民營中小企業風險導向內部控制體系建設研究

葛林林

摘? 要;民營中小企業作為目前我國經濟的基礎，無論是在促進全國整體經濟發展、經濟創新方面，還是在維持整體經濟穩定、解決社會就業問題方面，都起到了舉足輕重的作用。然而，雖然有如此重要的地位，但是大多數民營中小企業的抗風險能力都非常低，其中最關鍵的原因是其內部控制體系都或多或少存在不完善、不合理或者執行不到位的問題，導致廣大民營中小企業無法通過完善的內部控制體系避免各類風險的發生，無法為企業的穩定和持續發展壯大、經濟創新提供強有力的保障，導致企業付出不必要的成本，利潤下降，甚至增加了企業倒閉破產的概率。本文從具體的實踐出發，以風險為導向梳理民營中小企業的制度體系及業務體系，從內控制度的完整性、合理性和有效性方面展開思考，用制度控制風險，強化制度執行，最后提出優化內部控制制度的建議，希望對于提高民營中小企業的整體管理水平、保證企業穩定運行和持續發展壯大、提高企業價值具有一定的借鑒意義。

關鍵詞： 內部控制;民營中小企業;風險導向

在我國整體的經濟發展和建設中，民營中小企業是國民經濟增長的重點，同時為我國群眾提供了大量的就業機會，既活躍了市場、推動了農村經濟發展，又為社會的穩定和諧提供了保證。然而，民營中小企業本身就存在規模小、資金實力不夠雄厚、專業人才不足及人員整體素質偏低、技術不夠先進等現實問題，和大企業、大集團相比，本身存在諸多先天不足，在這種情況下，遇到市場變動、政策調整以及無法預知的較大風險降臨，勢必直接導致利潤下降，甚至有破產倒閉的可能。因此，一套完善的適應企業具體業務情況的，同時能通過流程化、制度化保證徹底執行的，以風險為導向的內部控制體系的建立，就變得尤為重要。民營中小企業必須重視對企業中各類風險的管控，才能在不斷變化的市場環境中提高抗風險打擊的能力，使自身可以長期穩定地發展壯大，不斷提升自身的價值和市場地位。

一、民營中小企業內部控制的現狀

很多民營中小企業處于初創階段時，將更多的精力放在拓展市場、創造業績方面，整個公司以銷售為主導，不重視企業內部的管理，尤其是內部控制體系的建立;到了成長階段，企業在市場中站穩了腳跟，開始慢慢重視企業內部的管控，但是由于經驗不足，內部控制體系的設計浮于表面，沒有結合企業自己的業務特點、人員特點及運營特點設計合理的流程，導致內控系統形同虛設;到了成熟階段，隨著企業的發展，內部控制體系也在不斷完善，對企業的風險管控起到了一定的作用，但是又存在風險類別不清晰、不全面且無法徹底有效執行和監督的問題。

2019年11月14日，國務院國資委在組織調整的基礎上頒布了《關于加強中央企業內部控制體系建設與監督工作的實施意見》，明確要求整合企業風險管理、內部控制和合規管理。從這個制度的頒布可以看出，在此之前，就算是國有大型央企的內部控制體系，也存在很多不合理、不完善的問題，存在沒有外部監督或者監督不到位的問題。

對于體量和規模都非常小的民營中小企業來講，內部控制體系的建設，在機構設置、風險預判及流程設計方面，都沒有一個統一的標準框架，很多企業在建立自己的內部控制體系的時候，沒有全局的概念。同時也沒有根據企業自己的業務特點以及風險偏好，設計內控體系的控制內容及控制流程。還有很多企業存在職責分工不明確甚至各部門之間職責重合交叉的亂象，形成內部控制、風險管理和合規管理多頭管控的局面，導致流程煩瑣冗余、工作不暢，耗費大量的時間和精力，得不償失。

二、民營中小企業內部控制存在的問題

（一）對風險的認知和評估存在缺陷

首先，很多民營中小企業的管理者對自身面臨的風險的認知水平比較低，不能全面結合自己企業的業務特點，識別出全部的風險點。同時，現在的市場面臨著經濟多元化快速發展的局面，企業面臨的風險也會隨之發生動態的變化，對于這種變化中的風險，管理層經常會出現反應滯后以及評判標準不一致的情況，對于新業務、新經濟的出現，不能及時預判將要帶來的風險點，導致風險計量的模型和監控預警的規則不能及時有效地防范風險。

其次，中小企業往往存在信息傳遞不順暢的問題，導致風險出現后，不能及時傳遞到企業中的各個相關部門，或者在傳遞信息的過程中，經常會出現理解偏差、拖延、避重就輕、信息疏漏等現象，進而影響企業相關政策和制度的落實。

