作为一名在注册会计师行业摸爬滚打多年的“老兵”,我阅过的账本可能比很多人吃过的米还要多,在这些年里,我发现一个非常有趣的现象:对于“内部控制”(简称内控),企业老板和员工的态度往往是两极分化的,老板们觉得内控是花钱买“放心”,员工们觉得内控是戴在脚上的“镣铐”,不仅碍事还磨脚。
我想脱下审计报告那层冷冰冰的外衣,用咱们平时喝茶聊天的语气,好好谈谈这个既专业又极其“人性”的话题,在我看来,内控从来不是一堆死板的制度,也不是为了应付监管的摆设,它是企业的免疫系统,是保护大家饭碗的最后一道防线。
为什么我们总是谈“控”色变?
说实话,每当我刚走进一家企业,说要做“内控咨询”或者“内控审计”时,空气往往会突然安静下来,财务部的经理开始紧张地翻凭证,业务部的老大则开始皱眉头,担心我会不会卡他们的报销。
这种恐惧源于一种深深的误解,很多人认为,内控就是“不信任”。
“老张,咱们这么多年交情了,你还要我走这个审批流程?” “这单生意十万火急,如果不现在签下来,客户就跑了,你还要让我填什么风险评估表?”
这些话,我在企业里听得耳朵都要起茧子了,大家觉得内控就是怀疑人性本恶,就是设卡子,就是效率的杀手。
但我的个人观点非常鲜明:内控的本质,恰恰不是为了限制好人,而是为了防止好人在坏环境下不得不做坏事,更是为了防止坏人轻易地搞垮企业。
一个关于“信任”与“崩塌”的真实故事
为了让大家更直观地理解,我想讲一个我亲身经历的故事,这不是教科书上的案例,而是发生在我曾经服务过的一家制造型企业——我们就叫它“辉煌科技”吧。
辉煌科技的老板老陈,是个典型的技术男,豪爽、讲义气,最看重的就是“效率”和“信任”,公司刚起步那几年,老陈常说:“咱们兄弟们一起打天下,互相盯着像什么话?流程能省就省,把活干好才是硬道理!”
在这种氛围下,辉煌科技确实跑得很快,采购部门直接下单,仓库直接发货,财务见票就付款,那时候,大家都很开心,觉得公司上下同心,其利断金。
随着公司规模扩大到了几个亿,问题开始像白蚁一样从内部蛀空了。
当时负责采购的是老陈的创业元老,老刘,老刘跟着老陈吃了十年苦,劳苦功高,因为信任,老刘手里握着巨大的权力:供应商选择权、定价权、付款申请权,几乎是一手遮天。
事情的爆发点是在一次年度审计中,我和团队在抽查原材料采购时,发现一家名为“宏达贸易”的供应商,虽然单价略高于市场平均水平,但供货量却连年翻番,而且付款条件极其优越。
当我要求提供宏达贸易的工商档案时,老陈拍着胸脯跟我说:“这供应商老刘认识好多年了,绝对没问题,你们别查这些细枝末节,赶紧把报告出了,我还要融资。”
职业敏感告诉我,必须查到底,结果一查,大家都傻眼了,宏达贸易的法人代表,竟然是老刘的远房侄子,而公司的实际控制人,甚至可能就是老刘自己。
原来,这几年里,老刘利用老陈的“绝对信任”,通过虚报价格、通过关联交易转移资金,掏空了公司近千万利润,更讽刺的是,老刘自己并没有拿这些钱去挥霍,而是因为儿子赌博欠了高利贷,他被逼无奈,一步步滑向了深渊。
老陈得知真相的那天,把自己关在办公室里抽了一整夜的烟,第二天出来,他仿佛老了十岁,他看着我,苦涩地说:“我信任他,但他背叛了我,是我害了他,也害了公司,如果当初有个制度拦着他,他也许不敢迈出第一步。”
这个故事让我感触极深。没有内控的信任,是裸奔的信任;没有制衡的权力,是失控的毒药。 内控不是为了把老刘抓出来,而是为了在老刘产生那个“借钱救子”的念头时,让他发现根本没法操作,从而逼着他走正规途径求助,而不是走向犯罪。
内控的“五步法”:生活中的智慧
在专业领域,我们有个COSO框架,讲什么控制环境、风险评估、控制活动、信息沟通、监督,这些词太学术了,咱们把它翻译成大白话,其实就跟你过日子是一个道理。
控制环境:这就是家里的“家风”
一个企业如果老板自己带头违规,那内控就无从谈起,这就好比一个家长,天天教孩子要诚实,自己却天天打麻将作弊,孩子能学好吗? 我在审计中发现,凡是内控做得好的企业,老板一定有一种“对规则的敬畏”,他们不一定是专家,但他们知道:制度面前,人人平等。 这种“家风”比任何具体的流程都重要。
风险评估:出门前看天气预报
做生意就像出门,你得知道外面会不会下雨,如果市场环境变了,原材料价格波动大了,你还在用以前的老一套,不设止损线,不重新评估供应商,那不是勇敢,是送死。 很多企业倒闭不是因为没业务,而是因为盲目扩张,这时候,内控体系中的风险评估机制,就是那个提醒你“带把伞”的人。
