小型企业内部控制规范的特点研究
2017-06-16陈留平王昊笈
陈留平 王昊笈
【摘 要】 随着我国经济的快速發展,小企业已经成为我国就业的重要途径和经济增长的中流砥柱。2016年财政部发布了《小型企业内部控制规范》的征求意见稿,这一规范对帮助小型企业建立和实施有效的内部控制具有重大的意义。早在2006年,美国COSO就发布了《较小型公众公司财务报告内部控制指南》,这对我国小型企业建立健全内部控制制度具有重要的借鉴价值。文章通过对我国《小型企业内部控制规范》和美国《较小型公众公司财务报告内部控制指南》的比较,解析两者的联系和区别,并在深入分析当前我国小型企业内部控制的特点和存在问题的基础上,进一步就如何有效地建立和实施我国小型企业内部控制提出了建议。
【关键词】 小型企业; 内部控制; COSO
【中图分类号】 F272.5 【文献标识码】 A 【文章编号】 1004-5937(2017)12-0035-03
随着经济的不断发展,小企业如雨后春笋日益发展壮大,已经成为社会就业的重要途径,是“大众创业、万众创新”的新引擎,日渐成为维持经济稳定增长的坚实基础和国民经济的重要支柱。推动和鼓励小企业的发展刻不容缓,对深化我国市场经济体制改革、促进经济转型升级具有重大而深远的意义。2015年《中国中小企业人力资源管理白皮书》调查显示,我国中小企业平均寿命仅2.5年,而欧美中小企业的平均寿命为40年,德国评选出的500家优秀的中小型企业更是有近1/4存活了100年以上。究其原因,是我国中小型企业内部控制存在缺失与不足。
2016年《小型企业内部控制规范(征求意见稿)》(以下简称“《规范》”)的制定,对帮助小型企业建立和实施有效的内部控制,提高经营管理水平,提升风险防范能力,促进小型企业的健康、可持续发展,推动国民经济发展具有重要作用。2006年,美国反虚假财务报告委员会管理组织(COSO)发布了《较小型公众公司财务报告内部控制指南》(以下简称“《指南》”),指导较小型公众公司利用《内部控制——整合框架》设计和实施符合成本效益原则的财务报告内部控制。
一、《规范》与《指南》比较
(一)相同之处
1.发布背景相同
2008年,财政部、证监会、银监会、保监会、审计署五部委联合发布了《企业内部控制基本规范》。《企业内部控制基本规范》对大中型企业比较适用,而小型企业和其他单位只是将其作为实施内控的参照标准。调查显示,一些按照《企业内部控制基本规范》要求建设和实施内部控制规范体系的中小板和创业板上市公司反映,目前企业内控的要求过严、成本过高,在小企业中难以实现和推广[1]。为更好地促进小企业内部控制建设,规范小企业的管理行为,提高风险控制能力,财政部门研究制定了《规范》。
2002年,美国政府在震惊世界的安然事件后,颁布了《萨班斯—奥克斯利法案》(简称《萨班斯法案》),其中第404条款要求公众公司管理层每个财务年度末对其财务报告内部控制的有效性进行评估和报告。COSO1992年的报告和2004年的报告被不同规模的公众公司作为遵从第404条款建设内部控制体系的范本[2]。但《萨班斯法案》过于严格,如果较小型公众公司在执行第404条款时遵循与大型公司同样的标准,其成本难以承受。为帮助较小型公众公司执行第404条款,2006年COSO发布了《指南》。
2.基本要素相同
