作为一名在注册会计师行业摸爬滚打多年的从业者,我见过太多企业在风浪中沉浮,有人问我:“为什么有的企业能做成百年老店,而有的企业哪怕赚了钱,最后也像流沙上的城堡一样轰然倒塌?”
答案往往不在那些光鲜亮丽的财报数字里,而藏在看不见的“内功”之中,这门内功,就是我们常说的“内部控制”。
很多老板一听“内部控制”四个字,眉头就皱起来了,觉得那是审计师用来挑刺的条条框框,是阻碍业务发展的绊脚石,其实不然,在我看来,内部控制的本质,不是“管人”,而是“护人”;不是“束缚”,而是“导航”。 它是一套企业运行的底层逻辑,甚至可以说,它就是我们生活常识在商业世界里的投射。
我想抛开那些晦涩难懂的专业术语,用咱们老百姓过日子都能听懂的大白话,结合生活中的实例,来聊聊内部控制的六个原则,这六个原则,既是企业合规的底线,也是管理智慧的结晶。
全面性原则:别让木桶的那块短板漏了水
全面性原则,听起来很大,其实就四个字:没有死角。
内部控制应当贯穿决策、执行和监督的全过程,覆盖企业及其所属单位的各种业务和事项,换句话说,不管是高层管理还是基层员工,不管是核心业务还是后勤采购,都得在控制的覆盖范围内。
【生活实例】 这就好比咱们全家出去自驾游,在出发前,你是不是得做一个“全盘检查”? 你不能只检查了发动机有没有油,却忘了看备胎有没有气;你不能只带了干粮,却忘了给手机带充电器;你更不能只顾着大人开心,忘了给婴儿车带上遮阳棚,如果任何一个环节被忽略了,比如到了半路发现没带驾照,这趟旅程可能就得泡汤。
【个人观点】 在我的审计生涯中,我见过太多“抓大放小”最后变成“因小失大”的案例,很多企业老板把精力全盯在销售和生产上,觉得那是命脉,而对仓库的门禁、公章的借阅这些“小事”不闻不问。 结果呢?往往是那些不起眼的角落出了大乱子,我坚持认为,全面性原则的核心在于“系统思维”,企业是一个有机体,任何微小的局部感染都可能引发全身的败血症,所谓的全面控制,不是要你事必躬亲,而是要建立一张疏而不漏的网,让任何风险信号在产生的那一刻就能被系统感知。
重要性原则:好钢要用在刀刃上
重要性原则,是指在全面控制的基础上,重点关注重要的业务事项和高风险领域。
这就引出了一个很现实的问题:资源是有限的,你不可能花100块钱的成本去保护1块钱的资产,内部控制讲究成本效益,你得把精力花在那些一旦出事就会“要命”的地方。
【生活实例】 想象一下你在装修房子。 你会花同样的心思去选客厅的大理石地板和厨房下水道的软管吗?显然不会,大理石颜色差一点,只是不好看;但如果下水道软管质量不行,爆裂了水漫金山,把你家刚装修好的墙泡了,那损失就大了。 你在买软管的时候,会挑最好的品牌,反复检查接口;而在买地垫的时候,可能随便凑合一个就行,这就是重要性原则。
【个人观点】 很多企业做内控最容易犯的错误就是“眉毛胡子一把抓”,最后搞得怨声载道,效率低下。 作为专业人士,我常建议企业:别对苍蝇使用原子弹,对于资金审批、合同签署、关联交易这些高风险领域,必须设置多重关卡,严防死守;而对于那些低风险、低金额的日常报销,稍微简化一下流程,反而能提高士气,释放生产力。高明的内控,是懂得“取舍”的艺术。
制衡性原则:不要去考验人性
这是我最喜欢,也是觉得最深刻的一个原则——制衡性原则。
它要求企业在治理结构、机构设置及权责分配、业务流程等方面形成相互监督、同时兼顾运营效率的机制,通俗点说,就是“管钱的人不能管账,管采购的人不能管验收”。
【生活实例】 咱们生活中最典型的例子就是家庭财务。 在很多传统家庭里,往往是丈夫赚钱,妻子管钱,或者反过来,为什么?如果一个人既负责赚钱,又负责花钱,还负责记账,那这个家庭的财务风险就太大了。 更常见的是夫妻双方互相透明,丈夫想买个大件,得跟妻子商量;妻子取了一大笔钱,也得告诉丈夫一声,这倒不是因为互相不信任,而是这种“商量”的过程,就是一种天然的制衡。 再比如足球比赛,为什么要有裁判?而且裁判还不能是某一方的教练?因为如果教练兼任裁判,那他肯定想怎么判就怎么判,比赛就失去了公平性。
【个人观点】 我常说一句话:制度设计的前提是假设人性是经不起考验的。 在审计中,我看过太多因为缺乏制衡而导致的舞弊案,最典型的就是采购环节:如果一个人既能决定找谁买,又能决定多少钱买,还能负责验货入库,那他吃回扣几乎是百分之百的事,因为诱惑太大了,而且成本太低了。 制衡性原则的核心,不是要把员工当成贼防,而是通过岗位的分离,把权力关进笼子里,保护员工不犯错,也保护公司的资产不流失。 这是一种最深沉的善意。
适应性原则:鞋子不合脚,跑不快
适应性原则,是指内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况的变化及时加以调整。
