我國民營企業內部控制現狀及其建設框架研究

【摘 要】 我國民營企業在當前國內外經濟環境下面臨著諸多風險和挑戰，必須建立健全內部控制體系。民營企業應當明確目標，遵循原則，采用正確的方法和程序，根據內部控制框架改進和完善內部控制體系。

【關鍵詞】 民營企業； 內部控制； 風險； 框架

一、我國民營企業內部控制現狀分析

（一）我國民營企業的特征

我國民營企業經過改革開放以來30多年的發展，取得了長足的進步，在經營和管理方面形成了自己的諸多特點，具備了COSO所提出的“較小型”企業的特征：

（1）業務線較少，每個業務線的產品也較少，從而業務流程相對大型企業沒有那么復雜；（2）營銷渠道和地域集中，產品市場相對集中，少數面向國際市場，多數主要面向國內市場，甚至主要面向國內部分省市和地區；（3）所有權和管理權集中，由擁有較多所有者利益或權力的管理層領導，所有權和經營權存在高度的一致性，委托代理成本相對較低；（4）管理層級較少，控制幅度較寬，管理層需要耗費較多的時間和精力來處理企業日常經營業務活動；（5）交易處理系統不太復雜，大部分為人工交易處理或初級的計算機信息處理，少部分企業開始采用ERP等信息與交易處理系統；（6）人員較少，很多人員的職責范圍較寬，往往同時承擔多項職責，有些職責也可能是傳統意義上的不相容職責；（7）由于人員較少，部門設置簡單，維持較深的資源線以及支持性員工職位（比如法律、人力資源、會計和內部審計）的能力有限。

我國民營企業的這些特點也使得其面臨的風險、經營管理流程以及相應的風險管理與內部控制有著不同于大型國有企業的特點。

（二）我國民營企業面臨的主要風險

根據COSO企業風險管理的理念，在既定使命的背景下，管理層應制定戰略目標，選擇戰略，并制定貫穿于企業之中的、與戰略相協調和相關聯的其他目標。內部控制與風險管理是為企業目標服務的，因此，從企業目標的角度，我國民營企業面臨的主要風險可以分為戰略風險、經營風險、報告風險和合規風險四個方面。

1.戰略風險

我國民營企業面臨的戰略風險主要來源于兩個方面。從企業方面來看，一些民營企業使命或愿景不明確，從而缺乏清晰的戰略目標和實施戰略，只是一味地追求短期利益，小富即安，使得企業難以做大做強；一些民營企業缺乏風險意識，盲目擴張，沒有科學的戰略決策過程，沒有設定明確的風險容量和風險容限，導致無法承受實際的風險；更有一些民營企業投機意識太強，利用國家政策和法律法規的不足和漏洞，從事一些違規或“擦邊球”業務，一旦政策和法律環境發生變化，就面臨著巨大的政策和法律風險。從宏觀方面來看，國際金融危機余波未了，人民幣不斷升值，歐債危機，歐美主要國家經濟復蘇乏力，國際市場需求萎縮，對我國許多主要從事出口業務的民營企業造成了非常大的影響。無論是民營企業自身戰略管理的不足，還是國內外的政治、經濟環境，都對我國民營企業的戰略發展造成了非常大的不確定性，使其面臨較大的戰略風險，同過去幾十年較為寬松的國內外環境相比，不可同日而語。

2.經營風險

我國民營企業的經營風險主要源于管理的不規范、不精細。一些民營企業規模較小，發展時間較短，缺乏職業的經營者，尚處在大力拓展市場、擴大規模的階段，經營者的精力主要放在提高產量和銷量、擴大市場份額上面，無力進行精細化的管理和控制，使得風險慢慢積累，越來越大。一些民營企業發展到一定規模和階段之后，鑒于經營者個人能力的原因，無力或不愿將其規范化、科學化和制度化，繼續停留在人治、經驗和習慣的階段，不能建立和實施科學的管理和控制。民營企業先天的特性往往會導致缺乏組織上的準備，不能有計劃地在關鍵崗位培養擬授權的對象；經營者過于自信，認為“只有我才能干好”，對下級缺乏信任感；業務發展，規模擴大，管理難度增加，但經營者的能力卻沒有增加，所有者無法承擔較大企業的管理責任；不授權別人分擔責任，也不注意建立一個管理團隊；沒有采用有效的領導和管理方式，工作不論輕重，都要親自動手，當企業發展到一定規模之后，受能力和精力所限，無法達到原有的管理水平，企業管理出現松懈，最終由興旺轉為衰落。