《规范》中内部控制5要素如下:(1)控制环境是建立及实施内部控制体系的基础。包括行为准则、企业文化、激励机制、内部控制问责机制等众多方面,是各种内部要素的总称。(2)风险评估是内部控制体系建立的基础和调整的依据。企业应该具有及时识别、分析与企业控制目标相关的风险,制定并实施合理的风险管理制度。(3)控制活动是内部控制的核心。风险评估的结果是企业制定和实施控制活动的依据。控制活动是为管理风险,确保企业经营正常进行而建立和实施的一系列规章、程序和措施,目标是将风险控制在合理的范围内。(4)信息与沟通是实施内部控制的必要条件。企业应该建立及时、有效的沟通渠道,完善沟通机制,确保与内部控制相关信息的识别、收集和传递,实现企业内部以及对外的有效沟通。(5)内部监督是确保内部控制实施效果的必要保证。在企业已有的合理、规范、有效的内部控制体系基础上,对其建立和实施进行监督,对其有效性进行评价,识别其缺陷并持续改进。
《指南》也有相对应的五要素。两者都借鉴了《内部控制——整合框架》的内部控制五要素的基本概念,并且都认为这五个要素应该同时存在,相互平衡才能持续运行。
3.原则相似
《规范》的内控原则包括5项:(1)风险导向原则。内部控制应当以风险为出发点,合理利用资源管理风险,重点关注高风险领域。(2)适应性原则。制定和执行内部控制时需与自身的具体情况以及外部环境相适应,不能生拉硬套其他企业的方法和框架,应当随实际情况和环境的变化及时进行调整。(3)实质重于形式原则。内部控制应当选择灵活高效的形式,注重风险管理的实际效果,而不拘泥于特定的方式和手段。(4)成本效益原则。内部控制应当权衡投入与回报,并从整体利益和长远利益的角度考虑,以合理的成本实现预期的控制目标。(5)持续运行原则。内部控制应形成建立、实施、监督及持续改进的循环体系,以确保五要素同时存在并持续运行。
《指南》没有明确写明内部控制原则,但有相对应的原则:(1)以风险为基础,特别关注与关键目标有关的风险。(2)认为财务报告内部控制是有效的记录取决于具体环境和需要。(3)一些内部控制活动,只要管理层能够通过经营活动的正常开展获取证据,那么员工的行为就可能是合适的。(4)《指南》就是要利用《内部控制——整合框架》设计和实施,建立符合成本效益原则的内部控制体系。(5)将内部控制看作一个整合的过程,每一个构成要素都必须存在并发挥作用。
两者比较,虽然说法并不完全相同,但其实质的涵义是基本相似[3]。
(二)不同之处
1.适用范围
《规范》同时适用于小型上市公司和非上市小型企业,并且明确规定不符合小型企业标准的企业应执行《企业内部控制基本规范》。《指南》的使用者是“较小型公众公司”,这表明《指南》适用的公司范围更加广泛,并且COSO认为虽然《指南》针对的是较小型公众公司,但无论它对大型公众公司,还是私人公司和其他组织都同样适用。
2.内控目标
《规范》中规定的内部控制目标是:(1)经营的合法合规。这是企业经营的基本条件。国家制定法律法规以规范市场秩序,保证企业利益,降低社会经济运行成本。企业应依靠有效的内部控制来执行相关法律法规。(2)资产的安全。股东最关心的就是投入资本的安全。企业通过岗位不相容、内部监督和外部监督等内部控制方式确保资产的安全。(3)经营的效率和效果。企业中不同层次和不同部门间通过合理的内部控制达到相互沟通和协调的效果,是提高经营效率和效果的关键。(4)业务、财务和管理等相关信息的真实、准确、及时、完整。决策者依靠信息衡量经营者是否诚实可靠,尽职尽责和值得继续聘用;潜在投资者和债权人需要依靠真实准确的信息来判断企业的经营成果和财务状况,制定投资决策。
《指南》中对内部控制目标的定位是:为帮助管理层建立和维持财务报告内部控制的有效性而制定的。《规范》中的第四个内部控制目标与《指南》的内部控制目标有共同之处,但是《规范》还提出了3个财务报告以外的内部控制目标,更加全面合理。《指南》过分重视财务报告目标而忽视了其他内部控制目标,实际上股东并不一定认为财务报告要比其他公开信息更重要,比如经营效率和效果也极其重要。相比之下,《规范》的四个目标更加合理并且全面。
