中小企业内部控制的问题及优化对策

冯璐佳

（南昌工学院经济与管理学院，南昌 330000）

1 中小企业内部控制概述

1.1 中小企业概述

中小企业是指人员规模、经营规模相对较小的企业，是我国社会主义市场经济的重要组成部分，是我国实体经济的重要基础。因中小企业具有高灵活性和轻资产两大重要特性，其能够发挥激活当地经济、促进技术创新、平衡区域发展等作用。在激活当地经济方面，中小企业通常从扎根本地市场起步，可以提供工作岗位和劳动产值，促进当地经济发展。在促进技术创新方面，中小企业常常是技术创新的发起者，其通常在经营战略上更加灵活，更倾向于拥抱新技术和创新方法，以达到快速提高产品服务质量和增加营收的目的。在平衡区域发展方面，当地政府通过鼓励中小企业发展，可以平衡区域经济的发展，缩小地方经济发展水平之间的差距。

1.2 内部控制的概念和目标

内部控制是组织内部建立的一系列制度、政策、程序和措施，旨在确保组织的运作达到预期目标，并保护资产免受损失、确保财务信息的准确性和可靠性。内部控制本质上是一种管理工具，企业经营者使用内部控制来管理和监督企业运作，发挥防止企业资产流失、保障企业内部流转信息的准确性和可靠性、提高业务效率、优化企业运营效果、降低企业管理风险等作用。

2 内部控制对中小企业的重要性

在中小企业的经营活动中，内部控制的重要性主要体现在以下方面：

第一，保护资产和管理风险。中小企业通常生产经营资源有限，资产损失、资金链断裂是企业存续所面对的重大风险，而内控不力将会严重影响企业的生存与发展。中小企业通过尽早建立与自身业务实际情况相符的内部控制机制，能够有效降低资产损失风险。除此之外，中小企业需要面对多种外部风险，如供销市场行情波动引发的经营风险、证券基金市场震荡带来的金融风险和同行业竞争加剧导致的竞争风险。合理的内部控制制度、通畅的信息传递渠道和果断的战略决策可以有效帮助中小企业识别和评估这类外部风险，降低负面影响发生的可能性。

第二，保障业务和财务管理。随着市场经济的稳步发展，市场内部持续经营的企业数量呈明显增长态势，当前中小企业面临的是比以往竞争更为激烈、资源更为紧缺的环境。中小企业想要在竞争激烈的市场经济中存活与发展，必须依靠准确可靠的财务信息作出科学合理的经营决策和战略规划，而良好得当的内部控制制度是确保财务数据准确性的必要前提，也是内部报告编制和管理会计信息收集的基础。建立恰当的内部控制机制，有助于企业管理者依据准确可靠的数据作出适合当前企业发展的决策，促进中小企业的良性发展。

第三，强化合规性和法律风险管理。我国中小企业应当遵守国内的相关法律法规和规范性要求。中小企业建立内部控制的合规性审查机制，可以确保业务活动符合相关法律法规、行业标准和道德规范，减少因业务违规带来的营业外支出，同时，有助于提升企业声誉，与地方执法机关维持良好的公共关系，增强企业的可持续发展能力。

总之，内部控制是中小企业成功和可持续发展必不可少的管理工具，其可以保护企业资产，实施风险管理，保障业务和财务管理，提高业务合规性，规避法律法规风险，并提供及时的反馈和监督。中小企业需要深刻认识内部控制的重要性，根据企业的实际情况建立内部控制制度，以增强企业的稳定性和竞争力。

3 中小企业内部控制存在的问题

3.1 资源限制较大

目前，我国中小企业面临财务、技术和人力资源等多方面的约束，这导致中小企业在内部控制机制的建立和执行阶段均投入不足，具体而言表现为以下5 点：

第一，资金有限。中小企业本身缺乏资金优势，导致在内部控制方面的投入不足。没有足够的资金支持，企业无法建立和维护内部控制制度，如对于员工培训、系统建设等方面的投入不足。

第二，人力资源短缺。中小企业在内部控制建设和执行方面面临人力资源短缺的问题。由于中小企业规模较小，员工数量有限，可能没有专业人员或团队来负责内部控制实施。这表明企业可能不具备充足的人员来开展与内部控制有关的工作，例如，内部控制制度的制定、内部审计和内部监督方面人员配备不足。

