作为一名在注册会计师行业摸爬滚打多年的“老兵”,我见过太多企业在风浪中沉浮,有的企业因为一次突如其来的危机轰然倒塌,而有的企业却能在大风大浪中稳住阵脚,甚至逆势上扬,这其中的差别,往往不在于运气,而在于“内功”。
我想和大家聊聊一个听起来很枯燥,但实际上关乎企业生死存亡的话题——企业内部控制评价。
我知道,一提到“内部控制”,很多老板和管理者的第一反应是皱眉头,在他们眼里,这无非就是一堆厚厚的文件、繁琐的签字流程,或者是财务部门为了找存在感而搞出来的“幺蛾子”,而“评价”二字,更是被很多人当成了每年一次的例行公事:找几个文档,填几张表格,最后得出一个“有效”的结论,用来应付审计师或者监管机构。
但我想说,如果你真的这么想,那你正在把企业最宝贵的“预警系统”当成摆设,内部控制评价,本质上就是企业的一次深度“体检”,如果体检报告只是为了好看而造假,那么当真正的病魔来临时,你连后悔的机会都没有。
内控评价不是“找茬”,而是“把脉”
在深入探讨之前,我们先得达成一个共识:内部控制评价到底是为了什么?
很多企业把内控评价看作是一场“猫捉老鼠”的游戏,评价人员是“猫”,到处找业务部门的漏洞;业务部门是“老鼠”,想方设法地掩盖问题,生怕被扣了绩效奖金,这种对立的气氛,让内控评价完全失去了意义。
在我看来,真正有效的内控评价,应该像老中医的“把脉”,它不是为了证明你病了,而是为了确认你身体机能的运转状况。
举个生活中的例子吧,这就好比我们家里的汽车,每年都要去做年检,平时也要去4S店保养,当你把车开进修理厂,师傅检查刹车片、检查机油、检查轮胎,这是在给你找茬吗?显然不是,这是在确保你下一周开车上路时,能安全地把家人送到目的地,而不是在高速公路上因为刹车失灵而追尾。
企业也是一样,我们在做内控评价时,检查采购流程是不是合规、库存管理是不是清晰、资金审批是不是严谨,不是为了阻碍业务发展,而是为了防止“刹车失灵”。
但我必须发表一个很尖锐的个人观点:目前国内90%的企业,内控评价都流于形式。 大家都在追求“形式上的完美”,文档是齐的,签字是全的,流程图是画得漂亮的,但只要稍微深挖一下,就会发现实际操作完全是另一套“潜规则”,这种“两张皮”的现象,是内控评价最大的敌人。
那些“看起来很美”的陷阱:形式主义的代价
既然聊到了“两张皮”,我就不得不提我曾经经历过的一个真实案例,这简直是我职业生涯的“噩梦”。
那是一家规模不小的制造业企业,我们去执行内控审计,翻开他们的内控手册,做得堪称教科书级别:从采购申请到供应商入库,每一个环节都有明确的控制点,逻辑严密,无懈可击,评价报告上也是清一色的“设计有效,运行有效”。
就在我们进驻的第二周,仓库那边出事了。
原来,这家企业虽然规定“领料必须凭单据”,且需要仓库主管签字,但实际上,为了赶工期,生产车间主任经常直接冲进仓库,吼一声“老王,给我拿十吨钢材”,仓库管理员老王碍于面子(或者怕被穿小鞋),就直接把货放行了,事后才补单,甚至有时候单据都不补,直接把账做平。
为什么内控评价没发现这个问题?因为评价人员只看单据!他们坐在办公室里,抽查了过去三个月的单据,发现每一张都有签字,于是就在底稿上打了个勾:“控制执行有效”。
这就是典型的“只看药方,不问疗效”。
这个案例让我深刻意识到,内控评价如果脱离了业务的实际场景,就是一纸空文。 我们不能只看“有没有签字”,而要看“签字的人是不是真的核实了情况”,这就要求评价人员不能只做“表哥表姐”,必须深入一线,去看看仓库的角落,去听听销售的抱怨,去观察员工的真实操作状态。
生活里也是这样,如果一个家长只检查孩子作业本上有没有老师的“优”字,而不看孩子是不是真的懂了,那这个孩子的成绩迟早要崩盘,企业内控亦是如此,掩耳盗铃的代价,往往是巨大的资产流失。
如何做好一次“有温度”的内控评价
到底该怎么做,才能让内控评价真正发挥作用呢?作为专业人士,我有几点肺腑之言。
换位思考:从“监管者”变成“业务伙伴”
做内控评价的人,最容易犯的毛病就是“傲慢”,手里拿着规章制度,就觉得掌握了真理,对业务部门指手画脚。
我建议,在开展评价之前,先去干几天业务,如果你是评价销售环节的,不妨跟着销售去跑两趟客户;如果你是评价采购的,去看看供应商是怎么谈判的。
当你发现销售为了拿下一个大单,不得不在流程上做一些变通时,不要急着开“缺陷”罚单,你要思考:我们的制度是不是太僵化了?是不是阻碍了赚钱?
