内部控制的六个原则，企业长治久安的隐形防线——从生活智慧看商业逻辑

作为一名在注册会计师行业摸爬滚打多年的从业者，我见过太多企业在风浪中沉浮，有人问我：“为什么有的企业能做成百年老店，而有的企业哪怕赚了钱，最后也像流沙上的城堡一样轰然倒塌？”

答案往往不在那些光鲜亮丽的财报数字里，而藏在看不见的“内功”之中，这门内功，就是我们常说的“内部控制”。

很多老板一听“内部控制”四个字，眉头就皱起来了，觉得那是审计师用来挑刺的条条框框，是阻碍业务发展的绊脚石，其实不然，在我看来，内部控制的本质，不是“管人”，而是“护人”；不是“束缚”，而是“导航”。 它是一套企业运行的底层逻辑，甚至可以说,它就是我们生活常识在商业世界里的投射。

我想抛开那些晦涩难懂的专业术语，用咱们老百姓过日子都能听懂的大白话，结合生活中的实例，来聊聊内部控制的六个原则，这六个原则，既是企业合规的底线,也是管理智慧的结晶。

全面性原则：别让木桶的那块短板漏了水

全面性原则，听起来很大，其实就四个字：没有死角。

内部控制应当贯穿决策、执行和监督的全过程，覆盖企业及其所属单位的各种业务和事项，换句话说，不管是高层管理还是基层员工，不管是核心业务还是后勤采购,都得在控制的覆盖范围内。

【生活实例】 这就好比咱们全家出去自驾游，在出发前，你是不是得做一个“全盘检查”？你不能只检查了发动机有没有油，却忘了看备胎有没有气；你不能只带了干粮，却忘了给手机带充电器；你更不能只顾着大人开心，忘了给婴儿车带上遮阳棚，如果任何一个环节被忽略了，比如到了半路发现没带驾照,这趟旅程可能就得泡汤。

【个人观点】 在我的审计生涯中，我见过太多“抓大放小”最后变成“因小失大”的案例，很多企业老板把精力全盯在销售和生产上，觉得那是命脉，而对仓库的门禁、公章的借阅这些“小事”不闻不问。结果呢？往往是那些不起眼的角落出了大乱子，我坚持认为，全面性原则的核心在于“系统思维”，企业是一个有机体，任何微小的局部感染都可能引发全身的败血症，所谓的全面控制，不是要你事必躬亲，而是要建立一张疏而不漏的网,让任何风险信号在产生的那一刻就能被系统感知。

重要性原则：好钢要用在刀刃上

重要性原则，是指在全面控制的基础上,重点关注重要的业务事项和高风险领域。

这就引出了一个很现实的问题：资源是有限的，你不可能花100块钱的成本去保护1块钱的资产，内部控制讲究成本效益，你得把精力花在那些一旦出事就会“要命”的地方。

【生活实例】 想象一下你在装修房子。你会花同样的心思去选客厅的大理石地板和厨房下水道的软管吗？显然不会，大理石颜色差一点，只是不好看；但如果下水道软管质量不行，爆裂了水漫金山，把你家刚装修好的墙泡了，那损失就大了。你在买软管的时候，会挑最好的品牌，反复检查接口；而在买地垫的时候，可能随便凑合一个就行,这就是重要性原则。

【个人观点】 很多企业做内控最容易犯的错误就是“眉毛胡子一把抓”，最后搞得怨声载道，效率低下。作为专业人士，我常建议企业：别对苍蝇使用原子弹，对于资金审批、合同签署、关联交易这些高风险领域，必须设置多重关卡，严防死守；而对于那些低风险、低金额的日常报销，稍微简化一下流程，反而能提高士气，释放生产力。高明的内控，是懂得“取舍”的艺术。

制衡性原则：不要去考验人性

这是我最喜欢，也是觉得最深刻的一个原则——制衡性原则。

它要求企业在治理结构、机构设置及权责分配、业务流程等方面形成相互监督、同时兼顾运营效率的机制，通俗点说，就是“管钱的人不能管账，管采购的人不能管验收”。

【生活实例】 咱们生活中最典型的例子就是家庭财务。在很多传统家庭里，往往是丈夫赚钱，妻子管钱，或者反过来，为什么？如果一个人既负责赚钱，又负责花钱，还负责记账，那这个家庭的财务风险就太大了。更常见的是夫妻双方互相透明，丈夫想买个大件，得跟妻子商量；妻子取了一大笔钱，也得告诉丈夫一声，这倒不是因为互相不信任，而是这种“商量”的过程，就是一种天然的制衡。再比如足球比赛，为什么要有裁判？而且裁判还不能是某一方的教练？因为如果教练兼任裁判，那他肯定想怎么判就怎么判,比赛就失去了公平性。