第三，知识和经验缺乏。中小企业可能缺乏内部控制方面的专业知识和经验。管理层及员工可能对内部控制并不了解，或者对内部控制的重要性缺乏认识，因此，他们并不知道何为内部控制，以及如何建立和维护内部控制机制。缺乏相关知识和经验可能导致企业在内部控制方面的决策和实施存在困难，无法有效应对风险和挑战。

第四，外部专业支持不足。中小企业可能缺乏外部专业支持，无法获取必要的咨询和指导。这可能导致企业在内部控制的规划和实施过程中存在盲点和不足，无法充分发挥内部控制的作用。

第五，时间压力和业务需求。中小企业通常面临时间压力和业务需求的双重挑战，需要集中资源来维持日常经营活动和推动业务发展，导致在内部控制方面投入有限。

此外，企业可能面临紧迫的市场竞争和客户需求，无法将足够的时间和精力用于内部控制制度的建立和执行。

3.2 管理层重视度不足

部分中小企业的管理层对内部控制的重视度不足，并未将其当作有效管理和控制风险的工具，这可能导致内部控制制度的建立和实施不具备实质性的支持和承诺。

第一，中小企业的管理层通常面临繁忙的日常经营管理工作，他们可能更关注营业收入、营业利润、投资回报等财务指标，而忽视了内部控制的重要性。管理层没有将内部控制视为一项重要任务，在战略规划和决策过程中均未将其纳入考量范围。这种优先级的偏置可能导致内部控制体系的不完善和执行不到位。

第二，管理层对风险管理的了解不够深入。管理层可能没有充分意识到内部控制对于预防和控制风险的重要性。风险管理是内部控制的核心任务之一，而管理层如果对风险的存在和潜在影响缺乏认识，就难以有效地制定和实施相应的控制措施。

第三，管理层在内部控制方面的认识不足可能导致企业控制环境薄弱。内部控制需要成为企业文化的重要组成部分，管理层应当重视内部控制的建设。然而，如果管理层缺乏对内部控制的积极态度和承诺，企业的员工将难以理解和接受内部控制的作用，从而无法在企业内部形成积极的内部控制文化。

3.3 缺乏监督和评价

第一，缺乏独立审计。中小企业通常缺少独立的内部审计机构和外部审计师来对内部控制进行审计和评估，这意味着企业可能无法得到独立且客观的审计意见和建议，导致内部控制制度本身可能存在问题，但企业没有及时发现，增加了潜在的风险和漏洞。

第二，缺乏内部控制自查机制。中小企业大多缺乏自查机制，并未定期对内部控制设计的合理性和执行的有效性进行评估。这可能导致企业无法及时识别内部控制的漏洞，更无法主动采取补救措施，内部控制存在的问题将持续存在，为企业带来潜在的风险甚至损失。

第三，缺乏风险识别和监控机制。中小企业可能没有建立完善的风险识别和监控机制。缺少具备风险识别功能的监控机制意味着企业无法及时识别和应对潜在风险，这会导致企业无法动态跟踪和评估内部控制的实施情况，从而无法纠正和改进内部控制体系。

第四，缺乏内部控制政策和流程的更新与改进机制。随着企业运营环境和业务需求的变化，旧有的内部控制政策和流程可能已不再适用或存在缺陷，需要及时进行修订和改进。如果企业缺乏相应的机制来更新和改进内部控制，可能导致其内部控制体系滞后于实际情况，无法有效应对新的风险和挑战。

3.4 技术和信息系统薄弱

在数字化时代背景下，企业的技术和信息安全面临严峻挑战。

第一，弱密码和访问控制方面。中小企业可能在密码设置和访问控制方面存在不足。员工可能使用弱密码或共享密码，导致未经授权的访问和信息泄露的风险增加。另外，缺乏适当的访问控制机制，可能导致员工获得超出其职责范围的访问权限，增加潜在的内部欺诈和误用风险。

第二，数据安全和隐私保护方面。中小企业可能缺乏数据安全和隐私保护措施。如果加密措施、数据备份和灾难恢复计划缺失，企业的重要数据很可能遭到破坏、丢失，这也会增加未经授权的访问风险。此外，如果企业没有设置明确的隐私政策且合规控制缺失，极易造成客户和内部员工个人信息泄露的问题。

