型企业内部控制规范征求意见稿

相关推荐

型企业内部控制规范征求意见稿

第一章总则

第一条为帮助小型企业建立和实施有效的内部控制，提高经营管理水平和风险防范及应对能力，促进小型企业的健康可持续发展，根据《中华人民共和国会计法》、《中华人民共和国公司法》、《企业内部控制基本规范》和其他有关法律法规，制定本规范。

第二条本规范所称小型企业（以下简称“企业），是指在中华人民共和国境内依法设立的、符合以下主要特征的小规模企业：（一）由拥有多数所有权的人员管理企业；（二）机构设置简单，管理层级较少；（三）业务线较少且每条业务线中产品较少；（四）信息系统较为简单；

（五）员工数量较少，部分员工一人身兼多岗；（六）其他法律法规有明确规定的。

第三条各企业应对照本规范第二条的有关规定，结合《中小企业划型标准规定》所列明的小型企业标准及企业自身特点，确定是否适用本规范。

执行本规范的小型企业，如因企业发展壮大不再符合本规范第二条规定的标准特征，应当自下一年度起转为执行《企业内部控制基本规范》及其配套指引。

已经执行《企业内部控制基本规范》及配套指引的企业，不得转为执行本规范。

第四条本规范所称内部控制，是指由企业全员共同实施的，以风险评估为基础，通过建立和实施内部控制措施、监督评价和保障机制，旨在实现控制目标的过程。

第五条内部控制应对企业所面临的风险进行有效管理，其目标是合理保证：（一）经营的合法合规；（二）资产的安全；（三）经营的效率和效果；（四）业务、财务和管理等相关信息的真实、准确、及时、完整。

第六条企业内部控制应当包括下列要素：（一）控制环境。控制环境是内部控制体系建立和实施以及保障其持续有效的基础，一般应包括组织结构、授权分工、问责制、人力资源管理、绩效管理、企业文化等内容和相关机制。

（二）风险评估。风险评估是内部控制体系建立与动态调整的依据。企业应及时识别、系统分析与实现企业控制目标相关的风险，并合理确定风险管理方式。

（三）控制活动。控制活动是为管理风险而建立和实施的一系列政策、制度、程序和措施。企业应根据风险评估结果，设计和实施相应的控制活动，将风险控制在可接受的水平之内。

（四）信息与沟通。信息与沟通是实施内部控制的必要条件。企业应及时、准确地收集、传递与风险和控制相关的信息，并确保其在企业内部以及企业与外部之间实现有效沟通。

（五）内部监督。内部监督是内部控制的必要保证。企业应对内部控制的建立与实施情况进行监督检查，评价内部控制体系的有效性，识别内部控制缺陷并及时督促改进。在整体有效的内部控制体系中，上述要素一般应同时存在并能持续运行。

第七条企业建立与实施内部控制，应当遵循下列原则：（一）风险导向原则。内部控制应当以风险为出发点，重点关注会对企业内部控制目标的实现造成重大影响的高风险领域。

（二）适应性原则。内部控制应当与企业发展阶段、经营规模、管理水平、资源状况等相适应，并随着情况的变化及时加以调整。

（三）实质重于形式原则。内部控制应当注重风险管理的实际效果，而不拘泥于特定的表现形式和实现手段。

（四）成本效益原则。内部控制应当权衡投入与回报的匹配，以合理的成本实现预期的控制目标。

（五）持续运行原则。内部控制应形成建立、实施、监督及持续改进的管理闭环，以确保内部控制五个要素同时存在并能持续运行。

第八条企业应当根据本规范要求，建立和实施适合企业实际情况的内部控制体系，强化内部控制长效运行保障机制，持续开展内部控制监督。

第九条企业的主要负责人对企业内部控制的建立健全和有效实施负责，应直接领导内部控制规划决策、风险评估、重要内部控制领域管理、实施保障机制的建立与实施等，持续关注执行和监督效果，及时纠偏。

