小型企業內部控制規范的特點研究

陳留平　王昊笈

【摘 要】 隨著我國經濟的快速發展，小企業已經成為我國就業的重要途徑和經濟增長的中流砥柱。2016年財政部發布了《小型企業內部控制規范》的征求意見稿，這一規范對幫助小型企業建立和實施有效的內部控制具有重大的意義。早在2006年，美國COSO就發布了《較小型公眾公司財務報告內部控制指南》，這對我國小型企業建立健全內部控制制度具有重要的借鑒價值。文章通過對我國《小型企業內部控制規范》和美國《較小型公眾公司財務報告內部控制指南》的比較，解析兩者的聯系和區別，并在深入分析當前我國小型企業內部控制的特點和存在問題的基礎上，進一步就如何有效地建立和實施我國小型企業內部控制提出了建議。

【關鍵詞】 小型企業； 內部控制； COSO

【中圖分類號】 F272.5 【文獻標識碼】 A 【文章編號】 1004-5937（2017）12-0035-03

隨著經濟的不斷發展，小企業如雨后春筍日益發展壯大，已經成為社會就業的重要途徑，是“大眾創業、萬眾創新”的新引擎，日漸成為維持經濟穩定增長的堅實基礎和國民經濟的重要支柱。推動和鼓勵小企業的發展刻不容緩，對深化我國市場經濟體制改革、促進經濟轉型升級具有重大而深遠的意義。2015年《中國中小企業人力資源管理白皮書》調查顯示，我國中小企業平均壽命僅2.5年，而歐美中小企業的平均壽命為40年，德國評選出的500家優秀的中小型企業更是有近1/4存活了100年以上。究其原因，是我國中小型企業內部控制存在缺失與不足。

2016年《小型企業內部控制規范（征求意見稿）》（以下簡稱“《規范》”）的制定，對幫助小型企業建立和實施有效的內部控制，提高經營管理水平，提升風險防范能力，促進小型企業的健康、可持續發展，推動國民經濟發展具有重要作用。2006年，美國反虛假財務報告委員會管理組織（COSO）發布了《較小型公眾公司財務報告內部控制指南》（以下簡稱“《指南》”），指導較小型公眾公司利用《內部控制——整合框架》設計和實施符合成本效益原則的財務報告內部控制。

一、《規范》與《指南》比較

（一）相同之處

1.發布背景相同

2008年，財政部、證監會、銀監會、保監會、審計署五部委聯合發布了《企業內部控制基本規范》。《企業內部控制基本規范》對大中型企業比較適用，而小型企業和其他單位只是將其作為實施內控的參照標準。調查顯示，一些按照《企業內部控制基本規范》要求建設和實施內部控制規范體系的中小板和創業板上市公司反映，目前企業內控的要求過嚴、成本過高，在小企業中難以實現和推廣[1]。為更好地促進小企業內部控制建設，規范小企業的管理行為，提高風險控制能力，財政部門研究制定了《規范》。

2002年，美國政府在震驚世界的安然事件后，頒布了《薩班斯—奧克斯利法案》（簡稱《薩班斯法案》），其中第404條款要求公眾公司管理層每個財務年度末對其財務報告內部控制的有效性進行評估和報告。COSO1992年的報告和2004年的報告被不同規模的公眾公司作為遵從第404條款建設內部控制體系的范本[2]。但《薩班斯法案》過于嚴格，如果較小型公眾公司在執行第404條款時遵循與大型公司同樣的標準，其成本難以承受。為幫助較小型公眾公司執行第404條款，2006年COSO發布了《指南》。

