COSO框架下小微企業加強內部控制建設研究

王沈橋 張楚

摘要：在“大眾創業，萬眾創新”的號召下，大批小微企業如雨后春筍般遍地開花，成為了我國國民經濟的重要基礎，但在小微企業創立的浪潮下，卻也出現一批小微企業倒閉退出市場，分析其原因，背后自身均存在內部控制方面的缺陷。現以COSO框架分析小微企業內部控制建設存在的問題，并提出優化內部環境;完善風險評估機制;規范控制活動;改善信息傳遞與溝通;健全監督機制等發展對策。

關鍵詞：小微企業;內部控制;風險評估

中圖分類號：F275.2? ? 文獻標識碼：A

文章編號：1005-913X（2020）08-0147-03

一、概述

（一）小微企業內部控制概念

小微企業內部控制是指由其負責人及全體員工共同實施的，旨在實現控制目標的過程。小微企業內部控制的目標包括合理保證企業經營管理合法合規、資金資產安全和財務報告信息真實完整可靠。

（二）小微企業內部控制原則

1.風險導向原則。內部控制應當以防范風險為出發點，重點關注對實現內部控制目標造成重大影響的風險領域。

2.適應性原則。內部控制應當與企業發展階段、經營規模、管理水平等相適應，并隨著情況的變化及時加以調整。

3.實質重于形式原則。內部控制應當注重實際效果，而不局限于特定的表現形式和實現手段。

4.成本效益原則。內部控制應當權衡實施成本與預期效益，以合理的成本實現有效控制。

（三）COSO內部控制框架

COSO內部控制框架是于1992年9月由美國COSO委員會提出的內部控制綱領性文件《內部控制——整體框架》對內部控制進行高度概括，經過不斷更新發展至今，仍是內部控制的里程碑。COSO內部控制五要素是保證企業內部控制發揮作用的基礎，包含控制環境、風險評估、控制活動、信息與溝通和監控等五個要素。控制環境是企業執行內部控制的基礎，主要由組織結構、人力資源、企業文化等要素構成，是內部控制建設的根基。風險評估是指企業在發展過程中，根據設定的目標對內外部風險的識別、分析和評估風險對企業產生的負面影響和不利后果，并及時采取適當的應對措施的過程。控制活動是指企業在風險評估之后，通過采取一系列的政策和程序來管控企業的經營管理，使風險控制在企業可承受的范圍之內。信息與溝通是指企業應及時、準確收集、傳遞與內部控制相關的信息，確保信息在企業內部和外部實現有效溝通。監控是對企業內部控制設計與執行情況進行評估的過程，發現內部控制存在的缺陷并進行整改。

二、存在的問題

（一）治理結構不健全

小微企業規模較小，管理權集中，經常出現董事長和總經理的交叉任職，董事長一人大權獨攬，管理者自身的素質及教育背景往往并不高，經營風格常常帶有家族性色彩，其決策必然缺乏足夠的科學性和合理性，監事會設置的形式意義大于實際意義，也并不能對董事會及其決策真正起到監督作用，缺乏相互間制約，治理結構的缺陷明顯。管理者的個人意志凌駕于內部控制制度之上，企業組織結構沒有完善的規劃設計，對于員工的選聘與考核也缺乏規范的管理，員工勝任能力難以保障，而且在企業上層結構的管理下，集體舞弊的現象也時有發生，內部控制制度無法發揮實際作用。

（二）風險評估意識不足

小微企業發展起步較晚，對于內部控制的認識也是剛剛建立，并不了解內部控制對于企業經營發展的意義。小微企業對于風險評估常不能給予足夠的重視，這也與企業目標設定不清存在直接關系，目標設定是風險評估的前提，小微企業很難對其未來的發展戰略明確定位，進而也無法制定出業務層面相應的合規目標、經營目標、報告目標及資產安全目標，不能有效識別企業面臨的內外部風險，對于風險可能帶來的不利影響和負面后果的估計通常不足，對其自身的風險承受能力缺乏全面清晰的認識，部分小微企業的決策者考慮應對風險的短期成本較高，未能進行長遠效益的籌劃，無法采取有效的風險應對措施，員工風險防范能力較弱阻礙企業的長遠發展，風險評估整體意識不足。

