第十条 小企业应当恰当识别与控制目标相关的内外部风险，如合规性风险、资金资产安全风险、信息安全风险、合同风险等。

第十一条 小企业应当采用适当的风险评估方法，综合考虑风险发生的可能性、风险发生后可能造成的影响程度以及可能持续的时间，对识别的风险进行分析和排序，确定重点关注和优先控制的风险。

常用的风险评估方法包括问卷调查、集体讨论、专家咨询、管理层访谈、行业标杆比较等。

第十二条 小企业开展风险评估既可以结合经营管理活动进行，也可以专门组织开展。

小企业应当定期开展系统全面的风险评估。在发生重大变化以及需要对重大事项进行决策时，小企业可以相应增加风险评估的频率。

第十三条 小企业开展风险评估，可以考虑聘请外部专家提供技术支持。

第十四条  小企业应当根据风险评估的结果，制定相应的风险应对策略，对相关风险进行管理。

风险应对策略一般包括接受、规避、降低、分担等四种策略。

小企业应当将内部控制作为降低风险的主要手段，在权衡成本效益之后，采取适当的控制措施将风险控制在本企业可承受范围之内。

第十五条  小企业建立与实施内部控制应当重点关注下列管理领域：

（一）资金管理；

（二）重要资产管理（包括核心技术）；

（三）债务与担保业务管理；

（四）税费管理；

（五）成本费用管理；

（六）合同管理；

（七）重要客户和供应商管理；

（八）关键岗位人员管理；

（九）信息技术管理；

（十）其他需要关注的领域。

第十六条 小企业在建立内部控制时，应当根据控制目标，按照风险评估的结果，结合自身实际情况，制定有效的内部控制措施。

内部控制措施一般包括不相容岗位相分离控制、内部授权审批控制、会计控制、财产保护控制、单据控制等。

第十七条  不相容岗位相分离控制要求小企业根据国家有关法律法规的要求及自身实际情况，合理设置不相容岗位，确保不相容岗位由不同的人员担任，并合理划分业务和事项的申请、内部审核审批、业务执行、信息记录、内部监督等方面的责任。

因资源限制等原因无法实现不相容岗位相分离的，小企业应当采取抽查交易文档、定期资产盘点等替代性控制措施。

第十八条  内部授权审批控制要求小企业根据常规授权和特别授权的规定，明确各部门、各岗位办理业务和事项的权限范围、审批程序和相关责任。常规授权是指小企业在日常经营管理活动中按照既定的职责和程序进行的授权。特别授权是指小企业在特殊情况、特定条件下进行的授权。小企业应当严格控制特别授权。