中小企業內部控制管理

■ 王淼（遼寧師范大學海華學院）

一、文獻綜述

內部控制，是指一個單位為了實現其經營目標，保護資產的安全完整，保證會計信息資料的正確可靠，確保經營方針的貫徹執行，保證經營活動的經濟性、效率性和效果性而在單位內部采取的自我調整、約束、規劃、評價和控制的一系列方法、手續與措施的總稱。

在1992年9月，COSO委員會提出了報告《內部控制——整體框架》，也稱COSO報告。即內控五要素“金字塔”結構，包括了五個既相互獨立而又相互聯系的構成要素：控制環境、風險評估、控制活動、信息與溝通和監控。

為此很多學者對此進行分析，學者李承德在2019年在《中小企業內部控制現狀及對策研究》一文中從三方面對內部控制進行分析：一是認為內部環境比較惡劣，管理層的不合理決策導致員工的認同感低；二是認為制度不夠健全，導致企業人員執行力偏低；三是認為管理層的風險意識淡薄。進而提出完善制度、提高管理層和人員素質、加強風險意識等措施。學者劉敏在2019年《完善中小企業內部控制制度的思考》一文中簡述了內部控制的企業層面和業務層面，并表明內部控制制度的現實意義，認識內部審計的重要性。學者馬鳳在2019年《完善中小企業內部控制制度的思考》中認為我國中小企業普遍存在管理者對內部控制的認識不清、缺乏完善的溝通機制等問題，對這些問題提出了一系列對策，從制度建立、提高內控意識、完善組織結構方面讓內部控制融入到企業的發展中。

因此下文就內部控制五要素而展開闡述了中小企業內部控制所存在的問題分析以及相應對策。

二、中小企業內部控制存在的問題

（一）缺乏良好的內部環境

一是管理層對內部控制的意識淡薄，內控要有超前意識，往往是為了讓隱患還未發生時，就掐滅在萌芽階段。但企業的管理理念無法營造強有力的內部環境，管理者雖有內控意識，認為制定了規章制度就無需再制定內控制度。沒有認識到內控與企業的規章制度二者并非是替代或重疊的關系，內控是“嵌入”性的，是一種過程，它是用以輔助規章制度的實施。

二是大多數中小企業沒把本企業的經營特點和內部控制要求相結合，直接照搬優秀企業的內控流程，“東施效顰”導致本企業組織機構設置不盡合理。有的中小企業的組織框架，為了追求完美，把企業的組織架構，搞得是非常的復雜，層級劃分能達到4到6級，然而問題或矛盾出現時，各個部門就會相互推諉，相互扯皮。例如，存在出納既管網銀又管銀行賬；銷售人員對倉庫實物管理、發貨、貨款回收一肩挑。

三是職業道德對企業員工實際約束能力較小，人是追求自身利益最大化的“經濟動物”，故當經濟利益與職業道德發生沖突時，容易經濟利益占據上風，出現各種小恩小惠的事情，嚴重可能會出現偽造、變造票據的不當行為；并且企業對道德方面不夠重視，很少對員工進行職業道德方面的培訓。

四是企業文化應對落后，例如企業文化中的團隊意識不強，“單絲不成線，獨木不成林”，團結對一個集體來說始終是一個重要因素。員工的不團結，會導致做事的積極性下降，辦事效率低，出錯率上升。

（二）缺乏風險評估機制

一是對風險的認識不清以及對其來源考慮不周。管理者對風險的認識過于狹隘，把風險等同于壞事情。導致了管理者有時候一味的規避風險。而風險的來源有外部的也有內部的，外部的風險受多方面因素影響。例如，在經濟環境方面，要考慮到世界的經濟的發展趨勢，經濟大蕭條；在自然環境方面，農林牧漁企業要認識到自然環境（如臺風、干旱）所帶來的風險；在社會環境方面，要關注社會上消費習慣的變化等。而內部風險就是內部營運風險。以采購業務為例，每個環節都會存在相應的風險點，在請購的時候是否是按公司的需求而購買，而不是滿足個人利益。

