應(yīng)用COSO-ERM理論指導(dǎo)中小企業(yè)內(nèi)部控制

譚李霖

相較于經(jīng)營成熟或大體量企業(yè)，中小型企業(yè)由于資金供應(yīng)不足、規(guī)模較小、發(fā)展導(dǎo)向偏移性等問題，企業(yè)日常經(jīng)營管理內(nèi)部控制意識薄弱;崗位設(shè)置不合理，崗位職責需清晰界定及牽制;風險識別及控制能力有待提升;監(jiān)督活動實施不到位等亟待解決及優(yōu)化的問題。文章基于COSO-ERM框架中有關(guān)內(nèi)部控制的相關(guān)理論，結(jié)合中小企業(yè)特點，融合COSO-ERM框架中“環(huán)境構(gòu)建、積極監(jiān)督、風險應(yīng)對”三要素，對中小企業(yè)內(nèi)部控制存在的問題提出針對性地解決策略。

內(nèi)部控制對于企業(yè)而言，是否能有效識別及解決風險問題、形成合理的經(jīng)營管理環(huán)境等具有不可或缺的意義。不同規(guī)模的企業(yè)，對于設(shè)計內(nèi)部控制體系及具體的執(zhí)行具有不同的指向性，對中小型企業(yè)而言，由于規(guī)模、資金、領(lǐng)導(dǎo)人意識等多種因素，在內(nèi)部控制體系上可能難以實現(xiàn)“盡善盡美”，如何制定出一個符合企業(yè)發(fā)展需求及現(xiàn)實狀況的科學合理的內(nèi)部控制措施，是中小企業(yè)更好地實現(xiàn)盈利、降低經(jīng)營管理風險的重要助推器。文章借助COSO-ERM理論，分析中小企業(yè)內(nèi)部控制存在的問題，對中小企業(yè)的內(nèi)部控制措施制定展開討論。

一、相關(guān)理論概述

（一）內(nèi)部控制

伴隨企業(yè)規(guī)模的逐漸擴大發(fā)展，企業(yè)內(nèi)部控制的制度也會愈加完善。企業(yè)通過對日常的生產(chǎn)活動進行有效的監(jiān)督和控制，以保證企業(yè)得以長期的發(fā)展。內(nèi)部控制和其他經(jīng)營管理活動同樣是一個動態(tài)機制，是一個連續(xù)變化的過程，企業(yè)制定內(nèi)部控制制度后，其并非照本宣科、一成不變地執(zhí)行，而是根據(jù)企業(yè)運營情況及管理環(huán)境變化不斷地進行改良與完善，就發(fā)現(xiàn)的問題及反饋的解決問題效果逐步進行循環(huán)往復(fù)地質(zhì)量改進。

（二） COSO-ERM理論

COSO-ERM是COSO委員會繼“內(nèi)部控制-整體框架”（COSO 報告）后又一次起草的聚焦于企業(yè)風險管理的標準框架，其貫穿企業(yè)的經(jīng)營活動，能夠加強管理層識別、評估潛在經(jīng)營風險的能力，提升企業(yè)對各項風險的應(yīng)對能力，以維持企業(yè)可持續(xù)性穩(wěn)固發(fā)展。COSO-ERM框架對內(nèi)部控制的建設(shè)提供了指導(dǎo)性的方案，在諸多企業(yè)中已經(jīng)得到了較為成熟的應(yīng)用。

（三）中小企業(yè)實施內(nèi)部控制的意義

1.實施內(nèi)部控制幫助中小企業(yè)構(gòu)建出優(yōu)良內(nèi)部環(huán)境

財務(wù)工作的管理直接影響企業(yè)的利益，通過內(nèi)部控制，可推動企業(yè)建立健全財務(wù)會計制度，明確各崗位的職責，財務(wù)人員履行相應(yīng)制度，規(guī)范自身行為，強化業(yè)財融合進度。同時，內(nèi)部控制有助于企業(yè)中家族成員的權(quán)利收束，對其進行限制，優(yōu)化中小企業(yè)內(nèi)部環(huán)境，實現(xiàn)高效內(nèi)部控制目的。

2.實施內(nèi)部控制可促進中小企業(yè)財務(wù)活動的規(guī)范開展

完善內(nèi)部控制，可確保財務(wù)會計更為有效地執(zhí)行相關(guān)制度，確保企業(yè)資金管理科學，提高資金使用效果，同時開展財務(wù)內(nèi)部控制是規(guī)范財務(wù)會計行為與企業(yè)財務(wù)活動的關(guān)鍵措施，可以確保企業(yè)財產(chǎn)物資用到實處，為財務(wù)評價提供切實可靠的依據(jù)。

