大家好,我是老陈,一个在注册会计师行业摸爬滚打了十几年的“老兵”。
今天想和大家聊聊一个听起来很枯燥,但实际上决定着企业生死存亡的话题——公司内部控制管理制度。
在这么多年的审计生涯中,我见过太多形形色色的企业,有世界五百强的巨头,也有刚刚起步的初创公司;有蒸蒸日上的行业独角兽,也有一夜之间轰然倒塌的商业帝国,我发现,那些倒下的企业,往往不是因为产品不好,也不是因为没有市场,而是因为“内伤”,这个“内伤”,说白了就是内部控制出了大问题。
很多老板一听到“内控”两个字,眉头就皱起来了,在他们眼里,内控就是一堆厚厚的文件,是限制他们权力的紧箍咒,是财务部门用来刁难业务部门的借口,甚至有人觉得:“老陈啊,我公司小,人少,大家抬头不见低头见,靠信任就够了,搞那套制度干嘛?”
这种想法,大错特错。
今天我就想用最接地气的方式,结合我审计过的一些真实案例(为了保密,名字我都隐去了),还有咱们日常生活中的例子,来聊聊为什么公司内部控制管理制度是企业的“免疫系统”,以及我们该如何把它真正落地,而不是让它变成墙上的装饰画。
别让“千里之堤”溃于蚁穴:内控到底是什么?
要理解内控,咱们先别看教科书上那些晦涩的定义,咱们先看看生活。
举个例子,大家家里装修过吗?
装修其实就是一个典型的项目管理过程,如果你没有控制,会发生什么?你给工头说:“这事儿交给你了,钱我给你打过去。”
结果呢?工头可能去买最便宜的水管,给你埋在墙里;可能把原本预算5万的瓷砖,换成2万的,中间差价进了他腰包;甚至可能把水泥沙子夸大用量,虚报人数。
这时候,聪明的你会怎么做?你会控制。
你会要求买材料要有发票,发票要和你看到的实物对得上;你会去现场监工,看看墙是不是直的;你会分阶段付款,水电做完验收合格了,才给一部分钱。
恭喜你,这就是你在家里实施“内部控制”。
公司内部控制管理制度,本质上就是这套装修逻辑的放大版,它不是针对某一个人的不信任,而是为了保护整个家(公司)的财产安全,确保装修效果(经营目标)符合你的预期。
COSO框架(咱们行内的权威标准)说内控有五个要素:控制环境、风险评估、控制活动、信息与沟通、监督,翻译成人话就是:
- 家里风气正不正(控制环境):是不是大家都在认真干活,还是都在偷奸耍滑?
- 哪里容易出事(风险评估):是漏水容易出事,还是电路容易出事?
- 怎么防着出事(控制活动):是不是要装个漏电保护器?是不是要盯着工头别偷料?
- 消息通不通畅(信息与沟通):工头有没有隐瞒工期延误的情况?你能不能随时知道进度?
- 谁在盯着结果(监督):你自己去工地,还是找个监理去?
内控不是用来“捆住手脚”的,而是为了“跑得更稳”
我做过一家贸易公司的审计,他们的老板老张是个豪爽人,老张常说:“生意场上讲究的就是个快,制度太死,生意就跑了。”
在他们公司,采购付款的流程极其简单,业务员谈好单子,老张大笔一挥,财务就得立马打款,美其名曰“扁平化管理”。
结果呢?那年年底,我们发现了一个大窟窿。
有一个业务员小李,利用老张“只看结果不看过程”的心态,虚构了一家供应商,每次老张签字,小李都说是“老客户了,急着发货”,财务虽然觉得有点奇怪,但老板签了字,谁敢多嘴?
两年时间,小李卷走了公司三百多万。
这就是典型的公司内部控制管理制度缺失,或者说“环境”出了问题,老张以为“效率”就是一切,却忘了“安全”是前提。
这里我要发表一个很强烈的个人观点:
很多管理者把内控和效率对立起来,这是最大的误区,好的内控,不是让你在高速公路上设路障,而是给你画好车道、装好红绿灯和护栏,有了这些,你才能把油门踩到底,不用担心冲出悬崖。
如果没有内控,你的车开得越快,死得越惨,那个业务员小李就是老张公司失控的“刹车片”,最终导致车毁人亡。
制度是死的,人是活的:内控的核心是“人”
在公司内部控制管理制度的建设中,最难的从来不是写制度,而是执行制度,而执行的关键,在于人。
我见过一家上市公司,他们的内控手册做得那是漂亮,几大本子摆在书架上,看着就专业,当我抽查他们的“不相容职务分离”时,却发现了一个荒诞的现象。
所谓的“不相容职务分离”,简单说就是:管钱的人不能管账,管采购的人不能管验收,就像踢足球,不能既当裁判又当运动员,否则这球没法踢。
但在那家公司,财务部的出纳小王,竟然还兼任着会计档案的保管,更离谱的是,他们公司的公章、法人章、财务章,平时就锁在老板娘的抽屉里,谁要用谁去拿,根本没登记。
老板娘说:“这些都是自家人,谁还偷自己家的东西?”
