型企业内部控制规范(39页珍藏版)》请在金锄头文库上搜索。
1、小型企业内部控制规范(征求意见稿)文后附录了一些小型民营企业财务控制的制度,仅供参考。第一章 总则第一条 【目的和依据】为帮助小型企业建立和实施有效的内部控制,提高经营管理水平和风险防范及应对能力,促进小型企业的健康可持续发展,根据中华人民共和国会计法、中华人民共和国公司法、企业内部控制基本规范和其他有关法律法规,制定本规范。第二条 【小型企业特征】本规范所称小型企业(以下简称“企业),是指在中华人民共和国境内依法设立的、符合以下主要特征的小规模企业:(一)由拥有多数所有权的人员管理企业;(二)机构设置简单,管理层级较少;(三)业务线较少且每条业务线中产品较少;(四)信息系统较为简单;(五)员
2、工数量较少,部分员工一人身兼多岗;(六)其他法律法规有明确规定的。第三条 【适用范围】各企业应对照本规范第二条的有关规定,结合中小企业划型标准规定所列明的小型企业标准及企业自身特点,确定是否适用本规范。执行本规范的小型企业,如因企业发展壮大不再符合本规范第二条规定的标准特征,应当自下一年度起转为执行企业内部控制基本规范及其配套指引。已经执行企业内部控制基本规范及配套指引的企业,不得转为执行本规范。第四条 【内控定义】本规范所称内部控制,是指由企业全员共同实施的,以风险评估为基础,通过建立和实施内部控制措施、监督评价和保障机制,旨在实现控制目标的过程。第五条 【内控目标】对小型企业而言,内控目标
3、宜增加一项,即(五)涉税信息的真实、完整、及时、准确内部控制应对企业所面临的风险进行有效管理,其目标是合理保证:(一)经营的合法合规;(二)资产的安全;(三)经营的效率和效果;(四)业务、财务和管理等相关信息的真实、准确、及时、完整。第六条 【内控要素】企业内部控制应当包括下列要素:(一)控制环境。控制环境是内部控制体系建立和实施以及保障其持续有效的基础,一般应包括组织结构、授权分工、问责制、人力资源管理、绩效管理、企业文化等内容和相关机制。(二)风险评估。风险评估是内部控制体系建立与动态调整的依据。企业应及时识别、系统分析与实现企业控制目标相关的风险,并合理确定风险管理方式。(三)控制活动。
4、控制活动是为管理风险而建立和实施的一系列政策、制度、程序和措施。企业应根据风险评估结果,设计和实施相应的控制活动,将风险控制在可接受的水平之内。(四)信息与沟通。信息与沟通是实施内部控制的必要条件。企业应及时、准确地收集、传递与风险和控制相关的信息,并确保其在企业内部以及企业与外部之间实现有效沟通。(五)内部监督。内部监督是内部控制的必要保证。企业应对内部控制的建立与实施情况进行监督检查,评价内部控制体系的有效性,识别内部控制缺陷并及时督促改进。在整体有效的内部控制体系中,上述要素一般应同时存在并能持续运行。第七条 【内控原则】(一) 风险导向原则。内部控制应当将相互关联的过程作为系统加以识别
5、、理解和管理,以风险为出发点,在数据和信息分析的基础上,重点关注会对企业内部控制目标的实现造成重大影响的高风险领域。(二) 全员参与原则。各级人员都是企业之本,只有他们的充分参与,才能使他们的才干为企业带来收益,为企业内控制度的有效实施提供保证。(三) 过程方法原则。将企业经营活动与拥有和控制的相关资源作为过程进行管理,对过程中的每一个业务节点均纳入控制范围,可以更高效地得到期望的结果。(四)适应性原则。内部控制应当与企业发展阶段、经营规模、管理水平、资源状况等相适应,并随着情况的变化及时加以调整。(五)实质重于形式原则。内部控制应当注重风险管理的实际效果,而不拘泥于特定的表现形式和实现手段。
