注冊會計師幫助小企業(yè)搭建內(nèi)部控制體系探討

李津

摘 要：小企業(yè)內(nèi)部控制薄弱，使得企業(yè)的經(jīng)營前景面臨巨大的風險和不確定性。然而，由于對內(nèi)部控制的重要性和急迫性普遍認識不足，以及出于對建設內(nèi)部控制體系的成本考慮，小企業(yè)業(yè)主通常對內(nèi)部控制的實施采取敷衍和拖延的態(tài)度。如何幫助小企業(yè)搭建內(nèi)部控制體系，是世界各國注冊會計師長期以來面臨的難題。從我國小企業(yè)的實際情況出發(fā)，建議注冊會計師根據(jù)《企業(yè)內(nèi)部控制基本規(guī)范》規(guī)定的五個內(nèi)部控制要素逐一與小企業(yè)業(yè)主及高管進行解釋、溝通、協(xié)商、確認，系統(tǒng)化地為小企業(yè)搭建內(nèi)部控制體系框架，以增強我國小企業(yè)應對經(jīng)營風險的能力，提高經(jīng)濟效益。

關鍵詞：內(nèi)部控制；控制環(huán)境；風險評估；控制活動；內(nèi)部監(jiān)督

中圖分類號：F23

文獻標識碼：A

文章編號：16723198（2015）20011902

雖然注冊會計師（以下簡稱CPA）是最有資格幫助小規(guī)模企業(yè)提高內(nèi)控制度的組織，但他們的建議往往僅集中在職責分工與安全上，使得許多小企業(yè)不能全面地認識內(nèi)部控制，并且認為這些建議是教條主義而不予采納。筆者認為，CPA應當專門針對小企業(yè)，系統(tǒng)性地進行協(xié)商，才能幫助小企業(yè)正確理解和實施內(nèi)部控制。

1 內(nèi)部控制討論

內(nèi)部控制是由企業(yè)董事會、監(jiān)事會、經(jīng)理層和全體員工實施的、旨在實現(xiàn)控制目標的過程。內(nèi)部控制的五個要素是：內(nèi)部環(huán)境、風險評估、控制活動、信息與溝通、內(nèi)部監(jiān)督。CPA應以此框架作為目標、操作、報告的基礎方向，來對小企業(yè)提供建議以提高他們的業(yè)務運營水平。

實現(xiàn)企業(yè)目標的有關效益的操作包括建議盡量減少錯誤，以及用在糾正錯誤所花費的時間。對財務報告的控制目標包括確保所有的交易都能被及時記錄。例如，如果銷售訂單因疏忽而未被結(jié)算，相關的收入和應收款項亦會漏記，還會造成銷售稅金的漏繳。另一個例子是未能及時申報增值稅進項抵扣或出口退稅，可能導致發(fā)生重大的損失。事實上，如果不妥善處理，上述行為對于較小的組織具有重大的影響。

當CPA與小企業(yè)所有者接觸來討論加強內(nèi)部控制的重要性時，不要從一開始就談內(nèi)部控制可以減少資產(chǎn)被非法侵吞的風險。而是要從《企業(yè)內(nèi)部控制基本規(guī)范》框架下的控制環(huán)境要素入手，這些是組成內(nèi)部控制的關鍵基石。最本質(zhì)的是對人的控制。人是驅(qū)動組織行為的關鍵。

CPA應當討論的是治理結(jié)構(gòu)、機構(gòu)設置、權(quán)責分配、內(nèi)部審計機制、人力資源政策、企業(yè)文化等。然后，CPA應當將討論拓展到內(nèi)部控制的其他要素，來推動內(nèi)部控制的討論或者咨詢。這個討論對《企業(yè)內(nèi)部控制基本規(guī)范》的每個要素進行討論，與此同時探究小企業(yè)如何用最小的費用來提高內(nèi)部控制要素。