好的内控评价,应该能识别出“制度与业务的摩擦力”,如果业务部门都在抱怨流程太慢,那评价报告里就应该如实反映这一风险,并推动制度优化,这才是评价的价值所在——它不仅是为了纠错,更是为了提效。
抓大放小:聚焦“高风险领域”
我也见过一些极端的例子,有些企业的内控做得“太细致”,细致到连员工买一支圆珠笔都要审批三层,结果导致大家怨声载道,行政人员每天填单子填到手软,真正的风险反而没控制住。
这就是典型的“捡了芝麻丢了西瓜”。
在做内控评价时,我们要有“风险导向”的思维,什么是高风险?资金支付、合同签订、对外投资、关联交易……这些地方一旦出事,就是大出血,必须严防死守,至于办公用品的管理,适当从简即可。
这就好比装修房子,你花大价钱把水电隐蔽工程做好(资金安全),这叫内控;如果你花大价钱给门把手镀金,却不管水管漏水,那叫浪费。
敢于揭短:评价报告要有“辣味”
这是最难的一点,也是最重要的一点。
很多企业的内控评价报告,读起来像是在写表扬信。“总体情况良好,存在个别小瑕疵,建议加强培训……”这种模棱两可的话,除了用来给老板催眠,没有任何用处。
一份合格的、负责任的内控评价报告,必须敢于亮剑。 必须明确指出:哪个环节存在重大漏洞?谁在违规操作?潜在的损失有多大?
我曾经给一家企业出具过一份“辣味”十足的报告,直接指出了他们的“子公司管控存在实质性真空,母公司对子公司资金流向完全失控”,当时管理层脸都绿了,但正是因为这份报告的“刺痛”,促使他们下决心整改,半年后成功堵住了一个巨大的资金窟窿。
作为评价者,不要怕得罪人,你的沉默,就是对风险的纵容。
人的因素:内控评价中最不可控的变量
聊了这么多方法论,我想回到最本质的问题——人。
所有的制度,最终都要靠人去执行;所有的评价,最终也是评价人的行为,在注会的教材里,这叫“控制环境”,但在生活中,这就是“企业文化”和“老板的品行”。
我见过一家初创企业,老板把“诚信”挂在嘴边,但每次开会,他都会暗示员工:“为了业绩,可以稍微灵活一点。”结果就是,底下的员工为了完成KPI,开始造假数据、虚构收入。
在这种情况下,你做内控评价有什么用?你查得再细,员工也有办法应付你。当“上梁不正”的时候,内控评价就成了那个试图扶正“下梁”的可怜虫,注定徒劳无功。
我在做内控评价时,有一个习惯,我会专门去观察“一把手”的行为。
如果老板自己带头报销不合规的票据,那我就敢断定,这家企业的费用报销内控一定是一塌糊涂。 如果老板经常越过财务总监直接调拨资金,那我就敢断定,这家企业的资金安全防线形同虚设。
这种“软评价”往往比看底单更能说明问题,这就好比一个家庭,如果父母天天打麻将,却要求孩子天天背古诗,这显然是不现实的,内控评价,必须把“管理层基调”纳入考量范围。
数字化时代的内控评价:拥抱技术,但别迷信技术
我想聊聊未来的趋势,现在很多企业都在搞数字化转型,上了ERP、SAP,甚至开始用大数据监控。
这绝对是好事,技术手段让内控评价变得更加高效,以前我们要靠人眼去翻凭证,现在系统可以自动抓取数据,比对价格、监控审批流,系统可以自动预警:为什么这个供应商的报价总是比市场价低20%?为什么这个账户总是在半夜转账?
但我必须提醒大家:技术是工具,不是万能药。
再智能的系统,也是人设计的,也能被人绕过,如果业务人员在录入数据前,就已经把合同做假了,那么系统里跑的数据再完美,也是假的。
我看过一个案例,一家大型零售企业上了最先进的ERP系统,内控评价全是绿灯,结果最后发现,店长和供应商串通,在系统录入前就修改了验收单的数量,系统只管录入的数据对不对,管不了仓库里到底进了多少货。
在数字化时代,内控评价更不能丢掉“穿行测试”这个法宝,我们要跳出系统,去实物现场看一看,去和一线工人聊一聊。线下的真实世界,永远比线上的虚拟世界更复杂。
让内控成为一种信仰
洋洋洒洒写了这么多,其实我想表达的核心思想很简单:
企业内部控制评价,不是为了应付审计,也不是为了那一纸证书,它是企业自我进化的机制。
它就像是我们每个人照镜子的习惯,虽然有时候镜子里的自己并不完美,甚至有点丑陋(比如发现了巨大的管理漏洞),但只有看清了真相,我们才能修整边幅,才能治病救人。
在这个充满不确定性的商业世界里,外部环境我们无法改变,政策会变、市场会变、对手会变,唯一能让我们安身立命的,就是企业内部那套强健的肌肉和骨骼——也就是有效的内部控制。
作为从业者,我真诚地希望每一位企业管理者都能摘下有色眼镜,重新审视内控评价,不要把它当成一种负担,而要把它当成一种保护。
当有一天,你的企业能够坦然面对内控评价中发现的问题,并且迅速行动去解决它;当你的员工不是因为怕被罚款,而是出于职业习惯去遵守流程时,恭喜你,你的企业已经拥有了真正的免疫力。
这,才是企业内部控制评价应有的终极意义。
还没有评论,来说两句吧...