咱们打开天窗说亮话,在咱们财务和审计这个圈子里混久了,“内控评价”这四个字,听起来就像是那种必须要做、但又实在提不起劲的“苦差事”。
每到年底或者特定的审计周期,一摞摞的底稿、一张张的流程图、一个个看似完美的“是/否”选项,就像是一场盛大的表演,大家心照不宣:只要表格填满了,签字画押了,这事儿就算翻篇了,但我今天想以一个在这个行业摸爬滚打多年的老兵身份,跟各位掏心窝子聊聊:内控评价,绝不应该是一堆废纸,它本该是企业那套“免疫系统”的体检报告。 如果咱们继续把它当成“走过场”,那离“真出事”也就不远了。
今天这篇文章,咱们不谈教科书上那些枯燥的定义,什么COSO框架、什么五要素,咱们就聊聊生活,聊聊人性,聊聊为什么内控评价有时候能救一家公司的命。
别把内控当成“紧箍咒”,它其实是“安全气囊”
我得纠正一个很多人的误区,很多业务部门的老总,一听到“内控”两个字,眉头就皱得像苦瓜一样,在他们眼里,内控就是财务部或者审计部专门来给他们“穿小鞋”的,是限制他们手脚的“紧箍咒”。
“这流程太慢了!”“这签字太多了!”“你们懂不懂业务啊?”
这些话,我耳朵都听出茧子了,但在我看来,这种对立情绪的根源,在于大家没搞懂内控评价的真正意义。
咱们打个比方,你买了一辆豪车,这辆车动力强劲,能带你去任何想去的地方,这就好比企业的“业务发展”,这车上除了有发动机,还得有刹车系统、安全气囊,甚至还得有那个让你恼火的“未系安全带提示音”,这就是“内控”。
如果你为了追求极致的速度,把刹车拆了,把安全气囊扔了,车确实轻了,跑得确实快了,但只要路上出现一个小石子,或者前面突然急刹车,结果是什么?车毁人亡。
内控评价,就是那个定期检查刹车片磨损程度、看看安全气囊是否漏气的修车师傅。
举个我亲身经历的例子,前几年我去一家做快消品贸易的企业做咨询,当时他们的销售总监为了冲业绩,极力反对我们针对“新客户信用额度审批”做严格的内控测试,他觉得这会耽误接单,甚至放话:“如果因为审批丢了大客户,你们审计部负得起责吗?”
结果呢?我们坚持做了评价,发现他们为了绕过系统,甚至有销售员私自借用老客户的额度给新客户发货,我们把这个重大缺陷亮出来的时候,老板惊出一身冷汗,后来经过深挖,发现如果不及时刹车,潜在的坏账风险高达几千万。
你看,这时候内控评价不是在阻碍业务,它是在救你的命。我的观点很明确:内控评价不是为了证明业务部门有多笨,而是为了证明业务部门在狂奔的时候,身上还穿着盔甲。
最大的风险:你以为“有制度”有控制”
在做内控评价的时候,我见过最荒唐的场景就是“神仙打架”。
审计师问:“你们有采购审批制度吗?” 经理回答:“有,厚厚一大本,放在文件柜里。” 审计师:“执行了吗?” 经理:“执行了,你看,这单子上签字齐着呢。”
这时候,大多数内控评价工作就在“制度有”、“签字有”这两个“有”字之后,给出了“控制有效”的结论。
这就是典型的“只看纸面,不看人间”。
咱们生活中有没有这种例子?太多了,就像家里立了家规,“孩子晚上10点前必须回家”,这制度写在墙上了,但是孩子每天晚上11点才回,家长在考勤表上帮他改成10点,这叫有控制吗?这叫掩耳盗铃。
内控评价最核心的,不是去翻那个落灰的制度本,而是去看“实际是怎么干的”。
我记得有一次去一家制造企业盘点,他们的仓库管理简直是“魔幻现实主义”,系统里显示,原材料入库必须要有质检报告(合格)才能入库,这是一个非常完美的控制点,我在现场蹲守了半天,发现生产线急着要料,货车到了,质检员还没来,仓库大哥大手一挥:“卸货!先入库,反正咱们都是老供应商,质量没问题。”
等质检员第二天来了,补个单子,系统里一切完美,闭环了。
如果内控评价只是坐在办公室里,看那个系统里的“质检报告编号”,你会得出结论:控制有效,但如果你去现场,你会发现这个控制早就被“业务急迫性”给冲得稀巴烂。
我在做内控评价时,有一个雷打不动的原则:不听汇报,只看“影子”。 所谓影子,就是业务留下的痕迹,你去看看废纸篓里的单据,你去听听仓库工人的闲聊,你去看看那个所谓的“审批”是不是发生在业务发生之后,如果控制只是为了应付审计而补上的,那它就不是控制,那是作伪证。
“关键人”的软肋:别高估人性的自律
在谈论内控评价时,我们必须直面一个尴尬的话题:人性。
很多企业老板有一种迷之自信,觉得“我信任这个人”、“他是我的老部下”、“他跟着我打江山”,所以不需要对他太严格的控制。
这种想法,是内控体系最大的黑洞。
我见过一家创业型公司,财务总监是老板的大学同学,两人好得穿一条裤子,公司所有的网银U盾,全都在财务总监一个人包里,老板觉得:“这有什么关系?他还能偷我的钱?”
