大家好,我是你们的老朋友,一个在注会行业摸爬滚打多年的“账房先生”。
今天咱们来聊个稍微严肃点,但又跟每个人饭碗都息息相关的话题——“如何做好内控管理”。
看到这几个字,我估计很多做老板的、做财务的,甚至做行政的朋友,第一反应可能是皱眉头,脑海里浮现出的,往往是那一堆堆厚得像砖头一样的SOP(标准作业程序),或者是报销单上那一排排永远签不完的字。
“哎呀,内控那是大公司的事,我们小公司,几个人抬头不见低头见,还要什么内控?” “搞内控就是降低效率,买个笔都要审批半天,生意还做不做了?”
说实话,入行十几年,这种话我听耳朵都起茧子了,但作为一名注册会计师,见证过无数企业的兴衰,我必须非常负责任地告诉大家:那些觉得内控没用、甚至觉得内控是累赘的公司,最后往往不是死在市场竞争上,而是死在了自己的“内耗”和“盲区”里。
我不想给大家掉书袋,讲什么COSO框架五要素(虽然那是我们的看家本领),我想用最接地气的大白话,结合我见过的活生生的例子,跟各位掏心窝子聊聊,到底怎么才能把内控做好,让它真正成为企业的“安全带”,而不是“紧身衣”。
内控不是“防贼”,而是“导航”
咱们得纠正一个最根本的观念。
很多人觉得,搞内控,就是老板不信任员工,要把大家都当成贼来防,装监控、查考勤、抠报销,搞得公司里人人自危,这种理解,大错特错。
在我看来,内控的本质,不是“人性本恶”的假设,而是对“人性弱点”的保护。
我有个客户,老张,做建材生意的,起家时就是夫妻店,后来做大了,有了五十多号人,老张是个很豪爽的人,讲究“用人不疑”,他公司的采购、库管、付款,基本上都是他的小舅子一手抓。
老张常说:“自家人,我信得过,搞那些条条框框干什么?”
结果呢?三年前审计,我们发现了一个巨大的窟窿,原来,小舅子在外面赌博,开始是挪用公款,后来胆子大了,就开始吃回扣、买假货入库,因为老张不管,财务也不敢管(毕竟是皇亲国戚),最后导致公司资金链断裂,差点破产。
老张当时哭得稀里哗啦,问我:“兄弟,我对他那么好,他怎么坑我?”
我告诉他:“老张,这不是你对他好不好,也不是他坏不坏的问题,是你把一扇没上锁的门,对着一堆钱敞开了太久,人性是经不起诱惑的,好的内控,就是帮你的员工守住底线,不让他们因为一时的贪念而毁了自己,也毁了你的企业。”
做好内控的第一步,是老板心态的转变,内控不是为了限制谁,而是为了确保这艘大船在海上航行时,不管谁掌舵,都不会偏离航道,也不会有人偷偷凿船。
抓大放小:别为了芝麻丢了西瓜
具体怎么落地呢?很多公司搞内控走向另一个极端:这就叫“过度控制”。
我见过一家初创的互联网公司,才十几个人,老板去听了趟课,回来大搞内控,买个订书机要填三张单子,发个快递要副总签字,甚至上厕所都要按指纹打卡。
结果是什么?优秀的员工觉得被侮辱了,纷纷离职;剩下的都在琢磨怎么钻空子,怎么把流程走完而不是怎么把事做成。
我的观点是:内控必须讲究“成本效益原则”。
这就好比咱们过日子,你出门买菜,肯定不会把家里的防盗门装上三道锁,还得雇个保镖跟着你,因为那样买菜的成本比菜价还高,但如果你出门是运一车金条,那你肯定要全副武装。
企业也是一样。
对于高风险领域(比如资金支付、合同签订、大宗采购),你的内控必须像铁桶一样严密,一环扣一环,谁也别想插队。
举个生活中的例子,公章管理。 这是我最看重的“命门”,在咱们国内,公章的威力大家都懂,我服务过一家企业,他们的做法我觉得特别值得借鉴: 他们的公章平时锁在保险柜里,保险柜的钥匙在行政手里,密码在老板手里,用章必须走OA审批,而且必须“双人开锁”,老板不在?对不起,章盖不了,哪怕急得跳脚,也不能违规。 这看似麻烦,但这就叫“关键控制点”,守住这个点,就算下面人乱跑,也翻不了天。
而对于低风险领域(比如日常行政报销、小额零星采购),完全可以简化流程,实行“总额控制”或者“事后抽查”,别让员工觉得在公司做事像坐牢一样。
好的内控,是抓大放小,让流程服务于业务,而不是卡死业务。
打破“一言堂”:老板才是最大的风险源
这一点说出来可能有点得罪人,但作为一名注会,我必须讲真话:在中国企业,内控最大的破坏者,往往是老板自己。
很多老板制定了严密的制度,转头自己就带头破坏。“这个单子特批,不用走流程了”、“这笔钱我先拿去用一下,不用记账了”。
当老板把制度当成是管员工的工具,而不是管自己的准绳时,内控体系瞬间就会崩塌。
