黄亚平

2017年6月29日，财政部发布了《小企业内部控制规范(试行)》（财会〔2017〕21号），自2018年1月1日起实行。对于小企业来说，不管已经是新三板的挂牌公司，还是业主兼经理的企业，都要面对市场和政策风险，在规避和化解经营风险之中寻求自身的生存之道和发展途径，借助内部控制应对企业所面临的风险，对经营风险进行有效管理，以保证自己实现经营的合法合规、资产的安全、经营的效率和效果，以及业务、财务和管理等相关信息的真实、准确、及时、完整。

本文从COSO框架出发来理解实施小企业内部控制，以期为小企业执行内部控制规范提供准确指导。

一、COSO框架对小企业内部控制建设的启示

1992 年COSO 委员会发布了《内部控制--整合框架》，2013年发布了修订版。COSO 委员会认为内部控制可以帮助企业达到重要的目标，维持和改进业绩。COSO委员会同时认为，COSO框架能够帮助企业开发有效果且有效率的内部控制体系，建立起来的控制体系能够适应变化的商业和运营环境，将风险降低到可接受的水平，而且能促进企业规范决策和组织的治理。

在其COSO框架的执行纲要中，COSO委员会明确COSO框架是对内部控制目标、要素和原则之间关系的有机整合，表明企业在内部控制建设时，需要明确内部控制目标，充分理解内部控制要素，合理运用内部控制原则，灵活设计、实施和推进内部控制以实现内部控制目标。小企业由于人手少，内部控制无法面面俱到，为了实现最大的内部控制效果，可以抓大放小，选择那些关乎企业成败的重点风险领域来加以控制。

1.保证财务报告真实可靠是小企业内部控制建设的基础目标

小企业应当考虑可靠财务报告的风险并识别降低这些风险所需要的控制，尤其应当关注那些能降低与财务报告认定相关的风险的控制。事实上，无论从内部控制理论发展脉络来看，还是《企业内部控制基本规范》及其配套指引，或者COSO框架的具体实践，均围绕财务报告的内部控制展开，最终通过财务报告的形式影响投资者、其他利益相关者和社会公众的决策。

2.业务循环是小企业内部控制建设的核心方向

由于小企业普遍规模较小，其扁平化的组织架构不同于大企业的官僚体系，管理层可以直接与关键员工、供应商、顾客、资本提供者进行互动沟通，之间往往没有层级分明的职能部门的阻隔。尽管如此，小企业的销售、采购、融资等经营活动的业务特性还是显现的，业务流程的各个环节还是存在的，将控制活动融合在业务循环当中的做法，可以恰当防止管理层越权，随便变更、存废控制制度，造成内部控制失效；另外，将控制责任融入业务流程环节中，能够让员工明确各自的控制要求，让小企业在不过多提高控制成本的情况下实现有效的内部控制，降低企业控制风险。

二、构建适应小企业特点的COSO框架立方体

在COSO委员会发布的整合框架中，内部控制目标、内部控制要素和企业组织架构（如运营单元、法律实体及其他）之间的关系是以一个立方体的形式来展现的。其中：运营、报告和遵循三类控制目标以纵列表示；内部控制的五个要素以横行表示；组织架构以第三维表示。为适应小企业，本文对横行的“内控五要素”保持不变；因为保证财务报告真实可靠是小企业内部控制的基础目标，所以把纵列变成“账户余额、交易类别和列报与披露”的财务报告认定；因为业务循环是小企业内部控制的核心，把第三维变成“业务循环”，如下图1所示。

COSO框架立方体的如此演变，呈现了小企业财务报告认定、业务循环和控制要素之间的关系，表明了小企业内部控制框架是以财务报告为目标，以业务循环为核心，以控制要素为骨架的体系。立方体如同一个魔方，每一维度的旋转和切割，给出了小企业不同的内控切入点：（1）横向，从控制要素着手，构建企业层面的内部控制；（2）纵向，从财务报告认定着手，构建会计系统的内部控制；（3）第三维方向，从业务循环着手，构建业务流程的内部控制。如图2-4所示。