3.報告風險

由于管理的粗放、不規范的業務處理和信息流程、經營者的個人意志，民營企業的報告往往存在較大的錯報，有些民營企業甚至是兩套賬或多套賬，會計人員素質不高，財務制度不健全，會計處理不符合會計準則的要求。這樣，不但外部利益相關者無法獲知企業真實的財務和經營狀況，而且，所有者和經營者由于對規范的會計處理重視不夠，無法進行系統的財務分析，無法及時發現面臨的風險和存在的問題并予以糾正。不真實、不規范的報告損害了企業內部控制和風險管理的基礎，使得企業無法進行有效的管理。

4.合規風險

由于先天條件的不足，當前大多數民營企業普遍存在的產權不清、民間融資、家族制經營、繼承糾紛、企業并購、企業知識產權糾紛、企業人力資源管理、企業合同管理及企業應收賬款等重大問題，這些都導致我國民營企業面臨諸多合規風險，如投融資法律風險、合同風險、侵權風險、公司法風險、勞動人事管理風險等。此外，國家不斷制定和頒布新的法律法規以及對現有法律法規的調整，也使民營企業面臨較大的合規風險。

（三）我國民營企業內部控制建設面臨的挑戰

我國民營企業所面臨風險的現實使得民營企業建立健全內部控制與風險管理體系非常必要，但我國民營企業的現狀又使得民營企業在建立健全內部控制與風險管理體系的過程中面臨諸多挑戰。

1.難以實現充分的職責分離

民營企業的規模較小，加之民營企業家節省人力成本的考慮，員工相對較少，往往一個人承擔多項職責，一般意義上的職責分離難以充分實現。因此，民營企業必須獲取充分的資源，通過適當的手段和方法來實現適當的職責分離。

2.管理層對控制的逾越

民營企業的管理者往往也是所有者，其主導著企業的經營管理，通常具有絕對的權威性，這種主導作用以及權威性使得管理層凌駕于各種控制制度之上，預先設計良好的內部控制可能對管理層不起任何作用。

3.董事會和審計委員會專業性不夠

盡管民營企業的所有者和經營者通常具有超人的戰略眼光和魄力，但習慣于家族化、人治，專業性不夠，不習慣規范的現代管理。董事會、審計委員會等決策和管理機構的人員專業素質不夠，對財務、法律不夠熟悉，影響決策的科學性和正確性，必須聘用具有必要財務報告和其他專門知識的人，以有效地服務于董事會和審計委員會。

4.財務、會計人員素質不高

由于民營企業的待遇總體偏低，加之企業的管理者對會計工作重視不夠，財務、會計人員的素質通常不高，會計、財務報告經驗和技能不足，無法確保按照會計準則進行恰當的會計處理和生成財務報告，必須聘用和保持具有充分會計和財務報告經驗和技能的人員。

5.對會計和財務報告的關注不夠

由于大多數民營企業還處在擴大規模、提高市場份額的發展階段，管理層把主要精力都放到了銷售、生產、采購和融資方面，對會計和財務工作的重要性認識不足，沒有予以充分的關注，不但導致了財務、會計工作的質量不高，也導致了企業的各項決策缺乏可靠、及時的信息，應當將管理層關注的重點從有效開展經營互動轉向充分關注會計和財務報告。

6.對計算機信息系統的控制不夠

盡管很多民營企業也大量采用了財務軟件、ERP等計算機信息系統，但由于專業人員缺乏、軟件開發缺乏統一規劃以及軟件質量等問題，不但缺乏對信息系統的有效整合，而且計算機信息系統的一般控制和應用控制相當薄弱，生成的數據甚至相互矛盾，不但沒有提高信息的及時性，也不能為企業的管理提供有效的支持。民營企業必須利用有限的技術資源來保持對計算機信息系統的適當控制。

