基于层次分析法的中小企业内部控制重点分析

徐大诏

（江苏财经职业技术学院 会计学院，江苏 淮安 223003）

1 引言

当前，国内许多中小企业在内部控制建设方面存在着诸多缺陷，这其中的原因比较复杂。我们必须要认识到大部分中小企业面临行业壁垒低、竞争激烈等问题，比起花费大量精力、金钱去完善企业内控体系，企业宁愿多去占领市场，获取更多利润，从而使得企业不从长远考虑，只注重眼前利益，企业经营很难维持长久。

本文在充分考察国内中小企业实际情况的前提下，结合内控5要素，建立了中小企业的内部控制评价指标体系，利用层次分析法计算出了各个内控具体指标的权重系数（即指标的相对重要性数值），从而有利于中小企业把握内控建设的重点，用最小的成本获得最大的效益。

2 企业内部控制概述

内部控制是企业为了更好地实现自身经营目标，降低或者减少经营过程中的风险，制定的一系列规章、制度、流程等。内部控制是一个综合性的概念，通常包括以下五大要素：内部环境、风险评估、控制活动、信息与沟通、内部监督。企业在内部控制建立和实施过程中，应当遵循合法性、整体性、针对性、一贯性、适应性、经济性以及发展性的原则，确保内控体系合法、合理，从根本上提升企业的经营效益。

3 中小企业内部控制问题分析

3.1 内部环境相关问题分析

内部环境作为企业内部控制的基础，对于整个内控体系具有非常重要的作用。然而，当前部分企业的管理人员过于短视，追求短期内的经济效益，对于健全内控体系缺乏全面的认知，认为这只会增加企业的经营成本，没有从长远的角度考虑问题，导致企业的内部环境较差，内控体系作用发挥微弱。与此同时，企业员工也没有很好地认识到内部控制给企业带来的良好效果，放松了对内部控制的建设。

3.2 风险评估相关问题分析

部分中小企业缺乏风险意识，企业管理层热衷于资金拆借、占领市场、扩大经营等，对于企业内外部面临的种种风险缺乏危机意识，缺乏有效的风险防范、风险化解的规章制度。当风险真正降临时，企业管理层处理问题没有制度可参照、没有制度可执行，处理问题随意、疏忽，最后导致企业产生重大损失。

3.3 控制活动相关问题分析

大部分中小企业存在着控制活动不规范的问题，未做到不相容岗位的分离。在一个业务层面，包括经营授权、业务执行、监督反馈等多个本应实行权责分离的岗位，存在一人身兼多职的情况，缺乏基本的保障措施。即便有也只是一种形式，并未运用到实际经营活动中。

3.4 信息与沟通相关问题分析

中小企业由于自身规模小，加上管理层具有绝对的话语权，往往是一人指挥整个公司，因此对于信息的沟通、传递方面存在不重视的情况，长此以往形成不利于信息传递的氛围。员工出现问题或看法，缺乏沟通的渠道，任由问题存在或变化，最后造成损失才被发现。同时，企业在信息管理方面投入少、信息管理手段落后、缺乏有效的系统平台，多采用人工的方式，导致信息质量不高，也难以对不同时期的信息数据进行分析总结。

3.5 内部监督相关问题分析

内部审计部门作为企业内部监督的重要主体，在内部监督方面发挥着重要的作用。部分中小企业尽管设置了内部审计部门，但还是形同虚设。有一些小企业干脆没有成立内部审计这个部门，而是由公司财务人员直接兼任，独立性缺失，并没有真正能够发挥内部监督的作用。内部审计作为中小企业的一种自我控制机制，还应同时受到外部全方位监督与审慎管理，尽管已经在实践中初步摸索出一整套外部监督评价体系，但现阶段其应用力度和行业影响力方面还有些不足。

4 层次分析法在中小企业内控建设中的应用

4.1 层次分析法概述

层次分析法，简称AHP，是指将与决策总是有关的元素分解成目标、准则、方案等层次，在此基础之上进行定性和定量分析的决策方法。该方法是美国运筹学家匹茨堡大学教授萨蒂于20世纪70年代初提出的一种层次权重决策分析方法，本文利用层次分析法的步骤如下：（1）建立层次结构模型；（2）构造判断矩阵；（3）计算一级指标相对于目标层的权重及其一致性检验；（4）计算二级指标相对一级指标的权重及其一致性检验；（5）计算各二级指标相对于目标层的权重。

