中小企業(yè)自行開展內控體系建設實踐探討

李建偉

摘要：目前，由于我國企業(yè)內控體系建設起步較晚，中小企業(yè)內控意識淡薄、風險防范能力較弱，且內部控制基本規(guī)范也未針對中小非上市企業(yè)提出內控體系實施要求，因此，多數中小非上市企業(yè)沒有內控體系，不愿投入人力財力，更不用說聘請會計師事務所開展此項工作了。文章從工作實踐出發(fā)，探討中小企業(yè)在管理層的領導下依靠內部力量建設內控體系的步驟和方法。

關鍵詞：內控體系 中小企業(yè) 建設

隨著內部控制基本規(guī)范及配套指引的頒布，如何建立和完善內控體系、加強內部監(jiān)督、建立評價機制成為企業(yè)日益關注的課題。上市公司及大中型企業(yè)一般都聘請管理咨詢公司或會計師事務所等中介機構代為建立和完善內控體系，但對于內部控制基本規(guī)范沒有要求的中小非上市企業(yè)，投資人幾乎不會投入更多的財力在“不創(chuàng)造價值”的事情上。中小企業(yè)如何依靠內部力量建立和完善內控體系，本文對此進行探討。

一、取得股東或董事會支持

內控體系建設過程是董事會、監(jiān)事會、管理層及全員參與的過程，內部控制基本規(guī)范指出，董事會負責內部控制的建立健全和有效實施，經理層負責組織領導企業(yè)內部控制的日常運行。但中小企業(yè)的董事會成員一般都是股東或股東直接指揮管理層，他們重點關注企業(yè)的利潤，很少參與企業(yè)的日常管理，更不愿意在“不創(chuàng)造價值”的事情上花錢，這就給內控體系建設帶來困難。要想開展此項工作，管理層首先要說服股東或董事會支持此項工作，向其說明內部控制有著規(guī)范企業(yè)經營活動和內部管理、提高企業(yè)管理水平、提升企業(yè)風險防范能力、保證公司資產和財產安全、提高企業(yè)經營效果和效率、為企業(yè)戰(zhàn)略發(fā)展提供有效保證等重大意義。事實上，風險防范能力較強的企業(yè)，可以為投資人避免損失；提高企業(yè)的管理水平和經營效率，又可以為投資人帶來更高的投資回報。

二、高管牽頭、具體分工、全員參與的組織保障

由于內控體系涵蓋企業(yè)運營的所有方面，需要全員參與，因此，管理層取得股東或董事會支持后，需要建立一個跨部門的項目小組，對內控建設總體負責。在內控體系建設過程中很多人抱有誰組織誰負責、應付等心理，高管牽頭并積極參與對成功完成此項工作就顯得尤為重要。由于內控體系建設涉及所有部門，總經理作為所有部門的共同負責人，參與其中并擔當項目領導角色能有效推動內控體系建設，以免內控體系建設變成只是財務或內部審計部門的事。應成立一個由總經理任組長、分管業(yè)務的副總經理、財務總監(jiān)、審計總監(jiān)為組員的內控體系建設領導小組。但在實際工作中，中小企業(yè)的管理層難以抽出多余的時間和精力，因此可以在內控體系建設領導小組下設內控體系建設執(zhí)行小組，組長由財務總監(jiān)或審計總監(jiān)擔任，組員由各部門經理或副經理或部門骨干等管理人員組成，再由各組員組織本部門人員開展內控體系建設。如有分支機構或子公司，分支機構或子公司的管理層也應納入執(zhí)行小組，以便他們參照總部的方案組織本單位的內控體系建設，將內控體系建設的責任層層落實到各個單位。

內控體系建設是個持續(xù)的過程，領導小組應通過直接與企業(yè)員工或執(zhí)行小組溝通，或通過內部刊物和會議等方式，傳達其對項目的支持和投入、對項目成功完成的決心和信心。

三、內控體系建設實施過程

（一）風險評估。內部控制基本規(guī)范第一條明確指出“為了加強和規(guī)范企業(yè)內部控制，提高企業(yè)經營管理水平和風險防范能力”制定本規(guī)范，所以內控體系建設應以風險為出發(fā)點，根據當前的經濟形勢、法律法規(guī)、行業(yè)狀況和企業(yè)內部環(huán)境進行風險評估。

