應用COSO-ERM理論指導中小企業內部控制

譚李霖

相較于經營成熟或大體量企業，中小型企業由于資金供應不足、規模較小、發展導向偏移性等問題，企業日常經營管理內部控制意識薄弱;崗位設置不合理，崗位職責需清晰界定及牽制;風險識別及控制能力有待提升;監督活動實施不到位等亟待解決及優化的問題。文章基于COSO-ERM框架中有關內部控制的相關理論，結合中小企業特點，融合COSO-ERM框架中“環境構建、積極監督、風險應對”三要素，對中小企業內部控制存在的問題提出針對性地解決策略。

內部控制對于企業而言，是否能有效識別及解決風險問題、形成合理的經營管理環境等具有不可或缺的意義。不同規模的企業，對于設計內部控制體系及具體的執行具有不同的指向性，對中小型企業而言，由于規模、資金、領導人意識等多種因素，在內部控制體系上可能難以實現“盡善盡美”，如何制定出一個符合企業發展需求及現實狀況的科學合理的內部控制措施，是中小企業更好地實現盈利、降低經營管理風險的重要助推器。文章借助COSO-ERM理論，分析中小企業內部控制存在的問題，對中小企業的內部控制措施制定展開討論。

一、相關理論概述

（一）內部控制

伴隨企業規模的逐漸擴大發展，企業內部控制的制度也會愈加完善。企業通過對日常的生產活動進行有效的監督和控制，以保證企業得以長期的發展。內部控制和其他經營管理活動同樣是一個動態機制，是一個連續變化的過程，企業制定內部控制制度后，其并非照本宣科、一成不變地執行，而是根據企業運營情況及管理環境變化不斷地進行改良與完善，就發現的問題及反饋的解決問題效果逐步進行循環往復地質量改進。

（二） COSO-ERM理論

COSO-ERM是COSO委員會繼“內部控制-整體框架”（COSO 報告）后又一次起草的聚焦于企業風險管理的標準框架，其貫穿企業的經營活動，能夠加強管理層識別、評估潛在經營風險的能力，提升企業對各項風險的應對能力，以維持企業可持續性穩固發展。COSO-ERM框架對內部控制的建設提供了指導性的方案，在諸多企業中已經得到了較為成熟的應用。

（三）中小企業實施內部控制的意義

1.實施內部控制幫助中小企業構建出優良內部環境

財務工作的管理直接影響企業的利益，通過內部控制，可推動企業建立健全財務會計制度，明確各崗位的職責，財務人員履行相應制度，規范自身行為，強化業財融合進度。同時，內部控制有助于企業中家族成員的權利收束，對其進行限制，優化中小企業內部環境，實現高效內部控制目的。

2.實施內部控制可促進中小企業財務活動的規范開展

完善內部控制，可確保財務會計更為有效地執行相關制度，確保企業資金管理科學，提高資金使用效果，同時開展財務內部控制是規范財務會計行為與企業財務活動的關鍵措施，可以確保企業財產物資用到實處，為財務評價提供切實可靠的依據。

3.實施內部控制可保障企業財務信息的真實可靠性

財務內部控制相關制度的完善，可以為財務會計提供可遵循的制度規定以進行會計核算與財務管理，同時內部控制需要設立完整的獎懲制度，其可以提高財務會計人員的工作積極性與有效性，確保會計信息真實可靠。

4.實施財內部控制有助于提升中小企業應對風險的能力

財務內部控制的實施可以強化企業財務活動的過程管理的監管質量，對財務預算、財務控制、財務分析與評價分別實施事前管理、事中管理、事后管理，可以將企業業務活動、財務活動有機融合，確保其有序、科學開展，預防企業財務風險的發生，從而規避企業財政危機，防止資金鏈斷裂。