二是缺乏專門的風險評估機構。絕大多數的中小企業較大型企業相比，認為自身的規模小，所以不需要配備一個專門的風險評估機構，因此應對風險的處理能力會比較低。常常過于被動地去接受風險，只有出現問題才去想臨時方案，沒有預先的應急方案，而這種臨時方案大多都缺乏科學性和完整的風險評估理論。

（三）缺乏有效的控制監督活動

一是缺乏有效控制活動。存在不相容職務未分離的現象。如果是資金保管和監督未分離，就易出現了系統性的舞弊行為。中小企業往往把財務人員安排“自己人”。授權審批控制也不嚴謹，出納既管錢又做賬，給了出納在文件上動手腳的機會，有的經理人在審核時只審核了出納人員所提供好的一致的單據了，并沒有自己親自去上網核實，審批手續不嚴謹。

二是內部監督不完善。一方面，對業務監管不到位，沒有定期的評估。例如，庫管人員沒有實時的登記存貨的出入庫信息，沒有對庫存進行盤點，也沒有及時的將數據匯報給財務部門。財務部門可能也存在沒有定期地進行抽盤。沒有相應的人員對其進行監督，存在了監管不到位。另一方面，內部審計獨立性較弱。由于中小企業考慮成本問題，人手問題。很少有單獨的設立內部審計部門，常常會把內部審計部門放到財務部門當中，忽視了內部審計獨立性這一原則。易造成審計部門袒護財務部門，發現問題不及時匯報，使審計工作沒有有效的發揮作用。

（四）欠缺良好的信息溝通能力

一是在中小企業中，信息的傳遞趨向于縱向的溝通渠道，缺乏橫向的溝通渠道，各部門之間的協作能力不強。從地位高的流向地位低的，信息傳遞環節越多，到達接收者的時間也越長，信息失真率則越大，越不利于溝通。而從下面人員傳達給上級時，也常常會出現信息的不準確性、不完整性和不及時性。最終造成了信息不對稱，從而導致任務完成的進度緩慢或是管理者決策失誤。

二是信息化系統不完善。在大多中小企業中，缺少一套縝密且有效的信息化系統，會導致信息不及時或者信息不完整，從而給管理者帶來重大的阻礙，導致一系列決策的失誤。只存在單向的匯報，不能夠促進良性溝通。

三、完善中小企業內部控制的措施

（一）營造良好的內部環境

一是加強管理者的內控意識。內部控制環境的好壞與管理者對待內控的態度是密切相關的，要讓管理者認識到：內控不僅僅是財務、審計部門的事情，應該由財務部門來牽頭，在管理者的指示下，聯合各業務部門的關鍵人員參與內控測評日常化和管理測評日常化。可能在最初的時候會耗一些人力，但是一旦當企業有良好的內控制度化后，不管對企業而言，工作效率會有很大的提升。

二是中小企業不必非照搬優秀企業的內部流程，而應依據本企業的特點，設計針對性較強的內控流程，讓內部控制發揮務實的作用。這樣效率必然會提升，企業的實力也會相應的提升。因為一個企業不必非要有個“宏偉的”理念，而應為管理層提供管理控制方面的培訓，增強管理者對企業管理理念選擇的科學性，讓設置的經營目標更切合實際。

三是提高全體人員的職業道德。企業在招聘時，不應僅僅關注他的學歷，還要關注職業道德素養。對已有的企業員工，定期提供培訓，為員工更新行業的知識。也可以采用績效考核，提升員工工作積極性。

四是加強企業文化建設，提高全體員工的團結協作意識。加強整體溝通，讓團隊明確共同目標，通過會議、談心、討論等多種形式進行溝通。例如，企業可以定期組織團建，進行一些春游等戶外運動，來加強員工之間的交流與合作，進而增加員工對工作的熱情。也要關注在領導與職工之間，職工與職工之間不同層次的溝通。樹立團隊力量大于個人力量的觀念。