控制活动:家里的“门锁和钥匙”
这是大家最熟悉的部分,比如职责分离(管钱不管账,管物不管钱)、授权审批、实物盘点。 咱们再拿生活举例,你家里为什么要把钱放在保险柜里,而不是扔在门口垫脚石下?为什么你出门要锁门?这就是控制活动。 在辉煌科技的例子里,如果老刘能选供应商,但不能定价格;或者他能定价格,但财务付款时必须核对另一个部门的询价单,那么那个悲剧就不会发生。把权力拆散,让坏人需要勾结三个人才能干坏事,这就是控制活动的精髓。
信息与沟通:家人的“聊天”
很多企业出问题,是因为信息孤岛,销售卖疯了,生产不知道,结果交不上货;采购买多了,财务不知道,结果资金链断了。 好的内控要求信息必须流动,财务不能只做账房先生,要懂业务;业务不能只管冲单,要懂利润,就像两口子过日子,得有话直说,别藏着掖着,不然日子过不长。
监督:定期的“体检”
制度制定了,是不是在执行?是不是过时了?这需要监督,内部审计部门就是企业的“保健医生”,平时没事的时候查查体,发现小毛病及时治,别等到晚期了再送ICU。
破除误区:内控不是越大越好
写到这里,可能有人会说:“行行行,你说的都对,那我明天就招十个内控专员,把所有流程都加上去,买个最贵的系统。”
千万别!这是我作为注会必须给你的严厉警告。
内控是有成本的,而且成本不低。 如果你为了防止买一支笔可能被贪污,设计了比买这支笔贵十倍的审批流程,那就是本末倒置,这就是典型的“形式主义内控”。
我见过一家国企,买个订书机都要经过部门经理、分管副总、财务经理、总经理四个人签字,结果呢?大家为了买个订书机,不得不花一下午时间跑流程,员工们干脆自己掏腰包买,或者干脆不买了,工作效率极低,怨声载道。
这就是“过度控制”,真正的内控高手,讲究的是成本效益原则,对于高风险领域(比如大额资金支付、重大合同签订),我们要像防贼一样严防死守;对于低风险领域(比如日常行政报销),我们要追求效率,能简则简。
我的观点是:最好的内控,是润物细无声的。 它嵌入在你的业务流程里,你感觉不到它的存在,但它一旦缺失,业务就会立刻报警,而不是让你觉得处处是路障。
数字化时代的内控:从“人盯人”到“数据盯人”
现在的内控和十年前又不一样了,以前我们靠人盯人,靠填表,有了ERP系统,有了大数据,内控变得更加智能,但也更加隐蔽。
举个例子,以前我们查库存,得去仓库数数,系统里设置了逻辑,如果出库数量大于库存数量,系统直接锁死,不允许开单,这就是系统控制,比任何人工都有效。
技术也是双刃剑,我发现现在很多企业出现了“系统凌驾”的现象,老板有个超级管理员账号,想改什么数据就改什么数据,系统里的留痕可以随意删除,这种情况下,内控系统就变成了一个漂亮的玩具,毫无防御力。
在数字化时代,对“超级权限”的管控,成了内控的新高地。 作为一个注会,我强烈建议企业引入“信息系统审计”,不仅要查账,还要查系统日志,看看那只“上帝之手”有没有在后台动过手脚。
内控是企业良心的底线
洋洋洒洒说了这么多,其实我想表达的核心思想很简单。
内控,不是为了把企业变成监狱,而是为了让企业这艘船在风浪中开得更稳,它是对股东负责,也是对员工负责。
试想一下,如果你在一个没有内控的公司工作,你会安心吗?今天老板可能因为心情好给你发钱,明天可能因为财务混乱发不出工资;今天你的同事可能因为挪用公款被抓,明天你可能因为不知情的违规操作背锅。
那样的环境,不仅没有效率,更没有尊严。
只有在一个规则清晰、奖惩分明、风险可控的环境里,大家才能心无旁骛地去创造价值,去追求业绩。 这才是内控的终极目标。
作为一名注册会计师,我看过太多企业的兴衰荣辱,那些活得久、活得好的企业,无一不是把内控刻进了骨子里,它们不一定有最完美的制度,但它们一定有最健康的“风险意识”。
下次当你看到财务退回你的报销单,或者当你觉得某个流程太繁琐时,请少一份抱怨,多一份理解,那不是在刁难你,那是在保护我们共同的饭碗,是在保护这家企业不至于因为某一个人的贪婪或疏忽而轰然倒塌。
内控,始于制度,终于人心,希望每一位管理者、每一位员工,都能成为内控的建设者,而不是破坏者,毕竟,在这个充满不确定性的商业世界里,它是我们最坚实的铠甲。
还没有评论,来说两句吧...