谭李霖

相较于经营成熟或大体量企业，中小型企业由于资金供应不足、规模较小、发展导向偏移性等问题，企业日常经营管理内部控制意识薄弱;岗位设置不合理，岗位职责需清晰界定及牵制;风险识别及控制能力有待提升;监督活动实施不到位等亟待解决及优化的问题。文章基于COSO-ERM框架中有关内部控制的相关理论，结合中小企业特点，融合COSO-ERM框架中“环境构建、积极监督、风险应对”三要素，对中小企业内部控制存在的问题提出针对性地解决策略。

内部控制对于企业而言，是否能有效识别及解决风险问题、形成合理的经营管理环境等具有不可或缺的意义。不同规模的企业，对于设计内部控制体系及具体的执行具有不同的指向性，对中小型企业而言，由于规模、资金、领导人意识等多种因素，在内部控制体系上可能难以实现“尽善尽美”，如何制定出一个符合企业发展需求及现实状况的科学合理的内部控制措施，是中小企业更好地实现盈利、降低经营管理风险的重要助推器。文章借助COSO-ERM理论，分析中小企业内部控制存在的问题，对中小企业的内部控制措施制定展开讨论。

一、相关理论概述

（一）内部控制

伴随企业规模的逐渐扩大发展，企业内部控制的制度也会愈加完善。企业通过对日常的生产活动进行有效的监督和控制，以保证企业得以长期的发展。内部控制和其他经营管理活动同样是一个动态机制，是一个连续变化的过程，企业制定内部控制制度后，其并非照本宣科、一成不变地执行，而是根据企业运营情况及管理环境变化不断地进行改良与完善，就发现的问题及反馈的解决问题效果逐步进行循环往复地质量改进。

（二） COSO-ERM理论

COSO-ERM是COSO委员会继“内部控制-整体框架”（COSO 报告）后又一次起草的聚焦于企业风险管理的标准框架，其贯穿企业的经营活动，能够加强管理层识别、评估潜在经营风险的能力，提升企业对各项风险的应对能力，以维持企业可持续性稳固发展。COSO-ERM框架对内部控制的建设提供了指导性的方案，在诸多企业中已经得到了较为成熟的应用。

（三）中小企业实施内部控制的意义

1.实施内部控制帮助中小企业构建出优良内部环境

财务工作的管理直接影响企业的利益，通过内部控制，可推动企业建立健全财务会计制度，明确各岗位的职责，财务人员履行相应制度，规范自身行为，强化业财融合进度。同时，内部控制有助于企业中家族成员的权利收束，对其进行限制，优化中小企业内部环境，实现高效内部控制目的。

2.实施内部控制可促进中小企业财务活动的规范开展

完善内部控制，可确保财务会计更为有效地执行相关制度，确保企业资金管理科学，提高资金使用效果，同时开展财务内部控制是规范财务会计行为与企业财务活动的关键措施，可以确保企业财产物资用到实处，为财务评价提供切实可靠的依据。

3.实施内部控制可保障企业财务信息的真实可靠性

财务内部控制相关制度的完善，可以为财务会计提供可遵循的制度规定以进行会计核算与财务管理，同时内部控制需要设立完整的奖惩制度，其可以提高财务会计人员的工作积极性与有效性，确保会计信息真实可靠。

4.实施财内部控制有助于提升中小企业应对风险的能力

财务内部控制的实施可以强化企业财务活动的过程管理的监管质量，对财务预算、财务控制、财务分析与评价分别实施事前管理、事中管理、事后管理，可以将企业业务活动、财务活动有机融合，确保其有序、科学开展，预防企业财务风险的发生，从而规避企业财政危机，防止资金链断裂。

