中小企業完善內部控制體系面臨的困境及對策建議

趙曉林

（港揚食品有限公司，江蘇 揚州 225000）

一、中小企業完善內部控制的作用和意義

企業構建完善的內部控制體系，是提升企業運營效率、效果的需要，是防范企業內部風險的需要，也是提升企業核心競爭力的需要。完善的內部控制體系是衡量企業經營管理水平的重要標志之一。通過加強內部控制可以控制企業財物的保管和使用，能夠有效預防和減少企業資產被損壞、浪費、挪用、盜竊以及其他不合理問題的發生；通過加強內部控制還可以及時識別企業管理中的潛在風險，做到事前預防、事中控制、事后糾偏，防范和化解企業經營管理中的風險。

企業在充分分析、慎重考慮風險的基礎上做出合理的應對決策，可以提升組織的運營效率，提高公司治理水平，使經營管理工作更加規范、有效，有利于實現企業發展戰略目標；內部控制通過規范企業業務處理程序，基于不同崗位進行分工控制、協調和考核，促使各部門或人員履行職責、明確目標，以職務分離和賬目核對為手法，使各項業務在互相牽制、互相監督的條件下進行，從而有效地控制錯誤和非法活動的發生。在很大程度上保證財務數據的正確性和可靠性，準確、可靠的財務數據是企業經營管理者檢視過去、控制現在、預測未來、調整企業運營策略的必要條件；企業生產和經營必須遵守相關的法律法規，在法律法規范圍內運營，科學、合理的內部控制體系，能把各項法律法規及政策落實到位，通過實施內部控制進行自我約束，合理保證企業經營管理的合規、合法，使生產和經營符合政府部門等監管的要求。

二、中小企業完善內部控制體系存在的問題

（一）對內部控制存在認知誤區，阻礙了內部控制價值的發揮

部分中小企業的管理者對內部控制的認知存在誤區，他們或是錯誤地認為內控就是老板控制員工，是上級對下級的控制，是對某個部門或某個職能的控制；或是錯誤地認為內部控制就是領導簽字審核，制定打印一堆制度，梳理一套流程；甚至錯誤地認為內部控制就是為了應付監管機構，對企業的經營管理無法產生價值，還會增加工作量。

一些因素阻礙著企業內部控制價值的發揮。首先，內部控制一般是針對經常或重復發生的業務設置的，具有相對穩定性，但隨著企業生存環境的變化、信息技術的進步，如果出現不經常發生或未預計到的業務，現有的內部控制可能會無法全面覆蓋，甚至導致失效。其次，內部控制是由人來設計和執行的，因此也會受設計人員知識經驗的限制，執行人員控制意識的缺失以及疏忽大意、精力分散等原因而出現判斷錯誤或人為失誤導致內部控制失效；或因企業內部控制的執行人員未理解內部控制的核心要求，或者專業素養無法支撐實操落地，造成內部控制不能充分發揮效用。最后，中小企業構建內控體系，從無到有，再到實施，往往會調整和規范很多工作流程，可能導致相關部門或崗位的工作負擔增加；內部控制也會導致企業管理成本上升，一些企業決策者出于成本效益的權衡而不支持建立內部控制體系。

（二）中小企業治理結構、機構設置及權責分配不合理

對于部分中小企業而言，公司治理結構不夠健全，缺乏科學決策、良性運行機制和執行力。內部機構設計不科學，權責分配不合理，可能出現機構重疊、職能交叉或缺失、推諉扯皮的現象。有些中小企業，特別是家族企業，在流程設置或者權限分配過程中多是基于關系的親疏，在關鍵崗位會任用家庭成員，可能導致內部控制的管理效果打折扣。內部控制涉及企業中所有層級、所有人員，處于不同層級的人員或部門在內部控制系統中可能擁有大小不等的業務處理與決策權限，超越職責權限會打亂正常的內控程序和業務流程，為徇私舞弊、違法亂紀行為的發生埋下隱患。此外，管理層越權往往是重大舞弊案件或虛假財務報告發生的重要原因，進而影響到內部控制的成效。

