作为一名在注册会计师行业摸爬滚打多年的从业者,我看过太多企业的兴衰起伏,在这个过程中,我发现一个非常有意思的现象:那些倒下的企业,往往不是死于没有市场,也不是死于没有技术,而是死于“内耗”和“失控”。
我想和大家聊聊《企业内部控制指引》,我知道,一听到这个词,很多老板、财务总监甚至是一线管理人员都会皱眉头,在他们眼里,这厚厚的一叠文件,要么是审计师用来挑刺的“找茬指南”,要么是挂在墙上落满灰尘的“形式主义”。
但在我看来,《企业内部控制指引》绝不是束缚手脚的镣铐,而是企业在复杂商业丛林中生存的“免疫系统”,如果把这个指引读懂了、用活了,它就是企业最护命的铠甲,我就想抛开那些晦涩的法条,用咱们平时过日子的逻辑,来聊聊这套指引到底该怎么看,又该怎么用。
别把内控当成“防贼工具”,它是企业的“交通规则”
我得纠正一个最大的误区,很多中小企业老板认为:“我的公司就几十号人,大家都知根知底,我信得过他们,不需要什么内控指引。”
这种想法,就像是你觉得自家院子小,不需要装门锁一样天真,信任是情感层面的东西,而内控是管理层面的逻辑,这两者并不冲突。
举个生活中的例子吧,大家都有过全家开车出去旅游的经历,在一个家庭里,父母和孩子、夫妻之间肯定是有深厚信任的,对吧?当你开车上路时,你依然会遵守交通规则:红灯停绿灯行,变道打转向灯,系好安全带。
难道你遵守红灯停,是因为你不信任前面的车会撞你吗?是因为你觉得坐在副驾驶的爱人会抢方向盘吗?当然不是,你遵守规则,是因为大家都知道规则的存在,才能保证路上的车流有序,防止意外发生,确保全家人安全到达目的地。
《企业内部控制指引》就是企业的这套“交通规则”,它不是为了证明谁是小偷,而是为了确保企业的每一项业务——从采购一颗螺丝钉,到销售上千万的设备——都能在既定的轨道上运行,不出车祸,不翻车。
那些年,我们见过的“血泪教训”
在谈具体的指引内容之前,我想先讲两个真实发生的故事(隐去了具体名称),这两个故事完美地诠释了内控缺失带来的代价。
消失的“采购员”
几年前,我审计过一家做贸易的A公司,A公司生意做得很大,但利润总是上不去,老板很纳闷,觉得是市场竞争太激烈,结果我们在审计采购环节时发现了一个惊人的漏洞。
A公司的采购流程是这样的:采购员老王负责联系供应商、谈价格、下订单,最后还负责核对发票和申请付款,所有的权力都集中在他一个人手里,这在《企业内部控制指引》里,是典型的“不相容职务未分离”。
老王利用这个漏洞,找了他小舅子开的一家皮包公司做供应商,每次进货,老王都把价格虚高10%,这10%的差价就流进了私人的腰包,因为他是采购又是对账,财务那边只看发票和入库单齐全就付款,根本没人发现异常。
直到有一天,老王赌博输了钱跑路了,老板才通过追查发现,这几年来,公司通过这个漏洞流失了近千万的利润,这哪里是市场竞争激烈,分明是家里出了“内鬼”。
如果A公司当初哪怕稍微看一眼《企业内部控制指引》里的“采购业务控制”,要求“询价”和“定标”分离,“付款”和“订单”分离,老王就算有通天的本事,也绝对没法一手遮天。
疯狂的“销售冠军”
另一个案例是B公司,这是一家高速发展的科技公司,为了激励销售,他们给出了极高的提成比例,这本无可厚非,但问题出在合同签订和应收账款的管理上。
他们的销售明星小李,为了拿巨额提成,疯狂地向一些明显没有偿债能力的“皮包公司”赊销产品,按照公司的规定,大额合同需要信用审核,但老板为了冲业绩,特批给了销售部“绿色通道”,甚至把信用审核权下放给了销售总监。
结果呢?年底小李开上了保时捷,领走了百万奖金,第二年刚开春,那几家“皮包公司”集体倒闭,几千万的应收账款变成了坏账,B公司资金链瞬间断裂,直接从行业前三跌到了破产边缘。
这就是《企业内部控制指引》中重点强调的“销售业务控制”和“资金活动控制”缺失的恶果,盲目追求速度而牺牲了控制,就像赛车手不系安全带去飙车,赢了一时,输了性命。
读懂指引的“五要素”:构建企业的免疫系统
《企业内部控制指引》到底讲了什么?它不是一堆零散的条条框框,它是一个基于COSO框架构建的有机整体,由五大要素组成,我用人体免疫系统的逻辑来给大家拆解一下。
内部环境:这是企业的“体质”
指引里提到的内部环境,包括治理结构、机构设置、企业文化、人力资源政策等,这就像一个人的体质,如果你天天熬夜、酗酒、吃垃圾食品(也就是企业价值观不正、组织架构混乱),那么不管你吃多少补药(定多少制度),身体也好不了。