（三）控制活動不完善

小微企業常存在職權劃分不清，員工無法清楚了解其承擔的工作職責，沒有明確的界定，同時由于規模及成本的限制，往往不能完全實現不相容職務的分離，一人擔任多個崗位的情況比較常見，這就給企業內部人員串通舞弊、濫用職權留下了空間。小微企業授權控制不規范，授權范圍并不能涵蓋所有的經營活動，臨時性授權的比重較大，缺乏清晰的授權批準層次，更不具備規范的授權批準程序。小微企業對預算的控制沒有足夠的重視，資金管理比較混亂，缺乏系統的計劃。小微企業作業流程管控不嚴，信息化程度低，財產保護措施得不到有效執行，忽視內部報告控制及會計系統控制，并不能落實內部控制制度的要求，主觀隨意性高，對于國家相關優惠政策了解不充分，導致企業成本的增加。

（四）信息與溝通效率低

小微企業受人員配置不足的影響，一人身兼多職，工作任務負擔重，常會出現信息傳遞不及時，方式相對單一，傳遞信息依賴于口述或微信等非正式溝通社交軟件，企業例會制度不完善，不能通過正式溝通方式進行討論，對于工作問題不能做到集思廣益，而且小微企業管理層次較少，員工擔心自己的績效考核受到影響也不愿把對企業的真實想法反饋傳遞給上層，信息溝通不暢。同時，小微企業人員素質參差不齊，對于外部信息了解并不敏感，不能及時把握市場的最新動態，對于國家相關政策的理解程度難以得到保證，容易錯失企業發展機遇。

（五）監督機制失效

小微企業的主要關注點在于如何獲取利潤，缺乏科學有效的內部監督機制，對員工工作表現的監督側重于結果評價，而忽視過程監督，更缺少對于管理者的有效監督。企業監督制度的制定得不到有效的執行，監督制度流于形式，而且小微企業通常不聘請外部審計人員對企業定期開展監督工作，僅依賴于企業的自我監督，對于內部控制的建立與實施并不能起到真正的監督作用，很難發現企業存在的內部控制缺陷，也就無法提出相應的整改方案，內部控制的作用也被大打折扣。

三、發展對策

（一）優化內部環境

內部環境是小微企業內部控制發揮作用的基礎，小微企業治理結構不完善也是內部環境存在的缺陷。優化小微企業的內部環境也應先從改善治理結構入手。完善治理結構，形成股東會、董事會、總經理間有效的制衡安排，監事會要形成對董事、經理及其他高級管理人員的有效監督。面對小微企業普遍不重視內部審計的問題，應在企業內部雇傭內部審計人員直接受監事會的領導，有條件的企業還可以聘請獨立董事和外部審計機構，對企業人員的履職情況進行審計，定期將審計結果反饋給企業所有者，所有者收到審計人員的反饋后應積極回應，并針對其存在的內部控制缺陷制定適合的整改方案。小微企業內部機構也應根據自身的內部控制目標、經營規模及業務內容科學設置，形成各司其職、職責明確的組織安排。

（二）完善風險評估機制

完善風險評估機制將直接影響到小微企業的生存壽命，小微企業往往因為其自身抗風險能力差，又缺乏對自身風險偏好和風險容忍度的正確認識，不能以風險組合觀看待風險，在風險來臨之時，敗下陣來。我國于2017年6月發布《小企業內部控制規范》強調進行風險評估對于小企業的意義，忽視風險評估、只顧眼前利益的小微企業無法實現可持續發展。小微企業完善風險評估機制，首先董事會應與員工進行有效溝通后制定適合企業發展的戰略目標，并為其實現制定相應的戰略規劃和資金預算方案。同時建立負責風險評估工作的領導小組，提高對于風險評估的重視程度，如若小微企業自身人員素質滿足不了風險管理的需要，可聘請外部專家提供技術支持，由風險管理小組人員選擇適當的風險識別方法，對在企業經營過程中可能遇到的內外部風險進行全面評估，制定小微企業風險評估方法及標準，深入分析識別出的風險會對企業可能造成的負面影響并對影響程度進行劃分，根據風險可能造成的負面影響和風險發生的可能性選擇適當的風險應對措施進行風險管理，要注意的是小微企業不應只關注風險應對措施的眼前收益和成本，要充分評估其長遠效益，根據風險的特征和可供選擇的風險應對措施有效應對風險，將風險控制在企業風險承受能力范圍之內。