2.基本要素相同

《規范》中內部控制5要素如下：（1）控制環境是建立及實施內部控制體系的基礎。包括行為準則、企業文化、激勵機制、內部控制問責機制等眾多方面，是各種內部要素的總稱。（2）風險評估是內部控制體系建立的基礎和調整的依據。企業應該具有及時識別、分析與企業控制目標相關的風險，制定并實施合理的風險管理制度。（3）控制活動是內部控制的核心。風險評估的結果是企業制定和實施控制活動的依據。控制活動是為管理風險，確保企業經營正常進行而建立和實施的一系列規章、程序和措施，目標是將風險控制在合理的范圍內。（4）信息與溝通是實施內部控制的必要條件。企業應該建立及時、有效的溝通渠道，完善溝通機制，確保與內部控制相關信息的識別、收集和傳遞，實現企業內部以及對外的有效溝通。（5）內部監督是確保內部控制實施效果的必要保證。在企業已有的合理、規范、有效的內部控制體系基礎上，對其建立和實施進行監督，對其有效性進行評價，識別其缺陷并持續改進。

《指南》也有相對應的五要素。兩者都借鑒了《內部控制——整合框架》的內部控制五要素的基本概念，并且都認為這五個要素應該同時存在，相互平衡才能持續運行。

3.原則相似

《規范》的內控原則包括5項：（1）風險導向原則。內部控制應當以風險為出發點，合理利用資源管理風險，重點關注高風險領域。（2）適應性原則。制定和執行內部控制時需與自身的具體情況以及外部環境相適應，不能生拉硬套其他企業的方法和框架，應當隨實際情況和環境的變化及時進行調整。（3）實質重于形式原則。內部控制應當選擇靈活高效的形式，注重風險管理的實際效果，而不拘泥于特定的方式和手段。（4）成本效益原則。內部控制應當權衡投入與回報，并從整體利益和長遠利益的角度考慮，以合理的成本實現預期的控制目標。（5）持續運行原則。內部控制應形成建立、實施、監督及持續改進的循環體系，以確保五要素同時存在并持續運行。

《指南》沒有明確寫明內部控制原則，但有相對應的原則：（1）以風險為基礎，特別關注與關鍵目標有關的風險。（2）認為財務報告內部控制是有效的記錄取決于具體環境和需要。（3）一些內部控制活動，只要管理層能夠通過經營活動的正常開展獲取證據，那么員工的行為就可能是合適的。（4）《指南》就是要利用《內部控制——整合框架》設計和實施，建立符合成本效益原則的內部控制體系。（5）將內部控制看作一個整合的過程，每一個構成要素都必須存在并發揮作用。

兩者比較，雖然說法并不完全相同，但其實質的涵義是基本相似[3]。

（二）不同之處

1.適用范圍

《規范》同時適用于小型上市公司和非上市小型企業，并且明確規定不符合小型企業標準的企業應執行《企業內部控制基本規范》。《指南》的使用者是“較小型公眾公司”，這表明《指南》適用的公司范圍更加廣泛，并且COSO認為雖然《指南》針對的是較小型公眾公司，但無論它對大型公眾公司，還是私人公司和其他組織都同樣適用。

2.內控目標

《規范》中規定的內部控制目標是：（1）經營的合法合規。這是企業經營的基本條件。國家制定法律法規以規范市場秩序，保證企業利益，降低社會經濟運行成本。企業應依靠有效的內部控制來執行相關法律法規。（2）資產的安全。股東最關心的就是投入資本的安全。企業通過崗位不相容、內部監督和外部監督等內部控制方式確保資產的安全。（3）經營的效率和效果。企業中不同層次和不同部門間通過合理的內部控制達到相互溝通和協調的效果，是提高經營效率和效果的關鍵。（4）業務、財務和管理等相關信息的真實、準確、及時、完整。決策者依靠信息衡量經營者是否誠實可靠，盡職盡責和值得繼續聘用；潛在投資者和債權人需要依靠真實準確的信息來判斷企業的經營成果和財務狀況，制定投資決策。

《指南》中對內部控制目標的定位是：為幫助管理層建立和維持財務報告內部控制的有效性而制定的。《規范》中的第四個內部控制目標與《指南》的內部控制目標有共同之處，但是《規范》還提出了3個財務報告以外的內部控制目標，更加全面合理。《指南》過分重視財務報告目標而忽視了其他內部控制目標，實際上股東并不一定認為財務報告要比其他公開信息更重要，比如經營效率和效果也極其重要。相比之下，《規范》的四個目標更加合理并且全面。

