注册会计师帮助小企业搭建内部控制体系探讨
2015-10-23李津
李津
摘 要:小企业内部控制薄弱,使得企业的经营前景面临巨大的风险和不确定性。然而,由于对内部控制的重要性和急迫性普遍认识不足,以及出于对建设内部控制体系的成本考虑,小企业业主通常对内部控制的实施采取敷衍和拖延的态度。如何帮助小企业搭建内部控制体系,是世界各国注册会计师长期以来面临的难题。从我国小企业的实际情况出发,建议注册会计师根据《企业内部控制基本规范》规定的五个内部控制要素逐一与小企业业主及高管进行解释、沟通、协商、确认,系统化地为小企业搭建内部控制体系框架,以增强我国小企业应对经营风险的能力,提高经济效益。
关键词:内部控制;控制环境;风险评估;控制活动;内部监督
中图分类号:F23
文献标识码:A
文章编号:16723198(2015)20011902
虽然注册会计师(以下简称CPA)是最有资格帮助小规模企业提高内控制度的组织,但他们的建议往往仅集中在职责分工与安全上,使得许多小企业不能全面地认识内部控制,并且认为这些建议是教条主义而不予采纳。笔者认为,CPA应当专门针对小企业,系统性地进行协商,才能帮助小企业正确理解和实施内部控制。
1 内部控制讨论
内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的五个要素是:内部环境、风险评估、控制活动、信息与沟通、内部监督。CPA应以此框架作为目标、操作、报告的基础方向,来对小企业提供建议以提高他们的业务运营水平。
实现企业目标的有关效益的操作包括建议尽量减少错误,以及用在纠正错误所花费的时间。对财务报告的控制目标包括确保所有的交易都能被及时记录。例如,如果销售订单因疏忽而未被结算,相关的收入和应收款项亦会漏记,还会造成销售税金的漏缴。另一个例子是未能及时申报增值税进项抵扣或出口退税,可能导致发生重大的损失。事实上,如果不妥善处理,上述行为对于较小的组织具有重大的影响。
当CPA与小企业所有者接触来讨论加强内部控制的重要性时,不要从一开始就谈内部控制可以减少资产被非法侵吞的风险。而是要从《企业内部控制基本规范》框架下的控制环境要素入手,这些是组成内部控制的关键基石。最本质的是对人的控制。人是驱动组织行为的关键。
CPA应当讨论的是治理结构、机构设置、权责分配、内部审计机制、人力资源政策、企业文化等。然后,CPA应当将讨论拓展到内部控制的其他要素,来推动内部控制的讨论或者咨询。这个讨论对《企业内部控制基本规范》的每个要素进行讨论,与此同时探究小企业如何用最小的费用来提高内部控制要素。
2 控制环境的建设
控制环境是设立标准、程序和架构,是展开组织内部控制的基础。相对于大企业,小企业业主的行为在控制环境中显得极为重要,他们与员工直接联系的更为频繁和密切。另外,公司也要考虑如何为员工分配职责并使员工有责任感。最后,探讨如何招聘到有竞争力的员工包括会计人员。会计人员在小企业中通常仅仅被视为进行记账和成本核算工作,但该岗位常会使风险放大,例如收付款的疏漏会为企业带来资金周转的困难;如果为管理层提供了错误的税率信息,可能导致签订的劳务合同总金额不正确。有效的控制环境给小企业带来的利益,远大于为营造该环境所支出的成本。
发展强有力的控制环境的第一步是为业主辨别和实施组织的价值观,例如在与利益相关者(包括员工、客户和供应商)相处时,致力于追求卓越、诚信,致力于多样性和责任感。高级管理人员和业主需要展示本组织的价值观,因为他们是员工的榜样。例如,某位高管在报销自己的开支时,如果经常违反公司财务制度规定的流程和限额,为自己获得额外的福利。那么他的这种行为就会在组织内传播,引起效仿而破坏员工对财务制度的遵守。
CPA应当通过以下五种行为来提高小企业的控制环境水平:
(1)发展一个正式的组织结构。尽管多数小企业都有自己的组织结构图,但往往其设计得并不科学。小企业业主喜欢管理具体事务而揽权过多,不仅自己身心疲惫,没有精力投入到战略决策的制订中;而且具体事务的工作质量亦不佳,员工因难以获得主人翁感而失去工作主动性。
