我國中小企業關于企業內部控制的缺陷及改善

寧明麗 王金榮

［摘要］ 在現階段，我國企業的內部環境一般包括治理結構、機構設置及權責分配、內部審核、人力資源政策、企業文化等，目前還不完善，內部控制體系也還不健全。市場經濟的發展促進了國內外新舊企業文化的融合與進步，使我國企業既面臨著發展的機遇，同時也面臨著新的管理機制上的挑戰。基于此背景下，本文借鑒了COSO關于內部環境和內部控制的主導框架及精神，從風險管理的角度，將內部環境與內部控制結合起來進行系統研究。通過對新舊企業內部控制基本規范的內容和作用的細致對比，來分析國內企業內部環境和內部控制的現狀及存在的問題，并緊密結合我國中小企業實際情況，探討性地提出如何改善我國中小企業內部控制的幾點設想和思路。

［關鍵詞］ 內部控制；風險管理；缺陷；改善

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 18. 021

［中圖分類號］F239.45［文獻標識碼］A［文章編號］1673 - 0194（2012）18- 0037- 03

1新舊企業內部控制基本規范的比較

２００８年財政部、證監會、審計署、銀監會和保監會聯合發布了《企業內部控制基本規范》（以下簡稱“新基本規范”）。這是繼２０００年財政部發布的《內部會計控制規范——基本規范（試行）》（以下簡稱“舊基本規范”）以來，我國在會計、審計領域的又一重大變革。新基本規范為上市公司加強內部控制建設提供了基礎性和權威性的借鑒，必將有利于提高上市公司經營管理水平和風險防范能力，促進資本市場持續健康發展。同時也為我國中小企業長久持續發展指明了方向，加強企業內部管理是企業長盛不衰的法寶，中小企業在條件具備的情況下應嚴格管理，完善內部控制。

1.1 企業內部控制定位及所體現的理念

舊基本規范涉及的內部控制是指內部會計控制，在具體范圍上，主要涵蓋的是內部會計控制，同時也兼顧與會計相關的控制。對內部控制中的大部分管理控制因其與會計不相關而被排除在舊基本規范之外。舊基本規范的框架結構也是圍繞內部會計控制應遵循的目標、原則、內容、方法、監督、檢查等邏輯思路來構建的。因此，傳統的“內部控制制度二分法”（將內部控制劃分為內部會計控制和內部管理控制）思想主導了舊基本規范對內部控制的定位和規范。

新基本規范雖然以財務報告內部控制為核心，以內部控制機制為規范重點，但是定位卻是企業的全面內部控制。新基本規范還借鑒了ＣＯＳＯ（Ｔｈｅ Ｃｏｍｍｉｔｔｅｅ ｏｆ Ｓｐｏｎｓｏｒｉｎｇ Ｏｒｇａｎｉｚａｔｉｏｎｓ）的框架，根據我國的具體國情進行了較大的調整和改革。尤其是對全面風險管理理念的關注，幾乎體現在新基本規范的所有方面。

1.2 企業內部控制規范的力度

在制定主體上，舊基本規范是由財政部制定發布的，而新基本規范是由財政部會同證監會、審計署、銀監會和保監會聯合制定并發布的，新基本規范更具代表性和權威性，更有利于其有效的實施。在適用范圍上，舊基本規范適用于我國境內所有的國家機關、社會團體、公司、事業單位和其他經濟組織，而新基本規范則適用于中國境內設立的大中型企業，小企業和其他單位也可以參照新基本規范建立并實施內部控制。新基本規范在上市公司范圍內施行的同時，明確鼓勵非上市的大中型企業參照執行。

新基本規范要求上市公司對內部控制的有效性進行自我評價，披露年度自我評價報告，并可聘用具有證券、期貨業務資格的會計師事務所對內部控制的有效性進行審計。

此外，為了確保外部審計等監督措施能夠得以順利實施，新基本規范指出“企業應當以書面或者其他適當的形式，妥善保存內部控制建立與實施過程中的相關記錄或者資料，確保內部控制建立與實施過程的可驗證性”。

而舊基本規范除了規定各單位應當根據國家有關法律法規和規范本身，結合部門或系統的內部會計控制規定，建立適合本單位業務特點和管理要求的內部會計控制制度并組織實施，除此之外，沒有特別要求單位本身對內部控制的有效性進行自我評價并出具內部控制的自我評價報告。

2中外企業內部控制基本規范的比較

ＣＯＳＯ的《企業風險管理——整合框架》繼承了ＣＯＳＯ于１９９２年發布的《內部控制——整合框架》的五要素框架，并在此基礎上將其發展成為八要素框架，與《企業內部控制基本規范》一樣，都涵蓋了五要素框架，即內部環境、風險評估、控制活動、信息與溝通以及內部監督（《企業風險管理——整合框架》稱之為“監控”）。