3.實施內(nèi)部控制可保障企業(yè)財務(wù)信息的真實可靠性

財務(wù)內(nèi)部控制相關(guān)制度的完善，可以為財務(wù)會計提供可遵循的制度規(guī)定以進行會計核算與財務(wù)管理，同時內(nèi)部控制需要設(shè)立完整的獎懲制度，其可以提高財務(wù)會計人員的工作積極性與有效性，確保會計信息真實可靠。

4.實施財內(nèi)部控制有助于提升中小企業(yè)應(yīng)對風險的能力

財務(wù)內(nèi)部控制的實施可以強化企業(yè)財務(wù)活動的過程管理的監(jiān)管質(zhì)量，對財務(wù)預(yù)算、財務(wù)控制、財務(wù)分析與評價分別實施事前管理、事中管理、事后管理，可以將企業(yè)業(yè)務(wù)活動、財務(wù)活動有機融合，確保其有序、科學開展，預(yù)防企業(yè)財務(wù)風險的發(fā)生，從而規(guī)避企業(yè)財政危機，防止資金鏈斷裂。

二、中小企業(yè)內(nèi)部控制存在的問題分析

（一）內(nèi)部控制環(huán)境尚未有效構(gòu)建

1.對內(nèi)部控制的重視不足，內(nèi)部控制的意識薄弱

中小企業(yè)的特點是產(chǎn)權(quán)主體單一，所有權(quán)、經(jīng)營權(quán)集中于少數(shù)人身上，由于管理人員多是依靠冒險精神或機遇完成初期的資金、資源積累，其對于企業(yè)內(nèi)部的控制管理往往不夠重視，不具備內(nèi)控意識，且不了解內(nèi)部控制措施，做決定、進行監(jiān)督管理都很隨意，導(dǎo)致內(nèi)部控制制度未建立或不夠完善，甚至會有少數(shù)管理者認為內(nèi)部控制會影響企業(yè)的正常發(fā)展。筆者經(jīng)手處理的一家企業(yè)，其領(lǐng)導(dǎo)人則表示中小企業(yè)的員工不多，實施管理可能會對員工的工作積極性起到反作用力，這樣的意識對于企業(yè)經(jīng)營管理來說僅會“弊大于利”。而還有的企業(yè)僅是建立了內(nèi)部控制的外殼，空有制度，缺少變化，并沒有理解到內(nèi)部控制動態(tài)特點，內(nèi)部控制是根據(jù)外部環(huán)境變化、企業(yè)經(jīng)營目標變化而不斷進行修正與完善的動態(tài)管理方法，一旦企業(yè)發(fā)展變化，原先內(nèi)部控制制度不變化，就會出現(xiàn)發(fā)展問題。有的企業(yè)在未充分了解自身情況的前提下，生搬硬套其他企業(yè)的內(nèi)部控制制度，以此敷衍上級部門檢查，其基礎(chǔ)都沒有建設(shè)好，實際實施效果也可以預(yù)見，必然不理想。

2.崗位設(shè)置不合理，崗位職責需清晰界定及牽制

由于中小企業(yè)具備經(jīng)濟規(guī)模小、主營業(yè)務(wù)單一、員工少等特點，其不能像大企業(yè)一般做到一崗一職，人員配置專業(yè)對口，常常會出現(xiàn)一人身兼數(shù)職的情況。而且，大多數(shù)中小企業(yè)并未明確崗位職責，員工若工作出現(xiàn)紕漏，在事后進行糾察時會相互推諉，無法找到負責人對事件負責，一方面降低工作效率，另一方面也會影響制度張力，使得內(nèi)部控制制度難以實施。例如，多數(shù)中小企業(yè)存在沒有建立會計人員分工中內(nèi)部牽制制度、重要空白憑證保管制度、常規(guī)票據(jù)分管制度等，由于制度不明確，會計人員無法履行職責。而崗位職責不清楚則會引發(fā)下列問題：（1）會計檔案管理不完善，報銷審批往往存在漏洞;（2）部分企業(yè)甚至是個人持有企業(yè)管理票據(jù)與印章;（3）企業(yè)重要票據(jù)領(lǐng)用銷號制度未嚴格執(zhí)行，或不按序編號，部分入賬單無申領(lǐng)人、未驗收、無實際用途。因此，做好人力資源管理及崗位協(xié)調(diào)對于業(yè)務(wù)開展能起到降低錯誤、風險發(fā)生的作用。

