大家好,我是你们的老朋友,一个在注会行业摸爬滚打多年的“老会计”。
今天咱们来聊一个稍微有点严肃,但又不得不聊的话题——内部控制管理。
说实话,一提到“内控”,很多老板和财务人员的第一反应就是皱眉头,在很多人眼里,内控就是那一叠叠厚厚的SOP(标准作业程序),是报销单上跑断腿的签字流程,是财务部拿着放大镜找茬的“挑刺儿”行为,甚至有人觉得,内控就是阻碍业务发展的绊脚石,是效率的杀手。
但在我看来,这种理解不仅肤浅,而且危险,作为一名专业的注会,我见过太多企业因为忽视内控而轰然倒塌,也见过不少企业因为内控过度而把自己“憋死”,我想抛开教科书上那些晦涩难懂的COSO框架定义,用咱们的大白话,结合我亲眼见过的真实案例,来聊聊内部控制管理这档子事儿。
那个被“兄弟义气”拖垮的千万级公司
咱们先别讲大道理,我先给你们讲个真事儿。
前几年,我参与过一个拟上市公司的尽职调查,这家公司做的是消费品贸易,生意做得风生水起,年流水好几个亿,老板老张是个白手起家的典型,豪爽、讲义气,把公司当家,把员工当兄弟。
老张的口头禅是:“咱们都是一家人,互相信任最重要,搞那些条条框框干什么?”
在这家公司里,出现了一个非常奇葩的现象:采购部经理是老张的发小,掌握着全公司最大的资金支出权;仓库管理员是老张的表弟,手里握着所有货物的进出库钥匙;而财务总监呢,是个老好人,基本上就是负责“付钱”和“记账”的工具人。
大家猜猜结果怎么着?
不到三年,公司账面上的流动资金虽然看着还在转,但利润率却莫名其妙地年年下滑,直到有一天,老张急着用钱,发现账上竟然拿不出几百万现金,这才慌了神,我们介入审计后,那个结果简直触目惊心:
那个发小采购经理,长期以高于市场价20%的价格向自家小舅子的皮包公司采购原材料,吃回扣吃了上千万;那个表弟仓库管理员,里应外合,把成箱的成品当成“次品”拉出去低价变卖,中饱私囊。
最讽刺的是,因为老张强调“信任”和“效率”,财务部从来没有去核对过市场行情,也从来没有突击盘过库,所有的单据签字齐全,流程走得“顺畅”无比,但这顺畅的背后,是公司血液被一点点抽干。
这就是我想要表达的第一个人观点:内部控制管理,不是用来限制好人的,而是用来保护好人不受诱惑,同时遏制坏人作恶的。
老张错就错在把“内部控制”等同于“不信任”,内控是企业的一套免疫系统,就像咱们人体一样,你平时感觉不到免疫系统的存在,但一旦有病毒入侵,如果没有这个系统,人立马就会生病甚至死亡,企业也是一样,没有内控,贪婪的人性就会在缺乏监督的真空里疯狂滋长。
内控不是“防贼”,而是“防乱”
很多中小企业主觉得:“我也就几十号人,大家都知根知底,不需要内控。”或者认为:“内控就是防着员工偷钱。”
这种想法大错特错。
内控管理的核心目的,从来不仅仅是防舞弊(虽然这很重要),更重要的是保证经营信息的真实性,以及提高运营的效率。
举个生活中的例子,这就好比咱们家里做饭。
如果没有内控,你想做饭时发现酱油没了,盐也没了,因为没人专门负责检查库存(这就是存货管理的缺失);或者你想买瓶醋,结果不知道家里谁刚买过,又买了一瓶回来放坏了(这就是采购流程的缺失);又或者月底一算账,怎么这个月伙食费比上个月多了一倍?因为没人记账,也没人核对账单(这就是财务核算的缺失)。
在企业里,这种“乱”会带来巨大的隐形成本。
我之前服务过一家科技型创业公司,他们的技术大牛非常厉害,但管理一塌糊涂,研发人员需要买什么服务器、云服务,直接找老板批个字或者自己先垫付,甚至有的员工拿着个人的消费发票来报销公司的设备款。
结果年底一算,研发投入占比极高,但产出比却极低,为什么?因为资源被浪费了,有人重复申请资源,有人甚至把给家里买电脑的发票也混进来了。
当我们帮他们建立了一套简单的IT资产管理内控流程后——比如规定超过2000元的设备必须由行政部门统一采购,技术部只提需求;比如所有报销必须关联具体的项目编号——老板惊讶地发现,公司竟然节省了30%的无效研发支出。
我认为,良好的内控管理其实是一种“导航系统”。 它告诉企业在高速公路上该怎么开,不能逆行,不能超速,不是为了让你开得慢,而是为了让你能安全、快速地到达目的地。
那些让人哭笑不得的“过度内控”
说完了“没有内控”的惨痛教训,咱们再来聊聊另一个极端——“过度内控”。
这也是我作为一名审计师,经常吐槽的地方,有些大公司,特别是那种稍微有点官僚主义气息的国企或者外企,把内控做成了“形式主义”的重灾区。
我有个朋友在一家大型制造企业做销售,他跟我吐槽过一次买笔的经历。
他们公司规定,领一支笔需要填三张单子:领用申请单、物料出库单、还有费用归集单,申请单要部门经理签字,出库单要行政部签字,费用归集单要财务部审核签字。
