作为一名在注册会计师行业摸爬滚打多年的从业者,我见过太多企业对“内部控制”和“风险管理”这两个词的反应,每当我们在审计进场会上提到这两个词时,对方财务总监或者老板的眼神里往往会流露出一丝无奈,甚至是厌烦,在他们看来,这又意味着一堆枯燥的流程图、繁琐的审批单和我们要没完没了索要的“证据”。
说实话,我非常理解这种情绪,在很长一段时间里,内控确实被异化成了束缚手脚的“红绿灯”和为了应付审计的“纸上谈兵”,但今天,我想以一个朋友的身份,而不是审计师的身份,和大家聊聊这两个被严重低估的概念,我想告诉大家,内部控制与风险管理,从来不是阻碍你奔跑的绊脚石,而是让你敢于在高速公路上把油门踩到底的底气。
那个因为“信任”而倒闭的贸易公司
为了说明这个问题,我先给大家讲一个真实发生过的故事,虽然为了保护隐私,我隐去了具体的人名。
我几年前服务过一家做得相当不错的民营贸易公司,我们姑且叫它“宏图贸易”吧,老板老陈是个豪爽的人,白手起家,信奉“疑人不用,用人不疑”,在他的公司里,流程非常“高效”——只要是他信任的副总签字,几百万的付款直接就出去了,财务甚至很少去复核合同细节。
那时候,宏图贸易的业绩像坐了火箭一样飞升,老陈常在酒桌上吹嘘:“我们公司没有大企业病,决策快,效率高,不像那些外企,买个笔都要走三层审批。”
危机就藏在这份“高效”里。
后来我们发现,那位深受信任的副总,利用老陈的“放权”和财务审核的缺位,在外注册了一家影子公司,宏图贸易的采购单,名义上是发给供应商A,实际上货物是从副总的影子公司高价买进的次品,因为缺乏独立的询价机制,也缺乏对供应商的定期复核,这个漏洞存在了整整三年。
等到东窗事发,公司不仅亏空了巨额资金,更重要的是失去了几个核心大客户的信任,老陈在清算时痛心疾首地说:“我把兄弟当亲人,他却把公司当提款机。”
这就是典型的缺乏内部控制与风险管理导致的悲剧,老陈认为“人治”可以解决一切,但他忽略了人性中经不起考验的一面。
这里我要发表一个强烈的个人观点: 好的内控,首先不是防范小人,而是保护君子。 在一个缺乏制度约束的环境里,正直的人也会面临巨大的道德风险,甚至被迫同流合污,内控的本质,是构建一个让好人能安心做事,让坏人没法做坏事的生态系统。
别把刹车当成阻碍:F1赛车的启示
很多人觉得内控就是“卡人”,效率低”,为了反驳这个观点,我经常举一个生活化的例子——F1赛车。
大家看F1比赛,觉得赛车手在赛道上飙到300多公里时速简直太刺激了,但大家有没有想过,为什么他们敢开这么快?仅仅是因为技术好吗?不,更重要的是因为他们有一套世界顶级的刹车系统和悬挂系统。
如果给你一辆拆掉刹车的法拉利,让你上赛道,你敢开到100码吗?你绝对不敢,你会小心翼翼地把车速控制在30码,因为你知道一旦失控,结果就是车毁人亡。
企业经营也是一样,很多老板抱怨内控流程太慢,影响了业务发展。内部控制就是企业的刹车系统。 你装了刹车,不是为了减速,而是为了让你在弯道(风险)能平稳过弯,在直道(机遇)敢把油门踩到底,冲刺到300码。
如果没有这套刹车系统,也就是没有风险管理的底线,老板心里是虚的,他们不敢轻易接大单,不敢尝试新模式,因为不知道内部哪个环节会突然“爆胎”,结果就是,企业反而因为缺乏安全感而畏首畏尾,错失良机。
当我们谈论内控时,不要把它看作是“红灯”,它是你车上的“安全气囊”和“ABS防抱死系统”,它存在的意义,是保证你在高速行驶时,即使遇到突发情况,也能活下来,并且继续比赛。
风险管理:不仅仅是财务报表上的数字
在注册会计师的审计准则里,我们对风险的定义非常学术化,但在实际商业世界里,风险无处不在,而且不仅仅是钱的问题。
我看过太多企业只盯着“财务风险”,比如回款不及时、库存积压等等,这些当然重要,但真正的风险管理视野要宽得多。
举个具体的例子,有一家知名的餐饮连锁企业,食品安全做得非常好,财务也很规范,他们在人力资源管理上存在巨大的内控漏洞——没有建立完善的员工背景调查和职业道德培训机制。