（二）風險識別及控制能力有待提升

中小企業(yè)在生產(chǎn)、經(jīng)營與發(fā)展的過程中需要面臨多種多樣的風險，根據(jù)風險形成的原因可分為財務(wù)風險及經(jīng)營風險兩大類。只有對風險的種類、嚴重程度、是否在可承受范圍等進行評估與判斷，開展有效的防控措施，才能確保企業(yè)穩(wěn)定、健康發(fā)展。但目前我國多數(shù)中小企業(yè)并不具備風險防范意識，也未建立完善的風險管理方案，雖然市場競爭越演越烈，但企業(yè)并未因此考慮強化風險管理內(nèi)容，也并未學習新的風險評估方法。加之，大部分中小企業(yè)并未建立完善的組織架構(gòu)，公司內(nèi)部管理機制缺少約束，更多是管理層主觀決策，出現(xiàn)判斷失誤的情況極多，經(jīng)常是已經(jīng)發(fā)生問題且造成嚴重后果后才去補救。當前中小企業(yè)最急需解決的問題即是制定或健全正確的風險評估體系，缺少事前、事中控制。

（三）監(jiān)督活動實施不到位

內(nèi)部監(jiān)督分為專項監(jiān)督與日常監(jiān)督，其中專項監(jiān)督是指在企業(yè)制定發(fā)展戰(zhàn)略、生產(chǎn)經(jīng)營活動、調(diào)整組織結(jié)構(gòu)、關(guān)鍵崗位員工調(diào)整、業(yè)務(wù)流程進行時等情況下，通過內(nèi)部控制對其中細節(jié)進行針對性的質(zhì)量監(jiān)督檢查;日常監(jiān)督則是企業(yè)對內(nèi)部控制的落實情況、運行效率進行常規(guī)、長期的質(zhì)量監(jiān)督檢查。除此外，企業(yè)還需要結(jié)合日常監(jiān)督、專項監(jiān)督情況，定期進行自我評價以評估內(nèi)部控制有效性。中小企業(yè)缺乏專門的內(nèi)審部門，一般對日常采購、應(yīng)收賬款、費用支出、季節(jié)性商品銷售、季度財務(wù)狀況的款項進行日?；?qū)ｍ棇徲嫷裙ぷ骶韶攧?wù)部門包攬，無第三方有效監(jiān)管，難免出現(xiàn)問題，如內(nèi)審人員不認識監(jiān)督審計對象，其他部門同樣對此了解不充分，工作往往配合度不夠，工作效率不高等。一般情況下，中小企業(yè)的內(nèi)部監(jiān)督功能是被弱化的，這是因為實施高質(zhì)量的監(jiān)督與評價需要建立獨立的內(nèi)審部門，而創(chuàng)業(yè)型的中小型企業(yè)并不具備足夠的人力、物力、財力用以新建部門。

三、COSO-ERM理論下解決中小企業(yè)內(nèi)部控制問題的思路及策略

（一）運用思路

COSO-ERM框架總共歸納為8個風險管理要素，筆者對其進行進一步梳理，總結(jié)為三個層面，其環(huán)環(huán)相扣。

第一層是“企業(yè)內(nèi)部環(huán)境的基礎(chǔ)控制”，基于內(nèi)部環(huán)境的狀況開展高質(zhì)量控制活動可預(yù)防企業(yè)生產(chǎn)經(jīng)營中可能存在的風險，同時及時發(fā)現(xiàn)已產(chǎn)生的風險，開展有效干預(yù)，形成良好監(jiān)督循環(huán)。第二層是“企業(yè)各項工作的監(jiān)督循環(huán)”，當?shù)谝粚友h(huán)活動運行良好時，監(jiān)督系統(tǒng)會反作用于內(nèi)部環(huán)境，對其形成監(jiān)控、督導(dǎo)、引導(dǎo)，維持內(nèi)部環(huán)境高效運轉(zhuǎn)，為下次管理循環(huán)提供正向的促進作用。第三層是“企業(yè)發(fā)展戰(zhàn)略的循環(huán)”，本層循環(huán)的核心不僅在于企業(yè)內(nèi)部環(huán)境，還要重視外部環(huán)境管控的協(xié)同，需要著眼于宏觀與微觀兩個角度，通過前期風險識別，結(jié)合企業(yè)內(nèi)外部環(huán)境制定恰當?shù)姆揽貞?zhàn)略。另外，針對企業(yè)的發(fā)展戰(zhàn)略，應(yīng)當放眼未來及整體市場，針對業(yè)務(wù)、財務(wù)等各方面的潛在風險進行預(yù)防性控制，從而可以避免風險發(fā)生，或降低已發(fā)生風險造成的損失?？刂苹顒拥脑O(shè)計與執(zhí)行直接決定企業(yè)的風險反應(yīng)能力，通過積極對潛在風險的識別與制定應(yīng)急預(yù)案，維持內(nèi)部控制活動的正常運行，進而強化監(jiān)督質(zhì)量，進一步推動內(nèi)部環(huán)境良好運轉(zhuǎn)。

