作为一名在注册会计师行业摸爬滚打多年的“老兵”,我参与过无数家企业的审计工作,从初创期的独角兽到世界500强的巨头,我见过各种各样的管理场景,每次当我提到“企业内部控制”这个词时,我观察过坐在会议桌对面的老板、CFO甚至是业务部门负责人的表情。
很多时候,他们的眼神里会流露出一丝不耐烦,甚至是一种防备,在他们看来,内部控制就是那一堆厚厚的、没人看的SOP(标准作业程序),是财务部门为了卡预算而设下的路障,或者是审计师为了找茬而存在的“繁文缛节”。
但今天,我想抛开教科书上那些枯燥的定义,用咱们平时唠嗑的方式,聊聊这个话题,在我看来,企业内部控制绝不是束缚手脚的枷锁,它是企业在这个充满不确定性的商业丛林里生存下去的免疫系统,如果没有它,或者它失效了,企业就像一个失去了免疫力的病人,哪怕外界只是一点小风寒(市场波动),都可能演变成致命的重感冒。
别把“信任”当成“控制”的替代品
咱们先来讲个故事,这事儿发生在我刚入行那会儿,审计的一家做贸易的老牌公司。
这家公司的老板叫老张,白手起家,性格豪爽,最讲究的就是一个“义”字,老张的公司不大,也就百十号人,但他觉得管理这东西,核心在于“人”和“信任”,他特别反感那些条条框框,觉得既然大家是一家人,为什么要互相防备?
在老张的公司里,采购、付款、仓库入库这几个关键环节,全部由他最信任的侄子——小刘一手包办,老张的理由很简单:“小刘是我看着长大的,从小老实本分,这孩子还能坑我不成?”
这就是典型的“以信任代替内控”。
结果呢?两年后,公司业绩突然大幅下滑,现金流紧张得连工资都快发不出来了,老张急得像热锅上的蚂蚁,让我们去查账,这一查不要紧,查出了一个惊人的窟窿。
原来,老实本分的小刘,迷上了网络赌博,起初只是输了几千块,想翻本,后来就越陷越深,因为采购是他谈,价格是他定,货物入库是他点,付款单是他签,整个流程没有任何一个环节有其他人复核或监督,小刘通过虚增采购价格、甚至虚构供应商的方式,在三年时间里,悄无声息地挪用了公司近千万资金。
当老张拿着审计报告,手颤抖着签字的时候,我看见他一夜之间仿佛老了十岁。
我的观点非常明确:人性是经不起考验的,尤其是在巨大的利益诱惑面前。
企业内部控制的核心逻辑,首先不是去怀疑谁,而是要承认人性的弱点,一个健全的内控体系,必须包含“不相容职务分离”这一基本原则,简单说,就是管钱的不能管账,管采购的不能管验收,这不是不信任员工,这是在保护员工,也是在保护老板自己,如果老张的公司哪怕有一个简单的规定:超过五万的付款必须由财务经理复核签字,小刘的窟窿可能早在几十万的时候就被堵住了,也不至于落到今天这个地步。
内控不是刹车,而是让你开得更快的底盘
很多业务部门的朋友跟我抱怨:“你们搞内控的,就是给我们踩刹车的!我想赶紧签个合同,财务要审三天;我想招个人,流程要走半个月,市场机会稍纵即逝,都被你们拖没了!”
这种声音我听得太多了,但我必须得说,这是一个巨大的误解。
咱们把企业想象成一辆赛车,如果这辆车只有油门,没有刹车,没有方向盘,没有底盘稳定系统,你敢把油门踩到底吗?你肯定不敢,因为你知道,只要速度一快,稍微遇到一个弯道或者一颗石子,车毁人亡就是分分钟的事。
这时候,刹车和底盘控制系统是什么?它们就是你的内控。
正是因为有了高质量的刹车系统(风险控制),有了精准的转向系统(授权审批),赛车手(管理层)才敢在弯道上把油门踩到底,以300公里的时速狂飙。
举个生活中的例子,大家就明白了。
我有个客户是做互联网餐饮的,他们开发外卖APP,一开始,为了追求速度,他们的内控非常松散,市场推广费用的报销,只要总监签字就能拿钱,甚至连具体的推广数据都不需要附。
结果那段时间,虽然APP下载量蹭蹭涨,但获客成本高得吓人,后来我们做内控咨询,建议他们上线了一个系统:每一笔推广费用的报销,必须附带后台的数据截图,并且系统要自动抓取广告投放商的后台数据进行比对。
实施这个“刹车”机制的第一周,市场部确实很不爽,觉得我们找茬,但一个月后,奇迹发生了,因为数据造假被系统拦截,很多无效的推广渠道被砍掉了,公司的整体获客成本反而下降了30%,省下来的钱,老板又投入到了更有价值的研发上。
你看,内控在这里并没有阻碍业务发展,反而通过剔除“噪音”和“浪费”,让业务跑得更健康、更有效率。
我认为,优秀的内控体系,应该是“润物细无声”的。 它不应该让业务感到疼痛,而应该嵌入到业务流程中,像导航软件一样,在你即将偏离路线或者遇到拥堵时,自动给你提示,帮你规划最优路径。
“上梁不正”是内控失效的根源
在注册会计师的审计准则里,有一个词叫“管理层凌驾于控制之上”,这是我们在审计中最怕遇到的情况,也是企业内控最致命的硬伤。
什么叫“管理层凌驾”?说白了就是“只许州官放火,不许百姓点灯”。
我审计过一家拟上市公司,他们的制度写得那叫一个漂亮,厚厚几大本《内部控制手册》,涵盖了从公章管理到差旅报销的每一个细节,但在实际执行中,完全不是那么回事。
有一次,我抽查了一笔大额的关联方交易,按照制度,这种关联交易必须经过独立董事审批,并在公告中披露,当我找财务总监询问流程时,财务总监一脸无奈地给我看了老板(董事长)发的一条微信。 大概是这样:“小王啊,这笔钱赶紧付给我那个兄弟的公司,项目急着开工,董事会手续后面再补,别耽误事。”
财务总监敢不办吗?不敢,完美的内控制度在老板的一条微信面前,瞬间土崩瓦解。
这就是我要强调的个人观点:内控的有效性,80%取决于“高层基调”。
如果老板自己带头闯红灯,下面的员工自然会纷纷效仿,当员工发现,遵守制度会被认为是“死脑筋”、“不懂变通”,而违反制度却能讨老板欢心、拿到奖金时,谁还会去维护那个破制度?