3.执行要求
《规范》是国家财政部门颁布的法规,对我国小型上市公司具有强制性;对自愿执行的非上市小型企业主要起指导性作用。美国证券交易委员会没有将COSO框架作为内部控制强制性标准,而《指南》只是为小型公众公司如何应用COSO框架提供了指导,并不具有强制性。
二、《规范》特点
(一)提高内部控制规范的地位
《规范》是继《企業内部控制基本规范》之后,我国出台的又一部有关内部控制的法案。《企业内部控制基本规范》被世人赞誉为“中国的萨班斯法案”,《规范》的提出是中国企业进一步向国际化标准靠拢,提高自身内部控制水平的,提升国际竞争力的新里程碑。
(二)促进小型企业内部控制的发展
《企业内部控制基本规范》的颁布,使得我国有了符合国情的企业内部控制规范,但是较适合大中型企业,小型企业实施成本过高且不符合小企业的实际情况。《规范》的出台,完全针对我国小型企业的现状,使得小型企业内部控制能够进一步发展。
(三)准确定位内部控制的目标
《规范》的内部控制目标包括:经营的合法合规;资产的安全;经营的效率和效果;业务、财务和管理等相关信息的真实、准确、及时、完整。相比《指南》过分的强调财务报告目标,且与《企业内部控制基本规范》的内部控制目标也不完全相同,《规范》的内部控制目标更全面且符合我国小型企业的实际情况。
(四)细化内部控制的内容
结合我国小企业的实际情况,《规范》提出了52条准则。相比《指南》的23条原则,《规范》的内容更加具体明确,对我国小企业实施内部控制更具有指导性。
(五)强化内部风险管理
相较于以往法律法规通过风险预警、识别、评估、分析和报告等措施,对财务和经营风险进行防范和控制,《规范》和《指南》一致强调内部控制应当以风险评估为基础,在目标设定时就考虑风险因素。
三、启示
《规范》对小型企业的定义是,由拥有多数所有权的人员管理企业;机构设置简单,管理层级较少;业务线较少且每条业务线中产品较少;信息系统较为简单;员工数量较少,部分员工身兼多岗[1]。针对这些特征,借鉴《指南》的做法,提出以下几条执行《规范》的建议。
(一)塑造良好企业文化,树立正确内控意识
企业文化是企业的灵魂,企业软实力的重要组成部分。与国外的小型企业相比,我国部分小型企业内控意识薄弱,企业文化缺失。良好的企业文化有凝聚力和约束力,并且会使员工产生归属感,对员工产生激励和导向的作用。所以,良好的企业文化对内部控制起着重要的作用。
部分企业管理者对内部控制的知识缺失,导致企业并不了解内部控制的重要性。企业应该自上而下,树立正确的内部控制意识。管理者应该带头执行内部控制制度,不干涉和阻止一般性的内部控制活动,并努力丰富自身的管理知识,提高管理水平。同时,应该加强对普通员工内部控制知识的培训,全面提高员工的综合素质。
(二)发挥董事会作用,明确内控建设职责
《规范》没有涉及董事会的职责,而《指南》强调董事会的核心作用。董事会对内部控制建设和监督具有重要作用,有董事会的企业应该充分发挥其作用。小型企业的董事通常在公司发展过程中就深入参与公司经营,这使他们了解公司历史并能从公司发展的角度考虑问题。考虑到董事会对内部控制的重要作用,内部控制的建立和实施中应发挥董事会的作用,突出其在内部控制机制中的主导地位;引进高质量的外部董事,发挥专业技能和减少管理者逾越内部控制的风险。[4]