（二）運用策略

1.優(yōu)化中小企業(yè)的內(nèi)部控制運行環(huán)境

COSO-ERM框架中最基本也是最重要之一的環(huán)節(jié)即是環(huán)境構(gòu)建，是確保內(nèi)部控制有效實施的先決條件 。

首先，管理層應(yīng)當重視內(nèi)部控制意識的培養(yǎng)。中小型企業(yè)管理者個人素質(zhì)良莠不齊，要想在職員工接受內(nèi)控建設(shè)，就需要先行培養(yǎng)自身內(nèi)控素養(yǎng)及能力，做好“欲正人先正己”，提高員工號召令。同時，各級管理者應(yīng)當發(fā)揮模范帶頭作用，以身作則遵守各種內(nèi)控制度，才可有效說服全體員工共同為建立良好的內(nèi)控環(huán)境、培養(yǎng)先進的內(nèi)控意識而努力。

其次，企業(yè)應(yīng)當設(shè)立員工崗位分離制，通過設(shè)計參考表，劃分彈性分離崗位及強制性分離崗位，以此解決中小型企業(yè)職責分離界限不清晰的情況。另外，為確保人力資源管理制度科學合理，對具有良好職業(yè)操守、有豐富工作經(jīng)驗、能力突出的員工優(yōu)先招聘，建立科學的員工管理制度，員工考核及任務(wù)完成情況要公平、公正、公開，切實落實賞罰并重制度，堅決落實內(nèi)部控制，促進權(quán)、責、利的有機統(tǒng)一。

最后，企業(yè)應(yīng)采用定期會議與臨時會議兩種方法，其中定期會議可以每周周一舉行例會，對上周經(jīng)營管理中存在的問題進行復(fù)盤，提出解決方案，針對未來一周的經(jīng)濟管理方法進行探討，詳細規(guī)定與會人員級別，讓基層、中層、高層人員均能進行有效溝通與互動，提高經(jīng)營管理問題的發(fā)現(xiàn)與解決效率。

2.加強監(jiān)督機制建設(shè)

從COSO-ERM框架的構(gòu)建過程及其具體內(nèi)容而言，風險管控中的信息溝通、監(jiān)督、控制等環(huán)節(jié)對企業(yè)經(jīng)營管理有效性的意義至關(guān)重要，企業(yè)領(lǐng)導(dǎo)人應(yīng)充分重視制定有效的監(jiān)督機制。

3.強化風險意識，進行全面的風險管理

精準有效的風險評估是提高企業(yè)內(nèi)部控制效果的關(guān)鍵，企業(yè)競爭伴隨經(jīng)濟增長越演越烈，這也導(dǎo)致企業(yè)經(jīng)營風險增加，COSO理念下主張內(nèi)部控制不能脫離外部環(huán)境以及企業(yè)內(nèi)部風險因素，應(yīng)當從實際環(huán)境以及風險情況入手進行分析，制定風險預(yù)警及處理措施。

首先，提升全員對風險防范的意識。首先，企業(yè)從基層員工入手，開展培訓(xùn)強化其風險意識，指導(dǎo)各部門、各單位就當前自身業(yè)務(wù)存在的潛在風險進行梳理，通過長期跟蹤、針對預(yù)防等方法化解風險。其次，企業(yè)管理層擬定全面經(jīng)營目標，不可僅局限于公司經(jīng)營，而是要從公司經(jīng)營、合規(guī)性、資產(chǎn)完整等方面考慮。再次，企業(yè)利用多種形式培訓(xùn)，教導(dǎo)員工關(guān)于風險管理的知識，提高其風險識別能力，從而對自身業(yè)務(wù)中存在的風險及公司內(nèi)外部的風險進行有效甄別，進行合理預(yù)防與化解。最后，企業(yè)管理層組織各部門針對自身情況擬定風險應(yīng)急預(yù)案，發(fā)揮領(lǐng)導(dǎo)層在運營中的指揮作用，同時在應(yīng)急預(yù)案落實時做好監(jiān)督工作，保證應(yīng)急預(yù)案實施效果。

其次，需要對內(nèi)外進行分析，對外分析外部市場、機遇與威脅，考慮企業(yè)是否有生存機遇，懂得規(guī)避財務(wù)風險、成長風險、責任風險、道德風險、信息化風險、人力資源風險。對內(nèi)則將重點聚焦在自身優(yōu)劣勢分析上，結(jié)合長處考慮機遇，運用良好的風險評估提高企業(yè)內(nèi)部控制效果。目前市場競爭逐漸激烈，公司面對的經(jīng)營風險種類在變化，風險威脅程度也在不斷提高，企業(yè)內(nèi)部控制管理受到嚴重考驗。企業(yè)需要做好自身SWOT分析，理解到有效的風險評估是幫助企業(yè)防范風險的一道“防火墻”，其可以提高企業(yè)臨陣應(yīng)對風險的能力，維持企業(yè)健康、可持續(xù)發(fā)展。

（作者單位：佛山市恒生會計師事務(wù)所）

3002501908287