二、中小企业内部控制存在的问题分析

（一）内部控制环境尚未有效构建

1.对内部控制的重视不足，内部控制的意识薄弱

中小企业的特点是产权主体单一，所有权、经营权集中于少数人身上，由于管理人员多是依靠冒险精神或机遇完成初期的资金、资源积累，其对于企业内部的控制管理往往不够重视，不具备内控意识，且不了解内部控制措施，做决定、进行监督管理都很随意，导致内部控制制度未建立或不够完善，甚至会有少数管理者认为内部控制会影响企业的正常发展。笔者经手处理的一家企业，其领导人则表示中小企业的员工不多，实施管理可能会对员工的工作积极性起到反作用力，这样的意识对于企业经营管理来说仅会“弊大于利”。而还有的企业仅是建立了内部控制的外壳，空有制度，缺少变化，并没有理解到内部控制动态特点，内部控制是根据外部环境变化、企业经营目标变化而不断进行修正与完善的动态管理方法，一旦企業发展变化，原先内部控制制度不变化，就会出现发展问题。有的企业在未充分了解自身情况的前提下，生搬硬套其他企业的内部控制制度，以此敷衍上级部门检查，其基础都没有建设好，实际实施效果也可以预见，必然不理想。

2.岗位设置不合理，岗位职责需清晰界定及牵制

由于中小企业具备经济规模小、主营业务单一、员工少等特点，其不能像大企业一般做到一岗一职，人员配置专业对口，常常会出现一人身兼数职的情况。而且，大多数中小企业并未明确岗位职责，员工若工作出现纰漏，在事后进行纠察时会相互推诿，无法找到负责人对事件负责，一方面降低工作效率，另一方面也会影响制度张力，使得内部控制制度难以实施。例如，多数中小企业存在没有建立会计人员分工中内部牵制制度、重要空白凭证保管制度、常规票据分管制度等，由于制度不明确，会计人员无法履行职责。而岗位职责不清楚则会引发下列问题：（1）会计档案管理不完善，报销审批往往存在漏洞;（2）部分企业甚至是个人持有企业管理票据与印章;（3）企业重要票据领用销号制度未严格执行，或不按序编号，部分入账单无申领人、未验收、无实际用途。因此，做好人力资源管理及岗位协调对于业务开展能起到降低错误、风险发生的作用。

（二）风险识别及控制能力有待提升

中小企业在生产、经营与发展的过程中需要面临多种多样的风险，根据风险形成的原因可分为财务风险及经营风险两大类。只有对风险的种类、严重程度、是否在可承受范围等进行评估与判断，开展有效的防控措施，才能确保企业稳定、健康发展。但目前我国多数中小企业并不具备风险防范意识，也未建立完善的风险管理方案，虽然市场竞争越演越烈，但企业并未因此考虑强化风险管理内容，也并未学习新的风险评估方法。加之，大部分中小企业并未建立完善的组织架构，公司内部管理机制缺少约束，更多是管理层主观决策，出现判断失误的情况极多，经常是已经发生问题且造成严重后果后才去补救。当前中小企业最急需解决的问题即是制定或健全正确的风险评估体系，缺少事前、事中控制。

（三）监督活动实施不到位

内部监督分为专项监督与日常监督，其中专项监督是指在企业制定发展战略、生产经营活动、调整组织结构、关键岗位员工调整、业务流程进行时等情况下，通过内部控制对其中细节进行针对性的质量监督检查;日常监督则是企业对内部控制的落实情况、运行效率进行常规、长期的质量监督检查。除此外，企业还需要结合日常监督、专项监督情况，定期进行自我评价以评估内部控制有效性。中小企业缺乏专门的内审部门，一般对日常采购、应收账款、费用支出、季节性商品销售、季度财务状况的款项进行日常或专项审计等工作均由财务部门包揽，无第三方有效监管，难免出现问题，如内审人员不认识监督审计对象，其他部门同样对此了解不充分，工作往往配合度不够，工作效率不高等。一般情况下，中小企业的内部监督功能是被弱化的，这是因为实施高质量的监督与评价需要建立独立的内审部门，而创业型的中小型企业并不具备足够的人力、物力、财力用以新建部门。

