作为一名在注会行业摸爬滚打多年的从业者,我见过太多企业在风浪中颠簸,有的企业因为一次盲目扩张导致资金链断裂,有的企业因为内部贪腐而元气大伤,还有的企业仅仅是因为一份合同没签好就陷入了长达数年的诉讼泥潭。
每当这时候,老板们总是痛心疾首地问我:“为什么我的制度那么厚,却防不住一个‘鬼’?”
答案很简单:内控不是写在纸上的摆设,而是流淌在企业血液里的本能。 很多公司把内控做成了“为了应付审计的文档”,这从一开始就错了。
我想抛开那些晦涩的教科书定义,用咱们平时聊天的方式,结合我这些年审计和咨询的实战经验,跟大家好好唠唠内控体系建设五步法,这不仅仅是五个步骤,更是一套让企业从“天天救火”转变为“主动防火”的生存逻辑。
第一步:现状诊断与风险评估——别把“体检”当成“找茬”
咱们先说第一步,很多企业一上来就让我帮他们写制度,说“你给我整一套最好的华为或者阿里的制度,我直接照搬”。
听到这话,我通常都会苦笑,这就好比你是一个长期在亚热带生活的人,非要穿一件爱斯基摩人的皮草大衣,不仅不保暖,还可能热出病来。内控体系建设的第一步,绝对不是照抄,而是“体检”。
在这一步,我们需要做的是全面的风险评估,你得搞清楚,你的企业到底怕什么?
举个生活里的例子: 这就好比你要装修房子,在买沙发、窗帘之前,你是不是得先看看房子的结构?哪里漏水?哪里电路老化?承重墙在哪里?如果你不管三七二十一,先把豪华家具搬进去,结果发现水管爆了,把新家具全泡了,那不是白折腾吗?
在企业里,这就是“现状诊断”,我们要把公司目前的业务流程从头到尾走一遍,看看哪里是“漏水点”。
我的个人观点是: 风险评估最忌讳“一刀切”,对于一家贸易公司,存货和资金就是最大的风险点;对于一家互联网科技公司,知识产权保护和数据安全才是命门,我见过一家初创企业,明明现金流紧张得要命,却在办公文具的领用流程上设置了七八道审批,这就是典型的“没抓到重点”。
在第一步,我们要画出企业的“风险地图”,哪些风险是致命的(红色),哪些是重要的(黄色),哪些是次要的(蓝色),别把时间浪费在纠结“打印纸双面打印”这种小事上,先去看看你的大客户是不是太集中了?你的采购员是不是拥有绝对的话语权?
第二步:流程梳理与优化——让“路”顺了,车才跑得快
诊断完了,知道了哪里有坑,接下来是不是就要开始填坑了?别急,在填坑之前,我们得先看看路是怎么修的,这就是第二步:流程梳理与优化。
很多公司的流程是“长”出来的,不是“设计”出来的,今天张三加了一个审批环节,明天李四加了一个签字,久而久之,一个报销单要经过十个人签字,谁也不知道为什么签,反正前面的人签了我就签。
这一步的核心,是把业务流程理清楚。 我们要问:这个事情是谁发起的?经过哪些环节?谁负责审批?最后归档到哪里?
生活实例又来了: 想象一下,你要做一道番茄炒蛋。
- 混乱的流程: 你先切番茄,然后去打鸡蛋,发现没油了去超市买油,回来洗锅,然后切葱花,最后发现番茄坏了又去买番茄,结果忙活了一小时,蛋还没炒熟。
- 优化后的流程: 备菜(洗番茄、打蛋、切葱) -> 热锅倒油 -> 下锅翻炒 -> 调味出锅。
企业运营也是同理,我之前服务过一家制造企业,他们的退货流程极其混乱,仓库直接收货,然后通知财务退款,结果财务发现根本没这笔销售记录,原来是销售员为了冲业绩,发了货但没录入系统,这就是流程断裂:实物流(货到了)和信息流(系统没数)没对上。
我必须发表一个强烈的观点: 流程优化的目的不是为了“管死”,而是为了“高效”。好的内控应该是让“好人”办事更顺溜,让“坏人”无机可乘。 如果你的内控让业务员觉得做一单生意比登天还难,那这内控就是在逼着员工去违规、去走捷径,我们在梳理流程时,要敢于做减法,把那些因为历史遗留问题产生的冗余环节统统砍掉。
第三步:控制活动设计——该装“刹车”的时候别犹豫
路修好了,车也准备上路了,这时候,最关键的一步来了:控制活动设计,通俗点说,就是给这辆车装上刹车、方向盘和安全气囊。
这是“内控体系建设五步法”中最具技术含量的部分,我们要针对第一步识别出的风险,设计具体的控制手段,不相容职务分离、授权审批控制、会计系统控制、财产保护控制等等。
咱们用管钱这个事儿来说: 这就好比家里管账。
- 不相容职务分离: 谁能花钱?谁负责记账?谁负责核对银行流水?如果这三个人是同一个人,那这就太危险了,左手掏钱,右手记账,还没人监管,这钱早晚得丢,出纳负责花钱,会计负责记账,财务经理拿网银盾复核,这就是最经典的不相容职务分离。