第三，缺乏灵活性和扩展性。中小企业为节省成本，采用的技术和信息系统很可能已经过时或者不符合业务需求。这些系统可能缺乏灵活性和扩展性，无法适应企业快速发展和市场变化的需要，还可能使业务流程不够畅通、效率低下。

第四，员工培训不足，意识薄弱。中小企业的员工可能缺乏技术培训和安全意识教育。员工可能不具备正确操作系统和应用程序的基本知识，或者操作不熟练，也不了解安全最佳实践和风险防范措施。

4 中小企业内部控制的优化对策

4.1 向内部控制管理分配更多资源

第一，对于资金匮乏问题，中小企业首先可以寻找符合要求的低成本替代方案，如选择开源软件或购买云服务，降低企业内控系统的建设投资成本。其次，设立内控预算。企业需要在编制预算时预留出一部分用于内部控制建设。最后，增加资金来源。例如，通过政府专项补助、战略投资者合作等方式增加企业营收。

第二，对于人员匮乏问题，若企业未设立内部控制部门或团队，可以任命一位内控工作负责人来协调和监督内部控制相关工作。同时，企业可雇佣外部顾问或咨询公司为企业内部控制提供专业知识支持和技术指导。

第三，对于员工专业知识储备匮乏问题，首先中小企业可与当地其他中小企业和行业协会建立良好的关系，共享知识和经验；其次，可以通过兼职的方式外聘具有内部控制专业知识和经验的人员担任内部控制顾问，填补企业内部的知识缺口。

4.2 加强内部控制培训，增强员工的意识和能力

第一，中小企业应当定期开展与内部控制有关的培训和教育，提高员工对内部控制制度的认可程度和理解水平。培训内容应当包括内部控制的基本概念、重要性、在其他企业实践的案例、风险管理的重要性等。

第二，管理层应当制定符合企业实际情况的内部控制目标，并将其纳入企业的战略规划和决策过程。提升管理层对于内部控制的重视度需要全方位的努力，包括培训和教育、设定目标、建立监督机制等。只有多管齐下，才能使内部控制发挥其价值，切实提高经营效率和风险控制能力。

第三，员工是内部控制实施的重要保障力量。通过培训和教育，员工可以了解内部控制的重要性，并掌握相关的控制措施和操作规程，强化员工对内部控制的意识和理解，培养他们的风险意识和合规意识。

4.3 建立有效的内部控制监督和评估机制

通过建立有效的内部控制监督和评估机制，中小企业的管理层能够及时了解内部控制的运行情况，并采取相应的措施进行调整。

第一，建立独立审计机制。中小企业可以聘请独立的审计师来对企业的内部控制进行审计评估，根据对方提出的客观意见和建议，协助企业优化内部控制。

第二，建立自查机制。人员较少的中小企业可以通过建立自查机制，由责任部门定期对企业内部控制进行自我评估。采用自查的内部控制方式具有很强的即时性，可以帮助企业及时发现不足，持续改进内部控制体系。

第三，建立风险报告和信息反馈机制。在企业内部控制管理过程中，中小企业可以建立风险报告机制，打通信息传递渠道，使管理层及时了解潜在的风险和紧急的内部消息。企业员工可以通过定期报告、总经理信箱和收集改进建议等方式，促进企业内控工作的持续改进和优化。

4.4 增强信息化系统的安全性

现代中小企业逐步使用信息化系统进行数据处理和业务流转，内部控制的执行需要从制度上强化系统安全性。

第一，强化密码策略和访问控制。信息化系统的责任部门需要从软件层面制定强密码策略，使员工使用复杂密码登录和操作业务，并定期要求更改密码。同时，应根据工作内容的不同，建立合理的访问权限，确保关键信息安全。

第二，加强数据安全和隐私保护。信息化系统的责任部门需要对系统信息实施数据加密、定期或不定期备份等策略，保障企业数据的安全性和完整性。同时，建立合理合法的隐私政策，妥善处理和保护员工及客户的个人信息。

第三，建立监控预警和记录机制。信息化系统的责任部门可以在不侵犯员工个人隐私的原则下，安装系统监控工具，及时对异常活动进行预警和日志记录，这有助于企业及时发现和应对反常行为和网络攻击等问题。