小企业是我国经济增长、吸纳就业人口、丰富社会产品供给和稳定社会的重要力量。近年来,以民营经济为主体的小企业在我国国民经济中的地位日益突出,发展迅速。但小企业在成长过程中,组织结构简单、权力集中、企业治理结构失衡,规章制度缺失、风险意识不强、信息沟通不畅、决策随意、人才储备不足、企业信息失真等现象也已经严重阻碍了企业的正常发展。因此,加强小企业内部控制,提升小企业经营管理水平和风险防范能力,对于我国经济持续健康快速发展具有十分重要的意义。
一、小企业的界定标准
纵观世界各国对小企业的界定,并没有一个统一的标准。由于不同国家和地区的经济发展水平以及企业所处的发展环境存在显著的差异,导致不同国家和地区对小企业的划分标准迥异;即使是同一国家在不同的经济发展阶段,对小企业的划分标准也不尽相同。世界各国对小企业的界定所采用的标准有定性与定量两种方法:定性界定主要是从企业在本行业中所处的地位,企业经营管理模式以及企业所有权结构等作为衡量标准;定量界定主要采用量化指标对小企业进行界定,如企业雇员人数、资产规模、年营业额等。
2006年,科索委员会发布的《财务报告内部控制——较小型公众公司指南》认为,较小型企业符合以下特征:
(1)业务领域较少,每个领域中的产品也较少;
(2)营销渠道和地域集中;
(3)由拥有大量所有权的管理层领导;
(4)交易处理系统和规则不太复杂;
(5)人员较少,很多人员的职责范围较宽;
(6)保持内部资源有效结合和支持性员工职位(如法律、人力资源、内部审计等)的能力有限。
二、小企业的内部控制特点
与大中型企业相比,小企业的规模普遍较小,业务普遍比较单一,往往侧重于某一项产品或业务,很少进行多元化经营。因此,小企业的业务流程较为简单,易于控制,且机制灵活,应变能力强,能够根据市场的需求及时做出调整。但是小企业的这些特点也决定了它们在某些方面和大中型企业相比处于劣势:第一,组织结构往往比较简单,管制制度不健全,管理的随意性比较大;第二,经营管理水平普遍不高,普遍缺乏高素质的管理人才;第三,缺乏长远的发展战略,对企业所面临的风险缺乏系统性的认识;第四,不具备完善的会计系统和控制程序,财务信息质量普遍不高,会计处理的随意性较大;等等。
《企业内部控制基本规范》明确指出:“企业内部控制规范适用于中华人民共和国境内设立的大中型企业”;同时指出:“小企业和其他单位可以参照本规范建立与实施内部控制”。由于小企业的上述经营管理特点,决定了小企业与大中型企业相比在内部控制体系方面存在如下特殊问题:
(一)内部环境
小企业在建立良好的内部环境方面具有独特的优势。在小企业中,管理层与普通员工的交流更加密切,可以有效地加强企业的基本价值观和指令,并能够更有效地影响员工的日常行为。但是,小企业在内部环境方面也面临许多突出问题,主要表现在:
1.部分小企业治理结构不健全或者形同虚设。与大中型的企业相比,小企业的所有者、决策者和执行者往往由某个人或者某个核心的团体来担任,即使有董事会也形同虚设,在很多小企业中出于成本方面的考虑根本没有审计委员会,从而导致部分小企业的内部控制环境在治理层面不健全,不利于自上而下形成一种良好的内部控制氛围。
2.部分小企业组织结构薄弱。组织结构是为公司活动提供计划、执行、控制和监督职能的整体框架,但是实践中小企业的组织结构往往比较简单。小企业的组织架构往往以某个拥有绝对权力的人或者团体为发端向下延伸,权力高度集中,向下仅仅有必要的生产经营和财务等部门,其他提供计划、控制和监督的职能部门往往由权力集团亲自实施。这种不完整的组织架构仅仅能够满足企业短期生产的需要,并不能对企业的长远发展提供有力的保障。
3.部分经营者整体素质偏低。突出表现在:第一,小企业经营者目光短浅,往往只着眼于短期的经营业绩,对长远的发展考虑不足,企业缺乏长远的发展战略。第二,由于小企业中权力比较集中,小企业的最高管理者往往同时表现出专制和随意性的特征,即使企业中建立一些具体的内部控制措施,但是这仅仅针对职位比较低的管理人员或者是员工,而权力集中的个人或者小团体则可以游离于制度之外。
4.部分小企业人事管理手段落后和缺乏必要的专业人员。内部控制是由人来实施并且强烈地受到人的因素影响,人力资源政策和相关实践是提供内部控制有效性的关键因素之一。但是在小企业中,尤其是其中的个体私营企业不少带有较强的家族式色彩,在人员任命上往往具有“任人唯亲”的特征,从而形成以集权人为中心的超集权组织结构,进一步造成企业人事组织缺陷和企业管理的混乱。此外,内部控制体系的制定和执行必须依靠一批有科学发展理念和内部控制实践经验的职员。但是,有些小企业的内部环境很难使其留住这些必要的专业人员。所以,有些小企业中尽管其决策层有着科学发展的理念,对内部控制的重要性也有着足够的认识,但由于缺乏必要的专业人员而导致内部控制实施效果并不理想。
(二)风险评估
小企业的管理者在履行职责过程中,容易从员工、客户、供应商和其他方面获取有关企业经营管理的各种风险信息,进而识别出与企业经营管理直接相关的各类业务风险。但是,对于一些更加潜在的和深层次的风险,如市场行情、政府的法律法规、自身的技术资源、人力资源等,由于小企业普遍存在的集权控制,使得决策者在面临此类决策时往往依据个人偏好而定,缺乏必要的风险识别、评估技术与方法,使企业面临更大的风险。