从图例中不难看出，不管从哪一个维度切入的内部控制体系，我们都能实现内部控制的目的，只是控制路径的不同，需要匹配的资源也不同。考虑到资源的局限性，小企业必然追求成本效益原则，因地制宜建设符合自身条件的内部控制。

三、建设自上而下、脱虚向实的小企业内部控制

（一）从控制要素入手，建立企业层面的内部控制

由于小企业往往由拥有多数所有权的人员管理企业，且机构设置简单、管理层级较少，所以内控五要素中的有些要素在性质上对内部控制更具有广泛影响，如控制环境和监督。小企业需要管理层的积极参与控制，当没有人员或资源去执行传统的控制活动（如职责分离）时尤其重要。例如，在每笔交易完成之前由管理层复核和批准，以防止或发现并纠正某些具体错误或舞弊。

另外，小企业的持续监督活动需要融入正常的重复发生的业务活动时，如常规的管理和监督工作、复核由信息系统生成的例外报告，就需要管理层密切参与经营活动，及时识别财务信息中偏离预期的重大差异和不准确情况，并采取纠正措施以修订或改进控制。

事实上，这些企业层面的广泛性控制可以防止和发现在业务流程层面的具体错报和舞弊。当然，管理层过度参与也会增加凌驾于内部控制之上的风险，需要设计恰当的反舞弊控制来解决。所以，《小企业内部控制规范(试行)》要求“树立依法经营、诚实守信的意识，制定并实施长远发展目标和战略规划，为内部控制的持续有效运行提供良好环境。”

（二）从财务报告认定入手，建立会计系统的内部控制

企业与外界交换资产和劳务，以及企业内部转移或使用资产与劳务而形成交易时，需要有一个有效的会计系统可以：

（1）确认并记录所有真实的交易；

（2）及时且充分详细地描述交易，以便在会计报表上对交易做适当的分类；

（3）计量交易的价值，以便在会计报表上记录其适当的货币价值；

（4）确认交易发生的期间，以便将交易记录在适当的会计期间；

（5）在会计报表中适当地表述交易和披露相关事项。

图1 小企业COSO框架立方体

图3 会计系统

图2 企业层面

图4 业务流程

表1 销售收入完整性认定

有效的会计系统使得管理层对财务报告可以作出明确或隐含的表达，即财务报告认定。譬如，管理层向审计师和投资人等声称，会计记录中的销售收入金额包含了所有的销售交易（完整性认定），交易确实发生并且是真实的（发生认定）以及交易已经恰当地计入会计记录中，并且记录于恰当的会计期间（准确性和截止认定）。设立和实现与这些认定相关的具体控制目标，可以帮助管理层确定企业是否具备了处理特定交易类别的控制活动，以及这些控制活动能否为合理保证实现内部控制目标提供了依据。以销售收入完整性认定为例，见表1。

显然，明确与认定相关的具体控制目标、寻找风险控制点以及设置必要的控制活动，需要从事会计和财务报告工作且具有丰富经验和技能的人员来完成，而小企业往往缺乏这方面具备专业胜任能力的人力资源。所以，《小企业内部控制规范(试行)》只能要求“小企业严格执行国家统一的会计准则制度，加强会计基础工作，明确会计凭证、会计账簿和财务会计报告的处理程序，加强会计档案管理，保证会计资料真实完整。”

（三）从业务循环入手，建立业务流程的内部控制

业务循环是业务活动周而复始的过程，企业不同的业务规律和特点造就不一样的业务循环构造，但其业务流程中的每一个具体操作都可以归类为一个动作属性，譬如：授权批准、业务经办、会计记录、财产保管和稽核检查。从COSO框架立方体（业务流程立方体）来看，这些具体操作的动作属性恰好是内部控制要素在业务流程上的体现。譬如：

（1）“授权批准”是“控制环境”中“授权和分配责任的方法”在业务流程中的自然延伸；

（2）“业务经办”和“财产保管”是“控制活动”在业务流程中的实践措施；

（3）“会计记录”是“信息与沟通”的重要部分，在业务流程中就是“凭证与记录控制”；

（4）而“稽核检查”是持续“监督”的日常化；

（5）至于“不相容职务分离”，是对“那些如果由一个人担任，既可能弄虚作假，又能够掩盖其错弊行为的职务”进行“风险评估”之后采取的应对措施。就是把不同动作属性的具体操作做到两两分离，由不同的人或岗位来完成，确保业务信息跨职务传递的一致性，以防范错误和舞弊。

