作为一名在注册会计师行业摸爬滚打多年的“老兵”,我见过太多企业的账本,也翻过无数本厚厚的内控手册,说实话,每当我走进一家企业,看到他们书架上那本积了灰、装订精美的《内部控制管理规范》时,我心里总会咯噔一下,为什么?因为在我的经验里,这本手册越厚,往往意味着这家企业的内控管理做得越“虚”。
咱们不聊那些枯燥的COSO框架定义,也不掉书袋去讲什么“风险评估五要素”,我想以一个朋友的身份,喝着茶,和大家聊聊这个看似高大上,实则关乎企业生死存亡的话题——企业内控管理。
内控不是“找茬”,而是企业的“免疫系统”
很多老板,甚至一些财务负责人,对内控都有一种天然的抵触情绪,在他们眼里,内控就是财务部拿着放大镜找业务部的麻烦,是流程上的一道道“拦路虎”。
“买个笔都要审批三天,这生意还做不做了?”这是我听到过最多的抱怨。
但我必须发表我的个人观点:内控管理从来不是业务的刹车片,它是企业的安全气囊,更是免疫系统。
举个生活化的例子,这就好比我们每个人都想拥有健康的身体,业务部门就像是负责“赚钱养家”的手脚,他们要跑得快、有力气;而内控部门,就是那个负责监督心跳、血压和体温的大脑和神经系统。
如果手脚只顾着狂奔,不管心脏能不能承受,最后的结果往往是猝死,企业也是一样,如果销售只顾着冲业绩,不管客户的信用风险,不管合同里的法律陷阱,最后钱是进来了,但紧接着就是巨额的坏账和官司,这有什么意义?
我记得几年前审计过一家做外贸的公司,他们的销售总监是个“猛人”,为了拿订单,什么条件都敢答应,当时公司的内控流程里规定,对于超过一定额度的赊销,必须由风控部审核客户资信,但这位总监觉得风控部就是“绊脚石”,经常绕过流程,先斩后奏。
结果呢?那年年底,一家海外大客户突然破产,几千万的货款打了水漂,公司现金流瞬间断裂,连工资都发不出来,这时候老板才想起来抓内控,但为时已晚,那个“猛人”总监拍拍屁股走人了,留下一地鸡毛给老板收拾。
内控管理的核心,不是为了限制谁,而是为了确保你在狂奔的时候,不会掉进悬崖里。
为什么你的内控总是“防君子不防小人”?
很多企业其实是有内控的,但为什么依然出问题?这就涉及到了一个很痛的点:形式主义。
我看过太多企业的内控流程,设计得堪称完美,逻辑严密,滴水不漏,但在实际执行中,却是另一番景象。
“一支笔”的魔咒
在中国企业,特别是民营企业里,“一支笔”现象太普遍了,什么都要老板签字,老板成了公司最大的“瓶颈”。
这其实是个悖论,老板觉得自己把控了所有细节就是安全,但这恰恰是内控最大的漏洞,因为内控的一个基本原则叫“职责分离”。
举个具体的例子,比如出纳和会计不能是同一个人,这是常识,但在很多小微企业,为了省钱,老板娘做出纳,小舅子做会计,钱账虽然看似分管了,但最终都在老板这个“终极节点”汇合了。
如果老板自己想挪用资金,或者老板想为了某种利益(比如上市、贷款)去指使财务造假,下面的内控流程能拦得住吗?根本拦不住。
我的观点: 真正的内控,首先要约束的是权力,如果制度在权力面前弯腰,那这个内控就是一张废纸,一个健康的内控环境,应该是“法治”而不是“人治”。
“人情”是内控最大的天敌
咱们中国人讲究人情世故,这在企业管理中往往是内控失效的温床。
我有个朋友在一家上市公司当财务经理,他们公司规定,差旅费报销必须附上发票和行程单,有一次,公司的一位元老级副总去出差,回来把一堆餐饮发票往桌上一拍,说是招待客户,但没有明细,也没有客户签字。
按理说,这必须退回,但我的朋友犹豫了,这副总是跟着老板打江山的,如果自己不批,不仅得罪副总,搞不好老板觉得自己“不懂事”。
他大笔一挥,批了。
这种“下不为例”的开头,就是内控崩塌的开始,一旦有一次例外,后面就会有无数次例外,员工会想:“副总都能乱报,我拿个打车票多报十块钱怎么了?”
