浅析中小企业的内部控制建设问题
2012-03-28张玉缺
张玉缺
我国中小企业内部控制制度异常薄弱,这给以后的发展产生巨大阻力,中小企业应借鉴我国上市公司的经验教训,按照国家内部控制规范严格制定行之有效的内部控制制度,为以后的发展奠定坚实的基础。
一、我国中小企业内部控制存在问题
1.控制目标模糊不清
目前在我国中小企业中,控制目标制定还是提不上日程,管理当局重视不够,基层员工执行力差,各方面仍存在问题:①企业员工,特别是管理者对内部控制了解不深,重视不够。②企业内部控制还是停留在业务流程上(甚至业务流程都缺乏控制),管理者不能清晰而明确的制定控制目标。③企业员工也只是从局部分析、更多从个人角度分析利害关系,不能很好的去执行和实现目标。
2.风险意识不强
目前,我国中小企业管理层的思想中,缺乏风险概念,上至董事会人员,下到企业员工,没有良好的风险防范意识,强化风险管理更是纸上谈兵,因为目前国内就没有一套行之有效的风险评估机制或体系,况且也无相关的法规对中小企业进行约束。
3.控制活动的管理者“一言堂”及随意性
在我国,中小企业的最大特点就是家族式的经营方式。这类企业在创建的初期,往往都是依靠家族成员共同经营,所以其所有权和经营权大都控制在其家族成员的手中。中小企业的这种所有权与经营权的结合,导致企业内部治理比较混乱,报销审批制度不严,容易出现贪污舞弊现象。如管理层对企业制度视而不见,乐于相信自己的直觉,以个人的主观判断代替科学决策。这在泉州中小企业中尤为明显,所有规定都是老板说了算,对老板的约束只是形同虚设。这样的情况下,如果股东是两个以上,就很可能出现纷争,两个股东说法不一,结果是下属不知道该听谁的,严重影响了人员效率,使员工不能安心为企业做事。
二、上市公司的失败教训
国内外失败、破产甚至倒闭的企业仍然层出不穷,甚至都是我们本以为不可能发生危机的大型跨国企业,如美国安然、世通等一批巨人企业的相继倒下,我国的德隆危机、伊利股份、新加坡中航油事件等失败案例或重大丑闻。在如今经济萎靡的环境下,更加暴露了公司内部控制系统有效性的缺失所带来的大量失败案,如雷曼兄弟和贝尔斯登次贷投资巨亏破产、我国中信泰富等公司衍生金融产品投资巨亏等事件。应如何从根本上杜绝此类事件发生是中小企业应当关注的问题。
国外以1992年由COSO委员会提出并于1994年修改的《内部控制—整体框架》最具有代表性,接着1998年巴塞尔委员会对COSO报告的修正,加拿大COCO委员会内部控制框架以及2004年修订的《企业风险管理框架》。国内2001年财政部发布《内部会计控制-基本规范(试行)》,2006年国资委出台《中央企业全面风险管理指引》,2008年6月发布了我国第一部《企业内部控制基本规范》等规范性法规,接着又出台了《企业内部控制基本规范应用指引》,这些法规制度从根本上解决了企业内部控制的建设问题,中小企业应参考这些法规,制定规范的内部控制,防患于未然。本文从《企业内部控制基本规范》角度出发,从以下五个方面指导企业应如何构建内部控制,包括内部环境、风险评估、控制活动、信息与沟通、监控五个方面。
三、中小企业应从以下几个方面建设内部控制制度
1、完善内部环境
构建有效的组织结构是制度实施的前提。ST达尔曼中国是第一个因无法披露定期报告而遭退市的上市公司。从上市到退市,在长达八年的时间里,达尔曼通过一系列精心策划的系统性舞弊手段,给投资者和债权人造成严重损失。这也反映了我国众多上市公司的一个共同特点,即公司的组织结构存在严重问题。中小企业的家族式管理也是组织结构存在严重问题的根源。因此中小企业应淡化家族式管理,经营权与所有权适度分离;建立责权利明晰的组织结构;加强文化建设,培育积极向上的价值观,树立现代管理理念,强化风险意识;加强法制教育,严格依法办事、依法监督,建立健全法律顾问制度和重大法律纠纷案件备案制度。
2.风险评估
关注重大风险比关注细节控制更重要。不管是雷曼兄弟的顷刻倒塌,还是贝尔斯登次贷投资巨亏破产,当然市场的大不利环境是主要原因,但我们不能排除他们对待风险管理的态度过于松懈的推波助澜作用,当雷曼兄弟的财务杠杆都达到几十倍时,他们依然没有意识到灾难就在眼前,以有一套完善的内部控制体系来自欺欺人,这样的结果不是偶然而是必然的。其次,企业应建立专门的风险管理部门对风险进行管理控制。风险管理组织是指“通过确定一定的组织结构和组织关系,使企业各部门各成员协调工作,从而保证风险管理目标实现,他是整个风险管理计划的重要组成部分。”当然,企业可以针对不同的规模、组织结构设置相应的风险管理组织系统。
3.控制活动
企业应从不相容职务分离、授权审批、会计系统、财产保护、预算、运营分析和绩效考评控制等方面来规范企业的控制活动。控制活动是内部控制的核心内容,旨在帮助企业保证其已针对“使企业目标不能达成的风险”采取必要的行动,在经营控制的整个过程中,都要不间断的进行风险识别,找出可能会遇到的风险,再进行风险评估,分析其风险是重大的还是不需要考虑的,然后采取相应的风险策略,对重大的风险进行预防与控制,所以,控制活动必须与风险识别与评估相结合,才能帮助企业达成目标。
4.信息与沟通
企业应当建立信息与沟通制度,明确内部控制相关信息的收集、处理和传递程序,确保信息及时沟通,促进内部控制有效运行。如企业可以引入ERP信息管理系统,OA和CRM信息管理,提高网络的利用效率。
5.监控
企业应当明确内部审计机构(或经授权的其他监督机构)和其他内部机构在内部监督中的职责权限,规范内部监督的程序、方法和要求。建立内部审计和外部审计共同监督的监察制度。
[1]国务院国有资产监督管理委员会2006年6月发布的中央企业全面风险管理指引和2008年6月发布的《企业内部控制基本规范》.
[2]朱荣恩,贺欣.“内部控制框架的新发展——企业风险管理框架”[J].审计研究,2003,(6).