从制度层面看,这家公司的“网银盾分离”这项内控评价是“失效”的,但老板不在乎。
结局大家可能猜到了,这位财务总监因为赌博欠了高利贷,在一个周末,利用U盾转走了公司账上所有的流动资金,然后人间蒸发,等周一老板发现时,公司连发工资的钱都没了。
这个案例虽然极端,但道理是相通的。内控评价的一个重要功能,就是保护好人不要在诱惑面前变坏,也保护企业不要因为对某一个人的过度依赖而崩盘。
我们在做内控评价时,一定要特别关注那些“不相容职务未分离”的情况,特别是中小企业,往往是一人多岗:出纳兼会计,采购员兼验收员,老板觉得这是“高效”,在审计师眼里这是“裸奔”。
我个人非常坚持一个观点:好的内控,是建立在“人性本恶”的假设之上的。 这不是阴暗,这是专业,我们在评价内控时,必须冷冰冰地问:如果这个人想舞弊,他能不能做到?如果答案是“能,只要他想”,那这就是一个重大缺陷,不管这个人平时人品有多好。
IT系统不是万能药,别让“超级用户”变成“超级大盗”
随着现在企业都上了ERP、SAP或者其他各种系统,很多人觉得:“哎呀,我们系统控制很严,内控肯定没问题。”
大错特错。
系统确实比人靠谱,但系统是由人设计的,也是由人维护的,我在内控评价中,发现了一个越来越严重的隐患:IT权限的泛滥。
特别是那种“超级用户”或者“Master账号”,为了图省事,很多系统管理员拥有上帝视角,可以反记账、可以修改过期的凭证、可以直接在后台改数据。
举个生活化的例子,这就像你家装了世界上最先进的指纹锁,但是你为了怕忘带钥匙,把一把万能钥匙藏在了门口地垫下面,而且所有人都知道那把钥匙在那里,那这指纹锁还有啥用?
我曾经在一家上市公司做内控评价时发现,他们的ERP系统里,居然有十几个“超级用户”,而且这些账号密码是全部门通用的,美其名曰“方便倒班”。
这意味着什么?意味着任何一笔账,谁都可以进去删改,而且系统不留痕迹(因为是后台修改),这时候,你所谓的内控评价,看着系统里生成的报表,其实是在看一堆随时可以被篡改的数据,这就像在沙滩上盖城堡,潮水一来,什么都没了。
在做内控评价时,一定要把IT一般控制(ITGC)和应用控制(ITAC)当成重中之重。 别光看业务流程卡得死不死,得看看那个守门的人(系统管理员)手里是不是拿着万能钥匙,如果IT控制失效了,所有的业务控制都是空中楼阁。
如何让内控评价“活”起来:从“找茬”到“增值”
写了这么多问题,那我们到底该怎么做?怎么才能让内控评价不流于形式,真正发挥价值?
我认为,核心在于心态的转变。
现在的内控评价,大多是以“找茬”为目的,审计师拿着放大镜找漏洞,找到了就罚款,或者写个冷冰冰的整改意见扔过去,业务部门当然抵触,当然防着你。
我理想中的内控评价,应该是一种“咨询服务”。
咱们换个思路,当你发现采购流程有漏洞时,不要只说“你们这里违规了”,你应该说:“我看你们现在的审批环节太长,导致大家不得不违规走后门,如果我们调整一下系统配置,把低风险物资的审批自动放行,既解决了效率问题,又堵住了风险,你们看怎么样?”
这就叫“增值”。
再举个例子,关于费用报销,很多公司为了控制差旅费,规定每一张出租车票都要详细填写行程,结果员工为了报销,天天编故事,内控评价如果只看发票填没填,那毫无意义。
如果我们通过评价发现,这个控制成本太高(员工浪费时间填表,财务浪费时间审),而收益(防止几张假发票)很低,这时候,评价报告应该建议:取消出租车票明细填写,改为按额度包干,或者引入大数据自动抓取发票信息。
这才是高段位的内控评价:它不仅关注风险,还关注成本和效率。 它告诉老板,哪些控制是“肌肉”,必须练;哪些控制是“脂肪”,该减掉。
内控是一场没有终点的长跑
我想总结一下。
内控评价,从来不是一次性的项目,也不是为了应付监管的摆设,它就像是企业的“定期体检”。
年轻力壮的时候(企业初创期),你可能觉得体检是浪费钱,觉得自己百毒不侵,但随着年龄增长(企业扩张),身体机能开始复杂,如果你还不体检,不关注血压、血脂(资金流、合规性),一旦病倒,可能就是绝症。
作为从业者,我们手里握着的笔,不仅仅是在填写底稿,我们是在为企业把脉。不要为了写报告而写报告,不要为了签字而签字。
当你下次在评价“合同审批”时,多想一想,这个印章盖下去,背后是不是真的经过了深思熟虑? 当你评价“库存管理”时,多去仓库闻一闻,那里有没有霉变的味道,有没有闲置的积压?
内控评价,评价的是流程,折射的是人性,守护的是企业的未来。 咱们既然干了这一行,就得对得起这份职业,少一点套路,多一点真诚,毕竟,只有企业活着,咱们这碗饭才能吃得长久,不是吗?
希望下次再提到“内控评价”的时候,你不再是一声叹息,而是能挺起胸脯说:“这事儿,虽然麻烦,但真有用。”
还没有评论,来说两句吧...