- 授权审批: 孩子想买个冰淇淋,几块钱的事,妈妈点头就行;但孩子想买个一万块的乐高,就得开个家庭会议,爸爸也得同意,这就是分级授权。
我的个人观点: 很多企业在这一步容易犯“过度控制”或者“控制不足”的毛病。 所谓“过度控制”,就是买个几百块的圆珠笔都要副总签字,老板累死,副总烦死,员工怨声载道。 所谓“控制不足”,就是几百万的合同,业务经理一个人就拍了板,连个合同评审都没有,最后公司亏了底裤都不剩。
设计控制活动时,要遵循“成本效益原则”。 为了防止丢一百块钱,花一万块去装监控,这事儿不划算,控制活动要“刚柔并济”,对于红线问题(比如资金支付、合同签署),必须刚性控制,系统不通过就是不行;对于一些非关键环节,可以多一点柔性,比如事后抽查。
第四步:信息沟通与内部环境——让“神经系统”通畅
制度定好了,控制点也设好了,是不是就万事大吉了?未必,如果没人知道这些制度,或者大家都不认同这些制度,那内控就是一纸空文,这就涉及到了第四步:信息沟通与内部环境。
内部环境是内控的“土壤”,信息沟通是内控的“神经”,如果土壤是盐碱地,种什么都活不了;如果神经断了,手脚就不听使唤。
生活实例: 这就好比家里的家规。 如果父母自己天天在家抽烟打牌,却要求孩子必须琴棋书画样样精通,孩子心里能服气吗?这就是“内部环境”出了问题——高层基调不对。 如果孩子考了试不敢告诉父母,或者父母根本不关心孩子在学校表现,这就是“信息沟通”断了。
在企业里,这一步要求我们建立一种“内控文化”。 我的观点是: 内控是一把手工程,如果老板自己带头绕过制度,特事特办”走后门,那下面的人一定会效仿,上梁不正下梁歪,这是千古真理。
我见过一家做得很好的上市公司,他们的CEO每个月都会主持“内控委员会会议”,专门通报违规案例,不是为了处罚谁,而是为了复盘,这种氛围下,员工自然就敬畏制度。
信息沟通要顺畅,业务部门在前线打仗发现了风险,得有渠道及时反馈给后台,别等火都烧眉毛了,后台还在喝茶,现在很多企业推行ERP系统、OA系统,就是为了通过技术手段固化流程,让信息在系统里留痕,透明化。
第五步:监督与评价——定期“体检”,别等“癌变”
最后一步,是监督与评价,也就是我们常说的内审。
很多人把内审当成“警察”,专门抓人的,其实不然,内审更像是“保健医生”,前三步建立的系统,随着时间推移,环境变了(比如公司转型了、规模大了),原来的控制可能失效了,这时候,就需要监督评价来发现漏洞。
生活实例: 你买了辆豪车,定期保养(监督)是必须的吧? 你不能等车已经在路上抛锚了(风险爆发),才想起来修车。 保养的时候,师傅可能会告诉你:“你这刹车片薄了,该换了。”这就是内审的价值——预警。
我的个人观点是: 这一步最容易被忽视,也最容易被“形式化”。 很多公司的内审,年底突击搞一下,出个报告全是表扬话,说“管理良好,略有不足”,这有什么意义? 真正的监督,应该是持续的、独立的。
我们要对内控体系的有效性进行自我评价,问问自己:
- 现在的制度还在起作用吗?
- 有没有新的业务没有被制度覆盖?
- 员工们对这套制度有什么抱怨?
如果发现内控缺陷,必须要有报告机制,直接向董事会或者审计委员会报告,并且要追踪整改情况,别光查不改,那还不如不查。
内控是一种“修行”
聊完这内控体系建设五步法,我想再啰嗦两句。
做注会这么多年,我越来越深刻地体会到,内控从来不是一套冷冰冰的文件,它是企业管理的哲学。
从现状诊断的清醒,到流程梳理的细致,从控制活动的严谨,到信息沟通的透明,再到监督评价的持续,这五步环环相扣,缺一不可。
很多企业老板问我:“做内控能赚多少钱?” 我的回答是:“做内控不能直接帮你赚钱,但它能帮你保住赚到的钱,还能帮你睡个安稳觉。”
在这个充满不确定性的商业世界里,风险就像隐藏在海面下的暗礁,你无法命令大海把暗礁移走,但你可以通过这五步法,打造一艘坚固的船,配上一流的雷达和舵手,绕过暗礁,安全抵达彼岸。
希望每一位创业者和管理者,都能重视起这“五步法”,别等到风雨来袭,才发现自己的船是漏水的,建设内控,从今天开始,从这五步开始,这不仅是合规的要求,更是对企业负责,对股东负责,更是对自己心血负责的表现。
这就是我想说的,虽然路途漫长,但只要方向对了,每一步都算数。
还没有评论,来说两句吧...