經營目標下民營企業內部控制研究

蔣宗良

近年來，我國在法律法規層面對內部控制給予了一定程度的重視，財政部先后頒布了一系列內部會計控制制度。2008年5月22日，財政部等五部委聯合下發了《企業內部控制基本規范》，要求在2009年7月1日起執行。綜觀我國目前與內部控制有關的法規可發現：指導性意見較多，強制性要求較少；原則性意見較多，具體性規定較少；會計或監督控制較多，經營和管理控制較少；適應國有企業或上市公司的規定較多，涉及民營企業的規定較少。由于民營企業自身的經營特點和管理要求，使得內部控制在這些企業的直接應用有一定困難。

一、內部控制的根本目標是經營目標

對內部控制的關注最初源自企業自身對規范化管理和股東掌握企業運營的準確信息的需要，我國當前關于內部控制的定義以《企業內部控制基本規范》最具代表性，內部控制是由企業董事會、監事會、經理層和全體員工實施的、旨在實現控制目標的過程。內部控制的目標是合理保證企業經營管理合法合規、資產安全、財務報告及相關信息真實完整，提高經營效率和效果、促進企業實現發展戰略。該定義可以看作是我國吸收COSO委員會1994年和2004年報告的研究成果的集中體現，并結合了我國當前的實際，對我國企業內部控制的建立和實施將發揮重大作用。

二、民營企業內部控制的現狀和原因分析

1.內部環境有待改善

內部環境是指影響企業實現其經營目標的各種因素的統稱。任何企業的內部控制都存在于一定的內部環境之中，控制環境體現了經營管理者對內部控制的態度、認識和措施。首先，民營企業的經營管理者往往擁有自己成功的經驗，他們對內部控制在管理上的作用認識不足，甚至排斥內部控制的實施。其次，民營企業大多所有權與經營權相統一，往往由一人或少數人控制，管理水平不高。管理觀念陳舊，相信血緣關系，任人唯親；管理方式過度集權，容易傷害員工的積極性；決策和經營管理的主觀隨意性較差，缺乏管理的制度化、規范化和程序化。再次，企業的組織結構混亂，權責分配不清。民營企業大多采用集權制，往往董事長、總經理一人兼任，董事會形同虛設，財務與審計部門隨意設置，影響各項規章制度和經營決策的執行。最后，員工能力不夠，人力資源政策隨意性太強。內部控制由人來進行并受人的因素影響，保證單位擁有一支講誠信、高能力的員工隊伍非常關鍵。

2.風險管理比較欠缺

風險管理是指識別風險并審計控制風險的方法，其核心是將沒有預計到的未來事項的不利影響控制在最低程度。由于近年來企業競爭日益激烈，市場越來越不穩定，企業會隨時面對各種不同的挑戰或風險，進行風險管理已成為關系企業生存和發展的一項重要工作。民營企業經營范圍較小，融資能力較差，抗風險能力難以和國有企業相比，進行風險管理更是勢在必行。但實務中民營企業的風險管理尚不多見，主要原因有三：一是經營管理者很難對這種不能直接產生回報的投入產生興趣；二是企業員工素質的限制使得風險管理難以真正實施；三是經營管理者在企業中說一不二的地位使風險管理成為一句空話。

3.內部控制體系尚不健全

內部控制是一套完整的控制體系，《企業內部控制基本規范》中包括內部環境、風險評估、控制活動、信息與溝通、內部監督五要素。但我國民營企業在進行內部控制的設計時缺乏對內部控制整體的關注。首先，忽略內部環境建設，造成內部控制不能落實，制度條文形同虛設；其次，對風險評估考慮不足，企業設計的控制活動與企業經營目標和戰略目標難以協調甚至相背離，控制活動不能實現預計的控制目標；最后，民營企業內部控制很少通盤考慮，全面控制，經常是控制政策和程序一經制定，就很少再對其實施的保證、評價的方法、改進的措施進行系統配置，使得企業內部控制實施效果不佳。

內部控制的有效性依賴于有效的信息系統、溝通與監督。財務會計核算不規范、管理會計人才的缺乏使得民營企業的會計信息系統出現了重資金、輕管理；重核算、輕應用等現象。上述現象進一步導致溝通不暢，有效信息不能或難以有效提供給適當的人員。監督包括內部監督和外部監督。關于內部監督，民營企業多任用親信擔任要職，這種人事安排使得經營者難以監督；有些經營者本著“疑人不用，用人不疑”的理念用人，疏于監督；資金不足、人才缺乏等原因也會使得民營企業監督的條件不成熟；最后，獎懲不及時使得監督成果付諸東流。關于外部監督，我國已形成了包括國家監督和社會監督在內的企業外部監督體系，這一體系對國有企業和上市公司的監管非常到位。但監督體系中的工作人員對民營企業的重視程度不夠，監督效果不盡如人意。

4.內部控制的設計與執行存在偏差

關于控制活動，在企業中首先體現出來便是規章制度的建立。據有關方面統計，我國約有10%的民營企業沒有任何文字章程；有的企業即使有書面的章程和制度，也都是一些照搬、照抄的文字，既不適合企業自身的狀況，也未能隨著經營條件和管理要求的變化而改變。總體而言，很多民營企業的內部控制制度銜接較差，不夠系統，有些制度之間存在沖突，可操作性不強。