2.1 形式差異

在借鑒國外的內部控制框架的同時，新的《企業內部控制基本規范》也有自己的創新，它根據我國的實際情況，在五要素的基礎上做出了較大的調整，這樣在內容上得到更大的充實，在表達形式上也就更符合我國法規特點、文化傳統和語言習慣，使得國外提出的較為宏觀、抽象的內部控制理念轉變為了具有針對性、實用性的內部控制規定。這樣一來，兩個文件在控制活動、信息與溝通和內部監督方面的規定就基本相同了。

2.2 本質差異

《企業風險管理——整合框架》與《企業內部控制基本規范》在要素內容上存在差異是不爭的事實，但僅僅強調在此方面的不同，就會忽略兩者之間的本質差異。《企業內部控制基本規范》只是借鑒了《企業風險管理——整合框架》的外形，只是做到了“形似”而非“神似”。貫穿于企業內部控制的風險管理理念、風險容量的應用及高層管理當局誠信和道德價值觀所營造的企業文化氛圍也是不同的。

3我國中小企業內部控制的主要缺陷

隨著市場經濟的發展，國內外企業的交流會越來越多、越來越深入。國內外企業間的交流有關企業文化的討論也會越來越多、越來越深入，內部控制的思想也必然會得到推崇。我國企業已普遍認同并重視內部控制，并將其作為企業發展中的重大問題來考慮。但受文化習慣、思維模式、基礎條件、管理模式與管理規范程度、企業規模等因素的限制，企業的內部控制仍然存在不少的問題。

3.1 部門分割，政出多門

內部控制是對業務全過程和全員的風險控制。一方面，風險的識別和評估必須得到各部門全過程的參與；另一方面，內部控制作用的主體也是業務所涉及的各個部門和人員。因此，內部控制設計與實施的整體性決定了內部控制的效率和效果。我國企業的組織結構沿用了資源特性和屬性進行橫向分割設計，加上中小企業管理不規范等原因，不可避免地形成了部門割據、利益紛爭的特征。各部門對內部控制的理解、執行都無不打上部門利益的烙印。

3.2 整體性不足，高度不夠

由于我國中小企業存在規模相對小、管理不規范、管理人員缺乏管理意識、管理方法粗糙、企業組織結構不合理、用于企業管理的資金短缺等現象，使得中小企業很少實行內部控制，即使實行內部控制也普遍缺乏整體性，主要表現在內部控制的制訂、主體內容和方式都帶有部門色彩。目前，實行內部控制的企業，其內部控制主要由內部控制審計部門、風險管理部門或財務部門來主導。內部審計部門的職責主要在于業務及風險的核查監督，內部審計部門主導內部控制帶有事后批評和核查的色彩，缺乏事前和事中控制，從而背離了全面內部控制的初衷。財務部門主導的內部控制偏重于財務效果和運營效果風險，而對于業務過程本身的業務屬性關注不夠，使得內部控制體系給業務帶來影響和沖突，甚至最終導致與營運效果相背離。風險管理部門的職責在于全面監控企業的總體風險，并對重點業務和環節進行風險監控。由風險管理部門主導的內部控制對于總體業務風險能夠從體系上把握，但對于業務關鍵點和控制點的認識卻不及其他具體業務部門明晰，其內部控制的現實性、可操作性都受到很大挑戰。

3.3 流于形式，疏于執行

由于我國中小企業管理人員的管理能力與文化修養的欠缺，使許多企業對于內部控制的理解是片面的，認為內部控制就是制訂各種各樣的制度和手冊，企業追求形式的動力遠遠大于內部控制實施的需求，不愿意實質性地改變企業管理和運營的模式、過程和方法。更加可怕的是，一旦只有內部控制的外衣而不施內部控制之實，更會加大失控的潛在威脅。

4關于改善企業內部控制的幾點啟示

國外全面而苛刻的內部控制，因為其不切實際的大而全、強制要求花費巨大已為企業界所詬病。我國市場環境尚不健全，加之不同所有制的企業運營模式不同，價值取向迥異，企業控制方式和方法也不盡相同。不同行業的企業、同一行業不同階段的企業、同一行業同一階段不同規模的企業面臨的運營風險、人員風險都不相同，這些不同注定了企業內部控制的模式、方法和機制的差異。針對我國中小企業的現狀，我們大致可以得到如下的啟示。

4.1 完善公司的治理結構

完善的公司治理結構是有效內部控制與風險管理的基礎。《企業風險管理——整合框架》中明確指出，企業風險管理是一個過程，受企業組織的董事會、管理層和其他人員的影響并應用于戰略制定及各方面，旨在識別影響企業組織的重大潛在事件，并將企業組織的風險控制在可接受的程度內，從而為企業組織目標的實現提供合理的保證。因此，企業應當健全不同主體的公司治理框架，明確不同人員內部控制與風險防范的權限和職責。這樣在加強內部控制的同時，也加強了風險管理，可以使中小企業在發展中少走彎路。

