(一)监管部门应豁免小企业的部分内部控制要求在美国证券市场监管实践中,对规模小的企业进行豁免的做法一直存在。证券法条款中就包含了“规模较小的发行”豁免规定,即赋予SEC制定规则的权利,来豁免某个特定的最大金额以下的证券发行监管要求。1992年证监会采纳了监管规则S-B,允许符合条件的“小企业发行方”(收入和公开发行的规模在2500万美元以下)可以豁免一些信息披露要求,2002年SEC将公众公司分为加速编报和非加速编报公司两类。可见规模不同、监管要求不同早有先例。在内部控制执行方面,小公众公司咨询委员会2006年提交,的报告中也建议证监会豁免部分公司的内部控制执行要求,如收入在1.25亿美元以下的微型公司(市值低于1.28亿美元)、以及收入在1000万美元以下的小公司(市值在1.28~7.87亿美元之间)既不需要提交管理层的财务报告内部控制评价报告,也不需要提供审计师的鉴证意见;而收入在1000万美元~2.5亿美元之间的小型公司则不需要提交审计师的鉴证意见。
(二)小企业在实施内部控制过程中应充分考虑自身的特征对小企业而言,资源更加有限,内部员工更少,收入更低,很难抵消执行成本以及财务报告内部控制执行的固定成本,其负担也不成比例。此外,建立内部控制文档、进行内部控制测试以及充分的内部控制证实这些对大跨国公司有益的做法,对规模较小的企业而言价值并不高,因为小企业更多依赖“上层意志”以及高层次的监控控制,无法建档也无法测试,对财务报告准确性的影响也难以评估。因此对小企业而言全面实施内部控制的结果就是成本效益衡量后,将减少股东价值,使得小企业的投资机会减弱,对小企业的竞争能力产生负面影响。尽管实施内部控制有许多好处,但小企业在实施过程中更应考虑自身特征,如更多地将精力放在监控要素上;员工职责分工不够,就应更多地考虑高级管理层的复核职能,增加一些补充性的控制手段;管理层更容易凌驾于内部控制之上,因此应强化董事会的监控作用,强调管理层素质和职业道德的培养等。
(三)监管层应建立明确的小企业内部控制指南根据SEC的观点,小企业的股权更加集中,内部人如创始人、股东、执行经理层通常持有较高的股份,此外首席财务官通常扮演了一个更加融合于企业经营的角色,因此通过内部控制提高财务信息质量显得无足轻重。根据SEC下属的经济办公室分析,那些市值在1.25亿美元及以下的公司中,内部持有人平均持有公司的股份达到30%。尽管内部人无需保护,但那些不是内部人的投资者仍然需要保护,而通过有效的财务报告内部控制可以及时发现控制弱点并及时更正,从而提高财务信息质量并保护投资者利益。问题在于小企业的内部控制有其独特的特征,如内部控制的核心即通过职责分工达到内部牵制无法在小企业中充分实现;保证内部控制有效实施的前提即人员素质和胜任能力也因小企业的吸引力和财务实力受到影响;而更为常见的管理层凌驾于内部控制之上、因成本效益原因导致IT系统缺乏或安全性不足、内部控制的文档化和稳定性不够、缺乏内部审计部门等问题都给小企业实施内部控制带来了挑战。尽管COSO委员会在SEC的要求下出台了小企业实施财务报告内部控制指南,但新的框架规定过于原则化,很难给小企业带来实质性的改善。因此要在小企业实施内部控制,还需要有明确的内部控制指南,包括监控措施的建立、改进和完善的频率、控制意识的提高、基本素质的培养、员工培训、内部审计外包等。