在上述那个案例中,后果是严重的,因为老板的随意插手,导致公司后来卷入了一系列违规担保的诉讼,最终IPO上市失败,几年的努力付诸东流。
建立内控,必须从“头”做起,老板必须把自己关进制度的笼子里,这需要极大的自律和智慧,作为一把手,你要学会忍受“不便”,要学会对业务部门说:“虽然这单生意很重要,但流程不合规,我也没辙,咱们得按规矩来。”内控文化才能真正落地。
内控是有成本的,但它是必须支付的“保险费”
咱们也不能把话说得太满,内控确实是有成本的。
为了防止仓库被盗装监控,这是成本;为了防止财务差错增加复核人员,这是成本;为了上ERP系统花了几百万,这也是成本。
很多小微企业老板会问我:“老师,我现在就十来个人,账就那几本,我也请不起专业的内控团队,是不是我就不用搞内控了?”
我的回答是:内控必须搞,但要量体裁衣。
这就好比咱们买保险,刚出生的宝宝和百岁老人,买的保险肯定不一样;身家亿万的大佬和刚毕业的穷学生,配置的保险也不一样,你不能因为买不起豪华保险,就裸奔上路。
对于小企业,内控不需要花哨的系统,只需要抓住关键点,管钱和管账分开,公章和法人章分开,大额支出老板亲自过目,这些动作几乎不需要什么额外的资金成本,只需要一点管理意识。
而对于大企业,内控的成本其实是一种“确定性溢价”。
我看过一个经典的案例,关于一家著名的跨国制造企业,他们为了加强存货管理,投入巨资上了非常先进的WMS(仓库管理系统),并且配备了大量人员进行循环盘点。
表面上看,这大大增加了运营成本,这套系统上线后,他们的存货周转率提高了,呆滞库存大幅减少,释放出来的资金流高达数亿元,而且因为数据准确,生产计划不再因为缺料而中断。
在这个例子里,内控不再是单纯的成本中心,它变成了利润中心。
我们在看待内控成本时,不能只盯着花了多少钱,要多看看它帮我们避免了多大的损失,又帮我们挖掘了多少隐形的效益,这就好比咱们买车险,每年交几千块觉得很肉疼,但真出了事故的时候,你会感谢当初那个交钱的自己。
技术不能解决所有问题,人是核心
我想聊聊现在的热点——数字化内控。
现在的企业越来越依赖IT系统了,很多老板觉得,我上了SAP,上了Oracle,上了最先进的财务共享中心,我的内控就完美了,系统会自动帮我卡住一切风险。
这种想法太天真了。
系统是死的,人是活的,系统再强大,也是人写的代码,也是人在维护。
我曾在一个项目中发现,这家公司的ERP系统设置得很严密,所有超过预算的订单都会被系统自动拦截,采购经理发现了一个BUG:只要把大订单拆分成几十个小订单,每个都在预算额度内,系统就会放行。
这就是典型的“系统逻辑漏洞”被人为利用。
更可怕的是,有时候为了系统的“好用”,IT部门会留一些“后门”或者超级用户的权限,如果掌握这些权限的人心术不正,他们可以在系统里神不知鬼不觉地修改数据,而且不留痕迹。
我的观点是:技术是内控的强力工具,但绝不是万能药。
再好的系统,也需要懂业务、懂风险的人去设计和维护,我们不能把企业的命运完全交给几行代码,在数字化时代,内控的重点从“查账本”转移到了“查数据逻辑”和“系统权限管理”上,但这依然需要人的智慧去判断,去发现那些系统算法看不出来的“猫腻”。
内控是一门平衡的艺术
洋洋洒洒说了这么多,其实我想总结的核心就一句话:企业内部控制,是一门关于“平衡”的艺术。
它要在风险与效率之间找平衡,要在成本与收益之间找平衡,要在信任与监督之间找平衡。
作为从业者,我见过太多因为内控缺失而轰然倒塌的大厦,也见过因为内控过度僵化而窒息而亡的企业。
企业内部控制,不是束缚手脚的枷锁,而是企业长青的免疫系统。 它的存在,是为了让你在睡觉时能睡得更踏实,让你在冲锋陷阵时没有后顾之忧。
在这个充满变数的时代,不管是大老板还是基层员工,我们都应该重新审视内控的价值,不要等到病入膏肓了,才后悔当初为什么没打那一针“疫苗”。
如果你问我,对于一个想要做大做强的企业,什么最重要?有人会说人才,有人会说资金,我会说,人才和资金固然重要,但如果没有一套健康的内控体系去驾驭它们,人才可能会流失,资金可能会蒸发。
从今天起,别再把内控当成是审计师的任务,把它当成是你自己企业管理的基石吧,哪怕今天只是多做一步复核,多设一道密码,多问一个为什么,你的企业可能因此就多了一份活下去的希望。
还没有评论,来说两句吧...