4.2 层次分析的具体分析过程

4.2.1 中小企业内控层次结构模型的构建

文章结合当前中小企业的内控实践，选择合理的、具有代表性的指标，搭建完善的内控评价指标体系，从而能够尽可能的囊括影响中小企业内部控制的要素，使得模型的结果尽可能的贴合实际情况。在此基础上，本文将内控指标体系设置为3个层次,如图1所示。第一层次是目标层，即企业的内部控制；第二层次是一级指标，主要是内部控制的五大要素，包括内部环境、风险评估、控制活动、信息与沟通以及内部监督；第三层次是内部控制五大要素的二级指标，总计22项。其中内部环境包括公司治理、管理层道德、企业文化、人力资源政策；风险评估包括风险防范、风险识别、风险分析以及风险应对；控制活动包括权责分离、授权审批、预算控制、运营监管、财务系统控制、业绩考核、内控流程；信息与沟通包括信息系统、信息质量、沟通渠道、反舞弊机制。内部监督包括内部监督机制、监督广度和深度、外部评价。

图1 中小企业内控指标体系

4.2.2 目标层与一级指标之间的权重分析

层次分析法首先要根据各个影响因素之间的重要性来构造判断矩阵。对于判断矩阵来说，正向对角线上的元素均为1，其他元素要根据两者之间关系的重要性来进行具体的分析。首先进行目标层与5个一级指标之间的矩阵构造，具体矩阵构造如表1所示。

表1 目标层与一级指标的判断矩阵构造及权重计算

表1中C1、C2、C3、C4、C5分别为内部环境、风险评估、控制活动、信息与沟通和内部监督。通过咨询专家、问卷调查以及查阅相关文献资料，结合中小企业内部控制的实际情况，对各个一级指标的相对重要性做出判断，采用1-9比率标度法构造判断矩阵，如认为C2风险评估比C1内部环境更加重要，所以（C1,C2）的值是1/3，按照同样的方法，对矩阵中的其他指标间的关系进行判断。

判断矩阵构建好之后，采用算数平均法（RAM）计算权重系数Wi。先将表1中各行元素相加求平均数，然后进行归一化处理，可求得归一化权重系数Wi。接下来进行一致性检验，经过计算，得出λmax=5.3032，一致性指标CI=0.0758。通过查表可知，随机一致性指标RI=1.12。一致性比率CR=CI/RI=0.0677＜0.1，符合一致性要求。即可得出结论，5个一级指标对目标层的权重系数分别为0.0895，0.3000，0.1842，0.2842，0.1421。

4.2.3 一级指标与二级指标之间的权重分析

按照上文同样的方法，可以计算出5个一级指标与各自下属二级指标之间的权重关系，其判断矩阵的构造及权重计算分别如表2、表3、表4、表5、表6所示。

表2 C1与二级指标的判断矩阵构造及权重计算

表3 C2与二级指标的判断矩阵构造及权重计算

表4 C3与二级指标的判断矩阵构造及权重计算

表5 C4与二级指标的判断矩阵构造及权重计算

表6 C5与二级指标的判断矩阵构造及权重计算

经过计算，得出λmax=4.0395，CI=0.0132，通过查表可知RI=0.9。一致性比率CR=CI/RI=0.0146＜0.1，符合一致性要求。

经过计算，得出λmax=4.2411，CI=0.0804，通过查表可知RI=0.90。一致性比率CR=CI/RI=0.0893＜0.1，符合一致性要求。

经过计算，得出λmax=7.5553，CI=0.0926，通过查表可知RI=1.32。一致性比率CR=CI/RI=0.0701＜0.1，符合一致性要求。

经过计算，得出λmax=4.1632，CI=0.0544，通过查表可知RI=0.90。一致性比率CR=CI/RI=0.0604＜0.1，符合一致性要求。

经过计算，得出λmax=3，CI=0，通过查表可知RI=0.52。一致性比率CR=CI/RI=0＜0.1，符合一致性要求。

4.2.4 目标层与各二级明细指标之间的权重关系

前文已经计算出一级指标相对目标层的权重，同时也计算出了各二级指标与对应一级指标之间的相对权重。在此基础上，可以进一步计算出二级指标相对目标层的权重。其计算公式如下所示：

经过计算，内部环境下属二级指标权重为：公司治理0.83%,管理层道德1.53%,企业文化2.59%,人力资源政策3.99%；风险评估下属二级指标权重为：风险防范4.10%，风险识别8.46%,风险分析11.54%,风险应对5.90%；控制活动下属二级指标权重为：权责分离5.90%，授权审批0.59%，预算控制3.69%，运营监管2.60%，财务系统控制2.91%，业绩考核0.94%，内控流程1.79%；信息与沟通下属二级指标权重为：信息系统5.73%，信息质量3.34%，沟通渠道10.03%，反舞弊机制9.31%；内部监督下属二级指标权重为：内部监督机制3.88%,监督广度和深度2.58%,外部评价7.75%。

