第二章 内部控制建立与实施

　　第八条 小企业应当围绕控制目标，以风险为导向确定内部控制建设的领域，设计科学合理的控制活动或对现有控制活动进行梳理、完善和优化，确保内部控制体系能够持续有效运行。

　　第九条 小企业应当依据所设定的内部控制目标和内部控制建设工作规划，有针对性地选择评估对象开展风险评估。

　　风险评估对象可以是整个企业或某个部门，也可以是某个业务领域、某个产品或某个具体事项。

　　第十条 小企业应当恰当识别与控制目标相关的内外部风险，如合规性风险、资金资产安全风险、信息安全风险、合同风险等。

　　第十一条 小企业应当采用适当的风险评估方法，综合考虑风险发生的可能性、风险发生后可能造成的影响程度以及可能持续的时间，对识别的风险进行分析和排序，确定重点关注和优先控制的风险。

　　常用的风险评估方法包括问卷调查、集体讨论、专家咨询、管理层访谈、行业标杆比较等。

　　第十二条 小企业开展风险评估既可以结合经营管理活动进行，也可以专门组织开展。

　　小企业应当定期开展系统全面的风险评估。在发生重大变化以及需要对重大事项进行决策时，小企业可以相应增加风险评估的频率。

　　第十三条 小企业开展风险评估，可以考虑聘请外部专家提供技术支持。

　　第十四条 小企业应当根据风险评估的结果，制定相应的风险应对策略，对相关风险进行管理。

　　风险应对策略一般包括接受、规避、降低、分担等四种策略。

　　小企业应当将内部控制作为降低风险的主要手段，在权衡成本效益之后，采取适当的控制措施将风险控制在本企业可承受范围之内。

　　第十五条 小企业建立与实施内部控制应当重点关注下列管理领域：

　　（一）资金管理；

　　（二）重要资产管理（包括核心技术）；

　　（三）债务与担保业务管理；

　　（四）税费管理；

　　（五）成本费用管理；

　　（六）合同管理；

　　（七）重要客户和供应商管理；

　　（八）关键岗位人员管理；

　　（九）信息技术管理；

　　（十）其他需要关注的领域。

　　第十六条 小企业在建立内部控制时，应当根据控制目标，按照风险评估的结果，结合自身实际情况，制定有效的内部控制措施。

　　内部控制措施一般包括不相容岗位相分离控制、内部授权审批控制、会计控制、财产保护控制、单据控制等。

　　第十七条 不相容岗位相分离控制要求小企业根据国家有关法律法规的要求及自身实际情况，合理设置不相容岗位，确保不相容岗位由不同的人员担任，并合理划分业务和事项的申请、内部审核审批、业务执行、信息记录、内部监督等方面的责任。