根據《企業內部控制規範體系實施中相關問題——解釋第2號》的說明,小型企業通常是指具有業務比較單壹、所有權和管理權集中、管理層級較少、部門設置簡單等特征的企業。小型企業根據基本規範及配套指引實施內部控制時,在保證有效性的基礎上,可結合企業特點進行適當調整。
跟據企業所面臨的主要風險和相關控制的效果,適當簡化內部控制體系建設,靈活設計、選擇控制流程和控制活動,達到有效控制風險和防範舞弊的目的。
對於電算化系統,參照《企業內部控制應用指引第18號——信息系統》的要求,關註以下風險:
內部控制信息系統不能相互銜接,或者重復構建,影響系統效率和效果,以及構建成本的風險。
內部控制信息系統存在授權管理風險,例如未經授權接觸關鍵設備。
內部控制信息系統存在安全風險和運行維護風險,做好備份和意外情況處置。
內部控制信息系統存在不相容職務的賬號管理風險,避免交叉操作和授權不當。
內部控制信息系統存在良好的物理環境,避免設備受損風險。
壹般中小企業基於成本在系統設計方面使用通用軟件較多,相應設計風險較小。