（三）規范控制活動

小微企業在內部控制設計和執行方面，對于控制活動缺乏行之有效的政策和規范的程序。小微企業受到其企業規模和成本的限制，控制活動很難做到全面細致，但也應規范控制活動，提高內部控制執行的效果。小微企業的權責分工要明確，合理設置不相容崗位，確保不相容崗位不由同一人兼任，并合理界定業務申請、審核、執行、記錄及監督的范圍。小微企業應嚴格管理企業授權審批范圍，制定明確的常規授權和臨時性授權的業務范圍，避免隨意性主觀授權，確保企業員工在其職責范圍內行使權力。小微企業應進行資金預算，對企業的經營做好年度規劃，加強財產保護控制，嚴格執行國家規定的統一的會計制度，明確會計業務的處理程序，聘請符合企業需要的會計人員或委托具有相應資質的的代賬公司處理會計業務，加強單據控制和會計檔案管理，嚴格落實責任人，保證財務報告的真實完整。具有條件的小微企業應選擇適應其需要的信息系統輔助企業運營，并加強對信息系統的控制，提高企業經營效率和效果。小微企業應盡可能地建立適合企業具有自身鮮明特色的內部控制制度，以制度形式約束企業各項業務流程，保障內部控制效果。

（四）改善信息傳遞與溝通

面對小微企業在內部信息傳遞上不及時的問題，可以利用現在被廣泛應用的釘釘等專業辦公軟件，實現信息高效傳遞的同時，實現資源的有效共享。小微企業在內部控制的實施過程中，可以采用適當靈活的信息溝通方式，有條件的企業可以采買OA辦公系統完成數據的統計與處理，以實現小微企業內部管理層間、職能部門間，以及與外部投資者、債權人、客戶和供應商等有關方面之間的信息暢通。同時，小微企業還應不斷拓寬其溝通渠道，例如建立意見反饋信箱，鼓勵員工發表對企業的真實想法和建議，并對員工反饋的意見予以重視，適當獎勵建言獻策的員工，也要保障反饋意見的員工權益不會受到影響。

（五）健全監督機制

小微企業本身受制于企業規模成本的限制，建立的內部控制制度很難做到全面，對內部控制的執行情況的監督也不能給予足夠的重視，缺乏健全的監督制度約束和規范監督行為，其內部控制的作用便難以得到保證。小微企業在進行內部控制設計和執行后，應對內部控制設計和執行的健全性、合理性和有效性進行監督控制，根據企業需要健全其監督機制，堅持日常監督和專業監督相結合，選擇具備內部控制監督勝任能力的人員履行監督職責。內部控制監督應做到自我監督和外部監督相結合的方式，內部控制執行人員要進行自我監督，具備條件的小微企業可以在企業內部設立內審部門或外包內部審計業務，從而提高內部控制監督的獨立性和質量。同時為了保證內部控制監督能夠有效進行，應將內部控制監督結果納入績效考核的范圍，引起企業的重視，對監督發現的內部控制缺陷進行及時的整改。

四、結語

小微企業本身抗風險能力較差，要想實現企業的戰略目標，更應對其內部控制予以全面的重視，從內部控制的控制環境、風險評估、控制活動、信息與溝通及監控五個方面出發，切實改善其內部控制的設計與執行，建立健全其內部控制制度，才能增強其應對風險的能力，從而提高其市場競爭力，實現企業快速、穩定、長遠發展的目標。

參考文獻：

[1] 徐 萍.小微企業內部控制的現狀及改進措施[J].現代商業，2019（24）：121-122.

[2] 朱 姝.“雙創”型小微企業內部控制建設問題初探[J].中國商論，2017（12）：102-103.

[責任編輯：龐 林]