（二）建立風險評估機制

一是加強對風險的準確認識并對風險的來源進行分析。風險無法回避，所以我們要與風險打交道。對于管理者來說，對風險不能有狹隘的認識，風險是指對于未來有各種不確定性，世界也正是因為不確定，才會讓我們對未來充滿期望。同樣，企業也是如此，正如人人都知的“高風險高收益”一樣，風險與機遇是并存的。風險主要來源于外部和內部。外部風險是要根據企業自身的類型去考慮。而內部風險就要通過加強監督，規范好每一個業務流程，杜絕舞弊、賄賂等行為，從而降低企業的損失。

二是要有一個專門的風險評估機構，并且采用各種專業的風險評估方法。擁有一個專門的風險評估機構，有兩種選擇，選擇一：中小企業可以選擇自己設立，首先領導者也要有決心先設計一個可行的執行措施來保證機構能很好的設立完成。其次，對關鍵崗位人員進行必要的內控風險知識培訓。選擇二：企業可以直接外聘一個專門的風險評估機構，外部第三方的專業能力強，實踐的案例也多，發現問題時可以立即的調整，幫助企業順利運行。我們也要重視評估風險的方法。例如，可以畫一個風險評估圖，在圖中我們要高度重視那種破壞性大，出現的可能性還高的風險點；還可以進行壓力測試，就假設在所有不利因素都出現的情況下，評估企業的經營狀況。

（三）加強控制活動和完善監督制度

一是加強內部控制活動。不相容職務相分離，在事前規避舞弊行為的發生，也可以在事中對所發現問題進行控制。相關人員在崗位和工作上可以相互制約和監督，減少舞弊行為。不能讓企業任何一人獨自辦理經濟業務，例如在購置原材料時，采購審批和請購人員不能是一人；原材料入庫時，保管人員和登記入庫人員也不能為同一人。可以對關鍵的崗位進行定期輪崗。加強授權審批的嚴謹性，管理者在授權審批的時候，要保證程序的嚴謹性，授權時要考慮到信息是否屬實，審批時要親自去審查，不能因為信任某個人就不去審查。

二是完善內部監督。一是建立內部的監督制度，內部監督制度是企業開展內部控制內部監督的依據。中小企業要嚴格的遵守國家統一的會計準則以及相應的法律法規。二是進行日常監督和專項監督。將日常監督與企業的日常經營活動結合起來，專項業務派專門人員去監督。

三是加強內部審計的獨立性，要組建或設置單獨意義上的審計部門，并且要把審計部門和財務部門人員的職能區分開來，防止徇私、賄賂等違規行為的發生。只有采取正式的審計方法，才能及時的發現管理中存在的問題并采取相應措施。

（四）提高信息和溝通能力

一是不光要注重縱向的溝通渠道，也要注重橫向工作渠道，加強各部門小組之間的溝通，領導者可以采取定期的會議溝通去解決一些重大較復雜的問題。部門小組之間就相關問題進行一些必要的溝通，不管是上級和下屬，還是同級之間都要采用雙向的信息反饋機制，讓溝通變成雙向的信息交流，才能真正使溝通有效。

二是不斷建立一個健全的信息化系統。要確保企業內部各項信息的透明與公正，保證信息傳遞的準確性、及時性。還要提高企業信息人員的專業性，學習先進的信息管理知識，對員工實行績效考核制度，對表現優秀者給予獎勵，從而激勵其更好的建設信息管理系統，提高管理的效率。

四、結語

綜上所述，在這個競爭激烈的時代，中小企業要想延長企業壽命，內部控制是必不可少的。內部控制并不是直接針對企業盈利目標，但是它卻可以通過預防風險讓企業避免最壞的結果，從而間接地幫助企業實現目標。完善中小企業內部控制建設要提高管理層的內控意識，實施與企業相符的內控流程，加強全體員工的職業道德水平，認識到風險，進行對風險的識別、分析以及應對，完善內部監督，并且提高企業內部的信息溝通能力等。只有做好內部控制，增強風險意識，才能保證“雖石險而無傾覆，雖平流而無沉淪。”總之，內部控制對于中小企業來說，是一門必修課程而不是一門選修課程。一個有效的內部控制有利于中小企業提高經濟效益，有利于經濟的快速發展。