2 控制環(huán)境的建設

控制環(huán)境是設立標準、程序和架構(gòu)，是展開組織內(nèi)部控制的基礎。相對于大企業(yè)，小企業(yè)業(yè)主的行為在控制環(huán)境中顯得極為重要，他們與員工直接聯(lián)系的更為頻繁和密切。另外，公司也要考慮如何為員工分配職責并使員工有責任感。最后，探討如何招聘到有競爭力的員工包括會計人員。會計人員在小企業(yè)中通常僅僅被視為進行記賬和成本核算工作，但該崗位常會使風險放大，例如收付款的疏漏會為企業(yè)帶來資金周轉(zhuǎn)的困難；如果為管理層提供了錯誤的稅率信息，可能導致簽訂的勞務合同總金額不正確。有效的控制環(huán)境給小企業(yè)帶來的利益，遠大于為營造該環(huán)境所支出的成本。

發(fā)展強有力的控制環(huán)境的第一步是為業(yè)主辨別和實施組織的價值觀，例如在與利益相關者（包括員工、客戶和供應商）相處時，致力于追求卓越、誠信，致力于多樣性和責任感。高級管理人員和業(yè)主需要展示本組織的價值觀，因為他們是員工的榜樣。例如，某位高管在報銷自己的開支時，如果經(jīng)常違反公司財務制度規(guī)定的流程和限額，為自己獲得額外的福利。那么他的這種行為就會在組織內(nèi)傳播，引起效仿而破壞員工對財務制度的遵守。

CPA應當通過以下五種行為來提高小企業(yè)的控制環(huán)境水平：

（1）發(fā)展一個正式的組織結(jié)構(gòu)。盡管多數(shù)小企業(yè)都有自己的組織結(jié)構(gòu)圖，但往往其設計得并不科學。小企業(yè)業(yè)主喜歡管理具體事務而攬權(quán)過多，不僅自己身心疲憊，沒有精力投入到戰(zhàn)略決策的制訂中；而且具體事務的工作質(zhì)量亦不佳，員工因難以獲得主人翁感而失去工作主動性。

（2）提供書寫的工作職責。

（3）至少每年一次對員工表現(xiàn)進行回顧。員工表現(xiàn)評價應當與薪酬或獎金掛鉤，否則難以起到激勵效果。

（4）對新進員工進行背景及信用調(diào)查。尤其是管理人員，其個人性格往往會對其部門團隊的工作情緒產(chǎn)生較大影響。

（5）規(guī)范員工行為，總結(jié)本組織的價值觀和期望員工行為。

3 風險評估的開展

風險評估不僅僅是減少風險，還是管理風險。因為設定目標是風險評估的前提，一個組織應該結(jié)合它的使命和愿景，制訂全面的戰(zhàn)略。根據(jù)計劃的目標，組織分析威脅目標實現(xiàn)的風險和那些錯失的機會。任何風險評估過程必須考慮欺詐風險。

風險可以分為四個領域：財務、戰(zhàn)略、運營、遵守。衡量風險的尺度有重要性（金額）及發(fā)生的可能性。下一步，組織要對風險進行分級及排序。

例如，一家資產(chǎn)負債率較高的企業(yè)就需要認識到再融資的風險。它不容易獲得新的低息貸款。對于組織的盈利能力來說，這是一個潛在的風險。企業(yè)可以評估貸款利率增加的風險。為了衡量財務風險的重要程度，業(yè)主或管理層應使用定性和定量的方法。

先假設三個逐步增長利率點，以檢查帶來的財務費用沖擊，進而測試損益表結(jié)果。本例中定性的方法是回顧及審查經(jīng)濟數(shù)據(jù)，以判定市場利率提高的可能性有多大。如果貸款利率提高的可能性和影響是顯著的，那么該組織就要將再融資風險列為高優(yōu)先級的威脅。

接下來，企業(yè)要確定風險應對措施，其中可能包括風險規(guī)避、風險降低、風險分擔和風險承受。例如，應對利率風險的措施可以有：（1）與貸款人協(xié)商利息分階段增長；（2）吸引股權(quán)合作伙伴；（3）放緩增長步伐以減少或消除借款需求；（4）為獲得現(xiàn)金和消除債務來剝除未充分利用的資產(chǎn)。

