作为一名在注会行业摸爬滚打多年的“老司机”,我见过太多企业的兴衰更替,一家企业的崩塌并非因为市场不好,也不是因为技术落后,仅仅是因为“后院起火”——一颗螺丝钉的松动导致了整台机器的解体。
我想和大家聊聊《企业内部控制基本规范》及其配套指引,也就是我们常说的“内控指引”。
说实话,一听到“内控指引”这个词,很多老板和管理者的第一反应是皱眉头,在他们眼里,这玩意儿意味着厚厚的文件、繁琐的审批流程、做不完的底稿,以及审计师们冷冰冰的质询,但我更愿意把内控指引比作企业的“免疫系统”,当你身体健康时,你感觉不到免疫系统的存在,甚至觉得它有些碍事;但一旦病毒入侵,如果没有这个系统,后果往往是致命的。
我们就抛开那些晦涩的法条,用最接地气的方式,聊聊内控指引到底该怎么看,又该怎么用。
所谓的“指引”,不是紧箍咒,而是导航仪
我们得达成一个共识:财政部等五部委联合发布的《企业内部控制基本规范》和18项应用指引,绝对不是用来专门折磨企业财务人员的。
在实务中,我遇到过一家中型制造企业的老板,老张,老张是个实干家,白手起家,公司做到年产值五个亿,他对“内控”这两个字深恶痛绝,每次我去审计,他都跟我抱怨:“你们搞的内控,就是要把我的手脚捆起来,买个螺丝都要填三个单子,签五个字,生意还做不做了?”
老张的误解很典型,他把内控当成了“紧箍咒”。
内控指引的本质是一套“最佳实践的导航仪”,它总结了无数企业用血的教训换来的经验,采购业务指引》告诉你请购、审批、购买、验收、付款这几个环节必须分离;《资金活动指引》告诉你资金支付的审批权限必须明确。
如果老张能理解这一点,他就会明白,内控并不是为了阻止他买螺丝,而是为了防止采购经理拿着他的钱去给亲戚的空壳公司付款,或者防止仓库收了一堆石头却签收了钢材。
我的观点是: 内控指引的存在,是为了让企业在高速公路上行驶时,既不超速(合规),也不翻车(风险),更不会迷路(效率),如果你觉得它束缚了你,很可能是因为你穿错了尺码,或者根本没看懂地图。
那些令人唏嘘的“失控”现场
为了让大家更有体感,我来讲两个真实发生过的故事(细节已做脱敏处理),看看当内控指引被忽视时,现实会给你多么响亮的一记耳光。
消失的“库存”
有一年,我去一家商贸公司做年报审计,这家公司做快消品批发,生意红火,按照《存货管理指引》,企业应当定期盘点存货,且确保账实相符。
但在现场,我发现了一个奇怪的现象:他们的仓库账面永远是平的,而且毛利率非常稳定,这太完美了,完美得让人起疑,于是我要求突击盘点。
结果不查不知道,一查吓一跳,仓库里实际有的货,比账面上少了整整30%!
原来,这家公司的销售总监和仓库主管是“铁哥们”,他们搞了个默契:销售总监私下接单,让仓库主管直接发货,不入系统,也不开票,货款直接打到销售总监的私人账户,等到年底,为了掩盖库存短缺,他们又伪造了一堆入库单,把账面库存补平。
这就是典型的内控失效,如果他们遵循了《销售业务指引》中的“确保销售、发货、收款等各个环节的职责分离”,或者严格执行了《存货管理指引》中的“盘点制度”,这个窟窿根本不可能存在。
这个窟窿导致了公司资金链断裂,老板辛辛苦苦打拼十年的基业,因为缺乏基本的内控,被内部蛀虫掏空了。
被“绑架”的公章
另一个案例发生在一家拟上市公司,他们正在准备IPO,流程走得热火朝天,就在上市前夕,公司被起诉了,理由是违规担保。
原来,这家公司的董事长为了帮朋友周转资金,私自拿公司的公章,在朋友的借款合同上盖了章,做了连带责任担保,按照《担保业务指引》,重大担保业务必须经过董事会或者股东大会的集体审议,并且要进行风险评估。
但在那个公司,公章就放在董事长的办公桌抽屉里,谁要用,说一声就拿走了,结果呢?朋友跑路了,债主找上门来,公司面临巨额赔偿,IPO直接黄了。
你看,内控指引里要求的“印章保管与使用分离”,看似是个不起眼的小规定,关键时刻却能救命。
内控指引落地:别搞“形式主义”,要抓“关键点”
很多企业确实做了内控,他们花大价钱请咨询公司,印了精美的《内控手册》,人手一册,但如果你随便翻开一本,你会发现里面的流程图画得比迷宫还复杂,签字节点密密麻麻。
这种内控,我称之为“花瓶内控”。