第十条企业可以设置专门部门、岗位或者指定适当的部门、人员，具体负责组织协调和推动内部控制的建立、实施以及更新完善工作。

第十一条企业应确定各项风险和控制活动的责任人，并明确其在相关风险和控制活动的建立、实施和日常管理等方面的职责，确保其能负责相关风险管理和控制活动的及时有效运行，并能对所发现的问题进行调查和采取相应的整改行动。

第二章内部控制建设

第一节内部控制建设基础要求第十二条企业应明确内部控制建设和管理要求，包括建设规划、工作责任、建设程序、保障机制、监督完善等。企业可以单独制定内部控制工作相关的管理制度，也可以将内部控制的管理要求融于流程、标准或程序管理等现有的制度体系中。第十三条企业应当对内部控制的长期建设和持续管理进行合理规划，包括落实内部控制工作的具体责任、界定内部控制建设阶段目标、明确推进方式、合理配置资源等，以确保阶段性建设成果的延续性以及避免所投入成本的浪费。

《型企业内部控制规范征求意见稿》全文内容当前网页未完全显示，剩余内容请访问下一页查看。

第十四条企业可以综合评估自身战略安排、资源条件、管理水平以及外部监管要求，合理确定分阶段的工作目标。

阶段性目标可以是实现某一内部控制目标，也可以是实现某几个内部控制目标，应反映出企业所期望达到的运营和财务绩效水平。

第十五条企业应当在关注重要风险和成本效益的基础上，明确相应的建设推进方式。既可以在组织内系统全面同步开展，也可以采取分步实施的方法分阶段、分模块开展推进。

第二节建设程序和内容第十六条企业应以风险为导向确定内部控制体系建设的领域，建立良好的内部控制环境，通过设计相应的控制活动或对现有的控制活动进行梳理、完善和优化，确保内部控制体系有效并持续运行。

第十七条企业可以依据所设定的控制目标，选择采用经营管理会议、专家访谈、风险调查问卷、风险研讨会等适当的方式、方法和程序开展风险识别和评估，了解所面临的主要风险及其影响，评估是否超过企业所能承受的水平，并以此为基础来作出接受、规避、降低或分担的风险应对决策，进而明确应予重点关注和优先控制的风险，以及如何对这些风险实现管理。

第十八条企业可以依据所设定的目标和建设工作规划，针对性地选择评估对象开展风险评估。评估对象可以是整个组织或某个职能，也可以是某个业务领域、某个产品或某个具体事项。

第十九条企业应结合自身不同发展阶段和业务拓展的情况，持续评估各类风险对内部控制目标的实现所造成的预期影响，包括风险发生的可能性、风险发生后可能的影响程度以及相应影响预计会持续的时间。

第二十条企业开展风险评估应选择高效灵活的方式方法。既可以结合管理经营分析进行，也可以系统全面地开展。

企业应当至少每年开展一次系统全面的风险评估，并鼓励各个层级的管理人员和全体员工参与风险信息的提供以及风险评估的讨论。企业在风险、业务等发生快速变化以及需要对重大事项进行决策时，应考虑相应增加风险评估的频率。

第二十一条企业应当掌握和逐步优化风险评估技术。如果企业缺乏风险评估经验和技术，

尤其是对于某些特定的重要风险，应考虑获得外部专家的支持。

企业可以在条件成熟时，逐步建立适合自身特点的重大风险预警机制，设立风险预警指标体系，以提升整体风险评估的质量和时效性。

第二十二条企业应持续关注对其内部控制目标的实现可能造成重大影响的内外部风险及其变化，如：（一）与经营的合法合规相关的政策风险、舞弊风险、违法违规风险等。

（二）与资产的安全相关的资金风险、资产安全风险、核心信息泄露风险等。

（三）与经营的效率和效果相关的行业风险、组织战略风险、业务模式风险、市场营销风险、人员流失风险等。

（四）与业务、财务和管理等相关信息的真实、准确、及时、完整相关的信息系统风险、会计与报告风险等。

第二十三条企业应当结合风险评估结果，考虑其所处的行业特点、业务复杂程度、员工操作习惯等，采用预防性控制与发现性控制相结合的方法，在重要业务流程中选择和执行不相容职责分离控制、授权审批控制、信息技术控制、财产保护控制、预算控制、运营分析控制和绩效考评等适当的控制活动，将风险降低到可接受的水平。

