中小企業內部控制評價問題與對策探析

蘭和平

（湖北恒信會計師事務有限公司 湖北 武漢）

內部控制是指企業為防范和化解風險，保證企業經營管理合法合規、資產安全、財務報告及相關信息真實完整，提高企業經營效率，促進企業實現發展戰略，而由企業在充分考慮內外部環境的基礎上，通過建立組織機制、運用管理方法、實施操作程序與控制措施而形成的系統。然而當前我國中小企業內部控制評價存在定性與定量分析不平衡、內部控制評價過程與結果評價不相適、內部控制評價內容與標準存在不統一等困境。

隨著企業內部控制基本規范及配套指引的出臺，大多數企業“以防范風險和控制舞弊為中心，以控制標準和評價指標為主體，結構合理、層次分明、銜接有序、方法科學、體系完備”的企業內部控制和規范體系建成，為防范企業風險、規范企業管理、全面提升企業經營管理水平、增加企業競爭力，促進企業可持續性發展具有重大推力作用。但在實施內控審計和評價中，我們發現在部分中小企業內部評價還存在諸多問題，需要進一步加強規范和改進。

一、企業內部控制評價在執行中存在的問題

1.內部控制評價環境存在著一定的局限性

首先是企業內部會計控制評價的局限性。對內部會計控制必須深入調查了解、對企業經營的全過程進行控制測試，其測試的結果必須對單位內部控制的流程加以評價，主要評價內部會計控制系統的健全性和有效性，無論是設計和運行在內控評價中容易受到客觀條件的制約而存在不可避免的局限性。其不可避免的局限性主要表現在以下五個方面。

（1）受到管理人越權的限制。單位內部行使控制職能的管理人員濫用職權，蓄意營私舞弊，倘若具有設計良好的內部控制，也難發揮應有的效能。許多內部控制失效的重要因素就是管理當局的干預和濫用職權，評價工作流于形式。

（2）串通舞弊的限制。如果單位內部不相容職務相互串通作弊，與之相關的內部控制就會失去作用，在進行內部控制評價中也很難發現不相容職務分離原則的有效執行和不同職務相互制約牽制的有效性。

（3）受人為錯誤的限制。一個企業內部行使控制職能的人員在心理技能和行為方式未能達到實施內部控制的基本要求，對內部控制的程序和措施發生誤解錯判，再好的控制也難充分發揮作用，甚至會造成一定的損失。

（4）受成本因素的限制。控制的環節越多控制的措施越復雜、相應的控制的成本也就越高，因此，必須以控制成本，不能因風險錯誤可能造成的損失和費用為前提，建立和運行有效內控成本制度。

（5）受制度滯后的限制。在現代市場經濟活動中，單位受到外部環境的變化而調整自己的發展戰略和戰略目標，如并購或拓展市場或引入先進的管理系統，都會造成原有的控制可能不適應，改變原有的流程和關鍵點。

2.內部控制缺乏統一的評價指標系統

《企業內部控制評價指引》的基本內容第八條“企業組織開展控制活動評價，應當以《企業內部控制基本規范》和各項應用指引中心的控制措施為依據，結合在企業內部控制制度，對相關控制措施的設計和運行情況進行認定和評價”中所說的，既然評價就要有一套完整的、切實可行、適用有效的具有操作性的評價指標體系，對內部控制的完整性、有效性及合理性進行評價，實際工作中缺乏對評價活動本身如何做卻無操作性規定、評價指標設置、定性指標把握程度、定量指標的權重比例，卻受管理當局的內部機構的內控評價人員依經驗主觀把控，缺乏統一尺度、完備受到影響、評價水平缺乏客觀性，外聘會計師事務所機構評價時，也容易造成指標完整性和統一性，特別是評價控制環境、經濟結構的尺度張弛無度。

3.內部控制風險管理和評價手段相對落后

企業管理層對內部控制重視不夠，有的領導在處理內部控制與企業管理、業務發展的關系時，則認為若內部控制制度過于詳細、控制過嚴會束縛企業的業務發展能力，錯誤地將內部控制與企業發展和效益對立起來。在風險管控時，對潛在的風險沒有更好的判斷和感知，不能做到防患于未然，在風險發生時，不知如何應對風險，被動接受可承擔的風險，面臨危機時、無從控制；在評價內控的風險時，風險控制不強、風險評估不足、風險預警措施不當、手段缺乏。

4.決策機制缺陷和內控評價人才缺乏并存

一是決策機制方面存在缺陷。有的企業沒有按照現代企業制度的要求，著重進行企業治理結構的建設，法人結構不合理，導致決策機制中的決策權和經營權混為一體，從而造成決策失誤大、風險增高。二是內控評價人才缺乏。缺少具備國際化經營方略、全能型投資管理，資本運營等知識新、閱歷廣的多面型人才，不利于在企業內控評價中把關各環節的管控節點，避免企業在管理的失控和風險。三是內控人員專業勝任能力不強。沒有按照《會計法》等法律、法規的要求，建立以預算管理、資金管理、資產管理和對外擔保等為重點的財務管理制度和內部控制制度，細化內控程序的可操作性；沒有按照信息化的發展趨勢，建立以計算機技術為支撐的網絡化信息系統，實現資源共享。