【个人观点】 我常说一句话：制度设计的前提是假设人性是经不起考验的。 在审计中，我看过太多因为缺乏制衡而导致的舞弊案，最典型的就是采购环节：如果一个人既能决定找谁买，又能决定多少钱买，还能负责验货入库，那他吃回扣几乎是百分之百的事，因为诱惑太大了，而且成本太低了。 制衡性原则的核心，不是要把员工当成贼防，而是通过岗位的分离，把权力关进笼子里，保护员工不犯错，也保护公司的资产不流失。 这是一种最深沉的善意。

适应性原则：鞋子不合脚，跑不快

适应性原则，是指内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况的变化及时加以调整。

企业是活的，环境是变的，所以内控也必须是动态的，如果你把五年前的小作坊管理制度，硬套在现在几千人的集团化公司上，那肯定会出问题；反之亦然。

【生活实例】 这就好比养孩子。孩子三岁的时候，你得时刻盯着他，防止他摸插座、玩火，这时候的管理是“全包围”式的。但是等孩子十八岁上大学了，如果你还像三岁那样管他，每天查他的书包，监控他的电话，那孩子要么叛逆，要么废掉。这时候的管理方式就得变，得从“控制”变成“引导”，建立互信和底线。再比如穿衣，夏天穿短袖，冬天穿棉袄，如果你冬天还穿夏天的衣服，不是你傻,就是你不适应环境。

【个人观点】 我见过一些僵化的企业，他们的制度手册还是十年前上市的版本，里面的业务流程早就跟现在的数字化业务脱节了，员工为了干活，只能被迫“违规操作”，因为按制度走根本走不通。 这种“僵尸制度”比没有制度更可怕，因为它制造了大量的“形式主义”和“虚假合规”。 我认为，好的内控是有生命力的，它应该像皮肤一样，随着企业体型的增长而生长，随着外部环境温度的变化而调节，当企业转型、上新系统、开拓新市场时，内控部门必须第一时间介入，更新规则。适应性，就是企业的生存能力。

成本效益原则：做生意不是做慈善

成本效益原则，这个非常实在,内部控制必须权衡投入的成本和产生的收益。

企业是以盈利为目的的组织，如果为了防止食堂里有人多拿一个馒头，专门雇两个保安站岗，那这老板脑子一定进水了,控制的成本不能超过由此带来的潜在损失或收益。

【生活实例】 这就好比给车买保险。你会给一辆五菱宏光买几百万的豪车险吗？不会，因为保费太贵，不划算，你会给一辆劳斯莱斯只买个交强险吗？也不敢，因为一旦撞了，赔不起。再比如家里的防盗门，普通小区装个普通的防盗锁就够了；如果你非要在普通小区装个银行金库那种级别的指纹虹膜识别门，花费好几万，结果家里也没啥值钱东西，这就是典型的“过度防御”。

【个人观点】 在审计实务中，我们经常提醒企业管理层：内控是有成本的，增加一个审批环节，就意味着增加一份时间成本，降低一份响应速度。做内控不能追求“完美”，只能追求“最优”，我们要算一笔账：如果这个环节失控，最大损失是多少？如果加上这个控制，每年要花多少人力物力？如果前者远大于后者，那这个控制就值得做；反之，就该放弃。 理想主义的内控是完美的，但现实主义的内控必须是“经济”的。 我们要的是性价比最高的安全,而不是不计代价的安全。

合规性原则：这是底线，不是天花板

虽然《企业内部控制基本规范》中通常只强调前五个原则，但在实际的注会执业和商业环境中，合规性（合法性）是内控存在的前提,必须作为第六个至关重要的原则来讨论。

内部控制必须符合国家相关的法律法规、行业标准以及企业内部的规章制度，这是企业生存的“红线”。

【生活实例】 这就好比交通规则。你赶时间去机场，开得飞快，甚至闯红灯，虽然你达到了“效率”（到了机场），但你违反了规则，后果可能是吊销驾照，甚至发生车祸。再比如盖房子，你可以为了省钱或者省事，不按国家的抗震标准来打地基，房子可能盖得很快，成本很低，但一旦地震来了，那就是灭顶之灾。生活中，我们常说“这事儿不合规”，意思就是这事儿触碰了底线,不能干。

【个人观点】 在我接触过的失败企业案例中，至少有一半是因为踩了合规的红线，特别是税务合规、环保合规和证券合规。很多老板抱着侥幸心理，觉得“法不责众”或者“我的手段很高明”，但在大数据监管的今天，任何违规行为都会留下痕迹。 合规性原则，是内控的“1”，其他的效率、效益都是后面的“0”，如果这个“1”没了，后面有再多的“0”也毫无意义。 作为专业写作者，我必须严肃地指出：不要试图在合规性上讨巧，那是通往深渊的捷径。