二、我國民營企業內部控制建設的框架

與一般大型國有企業相比，我國民營經濟和民營企業的現狀以及面臨的風險和挑戰使得民營企業內部控制的建設在建設原則、建設目標和內部控制框架方面存在著一定的差異。

（一）我國民營企業內部控制建設的原則

內部控制建設的原則是內部控制建設中處理各種問題的準則，是內部控制建設的基本指導思想。根據《企業內部控制基本規范》，結合我國民營企業的現狀，提出民營企業內部控制建設的基本原則：

1.目標導向原則

內部控制建設不能僅僅是為了應付外部監管要求，民營企業內部控制的建設必須基于自身的實際需要，提出足夠明晰的目標，使之能夠識別和評估目標的相關風險。從企業整體層面的使命或愿景開始，到戰略目標、戰略，到經營、報告、合規等相關目標，進一步細化到更加具體的目標，這些目標要滿足相關、可衡量、可實現、可理解等基本要求，使之成為風險識別的依據和控制的標準。

2.風險基礎原則

每一個企業的內部控制都是不一樣的，并不存在“放之四海而皆準”的通用內部控制制度。民營企業內部控制的設計和運行必須基于企業特定目標的特定風險，而這些特定目標的特定風險對不同企業來說通常是不同的，無論企業層面的控制，還是業務流程層面的控制，都必須針對這些特定的風險來設計和實施。

3.自上而下原則

鑒于民營企業股權集中、家族管理的特點，民營企業內部控制的設計和運行必須針對企業的風險從企業層面的控制開始，然后到業務流程層面的控制。只有企業層面的控制有效，業務流程層面的控制才會有效，企業整體的內部控制才會有效；如果只是單純地追求業務層面控制的健全，而不能完善和改進企業層面的控制，企業整體的內部控制只會流于形式，很難有效。因此，我國民營企業內部控制的建設不但要關注業務流程層面內部控制的建設，更要重點關注公司治理、董事會的監督、人力資源政策、企業文化與職業道德等內部環境因素的建設。

4.風險適度原則

內部控制不是萬能的，并不能把所有的風險都降低到企業可以接受的程度。民營企業內部控制建設中，無論是戰略風險，還是經營風險、報告風險和合規風險，都應當嚴格遵守風險適度的原則。如果風險不可控或者無法把風險降低到可以接受的水平，則應當采取風險規避的策略，放棄相應的戰略和經營行為，確保企業實際承受的風險與企業的風險容量相一致。

（二）我國民營企業內部控制建設的目標

從民營企業內部控制的目標來看，可以分為戰略目標、經營目標、報告目標和合規目標；從民營企業面臨的風險來看，可以分為戰略風險、經營風險、報告風險和合規風險，所以，我國民營企業內部控制建設的目標就應當圍繞這些目標和風險，構建有效的戰略風險管理體系、經營風險管理體系、報告風險管理體系和合規風險管理體系（如圖1）。

戰略風險管理體系主要針對民營企業戰略決策程序不規范、不科學、實際戰略風險超出風險容量等突出問題；經營風險管理體系主要針對民營企業采購、生產、銷售、研發、投資、融資等業務流程缺乏規范、健全的制度和程序等突出問題；報告風險管理體系主要針對民營企業對內、對外財務和非財務報告流程不規范、信息可靠性不夠等突出問題；合規風險管理體系主要針對民營企業生產經營過程中存在部分違規違法行為等突出問題。四個風險管理體系相互融合、相互倚重，又各有側重，構成完整的內部控制系統。

（三）我國民營企業內部控制的框架體系

COSO發布的《內部控制——整合框架》和我國財政部頒布的《企業內部控制基本規范》都提出了企業內部控制的框架，一個完整的內部控制體系通常包括內部環境、風險評估、控制活動、信息與溝通、內部監督五個構成要素。COSO于2004年發布的《企業風險管理——整合框架》提出的企業風險管理框架包括內部環境、目標設定、事項識別、風險評估、風險應對、控制活動、信息與溝通、內部監督八個構成要素。從理論上來看，這些框架或規范都是我國民營企業進行內部控制建設可以參考和借鑒的框架和標準，但鑒于我國民營企業的多樣性和特殊性，更應當參考在此基礎上提出的內部控制的原則和屬性，這些原則和屬性并不是實際可選的控制活動和制度，而是對內部控制各要素提出的必須達到的要求，可以用于評價和判斷企業的內部控制是否滿足要求以及尋求改進和完善的方向（如圖2）。