(三)控制活动
由于企业资源的约束和成本效益原则的制约,与大中型企业相比,小企业中无论是控制活动的广度还是控制活动的深度都存在很大的差距。比如,从广度上而言,内部控制活动可能仅仅局限于在财务部门,仅仅满足于基本的不相容职务的分工,或者连这种基本的职务分工都根本不存在;从深度上而言,也缺乏对绩效指标的比较、对信息处理的控制等这些方面的内容。另外,内部控制活动的加深需要付出相应的成本,比如对信息处理的控制包括应用控制,以计算机为依托的管理信息系统的建立无疑会有利于内部控制的开展,但是考虑到高昂的软件费用和运行成本,小企业的决策者也可能出于成本收益方面的权衡而放弃。因此,小企业不得不采取某些补偿性控制来实现控制目标。
(四)信息与沟通
由于小企业的管理层级和员工数量较少,管理层与普通员工的沟通交流的有效沟通更容易实现,小企业在信息交流和沟通方面往往能够做到信息快速传递和及时沟通。此外,由于企业发展的需要,小企业与供应商、客户、政府部门以及银行等之间的外部信息流通和沟通也比较及时和深入。因此,有效的内外部信息与沟通有助于小企业管理者及时了解经营过程和生产过程中控制措施的执行情况。但是,由于缺乏严格的经营活动记录和报告等信息反馈系统,在小企业组织内部往往存在横向沟通和自下而上的沟通不充分的问题。此外,小企业普遍对信息的收集和加工不够重视。
(五)内部监督
小企业管理层容易获得有关经营管理的高质量的第一手信息,因此能够对企业的经营管理活动进行持续的日常监督。但很多小企业在内部监督和外部监督方面存在很多缺陷。比如,有些小企业没有设置内部审计机构,或内审机构职能严重弱化,并不能充分发挥其职能,不能正确评价财务会计信息及各级管理部门的绩效。在外部监督方面,尽管我国陆续出台了一些保护小企业的法律法规,小企业生存环境逐步得到改善,也逐步建立了包括政府监督(如财政、审计和税务等部门的监督)和社会监督(如会计师事务所和社会舆论力量的监督)等在内的企业外部监督体系,但是由于各种监督的功能交叉、标准不一,实践中并未对小企业形成实质的和有效的监督。
三、小企业建设与实施内部控制的建议
(一)内部环境
1.小企业在内部环境建设上,要从法人治理结构和管理组织体制上予以规范,权责分明。从源头上解决职能重叠、权力集中、职责授权不清现象。
2.小企业要重视企业目标的构建,一切控制活动都是围绕企业目标进行的,企业目标的分解落实是展开内部控制活动的开始,要从源头上建立清晰的目标导向的内部控制体系。
3.建立民主决策机制,避免因权力集中使内部控制成为少数人的控制,使内部控制真正成为全员参与的控制,增强全员的内部控制意识。
4.要避免因短期利益驱动,为减少管理成本而忽视内部控制机构设置的倾向,使内部控制因职能上非独立性而导致整个内部控制的失败。
5.管理层自身要对内部控制的重要性有系统的认识,乐于接受内部控制对自身行为的制约,积极创建良好的内控文化,培育遵守制度的习惯,增强员工责任感与诚信意识,形成勤于学习、善于学习的氛围,增强制度的执行力。
6.要在组织上保证内部控制机构的独立性和在企业中的地位。
(二)风险评估
1.小企业要在提高风险意识的同时,重点关注如何建立对风险进行评估控制的科学方法和程序,风险评估要制度化、经常化、专业化、系统化。
2.要加强对风险控制工具的研究,提升风险识别、评估的技术,形成动态的风险分析与决策机制。
3.对风险的识别与评估、风险的应对措施决策要予以组织与制度保障。
(三)控制活动
1.要重点加强对非日常经营的活动——如投资、担保、收购等的控制,也要根据企业实际经营情况,加强对日常业务中易出现问题的环节加强控制,如采购过程的供应商选择和价格谈判,销售过程的客户信用管理、订单管理与应收款管理,生产过程的成本、质量报告、资产状况报告等。
2.控制活动要避免有头无尾的情况,开始环节认真到位,但过程缺乏监控、措施粗放缺乏评价标准、责任不清、评价不力等,这些需要从制度机制上予以保障。对控制执行机制的有效性本身要有定期的评价和完善制度。
3.由于员工人数较少,部分员工身兼数职,小企业应当建立不相容岗位的职责分离制度,并对关键岗位的员工实行定期轮岗和强制休假。
4.随着计算机信息技术的广泛应用,有条件的小企业应当充分利用信息技术,提高内部控制的效率和效果,并针对信息技术对内部控制产生的新风险,实施响应的控制措施,并不断分析改进计算机信息控制技术。小企业不得因实行信息技术控制而免除或减少必要的人工控制。
(四)信息沟通
1.良好的信息沟通对内部控制的执行是至关重要的,小企业要注重搭建良好的、多渠道的信息沟通平台,明确收集信息的目录以及信息收集、传递、汇总分析、决策的路径,保证信息传递的及时、高效、顺畅。
2.要对信息沟通渠道进行动态维护与拓展,形成制度化的信息沟通机制。
(五)内部监督
1.内部控制的监督首先要从组织上保证内部控制机构的独立性,不受其他外部因素干扰。
2.重视内部报告控制,定期的报告制度有助于及时发现问题。
3.要增强外部监督的机制与力度,并与内部监督机制相互配合,形成合力。
4.要使监督活动日常化、透明化,同时对监督机构自身也要建立相应的再监督机制。
§§第四章 金融企业特殊业务内部控制