内部控制基本规范，企业基业长青的宪法，绝非纸上谈兵的繁文缛节

大家好，我是你们的老朋友,一个在注会行业摸爬滚打多年的笔杆子。

今天咱们来聊一个听起来特别“高大上”，甚至有点让人昏昏欲睡，但实际上却关乎每一家企业生死存亡的话题——《内部控制基本规范》。

我知道，一听到“规范”两个字，很多在财务圈或者企业管理层打拼的朋友头都大了，你会想：“不就是那堆红头文件吗？不就是为了让审计师签字画押用的吗？平时业务忙得脚打后脑勺，谁有空看那个？”

如果你真的这么想，那我得严肃地告诉你：你正在把你的企业置于巨大的悬崖边缘。

在我多年的执业生涯中，我见过太多因为忽视内部控制而轰然倒塌的公司，也见过很多因为把内控做成“花架子”最终把自己累死的企业，我就想用最接地气、最人性化的方式，结合咱们生活中的真实例子，来聊聊这部被称为“中国版萨班斯法案”的《内部控制基本规范》，到底是个什么东西，以及为什么我说它是企业活下去的“生命线”。

什么是“内部控制基本规范”？它不只是给审计师看的

咱们先别掉书袋，2008年，财政部等五部委联合发布了《企业内部控制基本规范》，这在中国企业治理史上是一个里程碑，它就像是咱们国家的宪法，是最高准则，后来又配套了应用指引、评价指引和审计指引，这一套组合拳,构成了中国企业内控的完整体系。

但在我看来，《内部控制基本规范》不仅仅是冰冷的条款，它其实是一套“企业防身术”。

打个比方，这就好比咱们每个人家里的安全系统。

你出门上班，为什么要锁门？为什么要装防盗窗？甚至有些有钱人家还要装监控、请保安？这不仅仅是为了应付保险公司的要求，而是为了防止小偷进来，防止家里失火,防止老人小孩出意外。

《内部控制基本规范》给企业建立的，就是这样一个“安全系统”，它定义了企业内部应该由谁来管事（内部环境），怎么识别坏人坏事（风险评估），用什么手段防备（控制活动），怎么互相通气（信息与沟通），以及谁来检查这套系统好不好用（内部监督）。

我的个人观点是： 很多企业把这套规范看作是监管部门的“紧箍咒”，这是大错特错的，它其实是企业家的“护身符”，如果你把内控当成是应付审计的任务，那你永远只会在做表面文章；只有当你把它当成保护公司资产的手段时,这套规范才有了灵魂。

五大要素：从“开车”看内控的核心逻辑

《内部控制基本规范》的核心在于提出了内部控制的五要素，咱们把这五个要素拆解开来,用生活中的例子一个个说透。

内部环境：这就是“家风”

内部环境是基础，相当于一个企业的“家风”。

如果一个企业的老板天天带头违规，报销单乱填，甚至教唆员工做假账，那这就是“家风不正”，在基本规范里，这叫治理结构、机构设置、权责分配、企业文化都不行。

举个生活中的例子： 我有个朋友老张，开了家小商贸公司，他总觉得“兄弟义气”大于制度，公司里管钱的出纳是他亲侄子，管仓库的是他发小，老张常挂在嘴边的话是：“咱们这帮人，知根知底，不用搞那些虚头巴脑的审批流程。”

结果呢？不到两年，公司亏得一塌糊涂，他侄子挪用公款去赌博，发小在仓库里搞“里外勾结”，低价把货卖给别人,然后两人吃回扣。

为什么？因为“内部环境”坏了。《内部控制基本规范》强调的内部环境，就是要求企业建立一种讲原则、讲诚信、权责分明的氛围。 就像开车，车再好，路再平，如果驾驶员是个醉汉,那车祸是迟早的事。

风险评估：这就是“看天气预报”

开车出门前，老司机会看一眼天气预报，还会检查一下刹车片，这就是风险评估，企业也是一样，你得知道哪儿有坑,哪儿有悬崖。

具体实例： 还记得几年前著名的“中航油（新加坡）事件”吗？陈久霖那个团队，在进行石油衍生品期权交易时，完全忽视了国际油价波动的巨大风险，他们没有设定止损线，就像一个人开着法拉利在暴雨天以200码的速度在山路上漂移,还不系安全带。

《内部控制基本规范》要求企业及时识别经营风险，分析风险发生的可能性和影响程度，很多中小企业老板觉得这是大公司的事,其实不然。

我见过一家做出口的小工厂，老板从来不管汇率波动，签合同全凭感觉，结果人民币一升值，利润全被吃光了，甚至还要倒贴，这就是缺乏最基本的风险评估意识。在我看来，不懂风险评估的企业家，就是在裸奔。