三、促進我國民營企業內部控制建設的方法和程序

民營企業建設內部控制要擺脫對外部事務所和咨詢機構的依賴，以自我為主，采用正確的方法和程序，既可以培養內部控制人才，又可以建立適合企業的有效內部控制。

民營企業建設內部控制，第一步，建立并維持系統、清晰、恰當的目標體系。這個目標體系包括企業使命、愿景、企業戰略目標、企業戰略、經營、報告和合規等相關目標，戰略與經營、報告、合規等相關目標要協調一致。在此基礎上要對這些目標進一步細分，相關目標要足夠明晰，以利于相關風險的識別、評估和標準。從內部控制設計的角度來講，這需要建立一個有效的目標設定機制，主要包括目標設定職能的分配和目標設定程序的設計，目標設定機制要確保從戰略到經營、報告、合規等目標體系的恰當性和合理性。

第二步，結合相關目標識別和評估風險。戰略風險的識別與評估要結合行業內外部環境和企業的戰略目標及戰略進行；經營目標風險的識別與評估要在戰略風險的基礎上結合業務流程進行；報告目標風險的識別與評估要結合業務流程和報告流程進行；合規風險的識別與評估要結合企業的業務活動和法律環境進行。從內部控制設計的角度來講，這需要建立一個有效的風險識別與評估機制，主要包括風險識別與評估職能的分配和風險識別與評估的程序。風險識別與評估機制要確保識別出所有的相關風險并進行有效的評估。

第三步，控制環境的評估與完善。結合識別和評估的風險，從企業層面控制的角度評估控制環境的適當性，并結合評估結果完善控制環境。控制環境要確保提供充分、有效的企業層面控制。

第四步，控制活動的評估與完善。控制活動不是單獨的，而是與業務流程融合在一起的。控制活動的評估首先是對業務流程的評估和優化，即在設計合理的業務流程中嵌入恰當的控制活動才會是有效的。應結合優化后的業務流程評估控制活動的充分性和適當性，并根據評估結果進行改進和完善。

第五步，信息與溝通的評估與完善。從實務的角度來看，對信息與溝通的評估要結合目標設定、風險識別與評估、控制環境、控制活動以及監督等要素和程序進行，判斷是否收集、處理和傳遞了適當及時和充分的信息。根據評估結果，民營企業要結合企業實際情況開發和利用計算機信息系統，加強信息系統的一般控制和應用控制，提高信息收集、處理和傳遞的速度和質量。

第六步，內部監督機制的評價與完善。內部監督的評價主要包括對持續監督的評價和單獨評價的評估，主要判斷內部監督機制是否能夠及時發現并糾正內部控制的缺陷。根據評估結果，民營企業要建立健全內部控制的內部監督機制，制定恰當的持續監督程序和指標以及單獨評價制度，通過審計委員會和內部審計部門切實有效地履行內部控制的評價和監督職責，以確保內部控制的持續有效。

【主要參考文獻】

[1] 財政部內部控制標準委員會.企業內部控制基本規范[M].2008.

[2] 陳漢文，張宜霞.企業內部控制的有效性及其評價方法[J].審計研究，2008（3）.

[3] 張宜霞.企業內部控制論[M].大連：東北財經大學出版社，2008.

[4] COSO.Enterprise Risk Management-Integrated F-

ramework，2004.

[5] COSO.Internal Control-Integrated Framework，1992.

[6] PCAOB.Auditing Standard No 2 An Audit of Internal Control over Financial Reporting Performed in Conjunction with An Audit of Financial Statements，2004.

[7] PCAOB.Auditing Standard No 5 An Audit of Internal Control over Financial Reporting That Is Integrated with An Audit of Financial Statements，2007.

[8] SEC. Management's Report on Internal Control over Financial Reporting，2007.