对于由于外部事件影响而难以实现控制目标的风险，如外部经济环境变化、法律法规变化等，企业应建立和实施相应的控制活动，以帮助其及时了解相关信息。

第二十四条企业应当关注高风险及重要管理领域内部控制活动的建立与持续运行，包括但不限于：（一）资金管理；（二）重要资产管理；（三）关键人员管理；（四）关键客户管理；

（五）关键的供应商管理；（六）关键技术与信息管理；（七）重要外包业务管理；（八）例外事项的处理；（九）外部监管要求的内容；（十）其他需要关注的领域。

第二十五条在设计控制活动时，企业应能明确具体的实施要求和工作标准，包括但不限于明确控制责任人、控制频率、控制执行方式、控制痕迹的保留等，以确保可以正确理解和执行该内部控制，并对其进行检查。

对于重要的流程，企业可考虑采用内部控制手册等书面的形式进行说明，并通过沟通和培训，有效地传达给负责实施控制措施的部门和人员。

第二十六条企业应确保每项控制活动的控制责任人具备相应的专业胜任能力并符合国家有关岗位执业资格要求，定期评估并确保其专业胜任能力与其工作职责相匹配。

对于相关人员尚未具备相应专业胜任能力的，企业可以考虑采用强化培训、调整人力安排、强化独立检查等方法进行弥补，必要时应对控制活动作出适当调整，以免因执行偏差给企业经营带来重大损失。

《型企业内部控制规范征求意见稿》全文内容当前网页未完全显示，剩余内容请访问下一页查看。

第二十七条对于管理相对成熟的领域，企业应当尽可能的利用已有的管理基础、工作标准和操作习惯，将内部控制要求与现有管理体系相融合，确保内部控制体系建设的实效性。第二十八条企业应当根据国家有关法律法规的要求及自身业务特点，识别和分配业务活动中涉及的不相容职责，包括但不限于在重要的业务流程中设置必要的审阅、检查、评估环节，合理划分业务决策、执行、监督等方面的责任，形成适当的职责分工和制衡机制。

当因资源限制而无法实现职责分离时，企业应考虑选择并执行替代性的审阅系统报告、抽查交易文档、定期资产盘点等控制活动。对于无法实现职责分离的关键敏感职能，企业还可考虑强化相应的检查要求，防止因兼岗而可能造成的控制缺失或无效。

第二十九条管理层凌驾是指管理层出于不正当的目的而逾越现有的内部控制，以获取个人利益、粉饰业绩或掩盖违法违规等行为。企业应当考虑建立相应的控制措施来降低管理层凌驾的风险，包括建设高度尊重诚信和道德价值观的企业文化、设计和实施有效的举报机制、建立健全符合企业自身实际情况的内部审计职能等。

第三十条运用信息技术的企业，应当加强系统开发控制、系统变化控制、数据安全性和访问控制、计算机操作控制、应用控制、终端用户运算控制等方面的控制，保证信息系统安全

稳定运行。

第三十一条企业应当建立突发事件应急处理机制，对可能发生的重大风险或突发事件，制定应急预案、明确责任人员，确保突发事件得到及时妥善处理。

第三十二条根据风险评估的结果，舞弊风险较高的企业，应当建立反舞弊机制，明确反舞弊工作的重点领域和关键环节，强化对可能诱发舞弊的动机和压力、舞弊的机会以及员工对舞弊行为的认识等方面的管理和监控。舞弊事项一旦发生，应针对舞弊案件进行及时调查、处理、报告和补救。