二、中小企業內部控制存在的問題分析

（一）內部控制環境尚未有效構建

1.對內部控制的重視不足，內部控制的意識薄弱

中小企業的特點是產權主體單一，所有權、經營權集中于少數人身上，由于管理人員多是依靠冒險精神或機遇完成初期的資金、資源積累，其對于企業內部的控制管理往往不夠重視，不具備內控意識，且不了解內部控制措施，做決定、進行監督管理都很隨意，導致內部控制制度未建立或不夠完善，甚至會有少數管理者認為內部控制會影響企業的正常發展。筆者經手處理的一家企業，其領導人則表示中小企業的員工不多，實施管理可能會對員工的工作積極性起到反作用力，這樣的意識對于企業經營管理來說僅會“弊大于利”。而還有的企業僅是建立了內部控制的外殼，空有制度，缺少變化，并沒有理解到內部控制動態特點，內部控制是根據外部環境變化、企業經營目標變化而不斷進行修正與完善的動態管理方法，一旦企業發展變化，原先內部控制制度不變化，就會出現發展問題。有的企業在未充分了解自身情況的前提下，生搬硬套其他企業的內部控制制度，以此敷衍上級部門檢查，其基礎都沒有建設好，實際實施效果也可以預見，必然不理想。

2.崗位設置不合理，崗位職責需清晰界定及牽制

由于中小企業具備經濟規模小、主營業務單一、員工少等特點，其不能像大企業一般做到一崗一職，人員配置專業對口，常常會出現一人身兼數職的情況。而且，大多數中小企業并未明確崗位職責，員工若工作出現紕漏，在事后進行糾察時會相互推諉，無法找到負責人對事件負責，一方面降低工作效率，另一方面也會影響制度張力，使得內部控制制度難以實施。例如，多數中小企業存在沒有建立會計人員分工中內部牽制制度、重要空白憑證保管制度、常規票據分管制度等，由于制度不明確，會計人員無法履行職責。而崗位職責不清楚則會引發下列問題：（1）會計檔案管理不完善，報銷審批往往存在漏洞;（2）部分企業甚至是個人持有企業管理票據與印章;（3）企業重要票據領用銷號制度未嚴格執行，或不按序編號，部分入賬單無申領人、未驗收、無實際用途。因此，做好人力資源管理及崗位協調對于業務開展能起到降低錯誤、風險發生的作用。

（二）風險識別及控制能力有待提升

中小企業在生產、經營與發展的過程中需要面臨多種多樣的風險，根據風險形成的原因可分為財務風險及經營風險兩大類。只有對風險的種類、嚴重程度、是否在可承受范圍等進行評估與判斷，開展有效的防控措施，才能確保企業穩定、健康發展。但目前我國多數中小企業并不具備風險防范意識，也未建立完善的風險管理方案，雖然市場競爭越演越烈，但企業并未因此考慮強化風險管理內容，也并未學習新的風險評估方法。加之，大部分中小企業并未建立完善的組織架構，公司內部管理機制缺少約束，更多是管理層主觀決策，出現判斷失誤的情況極多，經常是已經發生問題且造成嚴重后果后才去補救。當前中小企業最急需解決的問題即是制定或健全正確的風險評估體系，缺少事前、事中控制。

（三）監督活動實施不到位

內部監督分為專項監督與日常監督，其中專項監督是指在企業制定發展戰略、生產經營活動、調整組織結構、關鍵崗位員工調整、業務流程進行時等情況下，通過內部控制對其中細節進行針對性的質量監督檢查;日常監督則是企業對內部控制的落實情況、運行效率進行常規、長期的質量監督檢查。除此外，企業還需要結合日常監督、專項監督情況，定期進行自我評價以評估內部控制有效性。中小企業缺乏專門的內審部門，一般對日常采購、應收賬款、費用支出、季節性商品銷售、季度財務狀況的款項進行日常或專項審計等工作均由財務部門包攬，無第三方有效監管，難免出現問題，如內審人員不認識監督審計對象，其他部門同樣對此了解不充分，工作往往配合度不夠，工作效率不高等。一般情況下，中小企業的內部監督功能是被弱化的，這是因為實施高質量的監督與評價需要建立獨立的內審部門，而創業型的中小型企業并不具備足夠的人力、物力、財力用以新建部門。