風險評估是及時識別、科學分析和評價影響企業(yè)內部控制目標實現(xiàn)的各種不確定因素并采取應對措施的過程。風險評估主要包括目標設定、風險識別、風險分析和風險應對。目標設定是前提，企業(yè)應根據戰(zhàn)略目標設定各種經營目標，并根據經營目標確定企業(yè)可接受的風險水平和具體業(yè)務層次上可接受的風險水平。風險識別是找出影響企業(yè)預期目標的主要風險，是風險評估的重要環(huán)節(jié)。風險識別不是識別出企業(yè)的所有風險，而是根據企業(yè)的風險可接受水平識別出主要風險，再進行分析并制定控制措施。風險評估應同時考慮經濟形勢、行業(yè)水平、法律法規(guī)、技術進步等外部因素和企業(yè)發(fā)展階段、規(guī)模、組織架構、企業(yè)文化、業(yè)務復雜程度等內部因素。

內控體系建設不可能一蹴而就、一步到位。內控體系建設執(zhí)行小組在風險評估時就應該關注主要風險和重點領域，忽略那些發(fā)生概率很小、即使發(fā)生也不會引起重大經營損失的風險。正如上文所說，股東和董事會更多地關注企業(yè)的盈利情況，執(zhí)行小組首先應關注引起財務報告錯報的主要風險。內部控制基本規(guī)范配套指引還指出“審計師應當對財務報告內部控制的有效性發(fā)表審計意見，并對內部控制審計過程中注意到的非財務報告內部控制的重大缺陷，在內部控制審計報告中增加‘非財務報告內部控制重大缺陷描述段予以披露”，所以執(zhí)行小組還要關注風險較大的重點領域和特定領域，例如企業(yè)的新業(yè)務和新技術、容易引起舞弊的環(huán)節(jié)、重要子公司、管理較困難的經營場所等領域。

內部控制基本規(guī)范要求企業(yè)實施時遵照重要性原則，內控建設既要遵守全面性原則，但也不是平均分配資源，應有側重點，識別重要風險領域。內控體系建設執(zhí)行小組在進行風險評估時應當以定量和定性分析相結合的方式確定主要風險和重點領域。定量分析方法確定重要性水平包括采取一個資產負債表或利潤表項目的適當比例，如總資產、收入、所有者權益或稅前利潤的5%。定性分析要考慮與財務報表的重大錯報相關的會計科目、復雜交易、存在較高舞弊風險的領域等。

（二）根據風險評估結果制定控制措施和工作流程，并記錄實施證據。完成風險評估后，企業(yè)應針對評估的風險點，通過制定控制措施、完善流程等手段，規(guī)避、防范風險的發(fā)生。每個企業(yè)都有一定的控制措施，制定流程和設計記錄文件應考慮現(xiàn)有流程和記錄，如果現(xiàn)有流程或在此基礎上稍加修訂即可滿足防范風險的要求，可考慮采用現(xiàn)有流程及措施。制定控制措施要考慮風險類型（經營風險、財務風險、舞弊風險等）、控制類型（預防型和檢查型）、控制方法（自動和人工）、控制頻率，以及控制的層次——由高層控制還是一般管理人員控制。

內部控制基本規(guī)范要求“企業(yè)應當以書面或其他適當的形式妥善保存內部控制建立與實施過程中的相關記錄或者資料，確保內部控制建立與實施過程的可驗證性”。企業(yè)應當建立內部控制記錄，包括流程記錄和實施證據記錄。流程記錄可采用二維表、流程圖、文字描述、決策圖、權限表等不同的形式，其中流程圖配合流程描述通常是最有效、最直觀的流程記錄形式。流程記錄最好能包括某某崗位做什么事、以什么樣的表格或其他記錄、流程節(jié)點的風險標識、控制措施標識等實操性強的信息。實施證據記錄可采用經簽字Excel和Word、郵件等書面形式，避免采用口頭形式。統(tǒng)一的記錄格式能夠使對控制有效性的評估變得容易簡單，但開發(fā)或設計一套全新的記錄格式或方法需要投入更多的人力物力，企業(yè)應權衡設計全新的記錄的成本和效益。記錄文件的設計應考慮穩(wěn)定性，但可隨內控評價整改定期修訂。