內部控制在企業中更重要的體現是規章制度的執行，內部控制執行不力的主要表現就是會計工作秩序混亂，越權管理增多，職責分配不清，實物資產損失嚴重、企業經營策略頻繁變動等。內部控制設計失當、可操作性差是內部控制執行不力的重要原因；經營者“唯我例外”的管理思想、信息溝通不暢、監督不到位、獎懲不及時等是內控制執行不力的另一原因。

三、以經營目標為基礎，建立、健全民營企業內部控制

1.改善企業內部環境，有效促進內部控制實施

良好的內部環境是企業內部控制實施的有力保證。根據《企業內部控制基本規范》的規定，內部環境應該包括有效的公司治理結構、組織結構和權責分派、內部審計、人力資源政策、企業文化建設等方面。對于民營企業而言，公司治理結構比較簡單，關鍵問題是如何限制企業主要所有者在經營權的絕對權力，否則，所有者的任何一次隨意決策，都可能導致企業的滅頂之災；組織結構和責任分派并沒有統一的模式，不管是集權式還是分權式，都應該做到權責統一和不相容職務的分離；內部審計既是內部環境的一部分，也是監督的主要內容，民營企業設立內部審計機構如果不現實，可以考慮定期聘請專家對內部控制的有效性進行鑒證；民營企業應該加強人力資源管理，在招聘、指導、培訓、評價、咨詢、提升、薪酬等方面制定適合自身規模的政策，適當控制任人唯親的現象；企業文化包括積極向上的價值觀和社會責任感、誠實守信、愛崗敬業等方面，民營企業的業主及主要管理者應該起到帶頭和示范作用。

2.加強風險管理，提高內部控制效果

按照COSO的觀點，內部控制是企業風險管理的一個組成部分。但是企業沒有理由在內部控制之外進行風險管理，從系統論的角度來說，內部控制只有與風險管理進行嵌合，對企業的管理才是最有益的，民營企業在內部控制過程中加強風險管理顯得尤為重要。風險的存在是與目標相關聯的，因此，風險管理的起點是目標設定；設定了企業各個層次的目標后確認影響目標實現的所有事件（風險）；然后對識別的風險確定關注重點和優先控制的風險；最后根據風險分析的結果，結合風險承受度，權衡風險與收益，確定風險應對策略。內部控制便是對經過評估的風險采取一定的控制政策和程序防范、識別和降低。因此，民營企業要提高內部控制效果，必須加強風險管理，以使所有影響企業戰略目標實現的重大風險得到控制。

3.正確把握內部控制五要素的關系，建立完善的控制體系

內部控制受內部環境、風險評估、控制活動、信息與溝通和內部監督五要素影響，雖然其重心是控制活動，但如果沒有其他要素的支持，控制活動的所有努力都會落空。內部環境是企業實施內部控制的前提，重要性不言而喻。風險評估是制訂內部控制的先決條件，每個企業的情況各不相同，制訂一套適合于自己且行之有效的控制制度，須在設定各種目標之后，識別實現目標的風險并采取控制措施，從而使內部控制更有的放矢。信息與溝通是內部控制得以落實的工具。內部監督是內部控制實施的保障，內部審計是實施有效監督的重要手段。考慮成本和自身內部審計人才的限制，民營企業實施內部審計可以采取聘請兼職內部審計人員或內部審計外包的方式進行。控制活動是內部控制實施的核心。控制活動要與自身的生產經營特點、企業規模和經營環境相聯系，考慮到一般民營企業所有者往往是經營者，可以由其擔任一項或多項職務以減少不相容職務所要求的人員數量。民營企業的內部控制建設是一個系統工程，不能單純的就控制論控制，應對所有五個控制要素進行系統設計，才能收到良好的控制效果。

4.有效實施各項控制方法，明確內部控制設計與執行的關系

曾經叱詫風云的民營企業托普軟件，在托普十年周慶時出版的《托普典章》（2002）中關于內部控制的內容全面廣泛，形式完美。然而，在2004年爆出近40億的資金黑洞以后，公司股票于2007年5月21日起退市。托普軟件從天堂到地獄的軌跡說明內部控制制度的執行比設計更重要，設計的目的是為了更好的執行。民營企業在設計內部控制時，要注意兩點，一是對重大風險的管理比細節控制更重要。民營企業只有在設計內部控制時充分關注潛在的各種風險并進行適當的防范與控制，才不會迷失在一些無關痛癢的環節上，才能將有限的人力物力實現最有效的控制。二是企業在內部控制設計時要注意結合自身的經營特點和管理要求，避免照搬照抄其他規章制度而使得內部控制在本企業不能執行。

總之，重視民營企業內部控制工作，通過先進的控制理念和有效的實施，規范企業經營中存在的各項問題，有利于民營企業在激烈的市場競爭中脫穎而出，使其健康、穩步、快速的發展，為社會做出更大的貢獻。