企业是活的,环境是变的,所以内控也必须是动态的,如果你把五年前的小作坊管理制度,硬套在现在几千人的集团化公司上,那肯定会出问题;反之亦然。
【生活实例】 这就好比养孩子。 孩子三岁的时候,你得时刻盯着他,防止他摸插座、玩火,这时候的管理是“全包围”式的。 但是等孩子十八岁上大学了,如果你还像三岁那样管他,每天查他的书包,监控他的电话,那孩子要么叛逆,要么废掉。 这时候的管理方式就得变,得从“控制”变成“引导”,建立互信和底线。 再比如穿衣,夏天穿短袖,冬天穿棉袄,如果你冬天还穿夏天的衣服,不是你傻,就是你不适应环境。
【个人观点】 我见过一些僵化的企业,他们的制度手册还是十年前上市的版本,里面的业务流程早就跟现在的数字化业务脱节了,员工为了干活,只能被迫“违规操作”,因为按制度走根本走不通。 这种“僵尸制度”比没有制度更可怕,因为它制造了大量的“形式主义”和“虚假合规”。 我认为,好的内控是有生命力的,它应该像皮肤一样,随着企业体型的增长而生长,随着外部环境温度的变化而调节,当企业转型、上新系统、开拓新市场时,内控部门必须第一时间介入,更新规则。适应性,就是企业的生存能力。
成本效益原则:做生意不是做慈善
成本效益原则,这个非常实在,内部控制必须权衡投入的成本和产生的收益。
企业是以盈利为目的的组织,如果为了防止食堂里有人多拿一个馒头,专门雇两个保安站岗,那这老板脑子一定进水了,控制的成本不能超过由此带来的潜在损失或收益。
【生活实例】 这就好比给车买保险。 你会给一辆五菱宏光买几百万的豪车险吗?不会,因为保费太贵,不划算,你会给一辆劳斯莱斯只买个交强险吗?也不敢,因为一旦撞了,赔不起。 再比如家里的防盗门,普通小区装个普通的防盗锁就够了;如果你非要在普通小区装个银行金库那种级别的指纹虹膜识别门,花费好几万,结果家里也没啥值钱东西,这就是典型的“过度防御”。
【个人观点】 在审计实务中,我们经常提醒企业管理层:内控是有成本的,增加一个审批环节,就意味着增加一份时间成本,降低一份响应速度。 做内控不能追求“完美”,只能追求“最优”,我们要算一笔账:如果这个环节失控,最大损失是多少?如果加上这个控制,每年要花多少人力物力?如果前者远大于后者,那这个控制就值得做;反之,就该放弃。 理想主义的内控是完美的,但现实主义的内控必须是“经济”的。 我们要的是性价比最高的安全,而不是不计代价的安全。
合规性原则:这是底线,不是天花板
虽然《企业内部控制基本规范》中通常只强调前五个原则,但在实际的注会执业和商业环境中,合规性(合法性)是内控存在的前提,必须作为第六个至关重要的原则来讨论。
内部控制必须符合国家相关的法律法规、行业标准以及企业内部的规章制度,这是企业生存的“红线”。
【生活实例】 这就好比交通规则。 你赶时间去机场,开得飞快,甚至闯红灯,虽然你达到了“效率”(到了机场),但你违反了规则,后果可能是吊销驾照,甚至发生车祸。 再比如盖房子,你可以为了省钱或者省事,不按国家的抗震标准来打地基,房子可能盖得很快,成本很低,但一旦地震来了,那就是灭顶之灾。 生活中,我们常说“这事儿不合规”,意思就是这事儿触碰了底线,不能干。
【个人观点】 在我接触过的失败企业案例中,至少有一半是因为踩了合规的红线,特别是税务合规、环保合规和证券合规。 很多老板抱着侥幸心理,觉得“法不责众”或者“我的手段很高明”,但在大数据监管的今天,任何违规行为都会留下痕迹。 合规性原则,是内控的“1”,其他的效率、效益都是后面的“0”,如果这个“1”没了,后面有再多的“0”也毫无意义。 作为专业写作者,我必须严肃地指出:不要试图在合规性上讨巧,那是通往深渊的捷径。
内控是企业的“免疫系统”
写到这里,我想总结一下。
内部控制的六个原则——全面性、重要性、制衡性、适应性、成本效益以及合规性,它们不是孤立的教条,而是一个紧密联系的整体。
- 全面性是基础,确保不留死角;
- 重要性是策略,确保资源不浪费;
- 制衡性是核心,确保权力不被滥用;
- 适应性是活力,确保制度不僵死;
- 成本效益是边界,确保商业可持续;
- 合规性是底线,确保生存无虞。
如果把企业比作一个人的话,财务是血液,业务是骨骼,而内部控制就是免疫系统,一个强大的免疫系统,平时你可能感觉不到它的存在(因为它不阻碍你吃饭睡觉),但一旦有病毒(风险)入侵,它立刻就会发挥作用,保护你的生命安全。
在这个充满不确定性的商业时代,我希望所有的管理者都能重新审视内部控制,不要把它看作是审计师为了赚审计费而编造出来的麻烦,请把它看作是你企业这艘大船的压舱石和雷达系统。
只有真正理解并践行了这六个原则,你的企业才能在惊涛骇浪中,走得更稳,走得更远。




还没有评论,来说两句吧...