3.執行要求

《規范》是國家財政部門頒布的法規，對我國小型上市公司具有強制性；對自愿執行的非上市小型企業主要起指導性作用。美國證券交易委員會沒有將COSO框架作為內部控制強制性標準，而《指南》只是為小型公眾公司如何應用COSO框架提供了指導，并不具有強制性。

二、《規范》特點

（一）提高內部控制規范的地位

《規范》是繼《企業內部控制基本規范》之后，我國出臺的又一部有關內部控制的法案。《企業內部控制基本規范》被世人贊譽為“中國的薩班斯法案”，《規范》的提出是中國企業進一步向國際化標準靠攏，提高自身內部控制水平的，提升國際競爭力的新里程碑。

（二）促進小型企業內部控制的發展

《企業內部控制基本規范》的頒布，使得我國有了符合國情的企業內部控制規范，但是較適合大中型企業，小型企業實施成本過高且不符合小企業的實際情況。《規范》的出臺，完全針對我國小型企業的現狀，使得小型企業內部控制能夠進一步發展。

（三）準確定位內部控制的目標

《規范》的內部控制目標包括：經營的合法合規；資產的安全；經營的效率和效果；業務、財務和管理等相關信息的真實、準確、及時、完整。相比《指南》過分的強調財務報告目標，且與《企業內部控制基本規范》的內部控制目標也不完全相同，《規范》的內部控制目標更全面且符合我國小型企業的實際情況。

（四）細化內部控制的內容

結合我國小企業的實際情況，《規范》提出了52條準則。相比《指南》的23條原則，《規范》的內容更加具體明確，對我國小企業實施內部控制更具有指導性。

（五）強化內部風險管理

相較于以往法律法規通過風險預警、識別、評估、分析和報告等措施，對財務和經營風險進行防范和控制，《規范》和《指南》一致強調內部控制應當以風險評估為基礎，在目標設定時就考慮風險因素。

三、啟示

《規范》對小型企業的定義是，由擁有多數所有權的人員管理企業；機構設置簡單，管理層級較少；業務線較少且每條業務線中產品較少；信息系統較為簡單；員工數量較少，部分員工身兼多崗[1]。針對這些特征，借鑒《指南》的做法，提出以下幾條執行《規范》的建議。

（一）塑造良好企業文化，樹立正確內控意識

企業文化是企業的靈魂，企業軟實力的重要組成部分。與國外的小型企業相比，我國部分小型企業內控意識薄弱，企業文化缺失。良好的企業文化有凝聚力和約束力，并且會使員工產生歸屬感，對員工產生激勵和導向的作用。所以，良好的企業文化對內部控制起著重要的作用。

部分企業管理者對內部控制的知識缺失，導致企業并不了解內部控制的重要性。企業應該自上而下，樹立正確的內部控制意識。管理者應該帶頭執行內部控制制度，不干涉和阻止一般性的內部控制活動，并努力豐富自身的管理知識，提高管理水平。同時，應該加強對普通員工內部控制知識的培訓，全面提高員工的綜合素質。

（二）發揮董事會作用，明確內控建設職責

《規范》沒有涉及董事會的職責，而《指南》強調董事會的核心作用。董事會對內部控制建設和監督具有重要作用，有董事會的企業應該充分發揮其作用。小型企業的董事通常在公司發展過程中就深入參與公司經營，這使他們了解公司歷史并能從公司發展的角度考慮問題。考慮到董事會對內部控制的重要作用，內部控制的建立和實施中應發揮董事會的作用，突出其在內部控制機制中的主導地位；引進高質量的外部董事，發揮專業技能和減少管理者逾越內部控制的風險。[4]

