内部控制与内部审计，别让免疫系统变成癌症，聊聊企业管理的那些坑与真相

作为一名在注册会计师行业摸爬滚打多年的从业者，我见过太多企业的起起落落，坐在客户那冷气十足的会议室里，翻看着那一叠叠厚得像砖头一样的底稿，我常常会想：为什么那么多老板一听到“内部控制”和“内部审计”这几个字,眉头就皱得能夹死一只苍蝇？

在他们眼里，这两个词往往意味着“麻烦”、“束缚”、“不信任”，甚至是“纯粹为了应付审计的废纸”。

但今天，我想抛开教科书上那些枯燥的定义，也不跟你扯什么COSO框架或者五要素（虽然它们很重要，但今天咱们不念经），我想像老朋友聊天一样，跟你聊聊内部控制和内部审计到底是个什么东西，为什么它们是企业的“免疫系统”，以及——这一点最关键——为什么很多企业把这套“免疫系统”最后搞成了阻碍发展的“癌症”。

别把刹车片当成累赘：它们是为了让你开得更快

咱们先得达成一个共识：内部控制和内部审计，绝对不是用来给企业“找茬”的。

很多初创企业的老板，特别是那种靠个人英雄主义打天下的老板，最喜欢挂在嘴边的一句话就是：“咱们公司小，讲究的是效率，搞那么多流程干什么？这一签字二审批的，黄花菜都凉了。”

这话听起来没毛病，特别是在业务跑马圈地的时候,这种思维有一个巨大的盲点。

生活实例：老王的“家族式”悲剧

我有个客户叫老王，做建材生意的，起家时就是带着几个亲戚一起干，公司稍微做大点后，我建议他建立基本的采购控制流程，比如采购员不能兼任入库,大额付款需要财务经理复核。

老王大手一挥：“哎呀，那是我表弟，跟我十几年了，我信不过他信得过谁？搞那些流程伤感情，以后再说吧。”

结果呢？三年后，老王发现公司账上虽然有钱，但利润率奇低，一查才发现，他表弟在采购环节吃回扣吃得满嘴流油，而且因为长期没人监管，甚至私自开了个皮包公司,把劣质材料高价卖给自己老哥的公司。

老王那一刻的表情，我至今记得,那是被信任背叛后的绝望。

这就是内部控制缺失的代价。内部控制，本质上就是企业的“刹车系统”。 你可能会觉得刹车会让车慢下来，但实际上，正是因为有了可靠的刹车，你才敢在高速公路上把油门踩到底，如果没有刹车，你开得越快,死得越惨。

我的第一个观点是：内部控制不是为了限制你的速度，而是为了确保你在冲向终点时，车还在，人还在。

内部审计：不仅仅是“抓贼”，更是“体检医生”

如果说内部控制是企业的日常行为规范，那内部审计就是企业的“体检医生”。

在很多人的刻板印象里，内部审计就是一群拿着手电筒到处照的人，专门抓贪污、抓挪用公款，抓贼固然重要，但这只是内部审计最基础、最原始的功能。

在现代企业管理中,内部审计的角色已经发生了翻天覆地的变化。

生活实例：被忽略的“合同漏洞”

之前我审计过一家科技公司，他们的内控流程看起来非常完美，ERP系统用得飞起，审批流一个都不少，内部审计部门在做例行检查时，没有盯着钱袋子,而是去翻看了销售合同。

他们发现，公司在跟大客户签订软件开发协议时，对于“验收标准”的界定极其模糊，客户往往在项目交付后，以各种理由拖延验收，导致公司的回款周期被无限拉长,现金流压力巨大。

虽然没人偷钱，但这个“管理漏洞”比偷钱更可怕,它在慢性失血。

内部审计发现问题后，直接向董事会汇报，推动了法务部门修改了标准合同模板，并在系统里增加了“预验收”环节，这一改，当年回款效率提升了30%。

你看，内部审计的价值，在于它跳出具体的业务，用一种旁观者的清冷视角，去审视业务流程的合理性。 它不仅要做“警察”，更要做“咨询师”，它要告诉管理层：你的设计图纸哪里有缺陷,你的机器哪里运转不灵。

当“免疫系统”变成“癌症”：形式主义的陷阱

虽然内控和内审这么重要，但我必须严肃地指出一个行业乱象：很多企业把这套好经给念歪了。

这也是我作为CPA最痛心疾首的地方，现在很多上市公司或者大型民企，为了应付监管机构或者为了上市，搞了一堆“形式主义”的内控。

生活实例：为了签字而签字的“签字墙”

