中小企業風險導向內部控制的建立和實施探析

（河源職業技術學院 廣東河源 517000）

一、提出問題

一直以來，中小企業在發展過程中存在著對風險管理和內部控制重視不足的問題。由于中小企業往往處于快速發展階段，規模較小，業務單一，經營靈活，經營和管理不夠穩定，人員調整頻繁，業務流程經常變動，管理制度一直在不斷完善之中，難以建立健全的風險管理和內部控制制度。因此，許多中小企業對風險管理和內部控制不夠重視，形成了諸多劣勢，比如組織結構簡單、規章制度缺失、經營人才缺乏、管理水平不高。這些劣勢導致了中小企業法律意識淡薄，偷逃稅和逃廢債務的愿望比較強烈；在經營策略上偏向投機取巧，質量意識淡薄；在管理上隨意性大，職能部門職責不清；在企業內涵建設上薄弱，不注重企業文化建設；在人力資源管理上不重視精神激勵，人員選用任人唯親等。這些風險管理和內部控制問題成為了制約中小企業發展壯大的瓶頸。一方面導致企業財務制度不透明，會計信息失真嚴重，外部融資困難：另一方面導致企業抗風險能力較差，一旦政策變更，外部環境變革或者金融危機等發生，企業就可能面臨資金周轉困難而難以維持正常經營甚至破產倒閉。因此，中小企業必須足夠重視風險管理和內部控制，建立健全有效的風險管理和內部控制制度，使企業的生產經營制度化、程序化，增強抗風險能力，確保企業健康、穩定發展。

中小企業應如何在建立健全內部控制的基礎上實現較好的風險管理呢？筆者認為，必須先厘清風險管理和內部控制之間的關系。關于二者的關系目前的觀點主要有三種：一是認為風險管理包含內部控制，典型代表是美國的ERM框架，英國的Turnbull指南認為內部控制是風險管理的必要組成部分，南非的 Kingll Repor（2002）認為風險管理是一個比內部控制更復雜的過程；二是內部控制包含風險管理，典型代表是加拿大COCO報告認為風險評估和風險管理是控制的關鍵要素；三是認為內部控制就是風險管理，Black-burn（1999）認為風險管理與內部控制僅是人為的分離，在現實的商業行為中，二者是一體化的，Matthew Leitch（2004）認為，這兩個概念的外延變得越來越廣，正在變為同一事物。其中，第一種觀點得到了更多的共識，認為全面風險管理是內部控制框架的延伸與擴展。

筆者也贊同第一種觀點，從歷史發展來看，內部控制思想的起源要早于風險管理的思想，但是從兩者的含義來看，風險管理包含內部控制，可以說內部控制僅僅是風險管理的一部分或者說是實施有效風險管理的一種手段。風險管理是內部控制發展的必然歸宿，這是由內部控制內在的根本目的決定的。另一方面，內部控制與風險管理的終極目標是相同的，它們的終極目標都是為了實現企業價值的最大化。

基于此，結合中小企業的風險管理特點和內部控制現狀來看，建立一個以風險管理為導向的內部控制機制是中小企業健康穩定發展的前提。中小企業要將風險意識深入到內部控制中，將風險識別、風險評估和風險應對的方法運用到內部控制活動中，實現內部控制對未來不確定事項的識別和應對。

二、中小企業風險管理和內部控制現狀

與大型企業相比，中小企業的風險管理和內部控制存在以下問題：一是無法實現有效的內部牽制。雖然中小企業從事經營的業務與大型企業相同，其業務流程和經營過程從本質上來說也基本相同，但是由于其員工數量相對較少，導致在大型企業由幾個人分別從事的工作在中小企業則可能僅由一人承擔。所以，員工數量的限制導致其不能充分實施不相容職責的分離，容易發生舞弊和錯誤。二是管理層凌駕于內部控制之上的風險較大。與大型企業相比，中小企業高級管理層的控制幅度較寬，與具體業務層面可以進行更直接的溝通。這一方面會增加管理層對具體業務層面的了解，降低了基層人員發生錯誤與舞弊的可能性；另一方面，也增加了高級管理層凌駕于內部控制之上的風險，來自高層的舞弊和不軌行為增多。三是中小企業難以建立完整的文檔記錄和穩定的控制程序。主要是因為中小企業往往處于快速發展的階段，經營和管理不夠穩定，人員調整頻繁，業務流程經常變動，管理制度一直在不斷完善之中。四是中小企業風險管理水平低，缺乏完善的風險管理信息系統。首先，企業管理層通常都重收益輕管理，只顧眼前利益，從而忽略了企業今后的生存發展，風險管理得不到重視。其次，專業人員的風險管理水平低，在對風險預測、評估及防范的過程中，由于管理人員對風險的敏感度不夠，從而不能準確識別、評估及應對、防范風險。最后，企業的風險管理手段落后，缺乏完善的風險管理信息系統，不能及時掌握相關數據及信息，降低了企業風險應對的能力，競爭中處于被動劣勢，甚至產生巨大的經濟損失。