6、(六)成本效益原则。内部控制应当权衡投入与回报的匹配,以合理的成本实现预期的控制目标。(七)持续运行原则。内部控制应形成建立、实施、监督及持续改进的管理闭环,以确保内部控制五个要素同时存在并能持续运行,促使企业总体业绩得到持续改进。企业建立与实施内部控制,应当遵循下列原则:(一)风险导向原则。内部控制应当以风险为出发点,重点关注会对企业内部控制目标的实现造成重大影响的高风险领域。(二)适应性原则。内部控制应当与企业发展阶段、经营规模、管理水平、资源状况等相适应,并随着情况的变化及时加以调整。(三)实质重于形式原则。内部控制应当注重风险管理的实际效果,而不拘泥于特定的表现形式和实现手段。(四)成
7、本效益原则。内部控制应当权衡投入与回报的匹配,以合理的成本实现预期的控制目标。(五)持续运行原则。内部控制应形成建立、实施、监督及持续改进的管理闭环,以确保内部控制五个要素同时存在并能持续运行。第八条 【建立体系总体要求】企业应当根据本规范要求,建立和实施适合企业实际情况的内部控制体系,强化内部控制长效运行保障机制,持续开展内部控制监督。第九条 【内控主要责任人】企业的主要负责人对企业内部控制的建立健全和有效实施负责,应直接领导内部控制规划决策、风险评估、重要内部控制领域管理、实施保障机制的建立与实施等,持续关注执行和监督效果,及时纠偏。第十条 【内控建设工作责任】企业可以设置专门部门、岗位或
8、者指定适当的部门、人员,具体负责组织协调和推动内部控制的建立、实施以及更新完善工作。第十一条 【控制工作责任】企业应确定各项风险和控制活动的责任人,并明确其在相关风险和控制活动的建立、实施和日常管理等方面的职责,确保其能负责相关风险管理和控制活动的及时有效运行,并能对所发现的问题进行调查和采取相应的整改行动。第二章 内部控制建设第一节 内部控制建设基础要求第十二条 【内部控制工作管理制度】企业应明确内部控制建设和管理要求,包括建设规划、工作责任、建设程序、保障机制、监督完善等。企业可以单独制定内部控制工作相关的管理制度,也可以将内部控制的管理要求融于流程、标准或程序管理等现有的制度体系中。第十
9、三条 【内控建设规划】企业应当对内部控制的长期建设和持续管理进行合理规划,包括落实内部控制工作的具体责任、界定内部控制建设阶段目标、明确推进方式、合理配置资源等,以确保阶段性建设成果的延续性以及避免所投入成本的浪费。第十四条 【内控阶段性目标设定】企业可以综合评估自身战略安排、资源条件、管理水平以及外部监管要求,合理确定分阶段的工作目标。阶段性目标可以是实现某一内部控制目标,也可以是实现某几个内部控制目标,应反映出企业所期望达到的运营和财务绩效水平。第十五条 【内控建设推进方式】企业应当在关注重要风险和成本效益的基础上,明确相应的建设推进方式。既可以在组织内系统全面同步开展,也可以采取分步实施
10、的方法分阶段、分模块开展推进。第二节 建设程序和内容第十六条 【总述】企业应以风险为导向确定内部控制体系建设的领域,建立良好的内部控制环境,通过设计相应的控制活动或对现有的控制活动进行梳理、完善和优化,确保内部控制体系有效并持续运行。第十七条 【风险评估】企业可以依据所设定的控制目标,选择采用经营管理会议、专家访谈、风险调查问卷、风险研讨会等适当的方式、方法和程序开展风险识别和评估,了解所面临的主要风险及其影响,评估是否超过企业所能承受的水平,并以此为基础来作出接受、规避、降低或分担的风险应对决策,进而明确应予重点关注和优先控制的风险,以及如何对这些风险实现管理。第十八条 【风险评估的对象】企
11、业可以依据所设定的目标和建设工作规划,针对性地选择评估对象开展风险评估。评估对象可以是整个组织或某个职能,也可以是某个业务领域、某个产品或某个具体事项。第十九条 【风险评估的内容】企业应结合自身不同发展阶段和业务拓展的情况,持续评估各类风险对内部控制目标的实现所造成的预期影响,包括风险发生的可能性、风险发生后可能的影响程度以及相应影响预计会持续的时间。第二十条 【风险评估的方式和频率】企业开展风险评估应选择高效灵活的方式方法。既可以结合管理经营分析进行,也可以系统全面地开展。企业应当至少每年开展一次系统全面的风险评估,并鼓励各个层级的管理人员和全体员工参与风险信息的提供以及风险评估的讨论。企业