(2)提供书写的工作职责。
(3)至少每年一次对员工表现进行回顾。员工表现评价应当与薪酬或奖金挂钩,否则难以起到激励效果。
(4)對新进员工进行背景及信用调查。尤其是管理人员,其个人性格往往会对其部门团队的工作情绪产生较大影响。
(5)规范员工行为,总结本组织的价值观和期望员工行为。
3 风险评估的开展
风险评估不仅仅是减少风险,还是管理风险。因为设定目标是风险评估的前提,一个组织应该结合它的使命和愿景,制订全面的战略。根据计划的目标,组织分析威胁目标实现的风险和那些错失的机会。任何风险评估过程必须考虑欺诈风险。
风险可以分为四个领域:财务、战略、运营、遵守。衡量风险的尺度有重要性(金额)及发生的可能性。下一步,组织要对风险进行分级及排序。
例如,一家资产负债率较高的企业就需要认识到再融资的风险。它不容易获得新的低息贷款。对于组织的盈利能力来说,这是一个潜在的风险。企业可以评估贷款利率增加的风险。为了衡量财务风险的重要程度,业主或管理层应使用定性和定量的方法。
先假设三个逐步增长利率点,以检查带来的财务费用冲击,进而测试损益表结果。本例中定性的方法是回顾及审查经济数据,以判定市场利率提高的可能性有多大。如果贷款利率提高的可能性和影响是显著的,那么该组织就要将再融资风险列为高优先级的威胁。
接下来,企业要确定风险应对措施,其中可能包括风险规避、风险降低、风险分担和风险承受。例如,应对利率风险的措施可以有:(1)与贷款人协商利息分阶段增长;(2)吸引股权合作伙伴;(3)放缓增长步伐以减少或消除借款需求;(4)为获得现金和消除债务来剥除未充分利用的资产。
具體而言,CPA可以在组织风险评估过程的中进行的协助有:
(1)与高级雇员和富有经验的工人集思广益研究关于“威胁”到组织的产品、客户基础、优秀的员工和供应商的因素;
(2)为排序在前三名的风险制订优先反应机制;
(3)制订一项计划,日常工作过程中根据风险等级制订决策,由高级别员工负责执行优先反应机制。
例如,如果丢失一个主要客户是重大的风险并且风险响应的选定方法是增加与该客户互动(会议、午餐、社交活动),那么CPA可以向企业建议安排高级别的员工专门针对该事件的风险管理进展进行报告。一个快速有效的方法是测量报告的时间性;如果该高级员工没有时间分配给该客户,那么最有可能的是,非优先级的活动消耗了该员工的时间。
4 控制活动的实施
常用控制措施有:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。对于小企业来说,控制活动至少要包括授权、资产安全、对账、验证、不相容职务分离和信息技术控制。
授权包括对新客户的信用审批、采购审批、供应商审核。
资产安全包括对计算机系统的进行密码保护、制订关于销售演示样品设备的管理制度、进入库房的权限管理等。
对账包括核对明细账,如应收账款、应付账款、完工进度和库存与总帐核对,同样还有银行和现金的核对。一个易被忽视的核对是未完结的采购订单和销售订单的报告。例如,没有适当的序号跟踪机制,预编号销售订单和采购订单将无法被适当地跟踪,然而这种控制因为太耗时或优先级太低常被忽略。有些这样的未结算的订单可能会对企业的现金流和业绩产生巨大的负面影响。
验证包括:(1)收款报告、采购及费用发票等。(2)对新员工进行背景调查。尽管多数小企业都意识到背景调查的重要性,但常常依赖他们的直觉而认为背景调查是不必要的而取消之。但有时员工与前单位解除雇佣关系的原因是因为侵占资产。调查不一定能查出终止劳动关系的真正原因,但有助于雇主不再犹豫或直接否定求职申请人。