（三）未建立完善的內控機制，或因缺乏有效落地手段，最終流于形式

根據海恩法則，任何不安全事故都是可以預防的。每一起嚴重事故的背后，必然有29起輕微事故和300起未遂先兆以及1000起事故隱患。這說明，風險雖然不可控，但可以提前分析認知，提前做好應對準備，可以降低不確定性，避免不必要的損失。但一些中小企業管理者往往輕視管理中遇到的問題，淡化管理中的危機。僅僅憑借本能與直覺，通過不斷試錯來總結管理中的得與失，直到重大危機爆發，犯了掩耳盜鈴的錯誤，企業缺乏風險預防和規避風險的能力。

具體來看，有的中小企業雖然建立了內控體系，但照搬模板、追求形式、缺乏有效的落地手段，最終內控體系流于形式，執行力低下成為很多中小企業面臨的現實問題。在大多數企業中，風險事件的發生不是因為內部控制體系的缺失，而是因為內部控制未得到有效執行。有的企業只有空洞的制度，基本看不到具體的流程設計、工作標準或具體職責；有的企業雖然在制度上設置了層層控制，但關鍵內部控制崗位人員幾乎“閉著眼睛”簽字；有的企業管理者帶頭不遵守內部控制的要求，將自己的權威凌駕于已有的管理控制體系上；有的企業內部控制就是固定的流程、步驟和表單，企業內部控制應隨著企業管理模式、經營環境、信息技術發展等原因同步修訂、補充和完善，否則內控就難以發揮應有的作用。

（四）缺少高素質的專業人才

內控工作不僅要求內控人員懂專業、有實踐經驗，還需要知識結構多元化，通曉財務、法律、管理等知識。除此之外，內控人員還需要深刻理解組織的戰略及未來規劃，在建立與高級管理層良好合作關系的同時，也要有解決問題、協調溝通的能力，既要堅持原則又不失靈活性。內部控制可能由于兩個或更多的人員串通或管理不當，尤其是不相容職務的混同而失效，所以，內控人員職業道德水平的高低和專業能力的強弱將直接決定內部控制流程的執行效率與效果。但對于中小企業，特別是家族企業而言，他們錄用過多的家庭成員，為了節省成本不愿意增加崗位，也無法做到定崗定編，優秀的人才基本不會考慮中小企業，企業內缺少高素質員工，專業人才的短缺造成了部分關鍵控制措施無人執行，制約中小企業內部控制體系的建設。

（五）信息傳遞不及時，溝通效果不理想

信息溝通是企業一系列內部控制措施能夠有效執行的前提條件，信息資料公開、共享能降低信息不對稱的風險，例如，如果企業對于法律法規的修訂不了解，就存在觸犯法律法規的風險。隨著互聯網及信息技術的快速發展，市場環境變化越發復雜，快捷、準確的信息傳遞成為促進企業規范運作和發展的保障手段。但是，由于企業組織架構、職能邊界及與之對應的利益格局的影響，會導致信息輸出方可能不配合信息輸出或輸出信息質量不高；或者盡管企業已建立信息傳遞機制，但由于信息輸出方與接收方存在專業業務上的隔閡，導致信息無法被傳遞和應用。內部信息系統缺失，功能不健全，導致內容不完整、信息虛假或不準確、信息提供不及時，或者提供的相關信息未被有效利用、內部信息泄露等，會誤導信息使用者，導致決策失誤或延誤，增加企業的經營風險，削弱企業的核心競爭力，進而影響企業生產經營的有序進行。

三、中小企業完善內部控制體系的對策建議

（一）高度重視內部控制的作用，發揮內部控制的價值

內部控制向上涉及企業整體戰略，向下涉及企業日常運營，企業管理層應樹立正確的企業內控觀念，明確建立內部控制體系的必要性，并保證內部控制設計與執行的有效性，這是應對風險、實現穩健經營的必要條件。企業內控體系應根據整體戰略制定控制目標，識別可能威脅目標實現的主要風險，進而根據風險評估結果制定相應的控制措施。內控不是一套靜態的管理制度，也不是一成不變的控制措施，而是動態的管理過程，隨著企業生存環境的變化、信息技術的進步及時修訂、補充和完善，建立與企業自身的發展緊密結合的長效機制。中小企業在設置內部控制體系時，要充分考慮企業所處階段和檢查性控制措施的完善情況，保證每一個流程與控制點的合規性，企業可以聘請外部咨詢顧問，梳理風險點，建立內控體系，交由組織內部執行與完善，也可以招聘專業人員搭建、磨合與完善內控體系。