（二）內部控制制度的流程化不強

首先，很多民營中小企業在建立自己的內部控制體系的時候，經常會把內控體系割裂為一個一個單獨部門的內控體系，沒有全員的概念，流程化不強。這導致各部門各自為政，同時還出現了職責劃分不明確、職責重疊的現象，例如很多民營中小企業中既有內部審計部門，又設置了風險管控部門。

其次，管理者的整體素質及管理水平不高，對風險及內控的認知度比較低，認為內部控制體系僅僅是內部控制部門的工作，而沒有推廣到全員，同時存在僥幸心理，不愿意投入人力物力，不斷完善企業的內部控制體系，沒有形成全公司全員的流程化管理。

（三）缺乏對內部控制體系的外部監督機制

首先，企業內部沒有較合理的評價內控的指標體系，監控預警機制缺乏或執行不到位，導致出現損失后的評價比較滯后，評價的獎勵和懲罰效果均不明顯。其次，在設定全體員工的績效考核指標時，沒有明確劃分對內控的責任，導致無法有針對性地對全體員工開展內控績效考核，直接影響整個公司內部控制的運行環境，缺乏有效性。

三、民營中小企業風險導向內部控制體系的優化建議

企業內部控制體系的建設和完善是一個長期的、持續的過程，既要與企業的規模、業務內容及風險特點相適應，又要適度且有效;既要使內部控制體系流程化，依靠制度管控可以切實落地執行，又要對執行的效果建立監督評價機制，才是以風險為導向的內部控制體系建設的正確方向和目標。

（一）詳細梳理業務流程和識別風險

將內控體系與企業自身的風險相結合，是廣大民營中小企業優化內控體系的第一要素。企業應以梳理全業務流程為切入點，啟動內控體系的優化流程。

1.業務體系梳理。對業務體系的梳理，就是要明確企業有哪些業務、是如何管理的、流程是如何執行的。流程化既是風險管理的需要，也是提升內部管理效率的需要，是制度落地的具體手段和關鍵措施。內部控制必須以流程化為前提，內控的流程化必須以崗位為節點，流程化的效果決定了內控的效用。業務梳理建議分兩個層面進行：

第一層面是全員參與層面，公司每一位員工的工作職責與工作流程，就是最好的崗位職責說明書，要求針對每一個崗位編制一份詳細的崗位職責說明書，根據崗位說明書，構建一份企業的全業務流程地圖。

第二層面是管理層參與層面，管理層根據企業內各個部門的崗位說明書，形成各部門之間業務銜接的流程，通過銜接的脈絡組合，完成一份相互關聯且有效的內部業務流程全地圖。

2.風險識別。首先根據企業業務流程全地圖，開展詳細的風險識別工作。建議借助每個崗位的績效考核內容進行風險識別，一般情況下，企業對員工的績效考核指標的設定，基本上可以作為本崗位的風險管控點。例如對于證照印章管理人員的要求都會包含在沒有審批的前提下嚴禁私自使用證照印章、做好措施防止盜用、禁止在空白處蓋章等要求。在中小企業中，把每個崗位的績效考核指標設計好，就可以覆蓋大部分的企業風險。

其次，管理層根據公司的發展戰略及市場地位，評估自身戰略層面的風險。在風險評估的過程中，企業必須結合自身的業務特點及戰略發展方向，絕對不能一味生搬硬套、追求大而全。

將所有的風險點全面梳理后，企業應根據重要性原則，對風險進行排序，根據企業自身的特點，對風險進行分級。

3.制度梳理。針對梳理完畢的全風險內容，再次梳理是否有針對風險管控的相關配套制度，現有制度是否需要根據市場的變化或企業的變化進行優化調整;而沒有制度管控的風險，需要新建制度加以規范。企業內部控制體系能夠落地執行的前提，必須是流程化、制度化的管理。

企業應先梳理業務流程識別風險，再進行制度的梳理，而不能相反。否則，現有制度缺失的業務則不會被納入業務梳理的范疇，導致最終建立的制度體系不完整。

（二）缺陷診斷

內部控制體系的缺陷診斷，可以分兩個層面進行，一個是完整性，一個是有效性，分別關注的是現有的業務是否有配套的制度進行管控，以及配套的制度能否得到合理執行從而達到理想的效果。

