科技型中小企业内部控制基础设计
摘要:本文根据科技型中小企业自身的特点和经营管理的需要,建立自我调节、检查和制约的内部控制体系,并形成一个健全完整、运行灵活的内部控制系统,以提高其经营效率和效果,促进科技型中小企业实现发展战略。
关键词:科技型 中小企业 控制 设计
近几年,随着产业结构的更新、调整,有着高科技、高风险、高收益特征的科技型中小企业发展迅猛,已逐步成为国民经济增长中的重要支柱,其作用和地位随着国有经济战略性调整而日益突出。但是,目前我国科技型中小企业存活率较低,而近期的世界金融危机,更使得众多中小企业举步维艰。其主要原因在于科技型中小企业往往将主要精力集中在科技研发、成果转化上,忽视了企业治理和内部控制制度建设。因此,内部控制制度的建立、健全和有效实施跟不上企业发展的需要。
1 建立健全科技型中小企业内部控制的必要性
1.1 建立完善内部控制体系是当前科技型中小企业内部控制建设现状的迫切需要
当前我国多数科技型中小企业内部控制机制还不够健全完善,部分企业对内部控制的重要性认识不足。有的虽然制定了内部控制制度,但与本企业经营管理的实际需要匹配度不高,还有些企业的内部控制制度没有被严格执行,出现制度制定与实际执行“两层皮”的现象。
1.2 健全科技型中小企业法人治理结构的迫切需要
法人治理与内部控制有着密切的关系,完善的法人治理结构是内部控制的基础。法人治理结构不健全,将导致内部控制不完善。同时,内部控制是法人治理结构的运行保障,法人治理结构中的权利制衡机制能否合理有效运行,需要内部控制的监督、修正与保驾护航。
1.3 提高会计信息质量、保证财产物资安全的需要
内部控制制度的建立,可进一步规范企业的行为,以提高企业会计信息的质量,防止和减少财产物资被损坏,杜绝浪费、贪污、盗窃、挪用和不合理使用等现象的发生。
1.4 提高科技型中小企业经济效益与效率的需要
通过内部控制的有效运行,能够从企业内部着手,促进企业合法经营,规范运作,及时发现和解决经营中存在的问题,贯彻经营方针,提升企业的整体管理水平,不断提高经济效益和运行效率。
1.5 推动科技型中小企业可持续发展的需要
建立完善的企业内部控制体系,监控执行国家制定的一系列财经纪律及法规及企业内部有关规章制度,有利于企业识别风险,分析并评估风险,最后对症下药,有效地解决各种风险,保障企业的健康运转和可持续发展,在企业内部形成一种自我检测、自我监督、自我调整、自我发展的内部驱动机制。
2 科技型中小企业内部控制基础设计
2.1 内部控制环境
内部环境是整个内部控制的基础,内部环境对内部控制的执行和效果有着显著而关键的基础性影响,从企业内部来看,内部环境主要包括:
2.1.1 组织结构
企业经营的目的在于实现整体目标,企业的组织结构则旨在提供规划、执行、控制和监督活动的框架。企业可以在公司治理框架下,进一步制定完善职责分工、权责制衡的内部控制制度,如《内部管理授权手册》等,对经理、各职能部门的职责分工、权利义务、管理权限、工作程序等作明确规定。确保各权力机构、监督机构和执行机构,权责明确,运作规范。
2.1.2 管理理念和经营理念
管理层的管理哲学及管理风格,包括整个企业管理方式、企业管理阶层对法规的反应、对企业财务的重视程度以及对人力资源的政策及看法等,这些都深深地影响着内部控制的成效。针对经营活动的特点,应当确立精准、严细、安全、高效的管理理念和诚实守信、互利共赢的经营理念。
2.1.3 企业文化
由于文化本身具有无形性、软约束性、相对稳定性和连续性等特性,企业文化始终以一种不可抗拒的方式影响着企业。因此,必须从营造良好的环境做起,提倡风险管理文化,增强员工的诚实性和道德观,即将风险管理意识贯穿到每一个员工、每一个部门、每一个岗位,使风险意识深入到人心,同时强调全员的参与,塑造企业文化,形成良好的内部环境氛围。