具體而言，CPA可以在組織風險評估過程的中進行的協(xié)助有：

（1）與高級雇員和富有經(jīng)驗的工人集思廣益研究關于“威脅”到組織的產(chǎn)品、客戶基礎、優(yōu)秀的員工和供應商的因素；

（2）為排序在前三名的風險制訂優(yōu)先反應機制；

（3）制訂一項計劃，日常工作過程中根據(jù)風險等級制訂決策，由高級別員工負責執(zhí)行優(yōu)先反應機制。

例如，如果丟失一個主要客戶是重大的風險并且風險響應的選定方法是增加與該客戶互動（會議、午餐、社交活動），那么CPA可以向企業(yè)建議安排高級別的員工專門針對該事件的風險管理進展進行報告。一個快速有效的方法是測量報告的時間性；如果該高級員工沒有時間分配給該客戶，那么最有可能的是，非優(yōu)先級的活動消耗了該員工的時間。

4 控制活動的實施

常用控制措施有：不相容職務分離控制、授權(quán)審批控制、會計系統(tǒng)控制、財產(chǎn)保護控制、預算控制、運營分析控制和績效考評控制等。對于小企業(yè)來說，控制活動至少要包括授權(quán)、資產(chǎn)安全、對賬、驗證、不相容職務分離和信息技術控制。

授權(quán)包括對新客戶的信用審批、采購審批、供應商審核。

資產(chǎn)安全包括對計算機系統(tǒng)的進行密碼保護、制訂關于銷售演示樣品設備的管理制度、進入庫房的權(quán)限管理等。

對賬包括核對明細賬，如應收賬款、應付賬款、完工進度和庫存與總帳核對，同樣還有銀行和現(xiàn)金的核對。一個易被忽視的核對是未完結(jié)的采購訂單和銷售訂單的報告。例如，沒有適當?shù)男蛱柛櫃C制，預編號銷售訂單和采購訂單將無法被適當?shù)馗?，然而這種控制因為太耗時或優(yōu)先級太低常被忽略。有些這樣的未結(jié)算的訂單可能會對企業(yè)的現(xiàn)金流和業(yè)績產(chǎn)生巨大的負面影響。

驗證包括：（1）收款報告、采購及費用發(fā)票等。（2）對新員工進行背景調(diào)查。盡管多數(shù)小企業(yè)都意識到背景調(diào)查的重要性，但常常依賴他們的直覺而認為背景調(diào)查是不必要的而取消之。但有時員工與前單位解除雇傭關系的原因是因為侵占資產(chǎn)。調(diào)查不一定能查出終止勞動關系的真正原因，但有助于雇主不再猶豫或直接否定求職申請人。

不相容職務分離，是指那些如果由一個人擔任，既可能發(fā)生錯誤和舞弊行為，又可能掩蓋其錯誤和舞弊行為的職務。即一個人不能處理一個事務從開始授權(quán)到財務報表記錄結(jié)束，即授權(quán)、維護到記錄由不同的人員負責。一個例子是一個員工編制付款清單，并且在每張支票上蓋章；另一個員工負責對支付的記賬；第三個員工負責與銀行對賬。職責分離是一種強大的應對錯誤和欺詐的工具，但也仍然存在串通勾結(jié)的風險，即當兩個或兩個以上的個人為了他們自己的利益，能夠繞過流程，共同規(guī)避控制。有些特殊的情況可以請CPA承擔一部分職責如銀行余額表的對賬，可以使許多職責分離的因素得以實現(xiàn)，當然這會發(fā)生一些小額的費用，企業(yè)必須在控制成本與利益獲得之間進行選擇判定。

最后，信息技術控制不能被遺忘。安全的系統(tǒng)具有保密性、隱私性、處理完整性和可用性。信息技術控制包括一般控制和應用控制。一般控制包括限制訪問，如加密鎖、災難恢復控制。應用程序控制包括限制訪問某些程序以及自動控制，如數(shù)據(jù)的有效性檢查以及序列、范圍或權(quán)限審查。系統(tǒng)安全是整個管理層的責任，而不僅是IT部門負責。企業(yè)業(yè)主應充分參與系統(tǒng)的規(guī)劃、開發(fā)、實施和監(jiān)控。