控制活动：这就是“刹车和安全带”

这是大家最熟悉的部分，也是《内部控制基本规范》里最“硬”的条款，不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制……听着很晕对吧？

咱们说点实在的。

生活实例： 你去超市买东西，结账的时候，收银员扫码，你付钱，收银员把钱放进钱箱，你会发现，收银员是不能自己打开钱箱拿钱的，必须经过主管授权，或者每过几笔账，钱箱会自动锁死,必须盘点。

这就是“不相容职务分离”，管钱的人（收银员）和管账的人（系统记录）是分离的,或者管钱和盘点是分离的。

如果一个人既管钱又管账，他拿走100块，只要在账上记少100块,神不知鬼不觉。

我之前审计过一家民营企业，他们的采购流程简直是“灾难”，采购员一个人就能搞定从选供应商、下订单、到收货入库、最后付款的全流程，这就像把家里的保险柜钥匙、密码、以及报警器的开关权都给了同一个人。

我的观点是： 控制活动不是为了把人当贼防，而是为了保护好人，一个制度完善的流程，能让想犯错的人没机会犯错,让认真工作的人不被冤枉。

信息与沟通：这就是“后视镜和导航”

你在开车，后视镜坏了，导航也没信号，这车你敢开吗？企业也是一样，信息如果不通畅，决策层就是瞎子、聋子。

《内部控制基本规范》特别强调信息的收集、传递和处理。

生活实例： 我想起一个经典的反面教材——某知名餐饮企业曾经出现过严重的食品安全危机，在危机爆发前，底层的门店员工早就发现了食材有问题，也向中层反映了，中层为了KPI，为了保住奖金，把信息压下来了，根本没传到老板耳朵里，最后媒体一曝光，老板一脸懵逼,品牌瞬间崩塌。

这就是信息沟通链条断了。我认为，一个健康的企业，必须有一条畅通无阻的“直通车”，让坏消息能比好消息跑得更快。 如果你的企业里全是报喜不报忧,那你离死也不远了。

内部监督：这就是“行车记录仪和年检”

有了前面的四条，是不是就万事大吉了？不行，还得有人盯着，这就是内部监督,包括日常的持续监督和专项监督。

生活实例： 咱们开车都有“年检”，还有路上的交警,这就好比企业的内审部门。

我见过一家上市公司，他们的内审部门非常强势，直接向董事会审计委员会汇报，谁的面子都不给，有一次，子公司为了冲业绩，想搞点虚假销售，内审部门在例行检查中发现了苗头，直接叫停，并上报总部，虽然当期业绩受了点影响,但避免了一场巨大的合规灾难。

反之，我也见过很多公司的内审部门就是个摆设，甚至被安排去“帮忙订机票”、“打印文件”。在我看来，没有独立内部监督的企业，就像没有刹车的赛车，跑得越快，死得越惨。

为什么很多企业的内控还是做成了“两张皮”？

说了这么多《内部控制基本规范》的好话,咱们也得泼泼冷水。

在现实工作中，我发现90%的企业在做内控时，都陷入了“形式主义”的泥潭，他们花了大价钱请咨询公司，写了几百本厚厚的SOP（标准作业程序）,放在书架上落灰。

为什么？因为他们把“控制”当成了“管控”，把“规范”当成了“束缚”。

我有几个非常鲜明的个人观点，可能会得罪人，但我必须说出来：

第一，不要为了做内控而做内控。 有些企业为了通过IPO审计，为了应付监管，临时抱佛脚编造制度，这种制度在执行中一定会变形，就像你为了应付交警而系安全带，但把安全带松松垮垮地搭在胳膊上，真出车祸的时候,它根本救不了你的命。

第二，内控是有成本的，要讲究成本效益原则。 《内部控制基本规范》里也提到了这一点，如果你是一个只有10个人的小卖部，你也去搞什么“职责分离”，设个财务总监、设个内审部，那你这店还没开张，管理成本就把你拖垮了。 内控的尺度要和企业的规模相匹配。 小企业靠老板盯着，大企业靠制度管人,千万别用大炮打蚊子。

第三，人是内控的核心，也是最大的漏洞。 再完美的系统，执行它的是人，如果人心坏了，内控就是篱笆墙，防君子不防小人，我见过利用高科技手段绕过内控系统的高管，那种手段简直是“叹为观止”。 《内部控制基本规范》里提到的“企业文化”和“人力资源政策”，其实比那些硬性的控制流程更重要。 你要选对人，育好人,用好人。