生活实例: 我曾经在一家国企看到过一个报销流程,员工出差报销,需要经过:经办人->部门经理->分管副总->财务专员->财务经理->财务总监->总经理->董事长,如果涉及跨部门,还得加签。 结果就是,为了报销300块钱的差旅费,单子在财务部门口的篮子里躺了两个月,员工怨声载道,最后大家想了个招:能不出差就不出差,或者干脆虚报费用来弥补“时间成本”。
这完全违背了内控的初衷,内控指引强调的是“重要性原则”和“成本效益原则”。
我的观点是: 好的内控,应该是“润物细无声”的。
- 抓大放小: 对于几百万的合同,当然要上会讨论,严查资质;但对于几百块的办公用品,能不能实行“定额包干”或者“网上商城直采”?别把大炮用来打蚊子。
- 嵌入业务: 别让内控成为业务部门的累赘,最好的控制是设计在系统里的,ERP系统里设置好,没有预算就不能生成采购订单,这比让人工去审核单据有效得多,也没人敢得罪系统。
人的因素:不要去考验人性
在内控指引的五大要素中,排在第一位的是“内部环境”,而内部环境的核心,是“人”。
我常说一句话:制度是死的,人是活的。 再完美的内控指引,如果执行的人有问题,一切都是零。
有一家家族企业,老板把财务大权交给了自己的小舅子,老板觉得,自家人最放心,不需要什么内控,也不需要什么职责分离,出纳和会计都是小舅子一个人说了算。
结果呢?小舅子沉迷网络赌博,刚开始只是挪用几千块,想着赢了就补上,后来越陷越深,挪用的金额从几千变成了几千万,因为缺乏制衡,直到公司账户发不出工资了,老板才发现真相。
老板哭着跟我说:“他是我亲小舅子啊!”
这就是人性的弱点,在巨大的利益或诱惑面前,亲情、友情往往不堪一击。
内控指引中反复强调的“不相容职务分离”,其底层逻辑就是:不要去考验人性,人性是经不起考验的。 我们要建立一种机制,让坏人即使想做坏事,也因为缺乏作案条件(比如没有印章,没有权限,或者立刻会被发现)而做不成,这就是对好人最大的保护,也是对老板最大的负责。
技术赋能:内控指引的新时代
作为注会,我也必须谈谈趋势,现在的内控指引,已经不再是简单的纸质文档了。
随着数字化转型的深入,内控正在变得越来越“看不见”。
以前我们查内控,是翻阅纸质凭证,看签字是否齐全。 现在我们查内控,是看系统的日志,看权限的配置,看数据的勾稽关系。
举个例子,现在的《资金活动指引》要求企业对大额支付进行监控,在传统模式下,这需要出纳一笔笔核对,但在数字化环境下,系统可以自动抓取银行流水,与ERP中的付款记录实时比对,一旦出现金额不符、收款人不明,系统立刻给财务总监和老板的手机发报警短信。
这就是“智能内控”。
我的观点是: 未来的企业,如果不把内控指引嵌入到IT系统中,那将寸步难行,人工控制的成本越来越高,且容易出错;而系统控制一旦设定好,它不眠不休,不徇私情,效率极高,企业应该把更多的资源投入到ERP系统的优化和内控模块的数字化建设上,而不是花在让员工填更多的表上。
写在最后:内控是一种修行
聊了这么多,我想总结一下。
内控指引,不是财政部发给企业的“作业”,而是企业为了生存自己必须修炼的“内功”。
它不是财务部一个部门的事,而是从董事会到每一个基层员工的事。 它不是一成不变的僵化教条,而是随着业务发展不断进化的生命体。
对于企业的管理者来说,当你拿到那本厚厚的内控指引时,请不要把它束之高阁,试着去理解它的逻辑,结合自己企业的业务流程,去裁剪,去适配,去落地。
哪怕你今天只做了一点点改进:比如把保管公章和保管法人章的人分开了;比如给仓库加了一把锁,规定领料必须签字;比如规定老板自己也不能随便从公司拿钱去消费。
这些微小的改变,都是在为企业的生命线加固。
在这个充满不确定性的商业世界里,我们无法控制外部的风浪,但至少我们可以通过内控指引,打造一艘坚固的船,确保无论风浪多大,船底的舱板都不会漏水。
这就是内控的价值,也是我们作为专业人士,一直想要传递给每一个企业的信念,希望每一位读者都能从今天的文章中,找到一点点启发,去审视自己身边的管理漏洞。
毕竟,只有活下去,才有资格谈发展,而内控,就是那个让你活下去的隐形守护者。
还没有评论,来说两句吧...