（二）制定適合企業發展的治理結構及權責分配機制

企業應梳理現有的治理結構和內部機構設置，對各機構的職能進行科學、合理的分解，合理設置內部職能機構，明確各職責權限、任職條件、議事規則和工作程序，避免職能交叉、缺失或權責過于集中，企業在確定職權和崗位分工的過程中，應當明確各崗位的權限和相互關系，體現不相容職責，形成各司其職、各負其責、相互制約、相互協調的工作機制，確保決策、執行和監督相互分離，形成制衡。定期對組織架構設計與運行的效率和效果進行全面評估，發現組織架構設計與運行存在缺陷的，應當及時優化和調整，及時解決內部機構設置和運行中存在的職能交叉、缺失或運行效率低下等問題，從組織設計上保證內部控制的獨立性，增強內部控制工作的有效性。

（三）實現風險控制的常態化和系統化，促進內部控制體系落地

風險是內部控制的出發點，也是內部控制的落腳點，結合未來將要開展的業務活動，積極、系統地開展風險識別與評價，基于風險識別與評價結果，積極、專業、系統地設置控制措施，并匹配控制措施落地手段。有效的風險控制需要嵌入企業的各個層面和各個部門，與企業的各項業務活動、管理流程相銜接，發現重大風險點，找出日常控制點，建立管理制度和業務操作流程，實現風險控制“常態化”“系統化”。一家企業只有建立了完善的內部控制體系，很多經營風險在萌芽階段才能通過內部控制體系的有效運行進行預防和控制。

企業為了實現內控制度的有效落地，應從內控制度自身管理及其相關主體協調兩個角度出發，落實關鍵管理活動。實施制度專業歸口管理、制定清晰的整體制度框架及制度類別與層次體系、明確與制度管理有關的配套流程、權限和標準。并在企業內部實施強有力的貫徹和宣傳，對制度運行情況有效跟蹤和反饋，提高內控制度的“可操作性”。

（四）加強人力資源管理

企業需要在內部控制流程的基礎上，進一步在崗位價值評估、人才甄選、薪酬體系和績效考核部分制定更加適合企業現狀的專項方案。合理地設置崗位，建立崗位責任制，清晰地規范崗位職責，加強對關鍵崗位與核心人員的引進，關注并合理評估招聘對象的專業勝任能力和職業素養。建立信息溝通機制，加強任職跟蹤管理，及時修正各崗位的具體工作事項。制定合理的培訓計劃，確保培訓效果，并使培訓成果充分服務于企業。激勵與約束相結合，建立具備競爭力的薪酬制度，并與工作績效相掛鉤，以提高員工忠誠度和工作積極性，從而使員工為企業創造出更多的價值。

（五）構建高效的信息傳遞和溝通機制

針對信息傳遞壁壘，制定正式的信息溝通職責、權限、程序，并設置必要的溝通保障機制；針對信息專業壁壘，調配企業內部專業力量，引進第三方專業力量，或者將強的專業化信息轉化成弱的專業化信息。綜合評估信息的價值及信息獲取難度，收集最具有價值的信息，建立規范的內部信息報告審核制度，編制內容全面、通俗易懂、符合多層次人員需求的內部信息報告。設定嚴格的內部信息報告傳遞流程，確定內部信息報告傳遞的方式、時間、保密程度等。保證組織具有可用于規劃、進行監督、遵守法律法規所需的信息。

建立信息化管理系統。首先，要夯實管理基礎，在梳理現有業務流程和管理制度的基礎上，規劃未來信息化管理系統的運行，與各相關方進行溝通和協調；其次，在開發的過程中，要充分考慮風險點及其控制措施、權限設置、數據和文檔保留等，尤其要考慮未來的業務和技術趨勢，關注系統未來的可拓展性；最后，完善授權管理及信息安全管理。信息化管理系統的建立，意味著相關部門作業方式的改變，甚至是思維方式的改變，這會給不適應現代信息技術的人帶來很大的困擾，因此，最好使用循序漸進的方式實施。