以销售业务流程为例，小企业可以通过凭证和记录控制以及以不相容职务分离为主要控制措施的具体操作，以单据控制（单据流程和所能完成的控制目标）的形式建立其业务流程的内部控制。

1.单据流程

①销售订单岗位收到客户订单后，填制多联的销售订单，销售订单（第2联）传递给信用主管；

②信用主管完成信用检查并确认之后在订单信用联上签字，审批后的信用联次（第2联）传递至销售订单岗位，销售订单岗位将确认联（第6联）送至客户；

③销售订单岗位之后分发其余订单联次，发票和收款联次传递至开票部门，开票部门一直持有到收到“已发货”发货联为止；

④装箱联次传递至发货岗位，发货岗位待收到仓库发来货物之后装箱；

⑤发货联传递给仓库以授权其移送货物至发货岗位；

⑥待货物和发货联（第1联）送至发货岗位时，相对应的装箱联（第3联）从单证中抽出，并填制好发货单证（如提单），货物和装箱联次（第3联）一起装箱。发货联（第1联）戳记“已发货”后提交开票岗位；

⑦开票岗位抽取相应的发票和收款联次（第4、5联），检查价格并计算乘以发货数量后的金额，开具发票后发票联与发票寄送至客户。

⑧开票岗位编制过账到总账的序时会计分录（借记应收账款，贷记销售收入）；

⑨开票岗位将收款联（第5联）提交至应收账款岗位，用来过账到应收账款明细账的客户个人名下；

⑩发货联（第1联）传递到存货管理员，用来减记已发货物的存货数量。

2.所能完成的控制目标

①销售订单由信用主管经手，保证货物是销售给能付款的客户（也就是说，恰当计价）；

②发货联交由仓库管理员经手，有助于保证货物安全保管并依照恰当审批后的销售订单发货；

③由发货岗位核对其持有的装箱单联能保证从仓库发出的货物发货部门都能及时收到；

④由开票岗位核对其持有销售订单联次能保证所有发送的货物都开具发票给客户；

⑤预先编号的凭单可以用来发现未记录和未经授权审批的业务。譬如，销售发票预先编号和会计核算保证所有的销售订单都已开票；

⑥定期核对应收账款明细账和总账能保证所有发票都已记录到客户名下。

可见，业务流程的内部控制使得每个岗位能够更好地意识到自己的操作要求，从而形成特定岗位的职责，通过岗位说明书（操作手册），将控制责任融入岗位职责之中，有利于让员工理解和注意到控制问题，及时预防和发现控制缺陷，实现有效的内部控制。而且单据控制为不同业务流程的每笔交易提供一个完整的交易轨迹，通过编码、交叉索引和联结账户余额与原始交易数据的书面资料提供一连串的迹象，也为会计系统的内部控制有效与否提供了依据。因此，小企业在资源有限的情况下，应该首先从业务循环着手，建立以单据控制为主要控制措施的内部控制体系。

四、小结

综上所述，基于COSO框架，结合小企业发展阶段、经营规模、管理水平、资源状况等实际情况，建设与小企业相适应的并能随着情况变化而及时加以调整的内控体系，是一个自上而下、脱虚向实的内控建设过程。特别是从业务循环着手的内部控制建设，优先发挥了控制要素在业务层面的指导作用，保证内部控制要素在业务流程中得到规范和发挥作用，从而确保实现财务报告目标及其他内控目标，起到了加快实施《小企业内部控制规范(试行)》并提高了小企业内部控制实效性。

作者单位：上海中金会计师事务所

主要参考文献

1.高垚.如何正确理解与运用不相容职务分离.新会计.2016(05)

2.王晶.企业内部控制建设模式国际比较及启示.财会通讯.2008(01)

3.朱荣恩.建立和完善内部控制的思考.会计研究.2001(01)