作为一名在注册会计师行业摸爬滚打多年的“老兵”,我见过太多企业的起起落落,每当我和企业老板或高管坐下来喝茶聊天,提到“公司内部控制管理”这个词时,对方的反应通常只有两种:一种是眉头紧锁,觉得这是一堆枯燥、繁琐、还要花大价钱请人做的“无用功”;另一种则是如释重负,仿佛抓到了救命稻草,希望内控能一夜之间解决公司所有的跑冒滴漏。
说实话,这两种心态都偏颇了,我想抛开教科书上那些冷冰冰的COSO框架五要素(内部环境、风险评估、控制活动、信息与沟通、内部监督),用咱们平时唠嗑的方式,聊聊这个既严肃又充满“烟火气”的话题。
在我看来,公司内部控制管理,本质上不是管钱的,也不是管账的,而是管“人性”的。 它是企业为了防止人性中的懒惰、贪婪、侥幸和疏忽,给自己穿上的一层铠甲。
破除迷信:内控不是财务部的“独角戏”
我得泼一盆冷水,很多公司,特别是中小企业,认为内控就是财务部的事,只要发票贴得规矩、账做得平、公章管得严,内控就到位了。
大错特错。
举个生活中的例子大家就明白了,这就好比咱们家里装修,你(老板)是业主,财务部是管钱的出纳,而业务部门(销售、采购、生产)才是真正在那搬砖、刷漆、买材料的工头和工人。
如果工头想买个豪华水晶吊灯,明明预算只允许买个吸顶灯,但他跟出纳说:“这是业主同意的,必须买,不然工期延误你负责。”如果出纳只认单子不认流程,钱就流出去了,等装修完,你看着账单傻眼了,这时候怪出纳没管好钱有用吗?没用,因为漏洞出在“工头”那里,出在“采购”那个环节。
我的个人观点是:财务只是内控的最后一道防线,而不是全部。 真正的内控,渗透在企业的每一次握手、每一份合同、每一次发货里。
我曾经审计过一家做贸易的公司,他们的亏损不是因为市场不好,而是因为销售经理为了拿提成,私自给客户放宽信用期,还允许回扣,财务部虽然看到了应收账款像滚雪球一样大,但因为是“老板红人”签的单子,不敢多嘴,这就是典型的内控失效——内控被当成了财务部的一张网,结果网眼太大,漏掉了所有的大鱼。
核心痛点:如何与“人性”做斗争?
做审计久了,你会发现一个残酷的真相:制度是死的,人是活的。 只要是由人执行的控制,就一定有漏洞。
这就引出了内控中最经典的原则:不相容职务分离,听起来很学术,其实道理很简单:别让既管钱又管账,别让既买菜又做饭。
咱们回到生活中,假设你是个极其信任老婆的好男人,家里所有的钱都让你老婆管,存折在她手里,密码她知道,取钱也是她去,账也是她记,这叫什么?这叫“缺乏制衡”,在大多数幸福的家庭里,这没问题,因为感情是纽带,但在公司里,如果一个人拥有采购申请、审批、付款、记账的所有权力,那对他人性的考验是巨大的。
我见过一个真实的案例,一家子公司的出纳,因为家里人生病急需用钱,又借了高利贷,她利用公司财务主管长期出差、网银U盾未分离管理的漏洞,在半年时间里,分几十笔挪用了公款近300万,直到银行对账单寄来被总经理无意中看到,事情才败露。
大家看,这个出纳平时工作勤恳,人缘也不错,但在巨大的生存压力和唾手可得的“机会”面前,人性的防线崩塌了。
我认为内控的第一要义,不是把员工当成贼防,而是通过机制的设计,让员工“想犯错也没机会犯”,从而保护他们自己。 这就像红绿灯,它限制了你闯红灯的自由,但也保护了你的生命安全。
过度控制的陷阱:别让流程变成了“裹脚布”
说完控制不足,咱们得说说反面:控制过度。
这也是我在很多大企业,尤其是国企和上市公司里常见的问题,为了追求所谓的“完美合规”,流程设计得极其繁琐,买一支笔要签五个字,出一次差要盖三个章,报销一个差旅费要跑断腿。
我有个朋友在一家上市公司做高管,他跟我吐槽:“为了申请两万块的市场活动费,我填了十几页纸,找了分管副总、财务总监、总经理、董事长签字,前前后后花了两个星期,等批下来,市场热点早过去了。”
这就是典型的为了控制而控制,忽略了成本效益原则。
生活实例就是机场安检,大家都知道安检重要,是为了大家的安全(内控目标),如果每次安检都要把你脱光了查,连随身带的每一页书都要翻阅一遍,虽然安全系数到了100%,但谁还愿意坐飞机?航班都延误光了,机场也就倒闭了。
我的观点很明确:好的内控,应该是像空气一样存在。 你平时感觉不到它的束缚,但在关键时刻(比如风险来临时),它能发挥作用,如果内控严重影响了业务效率,那它就是公司的毒瘤,必须切除。
我们在做内控咨询时,常建议企业做“流程瘦身”,金额在一定标准以下的常规费用,授权给部门总监审批即可,只有异常或大额支出才上报高层,把高层的精力从当“签字机器”中解放出来,去思考战略,这才是聪明的管理。
那个“房间里的大象”:管理层凌驾
我要聊一个比较敏感,但绝对无法回避的话题:管理层凌驾。
这是注册会计师审计中最怕遇到的词,也是企业内控最大的敌人,什么意思?就是领导带头破坏规则。
“这次特事特办,先发货,合同后补。” “这个供应商是我老同学,价格别查那么细。” “今年的利润指标还差点,把这笔费用暂估挂起来吧,明年再冲。”
这些话,大家在职场里是不是耳熟能详?