必要时，企业可以建立举报流程，设置独立的举报专线，并应当让全体员工、客户、供应商和其他利益相关方知晓。

第三十三条企业应持续关注并检查控制活动的有效性，在发生以下情况时组织内部控制体系的更新与优化：（一）企业战略方向、业务范畴、经营管理模式、管理层发生重大变化；

（二）企业风险发生重大变化；（三）发现冗余、过时或低效的控制活动；（四）通过监督发现无法整改的重大问题；（五）关键岗位人员胜任能力不足；（六）出现大量的例外事项；（七）外部监管要求规定的调整。

第三章监督评价

第三十四条企业应当结合自身业务特性、经营环境、风险水平等因素建立适当的内部控制监督评价机制，对内部控制体系的设计和运行情况进行评价。

第三十五条企业应当选用具备胜任能力的人员履行内部控制的监督职能，且监督人员不得由控制执行人员兼任。同时，控制责任人所执行的控制检查并不能替代监督。

具备条件的企业，可以建立内部审计职能或通过业务外包，实现对内部控制有效性的监督，以提高评估的质量和客观性，并确保足够的评估范围和频率。

第三十六条企业可高效灵活地采用适当的方法实现监督。监督方法包括但不限于在业务流程中嵌入检查、分析、审核等实时监督活动，以及独立的经营分析、抽查、重新执行、专项检查等活动及其组合，以发现内部控制的设计和执行缺陷。

第三十七条企业对内部控制的有效性进行评价，可选择的方式包括开展全面系统的监督评价，或者针对某个专题开展单独的不定期的监督评价，也可以将上述两种方式组合起来开展内部控制监督评价。

第三十八条企业监督应重点关注的领域包括但不限于：（一）高风险领域；（二）人员胜任能力不足的领域；（三）关键岗位人才流失的领域；（四）与新开展的业务、新采用的技术、新进或新调整岗位的人员相关的领域；（五）无法实现职责分离的领域；（六）同业已发生新问题的领域；（七）重大的例外事项；（八）其他法律法规要求监督的领域。

第三十九条企业应对监督活动中发现的内部控制缺陷进行评价，分析缺陷的性质、产生的原因以及影响程度，按其影响程度分为重大缺陷、重要缺陷和一般缺陷，提出整改方案，并及时与整改责任方沟通，其中重大及重要缺陷应当向企业主要负责人报告。

重大缺陷，是指一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标。

重要缺陷，是指一个或多个控制缺陷的组合，其严重程度和经济后果低于重大缺陷，但仍有可能导致企业偏离控制目标。

一般缺陷，是指除重大缺陷、重要缺陷之外的其他缺陷。

重大缺陷、重要缺陷和一般缺陷的具体认定标准，由企业根据上述要求自行确定。第四十条企业应当跟踪内部控制缺陷整改情况，确保整改责任方及时采取整改措施。对于无法整改或无法及时整改的缺陷，应评估相关人员的胜任能力以及内部控制设计的合理性，进而对内部控制活动做出相应更新调整，推动企业内部控制体系的持续完善和优化。第四十一条企业应当至少每年开展一次全面系统的监督评价，还可以根据自身实际需要开

展不定期专项评价。

企业可以根据评价结果编制内部控制评价报告，提交企业主要负责人审阅。

内部控制评价报告应当至少包括内部控制评价的范围、内部控制缺陷及其认定情况、针对内部控制缺陷拟采取的整改措施及整改情况等内容。

第四章实施保障机制

第四十二条建立并实施保障机制是内部控制体系得以有效运转的重要基础，保障机制应当贯穿于内部控制建设、日常运行及监督评价的全过程中。

第四十三条企业应积极培育具有自身特色的企业文化，树立积极向上的价值观、诚实守信的经营理念和开拓创新的企业精神，积极履行社会责任。企业主要负责人应以身作则、率先垂范，通过其自身言行传达企业文化。