三、中小企業風險管理導向與內部控制機制的整合

隨著我國市場經濟的發展，交易品種和交易方式越來越多，風險也變得更加多變和復雜。對這些多變和復雜風險的識別和控制是在新的市場環境下每個中小企業都要面臨的新課題，因此，中小企業必須將風險管理和內部控制進行整合，建立以風險管理為導向的內部控制機制，使之成為企業防范風險，實現既定目標的免疫系統。

然而，中小企業由于規模較小、員工數量較少，采用全面風險管理框架或內部控制規范不符合成本效益原則。因此，本文認為中小企業風險管理和內部控制的重點不在于機械照搬所謂“五要素”、“八要素”框架去建立相關的制度和流程，而在于抓住那些關鍵的、核心的風險控制點和環節，采取切實可行的內部控制措施來達到風險識別和風險應對的目的。也就是說，在設計內部控制體系時，需要重點關注風險的導向作用，對于高內控風險的領域設計嚴格的控制程序，給予足夠的關注；而對于低內控風險的領域，則可以適當放松控制標準。本文認為，中小企業風險管理導向的內部控制機制應重點關注以下幾個方面。

首先，保證財產物資的安全完整和會計信息的真實可靠。企業所有者最關心的是投入資本的安全性和收益性，要求實現其資本的保值增值。因此，保證財產物資的安全完整和會計信息的真實可靠仍然是中小企業內部控制發展的主線，是最基本目標。

其次，關鍵業績評價指標應該成為風險評估的重點。中小企業應根據外部環境、行業現狀及企業實際情況，建立以關鍵業績評價指標為核心的財務預警機制，有效進行風險識別和評估。一般來說，中小企業應重點監測凈利潤和經營性凈現金流量的正向關系指標和償債能力指標。企業可自行確定財務危機警戒標準，并及時溝通企業有關財務危機預警的信息，提出解決財務危機的措施和方案。

第三，建立重要事項和重大項目的集體決策制和責任追究制。對中小企業來說，由于規模小、分工有限、所有權和經營權相對集中從而導致管理層凌駕于內部控制之上的風險較大。因此，中小企業內部控制的重要任務之一就是合理制約管理層的行為，降低內部控制被凌駕而失效的風險。那么，重要事項和重大項目應實行集體決策制并建立責任追究制對中小企業的內控尤為重要。

四、中小企業實施風險導向內部控制應注意的問題

要實現企業的經營管理目標，建立健全風險管理導向的內部控制是基礎，而有效實施則是關鍵。風險管理導向的內部控制在實施環節，同樣要把更多的注意力放在內部控制風險較高的領域。對于高風險領域，要重點關注，保證執行到位；對于低風險的領域，企業則可以將較少的精力用到關鍵點上。在實施過程中，應注意以下問題。

一是保證內部控制的執行力。內部控制執行力指企業內部控制制度執行的能力與力度，是一系列價值準則、行為規范、運行模式、制度體系、技術支撐，是企業所具有的獨特競爭優勢。目前，絕大部分中小企業都存在著忽視內部控制執行力的問題。保證內部控制的執行力，一方面，可以將內控運行流程與人員、制度相結合，在執行人員之間進行充分的討論和論證的前提下確定內控實施計劃；另一方面，明確規定各部門職責、權限以及相應責任和義務，同時要將企業目標融入各部門主管意識之中，使各部門協調起來，保證執行的實施。

二是內部控制與風險管理都要求全員參與。這兩種思想只有滲透到每一個員工的觀念中，才能真正發揮效用，讓企業在每一個可能出現風險的控制點都能有所作為。為了達到這種狀態，必須采取相應的監督和激勵措施動員全體員工，讓每一個員工都能找到最終成果與個人努力之間的聯系，提高員工參與的主動性與積極性。

三是形成風險管理的企業文化。企業文化是企業在長期的生產經營活動中創造的物質財富和精神財富的總和，是凝聚企業員工思想，協調員工行為并為員工所認同的價值取向和道德規范，是做好企業內部溝通工作的重要手段、形式和載體之一。只有當企業的每一位員工目標明確，責任清晰，風險意識強烈，在整個企業形成一種風險管理氛圍，內部控制才更有實效。企業應通過建立風險管理的企業文化，引導員工正確地履行責任，及時識別和應對風險，達到內部控制的有效實施。