1.完整性。這里所說的完整性包括兩方面的內容：一是檢查是否所有的業務都有配套的制度規范加以保障。根據重要性原則，企業應將所有的業務進行重要性分類，這里所說的完整性可以理解為是否企業中所有重要的和比較重要的業務都有嚴格的制度規范進行管控。例如規模較小的企業，一年里對辦公用品的需求量很小，每年支出不超過2000元，那么對這種業務就沒有必要建立單獨的管理制度加以規范。二是單獨的一項業務中配套的制度是否覆蓋了業務全流程的每個節點，只有每個重點業務的關鍵節點全部得到覆蓋且加以規范，才能保證對風險的管控不出現漏洞。

2.有效性。有效性診斷的意義是針對各個業務流程制定的規范制度，是否得到有效的執行。如果在執行過程中，出現職責劃分不清晰、信息傳達不準確、沒有明確的執行標準等問題，那么這個制度的建立就無法發揮出有效管控業務風險的作用。要進行有效性診斷呢，有以下方法：

隨機抽取重要業務內容進行有效性測試，模擬業務發生的全流程，在每個關鍵節點測試制度的有效性，為了保證測試的準確性，可以采用不提前通知的方式，使被測試業務的各個節點上的人員在不知情的情況下參與測試，從而確保測試結果的真實性。

根據完整性、有效性兩方面測試的結果，編制出企業內控體系的問題報告，前者屬于設計缺陷，后者屬于執行缺陷。管理層根據缺陷報告，制定和執行相應的整改方案和措施。

（三）實施優化措施

根據缺陷診斷報告，企業可以對其內部控制體系進行有針對性的優化。優化的步驟分為如下幾個方面：

1.完整性及有效性優化。針對企業中所有重要業務缺失的制度，進行補充;針對現有制度中無法有效執行的部分，進行修訂和完善。對新建制度和修訂后的制度，要再次進行有效性測試，才能保證最終風險控制的效果。

2.構建完善的風險監控系統。一是管理層應該從職責的頂層設計中形成互相牽制的結構。內控制度的建立與完善，最重要的首先不是簡單地編制出制度的內容，而是要在企業內部不同層級、不同部門之間正確劃分職責與權限，從而在內部建立合理的部門與部門、崗位與崗位、層級與層級之間的相互牽制的關系。二是企業應建立完善的風險監控機制，設置專門的風險監控部門和人員。變幻莫測的市場環境會導致企業面臨的風險隨時發生變化，因此隨時監控企業面臨的風險并及時作出反饋和動作至關重要。三是增強全員的風險意識，基層崗位員工就是風險的第一道屏障，在基礎崗位中要加強對風險的識別，及時改進工作方法和業務流程，達到規避風險、剔除隱患的最終目的。

3.加強對內控制度執行的監督。一是有條件的公司應設立專門的部門或人員，例如內部審計部，對全公司的制度執行情況進行定期的跟蹤和測試，對執行情況進行檢查，形成書面報告提交管理層。根據報告內容，管理層不斷調整和完善企業內部控制體系。二是將內控執行與每個員工的個人績效考核相結合，將年度整體內部控制評價細分為日常崗位內控評價，加入到員工個人績效考核指標設計中，增強基礎崗位、基層員工的風險管控意識，實現全員參與，才能達到最佳的效果。

4.加強企業內部流程電子化。隨著IT技術的不斷深入發展，企業中各項流程都可以實現電子化管控，民營中小企業應不斷優化各項流程，逐步實現電子化管控，避免人為管控帶來的主觀因素偏差。同時，電子化流程可以避免信息傳遞時出現延誤、遺漏、不準確等問題，因此在推行內控體系的時候，必須以電子化作為手段，以機控代替人控。

四、結語

民營中小企業作為我國經濟發展的重要基礎，其長期穩定的發展和競爭力直接關系到我國國民經濟的穩定和發展。如今社會，管理水平的高低直接決定一個企業是否具備核心競爭力，而內部控制體系水平的高低直接決定一個企業整體管理水平的高低。從這個意義上來說，內部控制體系的好壞直接決定企業的成功與失敗。隨著經濟的多元化快速發展，企業特別是民營中小企業更應該加快以風險為導向的內部控制體系建設，做到全員內控，才能使企業立于不敗之地。同時，內部控制體系的完善是一個長期持續的過程，關于內部控制改善的探索會一直持續下去。

（作者單位為北京中視浩誠國際廣告有限公司）

參考文獻

[1] 羅莉.基于風險導向的中小企業內控問題以及解決途徑探索[J].財會學習，2020（13）：252+254.

[2] 趙基全.企業內部控制優化“三步式”方法探究[J].會計之友，2020（12）：84-88.

[3] 周婷婷，張浩.COSO ERM框架的新動向[J].會計之友，2018（17）：82-85.