2.1.4 经营者素质
企业内部控制的有效性受制于内部控制体系制定者及实施者的素质、操守及价值观影响,关注经营者的素质体现了内部控制设计实事求是的态度。
2.1.5 权责分派体系
企业组织机构给企业经营运作与控制提供了一个合理的框架,执行这些工作的主要还是企业员工。因此,企业组织设立的一项重要任务就是权责分派,它涉及企业的所有员工,必须通过建立与控制有关的具体标准和工作程序来完成。
2.1.6 信息系统
企业应当设立一个良好的信息与沟通系统。一个良好的信息与沟通系统可以使企业及时掌握运营状况和组织中发生的事情。信息系统的好坏直接影响企业内部控制的效率。
2.1.7 人力资源政策及实务
企业员工的能力、诚实品性以及对员工的管理是控制环境的主要因素。COSO报告特别强调“人”在内部控制中的作用。如果企业员工不诚实或者能力不够,内部控制结构将无法发挥作用。而人力资源政策是保证企业计划实施和目标实现的关键因素,直接影响企业每一个人的业绩和表现。
2.2 内部控制过程
2.2.1 风险评估
①目标设定。企业应当按照其发展的战略目标,设定相关的经营目标、报告目标、资源目标与合规目标,并根据所设定的目标合理确定主体整体风险承受能力和具体业务层次上可接受的风险水平。②事项识别。事项不确定性的存在,即管理者不能确切地知道某一事项是否会发生、何时发生或者事项的结果,使得管理者需要对这些事项进行识别。由于潜在事项对企业可能有正面、负面的影响或者两者同时存在,企业应当在充分调研和科学分析的基础上,准确识别影响主体目标实现的内部和外部事项,区分风险和机会。③风险评估。对已识别的风险因素,企业应从风险发生的可能性和影响程度两个方面对对风险进行评估,并根据实际情况,针对不同的风险类别确定科学合理的定性、定量分析标准。④风险应对。企业根据风险评估情况,结合风险成因、整体风险承受能力和具体业务层次上可接受的风险水平,确定风险应对策略。综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略,实现对风险的有效控制。
2.2.2 控制活动
控制活动是根据风险评估结果,采用相应的控制措施,将风险控制在可承受度之内。控制活动是确保内部控制目标得以实现的方法和手段,是实施内部控制的具体方法,也是确保风险应对方案得以正确执行的相关政策和程序。控制活动结合主体具体业务和事项的特点与要求制定,主要包括:不相容职务分离控制;授权审批控制;会计系统控制;财产保护控制;预算控制;运营分析控制;绩效考评控制等。
2.3 内部控制支持系统
一个良好的信息沟通系统和一个严密的监控系统能够为企业的内部控制的有效实施提供强有力的保证。
2.3.1 内部控制信息系统
科技型中小企业要完成研发、转化科技成果、持续生产经营、扩大再生产、进行对外投资和调整资本结构,如果没有进行科学的投资分析和市场论证,就会造成“竹篮打水一场空”。因此,应利用现代管理手段,开发信息系统,优化管理流程,减少人为操纵因素,不断提高企业内部控制效能。
①信息系统的开发。企业可成立专门的信息系统归口管理部门,根据信息系统建设整体规划,提出信息系统项目建设方案,按规定的权限和程序审批后实施。企业明确提出开发需求和关键控制点,采取多种方式与开发单位进行充分沟通,为系统开发奠定良好基础。开发完成后,组织专业机构对信息系统进行验收测试,验收测试与系统开发应当相互分离,确保在功能、性能、控制要求和安全性等方面满足开发需求。验收通过的信息系统,按照规定的权限和程序审批后上线实施。②信息系统的运行与维护。企业应加强信息系统运行与维护的管理,跟踪和发现系统运行中存在的问题,不断进行调整和完善。建立系统数据定期备份制度,明确备份范围、备份频度、备份方法、备份责任人、备份存放地点、备份有效性检查等内容。根据业务性质、重要性程度、涉密情况等确定信息系统的安全等级,采用相应的制度和技术手段,建立信息系统安全保密和泄密责任追究制度,确保信息系统安全、稳定、高效运行。