这就是典型的“控制环境”崩塌,当管理层带头破坏规则,或者视规则为儿戏时,底层的员工就会迅速效仿。
咱们生活里也有这样的例子,就像带孩子。
如果你规定孩子“吃饭前必须洗手”,但是你自己从来不洗,或者孩子只要一哭闹,你就妥协说“算了这次不洗了”,那这个规矩永远立不起来。
在企业管理中,“老板凌驾于控制之上” 是我们审计师最害怕的风险点,一旦老板觉得“我是老板,我说了算”,那这套公司内部控制管理制度就废了一半。
我经常建议企业的管理者:内控建设要从“一把手”做起,你想让员工遵守报销制度,你自己出差就得老老实实贴发票;你想杜绝采购回扣,你自己就得拒绝供应商的宴请,上行下效,这才是内控的灵魂。
别再靠“人盯人”了,让系统说话
以前的老式管理,讲究的是“人盯人”,仓库要派个大爷守着,办公室要派个主管盯着。
但在数字化时代,公司内部控制管理制度必须插上科技的翅膀。
我有个客户是做电商的,每天几万单生意,如果靠人去盯着每一单有没有发错货、有没有漏收钱,那得招几千个会计。
他们是怎么做的?他们把内控嵌入了ERP系统。
举个例子,他们的系统里设置了这样一个逻辑:如果一个商品的采购价格比过去三个月的平均价格高出了20%,系统会自动锁死,无法生成付款单,必须由采购总监进行二次审批。
这就是“系统控制”,它不讲人情,不知疲倦,24小时盯着。
这就像咱们现在的智能家居,你出门不用检查电器关没关,因为系统设定了你离家后自动断电;你不用怕家里进贼,因为有人脸识别门锁和监控报警。
企业在设计公司内部控制管理制度时,一定要思考:哪些控制是可以“机控”的,哪些必须“人控”。
能用系统解决的,千万别用人,人是会疲劳的,会情绪化的,会被收买的,代码虽然冰冷,但最讲逻辑。
我记得有一次审计,我们去盘点现金,现在的年轻人谁还用现金啊?结果发现那家公司的备用金账实不符,后来一查,是出纳挪用了公款去理财,第二天早上再补回来,这就是典型的“挪用公款”。
如果他们用了资金管理系统,大额资金流动必须双人复核,或者资金账户直接和银行系统对接,这种低级的舞弊根本不可能发生。
如何搭建一套“接地气”的内控体系?
说了这么多理论,大家可能还是觉得虚,到底怎么着手?作为注会,我给企业开过不少“药方”,这里总结几条最实用的建议:
先找“出血点”,别贪大求全
很多公司一上来就要搞“全套内控”,结果搞得怨声载道,最后不了了之。
正确的做法是,先做风险评估,问问自己:公司现在哪里最痛?是存货丢得厉害?还是应收账款收不回?还是采购价格太高?
先解决最痛的那个点。
如果你发现仓库里东西经常少,那就先上“门禁系统+盘点制度”,如果你发现客户欠钱太多,那就先上“信用额度控制”。
这就像治病,先止血,再调理。
把制度翻译成“人话”
我看过太多的公司内部控制管理制度,写得像法律条文,充满了“应当”、“严禁”、“务必”,员工根本看不懂,也不想看。
好的制度,应该是流程图,是检查清单(Checklist)。
不要写“员工应当严格遵守差旅报销的相关规定,确保票据的真实性与合法性”,要写“打车票必须注明起止时间,如果不注,财务不收”。
越简单,越明确,执行力度越高。
建立“红灯”思维
在公司内部控制管理制度中,要明确告诉员工:什么是红线,碰了会怎么样。
生活里,闯红灯要扣分罚款,大家都知道,公司里也是一样,如果有人虚假报销,是直接开除还是通报批评?必须有明确的说法。
没有惩罚机制的内控,就是没有牙齿的老虎。
定期“体检”
制度定好了,不是一劳永逸的,业务在变,市场在变,内控也得跟着变。
我建议每一年,企业都要自己搞一次“内控自我评价”,就像咱们每年都要做一次体检一样,看看哪里血管硬化了,哪里长结石了。
这时候,往往需要外部的力量介入,比如请我们会计师事务所来做内控审计,当局者迷,旁观者清,我们有时候一眼就能看出那个流程上的漏洞。
内控是企业的良心
写到最后,我想再强调一下我的个人观点。
公司内部控制管理制度,表面看是一堆冷冰冰的条文和流程,但深层看,它体现的是一家企业的价值观和管理层的智慧。
一个有着良好内控的企业,它的员工是更有安全感的,因为他们知道规则在哪里,只要按规则办事,就不会背黑锅,不会因为老板的一时兴起而担惊受怕。
一个有着良好内控的企业,它的投资者是更放心的,因为他们知道,自己的钱不会被莫名其妙地卷走,财务报表上的数字大概率是真实的。
对于我们每一个职场人来说,理解内控,也是保护自己的一种方式。
我曾经见过一个刚毕业的会计,因为听信老板的指示,帮老板做假账,最后老板没事,作为执行者的她却进了监狱,职业生涯尽毁,如果她懂一点内控,知道这是触碰了法律红线,懂得拒绝或者保留证据,也许结局就会不一样。
不要把公司内部控制管理制度当成负担,它是企业的防火墙,是员工的护身符,是商业世界的交通规则。
在这个充满不确定性的时代,唯有建立一套强大、灵活且执行到位的内控体系,我们的企业才能在风浪中行稳致远。
希望今天的分享,能让你对“内控”有一个全新的认识,如果你在企业管理中遇到了什么具体的内控难题,欢迎随时来找我聊聊,毕竟,在这个复杂的商业江湖里,多一个懂行的朋友,总是好的。
还没有评论,来说两句吧...