生活实例告诉我们: 当制度变成了“看人下菜碟”,它的威慑力就归零了,内控管理最难的不是设计流程,而是如何在一个充满人情味的社会里,保持制度的刚性,这需要管理者的极大勇气和智慧。
别把“不相容职务”当耳旁风
作为CPA,我们在审计时最看重的一点就是“不相容职务分离”,这听起来很专业,其实道理很简单:不要把既偷钱又记账的权力交给同一个人。
但现实中,我看到的往往是“全能型员工”。
比如一家连锁零售企业,为了节省人力成本,店长既负责管店里的库存,又负责记录销售台账,最后还负责月底的盘点,你说这能不出事吗?
我审计过一家这样的店,发现每个月的损耗率都在异常波动,后来一查,原来是店长利用职务之便,把高档商品拿回家送人,然后在系统里做成“破损”或者“被盗”处理,因为进货是他收的,账是他记的,盘点也是他做的,整个闭环完全由他一人掌控,神仙也发现不了。
个人观点: 节省成本不能以牺牲内控为代价,这种“省”,往往是捡了芝麻丢了西瓜,企业内控管理中,必须建立一种制衡机制,管钱的不管账,管物的不管钱,采购的不能负责验收,这可能会增加一两个人力成本,但相比于可能发生的贪污、舞弊造成的损失,这笔钱太值得花了。
内控也要“与时俱进”:别用马车规则管高铁
随着数字化时代的到来,很多企业的内控管理还停留在“纸质时代”。
我见过一家做互联网科技的公司,他们的业务系统非常先进,数据实时更新,他们的财务审批居然还要打印出来,拿着纸找领导签字,签完再录回系统。
这不仅效率低下,而且存在巨大的数据篡改风险,线上的数据已经被改了,纸质单据还是旧的,或者反之,这就造成了“账实不符”。
现在的内控管理,必须嵌入到系统中去。
举个例子,现在的ERP系统(企业资源计划)就可以设置很多“硬控制”,采购订单的金额如果超过了预算,系统直接就锁死,根本提交不上去,根本不需要人去审核,这就把“人控”变成了“机控”。
我的看法: 技术是内控最好的盟友,机器没有人情世故,不会因为谁是老板亲戚就网开一面,企业应该把更多的精力花在优化系统逻辑上,而不是花在让人去盯着单子看有没有漏洞。
风险导向:抓大放小才是智慧
我想聊聊内控的“度”。
很多企业做内控,容易走入一个误区:这就好比为了防止苍蝇飞进来,把窗户全钉死,结果屋里的人憋死了。
我见过一家国企,买个几十块钱的文件夹,要走完申请、部门经理审批、分管副总审批、财务审核、总经理签字五个流程,历时两周,等文件夹买回来,急用的文件早就过期了,这种内控,不仅没有提升管理,反而是在扼杀企业的活力。
内控管理必须遵循“成本效益原则”。
你要把精力花在那些高风险的领域,比如大额的资金支付、重大的投资决策、关键的供应商招标,在这些环节上,流程再细都不为过。
但在一些低风险领域,比如日常的行政报销、小额的零星采购,完全可以实行“简易流程”或者“总额控制”。
生活实例: 就像我们家里防盗,你会给大门装上最贵的防盗锁,装上监控,但你不会给厕所的窗户也装上金库级的防盗门,对吧?如果小偷真的要翻厕所窗户进来,那他付出的成本可能比偷走的东西还高。
个人观点: 一个好的内控体系,应该是“有温度”的,它应该让员工感觉到流程是为了帮助工作更顺畅,而不是为了制造麻烦,对于低风险事项,要敢于授权;对于高风险事项,要敢于集权,这才是管理的艺术。
内控是一场修行
聊了这么多,我想总结一下。
企业内控管理,绝对不是请个咨询公司写几本SOP(标准作业程序)就完事了的,它是一场持续的修行,是一种企业文化。
它需要老板的以身作则,如果老板自己带头闯红灯,员工自然不会把红灯当回事。 它需要部门的相互制衡,财务、业务、法务、风控,既要相互协作,又要相互“挑刺”。 它需要技术的强力支撑,用系统把漏洞堵死,用数据把风险照亮。
作为一名CPA,我看过太多企业因为忽视内控而轰然倒塌,也看过很多企业因为建立了完善的内控体系而基业长青。
内控就像空气,平时你可能感觉不到它的存在,甚至觉得它有点稀薄,让人呼吸困难,但一旦它消失,企业就会窒息而亡。
亲爱的企业管理者们,别再觉得内控是虚头巴脑的东西了,从今天开始,检查一下你的“免疫系统”是否正常工作,别等到“生病”了,才后悔当初没有好好锻炼身体。
希望这篇文章能给你带来一点启发,如果你觉得内控很难做,别担心,大家都觉得难,因为,管理本质上就是反人性的,而内控,就是管理中最反人性、但也最必要的那一部分,共勉。
还没有评论,来说两句吧...