2.3.2 内部控制信息沟通
①内部沟通。内部沟通是指在企业内部范围内所进行的沟通。内部沟通包括下行沟通、上行沟通和横向沟通。沟通有利于避免工作中的误解,更好地完成各项管理任务。②外部沟通。外部沟通是指企业与外部各有关方面的信息沟通,主要包括企业与政府机关、监管者、客户、供应商、审计师等的信息沟通。企业与政府机关、监管者等沟通时,除了获取所需要的信息外,还可以使企业及时了解面临的情况和风险。外部沟通还可以提供内部控制活动是否发挥功能的重要信息。③沟通方式。信息系统为内部控制活动提供信息,恰当的沟通方式使相关的信息能够为执行控制责任的员工所获得,以便其执行控制指令,同时将执行控制的结果反馈给管理者,使之能够进行控制成果的评价,进一步完善控制政策和程序。不同的沟通方式会产生不同的效果,为了内部控制的有效运行,应根据具体环境选择恰当的沟通方式。
2.3.3 内部控制监控系统
缺乏监控系统的企业内部控制很容易出现制度虚设、人浮于事的问题。在这种情况下,内部控制会对企业内外部环境的变化以及潜在的风险缺乏敏感性并进而导致控制低效甚至失效。
①监控系统的组成。监控系统的主要活动应包括:持续监控、个别评估与报告缺陷。企业可以通过持续监控、个别评估或者将这两种方式相结合来对内部控制进行监控,使内部控制在不断变化的经营环境中保持有效性。②监控系统的主要参与者及其职能。为了保证监控系统发挥作用,根据内部控制的关键环节设定相应的监控制度,并将监控的职责具体分配到组织的各个层级、部门以及个人是必不可少的制度安排。
2.3.4 内部控制监控系统的实施
理想的企业内部控制需要包含持续的自我监控程序以及适当的个别评估――将持续监控程序“植入”日常经营过程,并根据对特定风险的评价与持续监控程序的有效性来确定个别评估的范围与频率。也就是说,内部控制监控系统不仅要保持对内部控制的动态、持续的“线”形监控,还要实施对某事件、某时刻的“点”的监控。
①持续监控。建立持续监控系统有助于在企业日常经营过程中对内部控制的有效性进行实时监督和评价。通常由管理层来设计企业的持续监控机制,这包括内部控制执行状况的常规反馈机制以及对经营活动和控制目标的监控机制等。具体的持续监控活动则由职能部门经理和项目经理负责,将监控内部控制作为其职责的一部分并定期检查内部控制活动的有效性。②个别评估。虽然对内部控制的持续监控能够较为迅速地发现企业内部控制存在的问题,但要更为深入地了解存在问题的具体情况及其内在原因则需要对内部控制实施个别评估。个别评估主要关注某一特定时刻或时期内部控制的有效性,可以采用自我评估、检查内部控制设计以及直接测试等形式。③缺陷报告。对于在内部控制监控系统中发现的内部控制缺陷,需要有相应的确认和报告机制。取得内部控制缺陷报告的途径包括:向公司内部或外部(如供应商、审计师、监管方等)调查与访谈、内部控制持续监控、个别评估的评价结果等。
3 结束语
内部控制的建立和完善一直是学术界和企业界讨论的热点。一个企业要实现可持续健康的发展,建立并保持持续有效的内部控制系统是必备条件之一。但由于内部控制自身的局限性和企业管理的复杂性,在实际操作过程中还应注意内部控制是动态的过程,是个不断完善、不断优化、不断与企业内外部环境和发展要求相适应的过程,企业内部控制难以一蹴而就,操之过急,可能事与愿违,陷于被动,要实事求是,稳步推进。
参考文献:
[1]池国华.企业内部控制实施机制构建:战略导向与系统整合[J].会计研究.2009,9:66~71
[2]王志清,张丛林.现代煤炭企业规范化管理实务[M].北京:中国经济出版社.2007.2.
[3]周惠珍.投资项目评估(第三版)[M].大连:东北财大出版社.2007.7.