这就好比家长教育孩子要过马路走斑马线(制度),结果家长自己每天翻栏杆(管理层凌驾),孩子看在眼里,记在心里,下次他也会翻,久而久之,家里的规矩就废了。
我审计过一家拟上市公司,老板非常有个人魅力,事必躬亲,但他有个习惯,经常从公司拿钱去处理一些“私人事务”,然后让财务记作“备用金”或“经营支出”,财务总监虽然懂会计准则,但为了保住饭碗,只能照做,结果呢?上市审核时,因为资金流水不清晰,关联交易混乱,直接被发审委否决了,几年的努力付诸东流。
我必须发表一个严厉的观点:一家公司的内控文化,就是老板的文化。 如果老板自己不把内控当回事,那下面设计出再完美的制度,也只是墙上的废纸,是用来应付检查的道具。
真正的内控,要求管理层(特别是“一把手”)必须带头在笼子里跳舞,这需要极大的自律和智慧,但这是企业长治久安的唯一出路。
信息化时代的内控:从“人盯人”到“数据说话”
好在,时代在进步,以前做内控,靠的是人多势众,靠的是会计拿着计算器死磕,靠的是稽核人员满仓库乱翻,我们有了ERP系统,有了大数据,有了RPA(财务机器人)。
这给内控带来了革命性的变化。
以前,仓库管理员可以偷偷把好货换成次品,只要账本做平了就没人发现,如果系统设置得好,扫码出库,库存实时更新,一旦系统里的数量和盘点的数量对不上,或者某个供应商的退货率突然异常飙升,系统自动报警。
这就像现在的智能家居,以前出门怕忘锁门,要回去检查,现在门没关好,手机APP直接弹窗提醒你。
但我也要提醒一点:技术只是工具,不是万能药。 我见过有的公司花了几百万上SAP系统,结果基础数据录入全是错的,权限设置是一团乱麻,最后系统成了“垃圾进,垃圾出”的加速器。
我的观点是: 上系统之前,必须先梳理业务流程,如果流程本身是错的,把它固化到系统里,那就是把错误放大了十倍,信息化内控的核心,不在于软件多贵,而在于把控制逻辑“写死”在程序里,让机器没有通融的余地,减少人为的干预空间。
内控是一种修行
洋洋洒洒说了这么多,咱们回到原点。
公司内部控制管理,它不是一套冷冰冰的手册,也不是为了应付审计师的一堆表格,更不是限制员工手脚的镣铐。
它是一种商业哲学,一种对人性的深刻洞察,一种企业生存的智慧。
它就像我们每个人的健康,年轻时(企业初创期),我们觉得身体好,熬夜、暴饮暴食(忽视内控、野蛮生长)似乎也没事,但随着年龄增长(企业扩张),如果不注意体检、不控制饮食、不坚持锻炼(建立完善的内控体系),高血压、高血脂(资金链断裂、舞弊丑闻、经营亏损)迟早会找上门来。
作为一名注会,我看过太多因为忽视内控而轰然倒塌的大厦,也见过因为内控严密而穿越风雨的常青树。
我的建议是: 不要等到生病了才想起去健身房,也不要等到亏钱了才想起抓内控,从现在开始,从每一个报销单、每一次采购申请、每一份合同签署开始,把内控的意识融入到公司的血液里。
这或许很痛苦,因为这需要改变习惯,需要对抗惰性,甚至需要牺牲短期的速度,但请相信我,这绝对是值得的,因为在这个充满不确定性的商业世界里,只有那些能够驾驭规则、管理好自己人性的企业,才能走得更远,更稳。
还没有评论,来说两句吧...