不相容职务分离,是指那些如果由一个人担任,既可能发生错误和舞弊行为,又可能掩盖其错误和舞弊行为的职务。即一个人不能处理一个事务从开始授权到财务报表记录结束,即授权、维护到记录由不同的人员负责。一个例子是一个员工编制付款清单,并且在每张支票上盖章;另一个员工负责对支付的记账;第三个员工负责与银行对账。职责分离是一种强大的应对错误和欺诈的工具,但也仍然存在串通勾结的风险,即当两个或两个以上的个人为了他们自己的利益,能够绕过流程,共同规避控制。有些特殊的情况可以请CPA承担一部分职责如银行余额表的对账,可以使许多职责分离的因素得以实现,当然这会发生一些小额的费用,企业必须在控制成本与利益获得之间进行选择判定。
最后,信息技术控制不能被遗忘。安全的系统具有保密性、隐私性、处理完整性和可用性。信息技术控制包括一般控制和应用控制。一般控制包括限制访问,如加密锁、灾难恢复控制。应用程序控制包括限制访问某些程序以及自动控制,如数据的有效性检查以及序列、范围或权限审查。系统安全是整个管理层的责任,而不仅是IT部门负责。企业业主应充分参与系统的规划、开发、实施和监控。
5 信息与沟通
信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息,确保信息在企业内部、企业与外部之间进行有效沟通。信息在两个方向上进行传递:去管理和被管理。沟通包括内部控制责任的培训,创建有效的向上和向下沟通的工作环境,以及良好的文档记录政策和程序。
6 内部监督的执行
如果没有定期监测,控制往往会被削弱。内部控制的这个元素的可以为小企业提供低成本高效益,因为如果由业主或经理及时进行审核是一个非常有效的监测手段。
笔者建议编制一个包含有责任分配和预计完成日期的监督进度表。CPA可以培训业主和管理者,使他们了解都需要搜寻哪些信息。CPA可以建议业主和经理注意审查以下内容:
(1)签署支票前的相关支持文档;
(2)不寻常的账户余额表及损益报告;
(3)应收账款账龄表(至少每月);
(4)应付账款账龄表的报告;
(5)库存报告;
(6)信贷备忘录;
(7)签发的退款记录;
(8)银行存款余额调节表;
(9)账目调整及冲销记录。
小企业业主或经理即使没有具体关心或提问有关特定区域或项目的问题,他也应该表明观点并定期跟进。他也可以要求回答提问和彻底审查所有相关证明文件。以下是一个有效监测的例子:某位员工长期出差,每月寄给公司酒店发票要求报销住宿费。尽管住宿标准在财务制度规定的范围之内,业主仍然要求核实是否存在欺诈情况。经与酒店联系,证实该员工并未住过该酒店。该员工实际住在廉价旅馆并通过使用不正当手段获得高额发票以骗取差旅费报销。
另一个例子是业主或经理审查应收账款的账龄报告。负责催款的员工把这份工作视为优先级最低的,于是就出现了一笔金额较大而拖欠时间很长的应收款。经过跟进后,客户确认该发票存放错误或丢失了;然而,因为时间距原始发票开具日期已久,要获得客户承诺付款的难度明显增加了许多。
7 增加的价值
通过与小企业业主讨论及提供咨询服务,CPA可以为小企业的内部控制带来真正的价值:不仅有效地减少资产的风险如贪污、盗窃、挪用,也可以改善许多其他业务程序和规章制度。控制为小企业提高了管理水平,确保销售能及时回款、现金业务及时入账、费用开支得到监控、税务申报准确、所有费用的支出都有审慎的授权。在这些方面CPA经验丰富。长期来看,小企业因提高内部控制水平而获得的收益将大大超过支付给CPA的服务费。
参考文献
[1]Jill M.D Aquila, Kim Capriotti,Robert Boylan.Guidance on auditing highrisk clients[J].THE CPA JOURNAL,2010,(10):3233.
[2]Michael Bechara,Gaurav Kapoor. Maximizing the value of a riskbased audit plan[J].THE CPA JOURNAL,2012,(3):2829.
[3]Edward Seipp, Deborah L.Lindberg.A Guide to effective audit interviews[J].THE CPA JOURNAL,2012,(3):2627.