我去过一家制造业企业，他们的报销流程堪称“史诗级灾难”，一个员工出差报销，需要找直属领导签字、找部门负责人签字、找财务专员审核、找财务经理签字、找副总签字，如果金额超过5000块,还得找老总签字。

这听起来很严谨对吧？但实际上呢？

所有的领导都在忙，根本没时间看单据，办公室里出现了一个奇观：大家拿着一叠单据，趁着领导去上厕所、或者中午吃饭的间隙，堵在门口：“领导，签个字。”

领导看都不看，大笔一挥,名字签上了。

这种内部控制有什么意义？它不仅没有控制风险，反而制造了新的风险——因为没人负责了。 一旦出了问题，大家都会说：“我签了字啊，但我前面还有某某领导也签了字啊。”

这就是典型的“大企业病”，当流程变成了互相推诿的“签字墙”，当内部控制变成了为了免责而设立的“防火墙”，它就不再是免疫系统，而是癌细胞了，它在疯狂地吞噬企业的效率,消耗员工的热情。

我的个人观点非常鲜明：如果一项内控措施不能带来实质性的风险降低，反而让业务人员痛不欲生，那这项内控就是垃圾，必须砍掉。

人性是最大的漏洞：再好的系统也防不住“人心”

咱们做CPA的，讲究职业怀疑，在内控和内审的实践中，我越来越深刻地意识到一个残酷的真相：**所有的制度，最终都要落地到人身上，而人性,是永远存在漏洞的。

无论你的系统多么先进，你的流程多么严密，如果掌权的人想绕过它,他总能找到办法。

这就涉及到内部控制环境中最核心的一环：高层基调。

生活实例：CEO的“特权”

我曾经服务过一家拟上市公司，老板非常重视内控，花重金请了咨询公司做体系，这位老板自己是个“控制狂”。

公司规定所有采购必须招标，老板说：“这个供应商是我老同学，不用招标，直接定。” 公司规定所有付款必须走公账，老板说：“这笔钱得现金付给中间人做佣金，别走账。”

底下的员工看在眼里，记在心上，既然老板可以带头破坏规则，那我们为什么要遵守？采购员开始违规操作,销售员开始私自截留折扣。

这家公司的内控体系形同虚设,上市也因为合规问题被否决。

内部控制不是用来管“下面的人”的，它是用来约束整个组织的，包括老板自己。 如果一把手不把规则当回事,那内控就是一张废纸。

在这个问题上，我必须发表一点稍微尖锐的看法：内部审计部门的独立性，是生与死的界限。 如果内审部门向财务总监汇报，或者向总经理汇报，那基本就是个摆设，因为当总经理或者财务总监出现问题的时候,谁敢去查自己的顶头上司？

有效的内控，必须让内审部门直接对董事会或审计委员会负责，赋予他们尚方宝剑，当问题出在高层时,这个免疫系统才还能发挥作用。

如何破局？给企业的一点真心话

写了这么多，不是为了吓唬大家，而是想还原一个真实的商业世界，作为企业管理者或者从业者,我们该怎么做？

我有几点不成熟的小建议,仅供参考：

别贪大求全，先抓“要命”的。 很多中小企业一上来就要搞全套萨班斯法案，那是不现实的，你先想想，你公司最容易出大事的地方在哪？是存货被盗？是采购回扣？还是销售数据造假？先把这些核心风险点圈出来，用最低成本、最简单的手段把它管住，仓库加个监控，采购和付款分开两个人做，这就够了,这就是好的内控。
内控要“长在肉里”，而不是“贴在墙上”。 不要搞那种几百页的手册没人看，把控制点嵌入到你的OA系统、ERP系统里去，如果系统不通过，流程就走不下去，用“机控”代替“人控”，因为机器不会受贿,也不会因为人情世故而睁一只眼闭一只眼。
培养“说真话”的文化。 这一点最难，也最重要，内部审计发现问题后，是为了惩罚，还是为了改进？如果是为了惩罚，大家就会想方设法掩盖问题，如果是为了改进，大家就会主动暴露隐患，作为管理者，你要奖励那些发现漏洞的人，而不是惩罚犯错的人（除非是主观舞弊）。