第四十四条企业应当建立明确的行为准则，通过沟通和培训，将与诚信、道德相关的企业价值观传达给员工、服务供应商和业务合作伙伴。

企业应关注并评价员工对行为准则的遵守情况，发现异常现象和不当行为，应及时调查，并采取适当的纠正措施，以表现企业对违规行为的明确态度。

第四十五条企业应当明确信息需求，在考虑成本效益原则的基础上，选择灵活便捷的方式收集、分析和筛选跟企业相关的信息。企业可以鼓励员工通过业务数据分析，利益相关方的反馈、市场的反应等渠道直接获取第一手信息，并及时传递到企业管理人员供其进一步甄别、分析和决策。

第四十六条企业应当灵活选择适合本企业实际情况的内部信息沟通方式，以确保整个组织内各管理层级、业务部门之间，以及所有业务和环节的沟通顺畅，推动全员了解、传递和报告准确的管理和内部控制信息，包括业务和内部控制的运行情况、发生的变化、出现的问题等，以支持内部控制的有效运行。

第四十七条企业应当考虑沟通内容、时间要求、法律法规要求等因素灵活选择与外部的信息沟通方式，及时与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间进行沟通和反馈。对于信息沟通过程中发现的问题，应当及时报告并加以解决，其中重要信息应确保连续性和可追溯性。

第四十八条企业应当明确和实施有利于可持续发展的、符合相关法律法规的人力资源政策，吸引、培养和留用符合企业要求的人才，实现人力资源的合理配置。

第四十九条企业应当根据各层级的责任，确定绩效考核、激励以及适当的奖励机制。绩效考核所采用的指标应适当，避免对员工产生过度压力而诱发舞弊和不当行为。

企业应定期对绩效衡量、激励和奖励机制的持续相关性和适当性进行审阅，以保证其能实现激励和奖励作用。

第五十条企业应当结合业务特点建立有效的内部控制问责机制，将内部控制的相关责任传达、落实到部门和员工，并将对内部控制实施的考核纳入企业绩效考核的范围，促进内部控制的有效实施。

第五章附则

第五十一条本规范由财政部负责解释。

第五十二条本规范自2017年1月1日起实施。

《小型企业内部控制规范》(征求意见稿)起草说明2017-05-12 10:01 | #2楼

《企业内部控制基本规范》及其配套指引的发布实施对我国各类型企业特别是上市公司和国有大中型企业加强内部控制建设起到了重要的推动作用。但是，由于我国经济体量大，企业数量多，各类企业差别显著，小型企业在贯彻实施企业内部控制规范体系过程中存在适应性不强、实施成本高等问题，通过适当的制度安排来解决这一问题的呼声高企。为大力支持小型企业发展，保障广大小型企业持续运营，促进国民经济健康发展，我们研究起草了《小型企业内部控制规范》（征求意见稿）（以下简称“《规范》”）。现就《规范》的有关情况说明如下：

一、起草背景

大力发展小型企业是我国一项长期的战略任务。小型企业是社会就业的重要载体，是创业的主渠道和创新的主力军，是“大众创业、万众创新” 新引擎，越来越成为国民经济的重要支柱和经济持续稳定增长的坚实基础。2017年国务院发布了《关于扶持小型微型企业健康发展的意见》。2017年国务院发布了《关于大力推进大众创业万众创新若干政策措施的意见》明确了我国促进小微型企业创新发展的政策方向。推动社会创业和鼓励小微企业发展，已成为今后一个时期深化市场经济体制改革、促进我国经济转型升级的战略举措。