我个人的观点是:内控环境是土壤,其他都是种子。 如果老板自己带头违规,把内控当儿戏,那财务总监就算有三头六臂也建不起内控,我见过一家公司,老板在会上大谈“诚信为本”,转头就教财务怎么做假账避税,这种“体质”下,任何内控指引都会变成笑话。
风险评估:这是身体的“痛觉神经”
人为什么会缩手?因为大脑评估了火会烫手,企业做决策也是一样,指引要求企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险。
很多企业只顾埋头拉车,不顾抬头看路,比如现在汇率波动这么大,如果你有大量进出口业务,却不做汇率风险评估,也不做套期保值,那赚的利润可能一夜之间被汇率吃掉,这就是缺乏“痛觉神经”,感觉不到危险逼近。
控制活动:这是人体的“白细胞”
这是大家最熟悉的部分,也是指引里最具体的操作手册,比如不相容职务分离、授权审批控制、会计系统控制、财产保护控制等。
这就是白细胞,它们直接对抗病毒和细菌,不相容职务分离”,就是防止权力过于集中导致的腐败;“授权审批”,就是防止乱拍板导致的决策失误,我们要做的,就是把这些控制活动融入到业务流程里,让它像呼吸一样自然,而不是额外的负担。
信息与沟通:这是人体的“神经系统”
手指被烫了,信号必须瞬间传到大脑,大脑再指挥肌肉缩手,这就是信息与沟通。
在企业里,如果销售部卖了一批货,仓库没发货,财务没记账,这就是信息断裂,如果基层员工发现了某个巨大的业务漏洞,但不敢说,或者说了没人听,这就是沟通失效。《企业内部控制指引》强调建立反舞弊机制,就是为了保证信息能真实、高效地流动。
内部监督:这是身体的“体检机制”
人需要定期体检,才能发现潜伏的病灶,企业也是一样,指引要求企业对内控的建立和实施情况进行监督检查,评价其有效性。
这通常通过日常监督和专项审计来完成,很多公司把内审部门当成摆设,甚至让不懂业务的亲戚去当内审经理,这简直就是拿生命开玩笑,在我看来,一个强大的内审部门,是董事会和经理层最值得投资的“保险”。
灵魂拷问:为什么你的内控落不了地?
聊了这么多理论,咱们回到现实,为什么《企业内部控制指引》发布这么多年,真正做得好的企业还是少数?为什么很多企业觉得内控影响效率?
我认为,核心原因在于三个字:“度”的把握。
别把“繁琐”当“严谨”
我见过一家国企的子公司,为了买几支A4纸,流程走了整整两周,基层员工要填三张单子,找三个领导签字,还要经过预算委员会审批,结果大家怨声载道,最后甚至出现了“为了效率,干脆先斩后奏”的现象,反而带来了更大的风险。
这就是典型的“过度控制”。《企业内部控制指引》强调的是“重要性原则”,对于重大风险,我们要像防贼一样严防死守;对于日常琐碎的小事,要讲究成本效益原则。
如果控制成本大于可能带来的损失,那这个控制就是无效的,就像为了防感冒,你天天穿防化服出门,这确实防住了病毒,但你也没法生活了。好的内控,应该是像空气一样,平时感觉不到它的存在,但关键时刻能救命。
别把“制度”锁在“抽屉”里
很多公司为了应付上市或者审计,花大价钱请咨询公司写了一堆精美的内控手册,然后呢?然后就把手册锁进了文件柜,或者发个邮件让大家“自行学习”。
这就是形式主义,内控指引的生命力在于执行,我建议企业要把内控嵌入到ERP系统里去,采购订单金额超过50万,系统就自动卡住,不录入老板的审批密码就下不去单,这比任何纸质制度都管用。
别忽视了“人”的因素
我想发表一个比较尖锐的个人观点:技术可以解决大部分流程问题,但解决不了人心的问题。
再完美的系统,如果操作员想钻空子,他总能找到办法,职责分离”,系统里确实分开了,但两个人关系好,互相交换密码怎么办?
最高级的内控,是指引里提到的“企业文化”,当诚信成为一种信仰,当合规成为一种习惯,内控的成本才是最低的,这听起来很虚,但这才是治本之策。
给企业家的建议
作为一名CPA,我写这篇文章,不是为了推销什么服务,而是真心希望看到更多的企业能健康长寿。
《企业内部控制指引》不是一份枯燥的文件,它是无数前辈用血泪教训换来的生存智慧。
如果你是老板,请别把内控推给财务部就不管了,内控是一把手工程,你需要去理解它,支持它。 如果你是财务总监,请别把内控当成卡业务的工具,你要做业务的伙伴,用内控帮助业务排雷,帮他们走得更快更稳。 如果你是基层员工,请别觉得内控是麻烦,当有一天公司因为流程规范而避免了重大事故保住了大家的饭碗时,你会感谢那些看似繁琐的规定。
在这个充满不确定性的时代,我们无法控制外部的风雨,但至少,我们可以按照《企业内部控制指引》,把内部的家底夯实,把篱笆扎紧,这样,无论外面的风浪多大,咱们的船,都能稳稳当当地开下去。
还没有评论,来说两句吧...