(一)缺乏良好的指南或框架按照内部控制有关监管规则的要求,企业在建立健全内部控制过程中,首先应建立一个基本框架指导实际工作。实务中广泛采用的理论框架是COSO委员会1992年发布的《内部控制——整体框架》。然而根据2005年美国证监会(SEC)和公众企业会计监管委员会(PCAOB)召开的圆桌会议反馈情况看,很多市场参与者(尤其是会计师事务所)认为COSO的内部控制框架本身就是为大规模企业制定的,并不适合小企业。尽管COSO委员会在SEC的要求下于2006年发布了小企业内部控制实施指南,提出了20项小企业实施财务报告内部控制过程中应考虑的原则,但由于框架是原则性的规定,小企业必须面临的挑战是寻求正式的和非正式的控制之间的平衡。所谓的正式的控制是指那些根据企业制定的政策所执行的、帮助企业执行控制程序和培训员工的控制措施。显然,控制的正式化有利于帮助员工了解各自的角色和责任,因而可以提高控制的质量和实施效果,并且通过控制的正规化可以创建大量的书面证据,为审计师提供丰富的证据来源,而非正式的控制则难以达到上述效果,并且很难在实践中得到一贯运用。
(二)执行成本更高规模较小的企业面临的成本负担更重,根据Morgan(2005)的研究,对小规模企业而言(企业平均年销售收入低于20亿美元),销售收入在10亿美元的企业平均遵循404条款的成本接近180万美元,如果加上财务报告内部控制的外部审计费用和管理层耗用的时间成本及内部资源,每10亿美元销售收入耗用在404条款上的成本将高达300~320万美元。企业规模越大,所花费的成本占销售收入的比重就越低。而美国政府责任办公室(GAO)的研究发现,按照审计费用占每百元销售收入的比重计算,市值在7500万美元及以下的企业支付的成本为1.14美元,而市值在10亿美元以上的企业每百元销售收入所支付的审计成本仅为0.13美元。尽管采用审计费用作为法案执行成本的指标有一定的局限性(如审计费用包含了内部控制审计和财务报表审计,无法直接分离出404条款的审计费用;支付给外部审计师的费用不包括企业因遵循404条款要求而发生的其他成本等),但仍可发现不同规模的企业执行成本占收入的比重很不协调。
(三)董事会成员独立性受到质疑与大规模的上市公司相比,很多规模较小的上市公司董事会成员较少,首席财务官(CFO)可能还兼任其他的职责。在小规模企业的董事会成员中,无论是独立性还是胜任能力都偏弱,没有专门的审计委员会对财务报告内部控制进行监控,很多小企业的董事会成员本身就是企业的创始人或大股东,其独立性也受到广泛质疑。SOX法案要求,特定的董事会结构有利于改进公司治理,提高财务报告的可靠性,如要求上市企业确保独立审计师的聘用是由一个完全独立的审计委员会来选择和监控。但保持董事的独立(或审计委员会的独立)需要花费一定的成本,根据Linch,Netter和Yang(2005)的研究,小企业支付给非雇员董事的报酬已从每千元销售收入5.91美元上升到SOX法案颁布后的9.76美元。
(四)缺乏足够的必备资源来获得合格员工,以满足独立性的要求由于小企业的人员数量较少,很难实现充分的职责分工要求,这与大企业职责分工非常明确有很大差异。美国注册会计师协会发现,规模较小的企业通常没有COSO框架指南中提到的内部审计部门,一些小企业员工本身素质就不是很高,缺乏会计专业人才使得小企业很难达到财务报告内部控制有效性的目标。由于小企业的财务实力和稳定性都不够,对高质量人才的吸引力相对较弱,因此可用来执行404条款的合格员工数量较少,如一家上市企业在提交的报告中描述了股票期权方面存在的重大控制弱点,原因在于股票期权有关的财务会计准则非常复杂,企业的员工无法理解和运用,从而导致审计师的怀疑,除了将会计处理中存在的错误指出之外,还将其引证为财务报告内部控制的重大控制弱点;而更多的企业则因为没有适当的内部会计人员而被审计师看作是财务报告内部控制存在重大弱点。显然要弥补此类缺陷,小企业只能聘请新的、合格的员工。也有很多企业聘请专业机构帮助执行404条款。如GAO(2006)的研究发现,在接受问卷的158家企业中有128家企业雇佣了一个单独的会计师事务所或咨询企业来帮助其满足404条款的要求,所提供的服务包括帮助开发遵循404条款的方法,建立内部控制的文档并进行测试,帮助管理层评估内部控制的有效性,并对所识别出的内部控制弱点进行改进或修订。规模较小企业所报告的咨询费用支出从3000美元到140万美元不等,还有一些企业报告了与培训、雇用新员工或临时工执行法案要求有关的成本。CFO和会计工作人员花费了90%的精力在第一份404条款报告要求的相关事务上;此外还有大量的企业出现了一些“机会成本”,如推迟或取消经营性改良,推迟或取消信息技术的投资等。
(五)小企业本身的特征也加大了内部控制实施的困难由于小企业变化和扩张速度很快,动态变化很多,内部控制需要及时更新和改进,而刚刚建立的内部控制文档可能因企业特征的改变而失效或重新修订。且小企业内部人员分工不明确,高级管理层通常凌驾于内部控制之上,直接介入财务报告编制和审核中,因此即使控制程序完善,也不能作为财务报告可靠性的主要依据,在执行过程中可能受到管理层的干预而使防舞弊措施失效。小企业内部控制能够发挥多大的作用还很难确定,财务报告的可靠性更多地依赖管理层本身的素质来实现。因此从内部控制上看,小企业需要加强董事会和审计委员会的监督检查功能,在董事会和高级管理层之间建立更稳固、有效的沟通体系,增加外部审计师的检查范围。实施内部控制对小企业影响很大,执行成本的上升导致小企业不堪重负,很多企业开始选择退市,根据GAO(2006)的统计,美国上市企业退市的数量从2001年的143家上升到2004年的245家,占2004年上市企业整体家数的2%左右。退市的上市企业无论是从市值、收入还是资产来衡量,都属于小企业,GAO的问卷还发现404条款的执行对小规模企业的资本筹集能力产生了负面影响。404条款的执行以及一些市场因素(如股票市场的整体低迷表现以及上市规则的改变等)对小企业的首次公开发行(IPO)也产生了影响,在1999-2004年间,收入在2500万美元及以下的企业IPO的数量从占整个IPO数量的70%下降到46%左右。
三、小企业内部控制实施对策
无论是美国还是我国,小企业在所有企业中所占比重都很高,内部控制实施要求是小企业不可回避的话题。目前美国实施的推迟小规模企业内控要求的做法值得我国学习,而提高内控意识、合并和简化内部实施要求、针对小企业建立有针对性的内控指南则更有现实意义。我国在推进企业内部控制规范的过程中应充分考虑小企业面临的特殊挑战,分步骤、有差别地稳步推进内部控制的建立健全将是可选的路径之一。而内部控制的合理设计和有效实施将有助于企业目标的实现,并通过财务信息可靠性的提高来增加小企业的吸引力。