我有个朋友是做财务总监的,跟我诉苦,他们公司规定,所有超过5万的支出必须董事会签字,结果有一次,老板带个客户去吃饭,一顿饭吃了8万,老板直接让财务先付款,说手续后补,财务总监硬着头皮没付,老板当场就把她骂哭了,说她是“绊脚石”,不懂业务。
后来呢?后来财务总监学会了“看眼色”,老板说付就付,老板说不记账就不记账,再后来,老板因为涉嫌挪用资金和税务违规被查,第一件事就是把责任推给财务,说是财务专业能力不行,没做好内控。
这真是让人唏嘘。
如何做好内控管理?核心在于“顶层设计”要包含老板自己。
我建议各位管理者,哪怕你是老板,也要给自己套上“枷锁”。 规定老板签字的单据,必须由财务总监复核双签; 重大的关联交易,必须回避表决,让其他董事拍板。
这不仅是保护公司,更是保护老板自己。权力不受约束,就像车没有刹车,开得越快,离悬崖越近。
让数据说话:从“人治”走向“数治”
以前做内控,靠的是人盯人,仓库管员盯着实物,会计盯着账本,出纳盯着现金,但人是会累的,人是会感情用事的,人是会有私心的。
现在的内控,必须依托于信息系统。
这就是我常说的:不要相信人性,要相信逻辑和代码。
举个简单的例子,价格管控。 以前靠采购员填单子,财务去查历史合同,效率低还容易出错。 现在上ERP系统,你在系统里录入供应商的报价,只要采购下单时输入的价格超过了系统里的历史基准价,系统自动锁死,根本没法生成订单,你想改?找老板审批,系统里留痕。
这就把“人情债”变成了“数据流”。
再比如应收账款的管理。 我见过一家销售型公司,以前销售员为了冲业绩,随便给客户赊账,谁催款谁就是“坏人”,后来他们上了CRM系统,把销售员的提成和回款周期直接挂钩,系统自动计算:逾期30天,提成扣10%;逾期60天,提成全扣,并自动停发该客户的发货权限。
你看,不用财务天天追着销售屁股后面喊,系统一设,销售员比谁都积极地去要钱。
我的观点是:在数字化时代,不懂利用技术手段做内控的企业,是裸奔。 把控制点嵌入到系统中,让业务发生的同时,控制就自动完成,这才是最高级的内控。
动态调整:内控是活的,不是死的
最后一点,我想说的是,内控不是一劳永逸的。
很多公司请咨询公司做了一套完美的内控手册,往书架上一放,或者发个全员邮件,就觉得万事大吉了,三年过去了,业务模式变了,人员换了,环境也变了,但那套制度还在那儿。
这就好比你还穿着三年前的棉袄,现在的天气已经变热了,你不感冒谁感冒?
我经历过一个案例,一家传统制造企业转型做电商,刚开始,他们照搬线下的内控,要求每一笔发货都要有纸质出库单,要有经理签字。 结果到了“双十一”,订单像雪花一样飞来,经理签单签到手抽筋,仓库发货速度慢如蜗牛,客户投诉率飙升。
后来我们去做诊断,直接建议:对于电商订单,取消纸质单据,采用系统自动审核,只要订单支付成功、库存扣减成功,仓库即可打印电子面单发货,事后通过系统数据进行盘点和核对。
这一改,效率提升了十倍,风险反而降低了(因为减少了人工录入的错误)。
内控管理必须具有“适应性”。 当你的业务扩张时,内控要跟上; 当你的业务收缩时,内控要简化; 当你的技术升级时,内控要迭代。
定期(比如每年)对内控体系进行一次“体检”,看看哪些流程已经成了僵尸流程,哪些环节出现了新的风险盲区,这非常必要。
内控是一种修养
洋洋洒洒说了这么多,其实总结起来就几句话:
- 心态要正: 内控是保护伞,不是紧箍咒。
- 重点要准: 抓住资金、公章、合同这些命门。
- 身教重于言教: 老板要带头守规矩。
- 工具要用好: 尽量用系统管人,减少人为干预。
- 与时俱进: 别拿旧船票去登新客船。
作为一名注会,我看过太多企业的悲欢离合,我发现,那些活得久、活得好的企业,未必是业务最牛的,但一定是内控最扎实的。
这就好比盖房子,业务是让你盖得更高,内控是让你地基更稳,只想盖得高,地基却是一盘散沙,风一吹就倒了,盖得再高又有什么意义呢?
做好内控管理,其实就是一种商业修养,它体现的是管理者对规则的敬畏,对资产的负责,以及对员工的爱护。
希望各位老板和管理者,别再把内控当成是应付审计的麻烦事,从今天开始,哪怕只是完善一个小小的审批流程,哪怕只是把公章锁进保险柜,你都是在为企业的未来添砖加瓦。
毕竟,只有晚上睡得着觉的老板,才能走得远,你说对吗?
还没有评论,来说两句吧...