为了领一支价值5毛钱的圆珠笔,我这位朋友楼上楼下跑了半天,找了三个人签字,大家算算这时间成本是多少?如果这时间用来跑客户,可能早就谈成几千块的订单了。
这就是典型的为了控制而控制。
内控管理有一个非常重要的原则,叫“成本效益原则”,意思是说,你为了控制风险所花费的成本,不能超过这个风险可能带来的损失。
为了防备一支笔被偷(损失0.5元),花费了销售人员半小时的工时(成本几百元),这完全是本末倒置,是典型的管理僵化。
我的个人观点是:最好的内控,是“润物细无声”的。 它应该嵌入到业务流程中去,利用系统去控制,而不是靠人肉去填表、去跑腿。
现在的ERP系统、OA系统其实都能解决很多问题,系统里设置好预算额度,预算内自动审批,预算超支才需要人工干预,这既保证了控制,又提高了效率,如果一家公司的内控还停留在“纸面签字”的阶段,那它的管理水平还停留在上个世纪。
内控的灵魂是“人”,而不是“制度”
咱们注会考试的时候,背过很多内控的要素:控制环境、风险评估、控制活动、信息与沟通、监督,这些词儿听起来很枯燥,但其实它们都指向一个核心——人。
我看过很多公司,花大价钱请咨询公司制定了厚厚的一本《内部控制手册》,放在书架上落灰,为什么?因为内控是死的,人是活的,如果执行内控的人没有那个意识,再完美的制度也是废纸。
这就好比交通规则,红绿灯设置得再科学,如果司机素质不行,照样有人闯红灯、撞车。
在企业管理中,“高层基调”决定了内控的生死。
如果老板自己带头违规,比如老板为了拿回扣,指使财务做假账,或者老板为了省税,要求两套账,那底下的员工就会看在眼里,他们会觉得:“原来规则是可以打破的,只要老板同意就行。”
一旦这种风气形成,内控体系瞬间就会崩塌,因为所有的内控最终都需要人来执行,当执行者对规则失去了敬畏之心,制度就变成了摆设。
我审计过一家家族企业,他们的制度非常完善,但每次盘点库存都会发现短缺,后来我们通过监控发现,保安队长经常在半夜私自放行货车,拉走公司的废纸板和边角料卖废品,为什么他敢这么做?因为他是老板的亲叔叔,他笃定财务部不敢查他,老板知道了也不会重罚。
我认为,内控管理的本质,是企业文化的管理。 它需要一种“正直”、“合规”的文化土壤,如果土壤是坏的,种什么树都长歪,作为管理者,与其纠结于制度条款的完美,不如先打造一个奖罚分明、规则面前人人平等的环境。
给企业的几点真心话
聊了这么多案例和观点,最后我想结合我的专业经验,给正在阅读这篇文章的企业管理者、财务同行们几点实在的建议:
别指望“一招鲜,吃遍天” 内控管理是动态的,你公司只有10个人的时候,靠“人盯人”就能控制;当你有100个人的时候,就需要简单的流程;当你有1000个人的时候,就必须依赖信息系统和复杂的授权体系。 我见过太多企业,拿着五年前的流程管现在的业务,结果要么管不住,要么把业务管死。内控必须随着业务的发展而迭代。
抓大放小,重点突破 不要试图控制所有风险,那是不可能的,也是不经济的,你要识别出哪些是你的“致命风险”。 对于一家贸易公司,资金安全和存货安全是命脉,这上面要死磕;对于一家互联网公司,数据安全和知识产权是命脉,这上面要投入重兵,至于像办公用品领用这种小事,简化一点,给员工一点信任和自由,反而能提升士气。
让业务部门参与进来 很多内控制度是财务部在办公室里拍脑袋想出来的,结果拿到业务部门去,人家根本不买账,觉得你不懂业务。 最好的内控流程,是业务部门和财务部门一起坐下来吵出来的,业务说我要效率,财务说我要安全,双方妥协后的产物,往往才是最落地的方案。千万不要让内控变成财务部和业务部的对立面。
利用技术手段 现在都数字化时代了,能上系统的尽量上系统,系统控制比人工控制更客观、更冷酷、也更有效,系统设置“不相容职务分离”,制单的人和审核的人必须是不同账号,系统如果不通过就保存不了,这比任何口头警告都管用。
写到这里,我想起了一句老话:“企业做大靠运气,做强靠管理,做长靠文化。”
内部控制管理,看似是管钱、管物,实则是管人心、管风险,它不是一套冷冰冰的枷锁,而是一套让企业这台复杂机器能够平稳运转的润滑剂和刹车片。
作为从业者,我们既要看到内控在防范舞弊、保证数据质量上的刚性需求,也要警惕它可能带来的官僚主义和效率损耗。
内部控制管理的最高境界,应该是“无为而治”。 当规则已经内化为员工的习惯,当风险防范已经成为大家的潜意识,当每一个业务动作在发生的同时就已经被系统自动记录和校验,那时候,我们或许就不再需要刻意强调“内控”这两个字了。
希望这篇文章能让你对内部控制管理有一个新的认识,别让流程变成枷锁,要让内控成为企业长跑路上最坚实的护盾。
咱们下期再见!
还没有评论,来说两句吧...