三、COSO-ERM理論下解決中小企業內部控制問題的思路及策略

（一）運用思路

COSO-ERM框架總共歸納為8個風險管理要素，筆者對其進行進一步梳理，總結為三個層面，其環環相扣。

第一層是“企業內部環境的基礎控制”，基于內部環境的狀況開展高質量控制活動可預防企業生產經營中可能存在的風險，同時及時發現已產生的風險，開展有效干預，形成良好監督循環。第二層是“企業各項工作的監督循環”，當第一層循環活動運行良好時，監督系統會反作用于內部環境，對其形成監控、督導、引導，維持內部環境高效運轉，為下次管理循環提供正向的促進作用。第三層是“企業發展戰略的循環”，本層循環的核心不僅在于企業內部環境，還要重視外部環境管控的協同，需要著眼于宏觀與微觀兩個角度，通過前期風險識別，結合企業內外部環境制定恰當的防控戰略。另外，針對企業的發展戰略，應當放眼未來及整體市場，針對業務、財務等各方面的潛在風險進行預防性控制，從而可以避免風險發生，或降低已發生風險造成的損失。控制活動的設計與執行直接決定企業的風險反應能力，通過積極對潛在風險的識別與制定應急預案，維持內部控制活動的正常運行，進而強化監督質量，進一步推動內部環境良好運轉。

（二）運用策略

1.優化中小企業的內部控制運行環境

COSO-ERM框架中最基本也是最重要之一的環節即是環境構建，是確保內部控制有效實施的先決條件 。

首先，管理層應當重視內部控制意識的培養。中小型企業管理者個人素質良莠不齊，要想在職員工接受內控建設，就需要先行培養自身內控素養及能力，做好“欲正人先正己”，提高員工號召令。同時，各級管理者應當發揮模范帶頭作用，以身作則遵守各種內控制度，才可有效說服全體員工共同為建立良好的內控環境、培養先進的內控意識而努力。

其次，企業應當設立員工崗位分離制，通過設計參考表，劃分彈性分離崗位及強制性分離崗位，以此解決中小型企業職責分離界限不清晰的情況。另外，為確保人力資源管理制度科學合理，對具有良好職業操守、有豐富工作經驗、能力突出的員工優先招聘，建立科學的員工管理制度，員工考核及任務完成情況要公平、公正、公開，切實落實賞罰并重制度，堅決落實內部控制，促進權、責、利的有機統一。

最后，企業應采用定期會議與臨時會議兩種方法，其中定期會議可以每周周一舉行例會，對上周經營管理中存在的問題進行復盤，提出解決方案，針對未來一周的經濟管理方法進行探討，詳細規定與會人員級別，讓基層、中層、高層人員均能進行有效溝通與互動，提高經營管理問題的發現與解決效率。

2.加強監督機制建設

從COSO-ERM框架的構建過程及其具體內容而言，風險管控中的信息溝通、監督、控制等環節對企業經營管理有效性的意義至關重要，企業領導人應充分重視制定有效的監督機制。

3.強化風險意識，進行全面的風險管理

精準有效的風險評估是提高企業內部控制效果的關鍵，企業競爭伴隨經濟增長越演越烈，這也導致企業經營風險增加，COSO理念下主張內部控制不能脫離外部環境以及企業內部風險因素，應當從實際環境以及風險情況入手進行分析，制定風險預警及處理措施。

首先，提升全員對風險防范的意識。首先，企業從基層員工入手，開展培訓強化其風險意識，指導各部門、各單位就當前自身業務存在的潛在風險進行梳理，通過長期跟蹤、針對預防等方法化解風險。其次，企業管理層擬定全面經營目標，不可僅局限于公司經營，而是要從公司經營、合規性、資產完整等方面考慮。再次，企業利用多種形式培訓，教導員工關于風險管理的知識，提高其風險識別能力，從而對自身業務中存在的風險及公司內外部的風險進行有效甄別，進行合理預防與化解。最后，企業管理層組織各部門針對自身情況擬定風險應急預案，發揮領導層在運營中的指揮作用，同時在應急預案落實時做好監督工作，保證應急預案實施效果。

其次，需要對內外進行分析，對外分析外部市場、機遇與威脅，考慮企業是否有生存機遇，懂得規避財務風險、成長風險、責任風險、道德風險、信息化風險、人力資源風險。對內則將重點聚焦在自身優劣勢分析上，結合長處考慮機遇，運用良好的風險評估提高企業內部控制效果。目前市場競爭逐漸激烈，公司面對的經營風險種類在變化，風險威脅程度也在不斷提高，企業內部控制管理受到嚴重考驗。企業需要做好自身SWOT分析，理解到有效的風險評估是幫助企業防范風險的一道“防火墻”，其可以提高企業臨陣應對風險的能力，維持企業健康、可持續發展。

（作者單位：佛山市恒生會計師事務所）

3002501908287