風險承受是企業對風險承受度之內的風險,在權衡成本效益之後,不準備採取控制措施降低風險或者減輕損失的策略。
第二十七條 企業應當結合不同發展階段和業務拓展情況。持續收集與風險變化相關的信息,進行風險識別和風險分析,及時調整風險應對策略。
第四章控制活動
第二十八條 企業應當結合風險評估結果,通過手工控制與自動控制、預防性控制與發現性控制相結合的方法,運用相應的控制措施,將風險控制在可承受度之內。
控制措施一般包括:不相容職務分離控制、授權審批控制、會計系統控制、財產保護控制、預算控制、運營分析控制和績效考評制等。
第二十九條 不相容職務分離控制要求企業全面系統地分析、梳理業務流程中所涉及的不相容職務,實施相應的分離措施,形成各司其職、各負其責、相互制約的工作機制。
第三十條 授權審批控制要求企業根據常規授權的規定,明確各崗位辦理業務和事項的許可權範圍、審批程式和相應責任
企業應當編制常規授權的許可權指引,規範特別授權範圍、許可權、程式和責任,嚴格控制特別授權。常規授權是指企業在日常經營管理活動中按照既定的職責和程式進行的授權。特別授權是指企業在特殊情況、特定條件下進行的授權。
企業各級管理人員應當在授權範圍內行使職權和承擔責任。
企業對於重大的業務和事項,應當實行集體決策審批或者聯簽制度,任何個人不得單獨進行決策或者擅自改變集體決策。
第三十一條 會計系統控制要求企業嚴格執行國家同意的會計準則制度,加強會計基礎工作,明確會計憑證、會計帳簿和財務會計報告的處理程式,保證會計資料的真實完整。
企業應當依法設定會計機構,配備會計從業人員、從事會計工作的人員,必須取得會計從業資格證書,會計機構負責人應當具備會計師以上專業技術職務資格。
大中型企業應當設計總會計師,設定總會計師的企業,不得設定與其職權重疊的副職。
第三十二條財產保護控制要求企業建立財產日常管理制度和定期清查制度,財務財產記錄、實物保管、定期盤點、帳實核對等措施,確保財產安全。
企業應當嚴格限制未經授權的人員接觸和處置財產。
第三十三條 預算控制要求企業實施全面預算管理制度,明確各責任單位在預算管理中的職責許可權,規範預算的編制、審定、下達和執行程式,強化預算約束。
第三十四條運營分析控制要求企業建立運營情況分析制度、經理層應當綜合運用生產、購銷、投資、籌資、財務等方面的信息,通過因素分析、對比分析、趨勢分析等方法,定期開展運營情況分析,發現存在的問題,及時查明原因並加以改進。
第三十五條績效考評控制要求企業建立和實施績效考評制度。科學設定考核指標體系,對企業內部各責任單位和全體員工的業績進行定期考核和客觀評價,將考評結果作為確定員工薪酬以及職務晉升、評優、降級、調崗、辭退等的依據
。
第三十六條 企業應當根據內部控制目標,結合風險應對策略,綜合運用控制措施,對各種業務和事項實施有效控制。
第三十七條 企業應當建立重大風險預警機制和突發事件應急處理機制,明確風險預警標準,對可能發生的重大風險或突發時間,制定應急預案、明確責任人員、規範處置程式,確保突發事件得到及時妥善處理。
第五章信息與溝通
第三十八條 企業應當建立信息與溝通制度,明確內部控制相關信息的收集、處理和傳遞程式,確保信息及時溝通,促進內部控制有效運行。
第三十九條 企業應當對收集的各種內部信息和外部信息進行合理篩選、核對、整合,提高信息的有用性。
企業可以通過財務會計資料、經營管理資料、調研報告、專項信息、內部刊物、辦公網路等渠道,獲取內部信息。
企業可以通過行業協會組織、社會中介機構、業務往來單位、市場調查、來信來訪、網路媒體以及有關監管部門等渠道,獲取外部信息。
第四十條 企業應當將內部控制相關信息在企業內部各管理級次、責任單位、業務環節之間,以及企業與外部投資者、債券人、客戶、供應商、中介機構和監管部門等有關方面之間進行溝通和反饋。信息溝通過程中發現的問題,應當及時報告並加以解決。
重要信息應當及時傳遞給董事會、監事會、經理層。