《規范》中對不同的控制層沒有明確的區分，只有主要負責人和員工的范疇，不利于內控的建立、執行和監督。《指南》則將各級人員的職責明確劃分為：董事會、高層管理人員和其他職員。在內部控制建設中應將董事會、高級管理層、其他員工這三個層次都納入內部控制的范圍，建立完善的內部控制體系，保證內部控制的有效實施；明確職能分配：董事會應當負責企業內部控制的建立健全和有效實施，并承擔內部控制的監管責任；高級管理層負責組織領導企業內部控制的日常運行，不越權不越位，嚴格按照內部控制體系運作，確保內部控制執行的有效性；其他員工需要考慮如何履行其控制責任。

（三）建立內控體系，規范管理行為

《規范》的出臺，使小型企業有了符合其特點的內部控制規范，更有利于其建立適合企業本身的科學高效的內控運行體系。《規范》中提到，企業應與發展階段、經營規模、管理水平、資源狀況等相適應，并且權衡投入與回報的匹配。有條件的企業，應該設置專門的部門管理內部控制。若因小型企業員工較少，在無法做到專人負責的情況下，則應注重不相容職責的分離；建立企業內部信息管理系統和信息交流平臺，促進企業內部的信息交流，保證內部信息及時流通，更好地進行橫向和縱向的溝通；引入風險管理制度，增加企業內部風險意識，管理者能夠識別企業可能發生的風險，面對風險能夠及時有效地采取應急措施，盡量將風險帶來的損失降到最低，甚至避免風險的發生。

（四）強化監督機制，建立獎懲制度

小型企業的內部監督機制不完善，有的沒有獨立的監督機構。部分小型企業實行家長式管理，任人唯親，缺乏合理的獎懲制度。實際上，內部監督不僅可以監督企業內部控制制度的執行程度，還可以找出內部控制的薄弱環節，為管理者提供良好的建議，進而完善內部控制制度。

依據《規范》，應設立專門的獨立的內部審計部門，配備專職并且可以勝任的內部審計人員。依照《規范》提到的監督方式方法，企業應該根據自身的實際情況開展不定期的專項評價，但是至少保證每年開展一次全面系統的監督評價。對重點領域應該進行重點監督，發現重大風險應及時向主要負責人報告。警惕內部審計部門形同虛設，內部審計工作流于形式，這樣企業的內部控制不僅起不到作用，甚至會產生負面影響。

單純依靠內部控制制度和監督很難取得良好的效果，應該將內部控制納入到績效考核中，提高員工積極性，增強企業競爭力。企業可以根據實際情況，在績效考核中增加與內部控制相關的獎懲條款。將內部控制納入績效考核體系，并與員工的實際利益掛鉤[5]，調動其積極性，發揮其主觀能動性，使其自覺執行內部控制，主動監督企業內部情況，及時發現問題并進行有效的溝通。

（五）發布內控案例，指導企業實施

《指南》中穿插著許多方法和案例，而《規范》沒有提出具體的方法和案例。原則是基礎的、通用的，但案例是實際的、具體的，COSO認為案例對使用者如何使用《指南》有重要的意義，企業可以參考案例制定符合自身實際情況的內部控制制度。一方面，我國內部控制起步較晚，成功的案例較少；另一方面，小企業的內部控制人才匱乏，借鑒成功的方法和案例，可以增強企業執行內部控制的指導性。在《規范》發布后，應借鑒國內外成功的內部控制的方法和案例以及國內小企業成功的管理經驗，發布配套指引和案例指導，也可以創建案例庫來幫助企業合理高效地實施《規范》。

【參考文獻】

[1] 財政部.小型企業內部控制規范（征求意見稿）[A].2016.

[2] 李珍.美國《較小型公眾公司財務報告內部控制指南》介紹[J].中國注冊會計師，2008（9）：79-81.

[3] 方紅星.財務報告內部控制——較小型公眾公司指南[M].沈陽：東北財經大學出版社，2009.

[4] 立信會計師事務所.小型公眾公司財務呈報告內部控制報告指南[A].2009.

[5] 盧瓊.中小企業內控制度的完善幾點建議[J].財會學習，2015（9）：147-148.