5 信息與溝通

信息與溝通是企業(yè)及時、準確地收集、傳遞與內(nèi)部控制相關的信息，確保信息在企業(yè)內(nèi)部、企業(yè)與外部之間進行有效溝通。信息在兩個方向上進行傳遞：去管理和被管理。溝通包括內(nèi)部控制責任的培訓，創(chuàng)建有效的向上和向下溝通的工作環(huán)境，以及良好的文檔記錄政策和程序。

6 內(nèi)部監(jiān)督的執(zhí)行

如果沒有定期監(jiān)測，控制往往會被削弱。內(nèi)部控制的這個元素的可以為小企業(yè)提供低成本高效益，因為如果由業(yè)主或經(jīng)理及時進行審核是一個非常有效的監(jiān)測手段。

筆者建議編制一個包含有責任分配和預計完成日期的監(jiān)督進度表。CPA可以培訓業(yè)主和管理者，使他們了解都需要搜尋哪些信息。CPA可以建議業(yè)主和經(jīng)理注意審查以下內(nèi)容：

（1）簽署支票前的相關支持文檔；

（2）不尋常的賬戶余額表及損益報告；

（3）應收賬款賬齡表（至少每月）；

（4）應付賬款賬齡表的報告；

（5）庫存報告；

（6）信貸備忘錄；

（7）簽發(fā)的退款記錄；

（8）銀行存款余額調(diào)節(jié)表；

（9）賬目調(diào)整及沖銷記錄。

小企業(yè)業(yè)主或經(jīng)理即使沒有具體關心或提問有關特定區(qū)域或項目的問題，他也應該表明觀點并定期跟進。他也可以要求回答提問和徹底審查所有相關證明文件。以下是一個有效監(jiān)測的例子：某位員工長期出差，每月寄給公司酒店發(fā)票要求報銷住宿費。盡管住宿標準在財務制度規(guī)定的范圍之內(nèi)，業(yè)主仍然要求核實是否存在欺詐情況。經(jīng)與酒店聯(lián)系，證實該員工并未住過該酒店。該員工實際住在廉價旅館并通過使用不正當手段獲得高額發(fā)票以騙取差旅費報銷。

另一個例子是業(yè)主或經(jīng)理審查應收賬款的賬齡報告。負責催款的員工把這份工作視為優(yōu)先級最低的，于是就出現(xiàn)了一筆金額較大而拖欠時間很長的應收款。經(jīng)過跟進后，客戶確認該發(fā)票存放錯誤或丟失了；然而，因為時間距原始發(fā)票開具日期已久，要獲得客戶承諾付款的難度明顯增加了許多。

7 增加的價值

通過與小企業(yè)業(yè)主討論及提供咨詢服務，CPA可以為小企業(yè)的內(nèi)部控制帶來真正的價值：不僅有效地減少資產(chǎn)的風險如貪污、盜竊、挪用，也可以改善許多其他業(yè)務程序和規(guī)章制度?？刂茷樾∑髽I(yè)提高了管理水平，確保銷售能及時回款、現(xiàn)金業(yè)務及時入賬、費用開支得到監(jiān)控、稅務申報準確、所有費用的支出都有審慎的授權(quán)。在這些方面CPA經(jīng)驗豐富。長期來看，小企業(yè)因提高內(nèi)部控制水平而獲得的收益將大大超過支付給CPA的服務費。

參考文獻

[1]Jill M.D Aquila， Kim Capriotti，Robert Boylan.Guidance on auditing highrisk clients[J].THE CPA JOURNAL，2010，（10）：3233.

[2]Michael Bechara，Gaurav Kapoor. Maximizing the value of a riskbased audit plan[J].THE CPA JOURNAL，2012，（3）：2829.

[3]Edward Seipp， Deborah L.Lindberg.A Guide to effective audit interviews[J].THE CPA JOURNAL，2012，（3）：2627.