根据以上数据可以看出，在各二级指标中，风险评估的各项二级指标权重相对较高，这也从侧面说明了风险评估对企业内控体系的重要性。其中，风险分析的权重达到了11.54%，是所有二级指标中最高的，其它如风险识别，权重也超过了8%。另外，信息与沟通的权重系数也比较高，超过了28%，说明了信息系统与沟通机制对内部控制的完善是非常重要的。此外，外部评价权重系数达到了7.75%，反舞弊机制也达到了9.31%。针对内控体系中的二级指标的权数大小，下文提出了中小企业内部控制建设应该重点加强的方面。

5 中小企业内部控制重点的应对措施

5.1 风险评估方面

首先，正确认识风险的本质。建立风险评估机制，结合企业自身的资产状况等对承受风险的能力进行量化，对于一些超过企业风险承受范围的业务，要谨慎开展。其次，企业要加强风险教育。对企业全部人员进行风险教育，督促企业员工、领导树立风险意识，及时发现、分析、应对工作中遇到的相关风险。结合本企业所处行业以及本企业自身的实际情况，深入企业业务的各个环节，建立风险手册，便于员工对照手册及时发现作业中存在的各类风险，同时鼓励员工积极发现业务中的新风险，可进行物质奖励，从而不断完善自身的风险防控体系。最后，针对企业存在的各类风险，审慎分析风险的成因、防范机制，发现此类风险存在的共性，通过建立完善的机制或者采取购买保险等风险化解手段，减小企业的损失。

5.2 信息与沟通方面

首先，必须加强员工的信息安全培训，深化员工的信息与安全保护意识，对企业生产经营中的核心数据，应当做好严密的保护措施，涉及到关键数据对外报送的，必须经过企业主要责任人的批准后方能对外报送，企业管理层必须完善自身的信息安全制度并确保贯彻执行，设立专门的人员负责单位的信息安全及信息工作开展。其次，从信息系统厂商来说，在深入了解中小企业信息系统需求的基础上，开发出成本效益高、使用简便、安全性高的信息系统，定制出一整套更适合中小企业实际情况的整体解决方案。最后，建立有效地沟通机制，企业负责人可以定期找员工进行谈话，也可以设立信箱，方便员工投递信件。

5.3 内部环境方面

良好的内部环境是企业内控体系发挥作用的重要基础，然而当前许多中小企业采取“一人领导式”经营管理模式。因此，必须改善其治理模式。具体措施如下：首先，要完善公司董事会结构，部分中小企业存在股东董事一体化的行为，股东不仅作为出资人，更是企业的管理人员，在决策时往往是一人决策，缺乏必要的群体决策流程。因此，应当完善董事会的层次，可以设立独立董事，聘请相关的业务专家、财税专家等为企业的决策提供指导建议；其次，可以设立监事会或者设立执行监事，对企业的决策起到监督的作用，防止管理人员滥用职权，损害公司和股东利益。

5.4 控制活动方面

就当前中小企业的特点来说，可以大致从如下两个方面入手：第一，实现不相容职务的分离。如财会部门，必须设立会计岗、出纳岗，不能出纳会计一肩挑，同时银行存款余额调节表不能由出纳编制，再比如记账、审核应当分离，进而能够保障企业的财产安全；第二，在授权批准阶段，中小企业应该明确相关管理人员的审批范围及相应的职责，确保可以在授权的范围内使用权利和承担相应的责任。

5.5 监督方面

内部监督主要着眼于企业内部控制能够持续有效运作，可以保证及时进行纠错与查弊，从而起到良好有效的控制监督作用。首先，中小企业应当设置内审人员或机构，负责定期或者不定期对企业的业务、财务核算状况进行内部审计，及时发现其中存在的问题。其次，充分保证内审机构或人员的独立性，可以由独立董事担任，避免内审人员受到其他因素的干扰。最后，合理发挥外部审计的作用。年末，企业应当聘请会计事务所对企业的情况进行审计，借助外部机构的专业性，及时发现企业存在的问题，从而及时改正。

6 结束语

文章利用层次分析法找出了中小企业在内控建设方面应把握的重点方面，并给出了相应的应对措施，为中小企业内控建设提供了借鉴。这样不仅提升了企业内控建设的成本效益，而且也增强了企业的竞争力。