《企业内部控制基本规范》及其配套指引主要适用于大中型

企业，对于小型企业和其它单位，只是参照执行。目前，在上市公司范围内，只有1400余家主板上市公司实施了《企业内部控制基本规范》及其配套指引，1100余家中小板和创业板上市公司只是参照执行，5000余家新三板挂牌公司没有建立和实施内部控制的相关要求。由于小型企业并不是现有企业内控规范体系的主要规范对象，内容上较少考虑小型企业的特殊性，因此，小型企业执行现有的企业内控规范体系过程中存在诸多不适应之处。根据我们对小型上市公司的调研结果以及近几年《我国上市公司内部控制规范实施情况分析报告》，自愿实施《企业内部控制基本规范》及其配套指引的中小板和创业板上市公司普遍反映，按照目前的企业内控规范体系的要求建设和实施内部控制的成本过高。此外，《上市公司2017年内部控制调研报告》（证监会）也建议，对中小板和创业板上市公司内部控制实施分类监管。

在这样的大背景下，研究制定《小型企业内部控制规范》，引导和推动小型企业尤其是小型上市公司加强内控建设，提高管理水平，降低经营风险，减少各类经济损失，同时降低因内部控制而带来的成本负担和效率损失，促进小型企业健康成长和科学发展，对于推动我国经济发展具有重要的战略意义。

二、起草过程

《规范》的起草工作大致分为以下几个阶段：

（一）前期研究阶段。2017年初，财政部会计司组织有关专家，成立了工作小组，启动了《规范》的起草工作。工作小组收

集整理国内外有关监管部门和内控标准制定机构有关小型企业内部控制规定及文献资料，对小型企业的特征、划分标准、内控特殊需求以及我国小型企业经营管理中面临的难点重点和主要风险等进行了深入研究。

（二）调查研究阶段。2017年3月至6月，财政部会计司会同工信部、深交所等多家单位对国内小型企业的内部控制建设情况开展了调查研究，以座谈会和实地考察相结合的方式走访了深圳、广州、上海、江苏等4个省市的31家小型企业，听取有关小型企业对建立和实施内部控制的意见建议。同时，在全国范围内发放和回收了企业调查问卷4743份，在企业内部控制标准委员会咨询专家范围内发放和回收了专家问卷36份，并对问卷结果进行了分析。

（三）专家研讨阶段。2017年7月至12月，工作小组根据有关方面的意见和调查问卷结果，结合国内外有关小型企业内部控制研究成果，研究起草了《小型企业内部控制规范（初稿）》。工作小组通过组织召开一系列专家座谈会，邀请了工信部、证监会、中小板及创业板上市公司代表、企业内部控制标准委员会咨询专家针对初稿开展了多次内部研讨。

（四）修改完善阶段。2017年1月至3月，在专家座谈研讨的基础上，工作小组对初稿进行了反复修改，最终形成了《规范》的征求意见稿。

三、需要说明的问题

（一）关于小型企业的划型。一般而言，对小型企业的划分主要有定量和定性两种方式。定量指标主要包括雇员人数、实收资本、营业收入、资产总值、流通市值等，如工信部的《中小企业划型标准规定》。定性指标主要包括企业的治理结构、组织形式、融资渠道及所处行业地位等，如COSO委员会发布的《较小型公众公司财务报告内部控制指南》。定量指标较定性指标更为直观，数据容易选取。但从内控的角度看，定性指标更能揭示企业的本质特性，标准也更加稳定，但要求应用者有很强的判断力。在我国，很多小型上市公司反映，如果按照工信部的《中小企业划型标准规定》应被划为大型企业。但这些公司结合自身的管理成熟度和内控水平，更倾向于按照定性标准将自己定位为小型企业。但是考虑到《规范》同样适用于广大非上市小型企业，这些企业需要参照工信部定量标准予以划分。因此，《规范》采用定性与定量相结合的方法，由企业自行确定是否属于小型企业范畴。