结果,一名区域经理因为个人恩怨,离职前在社交媒体上恶意泄露了公司内部的卫生监控视频,虽然视频内容其实很正常,但经过剪辑和恶意解读,瞬间引发了公关危机,股价腰斩,门店门可罗雀。
这是什么风险?这是声誉风险,也是人力资源风险,在传统的内控手册里,你可能找不到“防范员工离职报复”这一条,但在现代风险管理体系里,这恰恰是致命的。
我认为,最高级的风险管理,是“无感”的。 它渗透在企业文化的血液里,就像我们过马路左右看,这不叫流程,这叫本能,当一家公司的员工在做出决策时,下意识地会考虑“合规性”、“安全性”和“长远影响”,而不是只看眼前利益,这才是风险管理真正成功的标志。
建立内控的“成本效益”原则:别为了买咖啡买个保险箱
作为专业人士,我不能只唱高调,必须面对现实的痛点,做内控是要花钱的,是要花时间的,如果为了防止办公室丢一支铅笔,就装上360度无死角的监控,还要配两个保安24小时盯着,那这家公司迟早被成本拖垮。
这就是我们CPA考试里必考,也是最实用的原则——成本效益原则。
我曾经辅导过一家初创的科技公司,他们只有20个人,老板却想照搬上市公司的全套内控流程,什么不相容职务分离、什么三道防线,搞得程序员写代码都要填三张申请单。
我当时就劝老板:“兄弟,你现在最大的风险不是程序员贪污,而是产品做不出来推向市场,你现在的核心风险是‘生存风险’,对于20人的团队,靠大家互相盯着、老板亲自把关就够了,等你到了200人,老板看不过来了,那时候再上系统也不迟。”
我的个人观点是: 内控必须与企业发展阶段相匹配,小企业靠人情,中型企业靠制度,大型企业靠文化加系统,不要试图用大炮去打蚊子,也不要在需要防空洞的时候只拿把雨伞。
破局:从“要我内控”到“我要内控”
如何才能让内部控制与风险管理真正落地,而不是变成抽屉里的废纸呢?
必须打破“内控是财务部的事”这个迷思。 财务部只是组织者,真正的内控执行者是业务部门,销售流程的漏洞,得销售自己补;采购流程的风险,得采购自己防,如果业务部门把内控当成是财务派来的“监工”,那这仗就没法打了。
我见过一家做得非常好的制造企业,他们的做法很聪明,他们把内控指标纳入了KPI考核,如果采购部门在保证质量的前提下,通过优化流程降低了采购成本,或者发现了供应商的违规行为,是有奖金的,这就把“合规”变成了“利益”,员工自然就有动力去维护制度。
要利用技术手段,让内控“自动化”。 现在的ERP系统、RPA(机器人流程自动化)技术非常成熟,系统可以自动设置:如果合同金额超过100万,必须总经理审批,否则无法生成付款单,这比人管人要有效得多,也省去了扯皮的时间。
风起于青萍之末
回到我们最初的话题,为什么作为CPA,我如此执着地强调内部控制与风险管理?
因为在过去十几年的职业生涯中,我见证了太多企业的兴衰,那些倒下的企业,往往不是输给了竞争对手,而是输给了内部的溃烂,它们可能是在一次盲目扩张中资金链断裂(缺乏投融资风险管理),可能是在一次高管贪腐中元气大伤(缺乏反舞弊机制),也可能是在一次数据泄露中信誉扫地(缺乏信息安全内控)。
内部控制与风险管理,本质上是企业的“免疫系统”。 平时你可能感觉不到它的存在,甚至觉得它有点烦人,让你这不能吃、那不能碰,但一旦病毒来袭,没有免疫系统的身体,是撑不了多久的。
我们做企业,就像在茫茫大海上航行,市场环境是波涛汹涌的海水,竞争对手是其他的船只,而内部控制与风险管理,就是你船上的龙骨、水密隔舱和罗盘。
不要等到船底漏水了,才想起去检查木板;不要等到迷路了,才想起看罗盘。
我想给所有的企业主和财务同行一句话: 不要把内控做成一本厚厚的、没人看的SOP(标准作业程序),把它做成一种习惯,一种思维方式,一种保护企业基业长青的信仰,当内控成为一种信仰,风险就会变成机遇,企业才能真正驶向蓝海。
这就是我眼中的内部控制与风险管理,不枯燥,不冰冷,它是商业世界里最温暖的守护。
还没有评论,来说两句吧...