4.2 制定清晰的管理制度

中小企業在發展中往往管理比較混亂，加上市場經濟的殘酷性，使企業的發展中荊棘重重。企業應制定清晰可行的內部控制和風險管理制度。因為這樣的制度既可以保證企業在日常經營活動中不偏離企業目標，又可以防止在發生重大損失后管理人員以不知情、未經其批準為由相互推諉責任。企業應以內部控制環境為基礎，以全面風險為對象，以戰略控制為重點，以戰術控制為落腳點，制定清晰可行的內部控制和風險管理制度。

4.3 提高企業風險管理水平

加強風險管理基礎工作以提高企業風險管理水平。有條件的企業應建立專門、獨立的風險評估和計量機構，負責評價企業各種投資收益或損失額度、積聚的風險情況以及企業制定的業務投資目標實現情況等；應建立風險管理基本流程，包括收集風險管理初始信息，進行風險評估，制定風險管理策略，提出和實現風險管理解決方案，風險管理的監督與改進等；應注重建立具有風險意識的企業文化，促進企業風險管理的水平、員工風險管理素質、管理人員管理意識與水平的提升，確保中小企業風險管理目標的實現，規避風險才能使企業長足發展。

4.4 重視與外部監管之間的互動關系

中小企業之所以在發展中履步維艱，是許多因素形成的。企業在開展各種業務活動過程中，要重視內部控制、風險管理與外部監管之間的互動關系。高效的監管可以保證企業的交易活動在公平的環境中進行，防止操縱、欺詐行為，減少內幕交易和舞弊行為，使違紀違法行為得到及時制止和公平處理，使中小企業在公平的平臺上參與競爭。而企業內部控制、風險管理與外部監管之間有著十分密切的關系。一方面，健全的內部控制和有效的風險管理是外部監管的基礎。如果內部控制存在缺陷、風險管理失效，再完善的外部監管體制也無法發揮作用；另一方面，外部高效的監管可以減少由于內部控制缺陷、風險管理失效給企業帶來的損失。

4.5 確立制度的安排

內部控制是企業各階層的利益均衡，在逐漸成熟的市場機制中，在企業發展壯大逐步實現所有權和經營權相分離的前提下，內部控制必需由企業管理層在高度壓力、動力的前提下得以展開和實施。內部控制只有作為企業的一項制度，而不是一個運動，才能持續、有效地達到控制的效果。這就是說，要做到法人治理和內部控制的結合。

簡單來說，企業可以設立審計委員會，明確審計委員會對總經理的控制、監督和激勵。

4.6 強化制度的執行

我國中小企業在發展中往往并不缺少制度和政策，缺少的是綜合觀念下的風險辨識和風險規范制度的實施，缺少的是讓制度得以執行的具體方法。流程管理實質就是按照業務發展和運行邏輯關系進行工序安排，以保證產品和操作過程的規范性和可復制性，從而提高效率。中小企業內部控制制度設計需要借鑒和運用流程設計原理，進行業務運行邏輯關系的梳理；同時，按照資源的稀缺程度和資源數量要求分析出業務流程的關鍵點，根據企業經驗和實踐，找出關鍵點中財務影響最突出、錯弊頻率最高的業務點即風險點作為控制點。針對各種錯弊和失誤，在此控制點中制訂出相應的措施和方法，以減少其發生的概率和損失。這樣，在業務實施的過程中自覺將業務風險加以控制和防范，使內部控制的思想和各種要求都在中小企業各項業務和管理過程中得以實現，從而實現中小企業健康穩定發展。

主要參考文獻

［１］張賓弛.構建企業內部有效控制環境之我見［Ｊ］.云夢學刊，２０１０（３）.

［2］王敏，夏勇.內部控制質量與權益資本成本關系研究述評與展望［Ｊ］.經濟與管理研究，２０１１（５）.

［3］劉霞.我國上市公司內部控制審計的現狀剖析［Ｊ］.西南石油大學學報：社會科學版，2011（5）.

［4］章鐵生，林鐘高，秦娜.提高內部控制有效性能否抑制財務舞弊的發生［Ｊ］.南京審計學院學報，２０１１（４）.

［5］孫剛.淺議企業文化對企業內部控制有效性的影響 ［Ｊ］.價值工程，２０１１（２１）.

［６］伍唯佳.健全民營企業內部控制制度措施淺析［Ｊ］．價值工程，２０１０（９）．

［7］［美］史蒂文· Ｊ ·魯特.超越ＣＯＳＯ［Ｍ］.劉宵倫，譯.北京：中信出版社，２００８.