12、在风险、业务等发生快速变化以及需要对重大事项进行决策时,应考虑相应增加风险评估的频率。第二十一条 【风险评估技术】企业应当掌握和逐步优化风险评估技术。如果企业缺乏风险评估经验和技术,尤其是对于某些特定的重要风险,应考虑获得外部专家的支持。企业可以在条件成熟时,逐步建立适合自身特点的重大风险预警机制,设立风险预警指标体系,以提升整体风险评估的质量和时效性。第二十二条 【需关注的风险】企业应持续关注对其内部控制目标的实现可能造成重大影响的内外部风险及其变化,如:(一)与经营的合法合规相关的政策风险、舞弊风险、违法违规风险等。(二)与资产的安全相关的资金风险、资产安全风险、核心信息泄露风险等。(三)
13、与经营的效率和效果相关的行业风险、组织战略风险、业务模式风险、市场营销风险、人员流失风险等。(四)与业务、财务和管理等相关信息的真实、准确、及时、完整相关的信息系统风险、会计与报告风险等。第二十三条 【控制活动总体】企业应当结合风险评估结果,考虑其所处的行业特点、业务复杂程度、员工操作习惯等,采用预防性控制与发现性控制相结合的方法,在重要业务流程中选择和执行不相容职责分离控制、授权审批控制、信息技术控制、财产保护控制、预算控制、运营分析控制和绩效考评等适当的控制活动,将风险降低到可接受的水平。对于由于外部事件影响而难以实现控制目标的风险,如外部经济环境变化、法律法规变化等,企业应建立和实施相应
14、的控制活动,以帮助其及时了解相关信息。第二十四条 【重要的对象和环节】宜增加“第(十)款涉税信息”,将原第(十)款修改为第(十一)款企业应当关注高风险及重要管理领域内部控制活动的建立与持续运行,包括但不限于:(一)资金管理;(二)重要资产管理;(三)关键人员管理;(四)关键客户管理;(五)关键的供应商管理;(六)关键技术与信息管理;(七)重要外包业务管理;(八)例外事项的处理;(九)外部监管要求的内容;(十)其他需要关注的领域。第二十五条 【控制活动设计的具体要求】应作出如下规定:企业应以适当的媒介建立并保持内控制度文件;应建立并保持记录,以提供法律法规要求和内控制度所需的证据。在设计控制活动
15、时,企业应能明确具体的实施要求和工作标准,包括但不限于明确控制责任人、控制频率、控制执行方式、控制痕迹的保留等,以确保可以正确理解和执行该内部控制,并对其进行检查。对于重要的流程,企业可考虑采用内部控制手册等书面的形式进行说明,并通过沟通和培训,有效地传达给负责实施控制措施的部门和人员。第二十六条 【考虑控制责任人的胜任能力】企业应确保每项控制活动的控制责任人具备相应的专业胜任能力并符合国家有关岗位执业资格要求,定期评估并确保其专业胜任能力与其工作职责相匹配。对于相关人员尚未具备相应专业胜任能力的,企业可以考虑采用强化培训、调整人力安排、强化独立检查等方法进行弥补,必要时应对控制活动作出适当调整,以免因执行偏差给企业经营带来重大损失。第二十七条 【与现有管理体系相结合】不排除有些企业已做了ISO9001认证,认证体系文件中与内控重叠的部分应直接应用过来即可。对于管理相对成熟的领域,企业应当尽可能的利用已有的管理基础、工作标准和操作习惯,将内部控制要求与现有管理体系相融合,确保内部控制体系建设的实效性。第二十八条 【不相容职责】企业应当根据国家有关法律法规的要求及自身业务特点,识别和分配业务活动中涉及的不相容职责,包括但不限于在重要的业务流程中设置必要的审阅、检查、评估环节,合理划分业务决策、执行、监督等方面的责任,形成适当的职责分工和制衡机制。当因资源限制而无法实现职责分