（二）关于《规范》的适用范围。制定本《规范》的根本目的是从整体上提高我国小型企业（包括上市和非上市小型企业）内部控制水平，促进小型企业规范健康发展。因此，《规范》的适用范围同时涵盖小型上市公司和非上市小型企业。对于小型上市公司，实施本《规范》可以解决执行《企业内部控制基本规范》及其配套指引过程中的适应性问题，减轻其合规及披露义务，降低小型上市公司内控实施成本；对于非上市小型企业，属于自愿实施范围，实施本《规范》的目的是帮助非上市小型企业提高经

营管理水平和风险防范能力，推动非上市小型企业规范健康发展。

（三）关于《规范》的实施要求。基于《规范》实施范围的考虑，按照小型企业上市与否，提出不同的实施要求：对于小型上市公司，本《规范》具有强制性；对于自愿执行的非上市小型企业，本《规范》主要起到指导性作用。我们认为，对于非上市小型企业，《规范》的定位是为小型企业在建设和实施内部控制体系时提供指引性的参考建议，而非强制性的合规要求，因此允许这些企业根据自身条件自行确定是否执行《规范》。

（四）关于增强《规范》的指导性和操作性。《规范》立足于小型企业经营风险，紧扣我国小型企业当前面临的实际管理困难、关键问题和核心难点，按照“实用、简洁、有效”的原则，侧重于引导小型企业建设和实施内部控制，就包含内部控制体系建设、实施、评估改进等环节在内的管理闭环过程给出相应的指导性意见，旨在解决小型企业在执行《企业内部控制基本规范》时出现的不适用问题。此外，为增强可操作性，我们将在《规范》出台后以讲解（或解读）的形式为小型企业内控建设提供实务指导，推荐合适的方法和工具。

（五）关于《规范》的实施成本。因小型企业的资源、能力限制，《规范》强调内控的精神实质而非表面形式，重点阐述内控要达到的效果，更突出把握重点，考虑投入产出的问题，在控制设计的要求上有别于对大中型企业的要求，切实降低小型企业的实施成本。

四、总体框架

《规范》包括总则、内部控制建设、监督评价、实施保障机制和附则五章，共五十二条。

（一）总则

主要阐明小型企业的特征、规范的适用范围、内部控制的定义、内部控制的目标和要素内涵、内部控制的原则、内部控制体系的总体要求、以及内部控制责任等内容。其中特别说明了执行《规范》的小型企业，如因企业发展壮大不再符合本规范第二条规定的标准特征，可以自下一年度起转为执行《基本规范》，但不得再转为执行本规范。

（二）内部控制建设

具体分为内控建设基础要求、建设程序和内容两小节。内控建设基础要求部分主要阐明内部控制的管理制度要求、内控建设规划、内控阶段性目标设定、内控建设推进方式。建设程序和内容部分主要阐明以风险评估结果为依据，来指导控制活动设计和执行的过程。其中特别说明了风险评估相关工作方法和内容、控制活动设计的具体要求和重要的对象和环节、以及与现有管理体系的关系、小型企业的不相容职责、IT系统、反舞弊、管理层逾越、以及内部控制的更新维护机制等内容。

（三）监督评价

主要阐明内控的监督机制，包括监督评价要求、人员能力要求、监督方式和方法、监督重点、缺陷认定、整改跟进、评价报

告等内容。

（四）实施保障机制

主要是对企业文化、人力资源政策、问责和绩效机制以及信息沟通机制进行了集中阐述，以强调上述机制的存在及持续、有效运行，是有效内部控制体系的必要保障，企业在建设内部控制体系时应当特别加以重视。

（五）附则

主要阐述了《规范》的解释权归属和生效时点问题。

五、征求意见的主要问题

（一）关于《规范》的适用范围和定位

问题1：《规范》中提出的小型企业具有的主要特征是否明确和适当？如不明确或不适当，请说明理由并提出修改建议。

（二）关于《规范》规定的内部控制目标

问题2：《规范》中提出的内部控制目标（经营的合法合规；经营的合法合规；资产的安全；业务、财务和管理等相关信息的真实准确及时完整。）是否明确和适当？如不明确或不适当，请说明理由并提出修改建议。