制定控制措施時應加強對信息系統(tǒng)的應用，自動控制既能節(jié)約人力資源，又能使執(zhí)行有力到位，但企業(yè)在應用信息系統(tǒng)前，應重點制定對信息系統(tǒng)的更新、檢測、維護、程序變更、訪問權限、數據備份等流程的控制。

在內控體系建設過程中，企業(yè)應建立會審制度，梳理或新建的制度和流程需經內控建設執(zhí)行小組會審，相應制度和流程的制定人員、涉及部門的小組成員和業(yè)務骨干必須參加，確?？刂拼胧┻m度得當，既能保證風險可控，又不影響業(yè)務發(fā)展和工作效率。

（三）測試控制措施的有效性。紙上談兵不可取，再好的設計也必須落到實處。內部控制基本規(guī)范也要求企業(yè)進行內控體系建設時堅持應用性原則。為了確保設計的內部控制運行有效，在內部控制建設基本完成后需要對其進行測試，以檢驗內部控制措施的應用性和適用性。內控建設執(zhí)行小組應制定詳細的測試計劃，包括管理理念、測試方法、測試范圍、重點領域、特定風險等，報內控建設領導小組批準。但是，不是所有的控制都可以提供相同的保證，設計是否存在缺陷、執(zhí)行控制人員的知識和經驗、控制的期間、控制的頻率、控制的方法等都會對控制效果產生影響。如果控制設計有缺陷，即使控制按設計的流程去運行，也不能保證控制能夠防范風險的發(fā)生。如果設計沒有缺陷、控制按照設計運行，執(zhí)行人員具有必要授權和專業(yè)勝任能力，能夠實現(xiàn)控制目標，則表明控制運行有效。

如果某個控制每天運行，測試中出現(xiàn)例外情況，內控建設執(zhí)行小組必須對例外情況出現(xiàn)的原因進行評估，通過調查確定控制是否有效運行，如果調查結果不能確定是否存在缺陷，則應選擇另一組數據樣本進行測試，如果沒有再次出現(xiàn)例外，可不確認為缺陷。如果控制頻率為一個月、一季度的控制出現(xiàn)了例外，則應認為存在缺陷，因為樣本總體太小。測試中還應特別注意自動控制，針對自動控制，首先測試系統(tǒng)總體控制是否有效，如果有效，測試項目數量可以減少，且針對系統(tǒng)控制的每個特性都要進行有關控制運行有效性的測試，如果輸入的無效信息或高層次人員能繞過流程，則表示控制無效。

內控體系建設執(zhí)行小組應編制所有內部控制缺陷的清單，記錄每個缺陷的原因并評估必要的整改行動，如重新設計控制等，并需要對整改后的控制進行再測試來證明其運行的有效性。

四、內控體系正式實施并逐步完善

測試完畢并確認各類控制運行有效且不存在重大缺陷后，內控體系建設執(zhí)行小組編寫測試報告，報領導小組批準并實施。內控體系正式實施后，內控體系建設領導小組和執(zhí)行小組可能會被取消，但隨之產生的內控委員會或內控小組等類似機構應承擔起內控體系修訂和完善的職責。隨內外部環(huán)境、經營戰(zhàn)略、重要業(yè)務范圍等的變化，內控體系需要及時修訂和完善，即使上述因素在短期內不發(fā)生變化，企業(yè)也應每年定期對內控體系進行評價，然后根據評價結果修訂和完善。

參考文獻：

[1]普華永道內部控制基本規(guī)范專業(yè)團隊.《企業(yè)內部控制基本規(guī)范》管理層實務操作指南[M].北京：中國財政經濟出版社，2012.

[2]胡八一.企業(yè)內控體系建設實務[M].北京：人民郵電出版社，2014.

[3]袁建華.泰安市中小企業(yè)內部控制調查研究[J].商業(yè)會計，2016，（8）.

[4]杜妍.加強企業(yè)內控體系建設的管理與實踐[J].管理觀察，2015，（2）.