三、COSO-ERM理论下解决中小企业内部控制问题的思路及策略

（一）运用思路

COSO-ERM框架总共归纳为8个风险管理要素，笔者对其进行进一步梳理，总结为三个层面，其环环相扣。

第一层是“企业内部环境的基础控制”，基于内部环境的状况开展高质量控制活动可预防企业生产经营中可能存在的风险，同时及时发现已产生的风险，开展有效干预，形成良好监督循环。第二层是“企业各项工作的监督循环”，当第一层循环活动运行良好时，监督系统会反作用于内部环境，对其形成监控、督导、引导，维持内部环境高效运转，为下次管理循环提供正向的促进作用。第三层是“企业发展战略的循环”，本层循环的核心不仅在于企业内部环境，还要重视外部环境管控的协同，需要着眼于宏观与微观两个角度，通过前期风险识别，结合企业内外部环境制定恰当的防控战略。另外，针对企业的发展战略，应当放眼未来及整体市场，针对业务、财务等各方面的潜在风险进行预防性控制，从而可以避免风险发生，或降低已发生风险造成的损失。控制活动的设计与执行直接决定企业的风险反应能力，通过积极对潜在风险的识别与制定应急预案，维持内部控制活动的正常运行，进而强化监督质量，进一步推动内部环境良好运转。

（二）运用策略

1.优化中小企业的内部控制运行环境

COSO-ERM框架中最基本也是最重要之一的环节即是环境构建，是确保内部控制有效实施的先决条件 。

首先，管理层应当重视内部控制意识的培养。中小型企业管理者个人素质良莠不齐，要想在职员工接受内控建设，就需要先行培养自身内控素养及能力，做好“欲正人先正己”，提高员工号召令。同时，各级管理者应当发挥模范带头作用，以身作则遵守各种内控制度，才可有效说服全体员工共同为建立良好的内控环境、培养先进的内控意识而努力。

其次，企业应当设立员工岗位分离制，通过设计参考表，划分弹性分离岗位及强制性分离岗位，以此解决中小型企业职责分离界限不清晰的情况。另外，为确保人力资源管理制度科学合理，对具有良好职业操守、有丰富工作经验、能力突出的员工优先招聘，建立科学的员工管理制度，员工考核及任务完成情况要公平、公正、公开，切实落实赏罚并重制度，坚决落实内部控制，促进权、责、利的有机统一。

最后，企业应采用定期会议与临时会议两种方法，其中定期会议可以每周周一举行例会，对上周经营管理中存在的问题进行复盘，提出解决方案，针对未来一周的经济管理方法进行探讨，详细规定与会人员级别，让基层、中层、高层人员均能进行有效沟通与互动，提高经营管理问题的发现与解决效率。

2.加强监督机制建设

从COSO-ERM框架的构建过程及其具体内容而言，风险管控中的信息沟通、监督、控制等环节对企业经营管理有效性的意义至关重要，企业领导人应充分重视制定有效的监督机制。

3.强化风险意识，进行全面的风险管理

精准有效的风险评估是提高企业内部控制效果的关键，企业竞争伴随经济增长越演越烈，这也导致企业经营风险增加，COSO理念下主张内部控制不能脱离外部环境以及企业内部风险因素，应当从实际环境以及风险情况入手进行分析，制定風险预警及处理措施。

首先，提升全员对风险防范的意识。首先，企业从基层员工入手，开展培训强化其风险意识，指导各部门、各单位就当前自身业务存在的潜在风险进行梳理，通过长期跟踪、针对预防等方法化解风险。其次，企业管理层拟定全面经营目标，不可仅局限于公司经营，而是要从公司经营、合规性、资产完整等方面考虑。再次，企业利用多种形式培训，教导员工关于风险管理的知识，提高其风险识别能力，从而对自身业务中存在的风险及公司内外部的风险进行有效甄别，进行合理预防与化解。最后，企业管理层组织各部门针对自身情况拟定风险应急预案，发挥领导层在运营中的指挥作用，同时在应急预案落实时做好监督工作，保证应急预案实施效果。

其次，需要对内外进行分析，对外分析外部市场、机遇与威胁，考虑企业是否有生存机遇，懂得规避财务风险、成长风险、责任风险、道德风险、信息化风险、人力资源风险。对内则将重点聚焦在自身优劣势分析上，结合长处考虑机遇，运用良好的风险评估提高企业内部控制效果。目前市场竞争逐渐激烈，公司面对的经营风险种类在变化，风险威胁程度也在不断提高，企业内部控制管理受到严重考验。企业需要做好自身SWOT分析，理解到有效的风险评估是帮助企业防范风险的一道“防火墙”，其可以提高企业临阵应对风险的能力，维持企业健康、可持续发展。

（作者单位：佛山市恒生会计师事务所）

3002501908287