5.中小企業審計監督工作不到位

一些企業缺乏風險評估考核、風險管理獎懲措施以及風險損失的追責機制。雖然建立了內審機構，但缺乏獨立性，弱化了審計功能，配備的審計人員素質不高，能力不強，沒有建立風險導向原則，都是造成內控評價的客觀因素。

三、加強和規范企業內部控制評價的對策建議

通過不斷改進和完善內部控制，才能提高企業管理人員的素質，增強防范和應對風險的能力，提高企業的治理水平。

1.規范法人治理結構，營造良好的內控環境

企業應當明確董事會、監事會和經理層的職責權限，按照科學、精簡、高效、透明、制衡的原則，合理設置內部職能機構，明確各機構的職責權限，避免職能交叉、缺失或權責過于集中，形成各司其職、各負其責、相互制約、相互協調的工作機制。公司管理層應根據國家有關法律法規和監管規則以及公司的要求，結合實際情況，圍繞戰略目標、經營管理的效率和效果目標、財務報告目標、資產安全目標、合規目標等單個或整體控制目標的實現程度，組織實施對公司內部控制系統設計和運行的有效性進行定期或不定期（每年至少一次）的調查、測試、分析、評估和改進，以合理保證公司目標的實現。總之，要建立規范法人治理結構，建立各責任主體的權力、責任和議事規則，保證決策權、經營權、監督權分離，通過“三權”之間制衡，把權力關進制度的籠子里。

2.提高風險管理意識，培養內控風險評價管理人才

一是健全風險管理組織，強化企業內部控制評價。要建立風險預警機制，加強對企業經營管理活動中潛在風險的實時監控系統；要建立風險防范機制，加強對企業財務風險進行預防和控制；要建立風險控制機制，確保內部控制評價結論得以有效利用、整改措施即時到位、規避風險的再次發生。同時，可以聘請會計師事務所，站在第三者的立場來客觀評價內控的有效性和執行度，自評與外評相結合，更能發揮出內部控制的有效性、促進企業健康發展。二是以強化風險控制力為主線，按照《企業內部控制評價指引》的要求，從提高經營效率的角度出發，根據風險評估結果，將主要風險細化到具體的管控流程，制定相應的控制措施和檢查方法，作為各責任部門、單位實施具體管理的標準。三是培育內控風險評價管理人才。企業應當根據人力資源總體規劃，通過公開招聘、競爭上崗等多種方式選聘優秀人才；企業應當建立和完善人力資源的激勵約束機制，設置科學的業績考核指標體系，對各級管理人員和全體員工進行嚴格考核與評價，并制定與業績考核掛鉤的薪酬制度；企業應當建立健全員工退出機制，使企業人力資源管理步入良性循環的軌道。

3.建立科學、完整、統一符合企業環境的內部控制指引體系

制定一套符合中小企業內控建設和評價指標體系勢在必行。制定中小企業內控評價指標體系應遵循相互牽制原則、協調配合原則、權責明確、成本效益原則、整體結構原則。內部控制目標是：①維護財產物資的完整性；②保證會計信息的準確性；③保證財務活動的合法性；④保證經營決策的貫徹執行；⑤保證生產經營活動的經濟性、效率性和效果性；⑥保證國家法律法規的遵守執行。主要工作是梳理現有制度和業務流程、建立健全相關制度、編制風險管理文件、確認關鍵流程、控制點和控制措施、優化業務流程、動態管理控制活動，利用外部監督、中介組織的監督。

4.健全內部監督與外部監督相結合機制

一是加強企業內部監督。企業要從事前、事中、事后等三個階段完善內部控制制度,完善監督機制,定期完成企業報表、資產、財務等方面的審核分析;建立信息反饋機制,使得內部控制在實施過程中的問題及時得到矯正。二是強化外部監督。財政、稅務、審計等部門要加強彼此間的信息交流，形成有效的監督合力。充分發揮會計師事務所的外部監督作用，形成政府扶持中介，中介促進中小企業發展的體系。會計師事務所應揭露企業內部控制制度存在的問題和漏洞，揭露因內部控制薄弱而造成的某些經濟損失或經濟違法行為等，并對揭露的各種消極因素及時進行制止、處罰，還應將情節嚴重的有關責任人移交司法機關處理。

加強中小企業風險控管，要以完善法人治理結構為重點，以強化風險控制力為主線，以構建企業內部控制評價體系為導向，促進企業整體管理水平和效益的全面提升，使中小企業在經濟結構調整、促進就業與社會穩定以及科技創新中發揮出更大的作用。