《规范》中对不同的控制层没有明确的区分,只有主要负责人和员工的范畴,不利于内控的建立、执行和监督。《指南》则将各级人员的职责明确划分为:董事会、高层管理人员和其他职员。在内部控制建设中应将董事会、高级管理层、其他员工这三个层次都纳入内部控制的范围,建立完善的内部控制体系,保证内部控制的有效实施;明确职能分配:董事会应当负责企业内部控制的建立健全和有效实施,并承担内部控制的监管责任;高级管理层负责组织领导企业内部控制的日常运行,不越权不越位,严格按照内部控制体系运作,确保内部控制执行的有效性;其他员工需要考虑如何履行其控制责任。
(三)建立内控体系,规范管理行为
《规范》的出台,使小型企业有了符合其特点的内部控制规范,更有利于其建立适合企业本身的科学高效的内控运行体系。《规范》中提到,企业应与发展阶段、经营规模、管理水平、资源状况等相适应,并且权衡投入与回报的匹配。有条件的企业,应该设置专门的部门管理内部控制。若因小型企业员工较少,在无法做到专人负责的情况下,则应注重不相容职责的分离;建立企业内部信息管理系统和信息交流平台,促进企业内部的信息交流,保证内部信息及时流通,更好地进行横向和纵向的沟通;引入风险管理制度,增加企业内部风险意识,管理者能够识别企业可能发生的风险,面对风险能够及时有效地采取应急措施,尽量将风险带来的损失降到最低,甚至避免风险的发生。
(四)强化监督机制,建立奖惩制度
小型企业的内部监督机制不完善,有的没有独立的监督机构。部分小型企业实行家长式管理,任人唯亲,缺乏合理的奖惩制度。实际上,内部监督不仅可以监督企业内部控制制度的执行程度,还可以找出内部控制的薄弱环节,为管理者提供良好的建议,进而完善内部控制制度。
依据《规范》,应设立专门的独立的内部审计部门,配备专职并且可以胜任的內部审计人员。依照《规范》提到的监督方式方法,企业应该根据自身的实际情况开展不定期的专项评价,但是至少保证每年开展一次全面系统的监督评价。对重点领域应该进行重点监督,发现重大风险应及时向主要负责人报告。警惕内部审计部门形同虚设,内部审计工作流于形式,这样企业的内部控制不仅起不到作用,甚至会产生负面影响。
单纯依靠内部控制制度和监督很难取得良好的效果,应该将内部控制纳入到绩效考核中,提高员工积极性,增强企业竞争力。企业可以根据实际情况,在绩效考核中增加与内部控制相关的奖惩条款。将内部控制纳入绩效考核体系,并与员工的实际利益挂钩[5],调动其积极性,发挥其主观能动性,使其自觉执行内部控制,主动监督企业内部情况,及时发现问题并进行有效的沟通。
(五)发布内控案例,指导企业实施
《指南》中穿插着许多方法和案例,而《规范》没有提出具体的方法和案例。原则是基础的、通用的,但案例是实际的、具体的,COSO认为案例对使用者如何使用《指南》有重要的意义,企业可以参考案例制定符合自身实际情况的内部控制制度。一方面,我国内部控制起步较晚,成功的案例较少;另一方面,小企业的内部控制人才匮乏,借鉴成功的方法和案例,可以增强企业执行内部控制的指导性。在《规范》发布后,应借鉴国内外成功的内部控制的方法和案例以及国内小企业成功的管理经验,发布配套指引和案例指导,也可以创建案例库来帮助企业合理高效地实施《规范》。
【参考文献】
[1] 财政部.小型企业内部控制规范(征求意见稿)[A].2016.
[2] 李珍.美国《较小型公众公司财务报告内部控制指南》介绍[J].中国注册会计师,2008(9):79-81.
[3] 方红星.财务报告内部控制——较小型公众公司指南[M].沈阳:东北财经大学出版社,2009.
[4] 立信会计师事务所.小型公众公司财务呈报告内部控制报告指南[A].2009.
[5] 卢琼.中小企业内控制度的完善几点建议[J].财会学习,2015(9):147-148.