作为一名在注册会计师行业摸爬滚打多年的从业者,我经常听到这样的抱怨:“哎呀,内控审计的人又来了,天天拿着放大镜找茬,业务都没法做了。”或者,“不就是填填表、画画流程图吗?走个过场罢了。”
说实话,听到这些话,我心里五味杂陈,既感到无奈,因为外界对内控审计的误解实在太深;又感到一种职业上的使命感,因为真正懂行的人都知道,内控审计绝非仅仅是“找茬”或者“走过场”,如果把一家企业比作一个人,财务报表是他的体检报告,那么内控审计就是他的免疫系统,甚至是他在商海中搏击的导航仪。
我想撇开那些教科书上枯燥的COSO框架定义,用更接地气、更人性化的方式,和大家聊聊我眼中的内控审计,以及它为什么对企业的生死存亡至关重要。
别把内控审计当成“找茬大队”:从“警察思维”到“医生思维”的转变
在很多人的潜意识里,审计就是警察,他们的职责是抓坏人、开罚单,当内控审计师指出某个流程有漏洞时,业务部门的第一反应往往是防御:“这流程我们用了十年了都没事,怎么到你这就成了风险?你是不是想针对我?”
这种对立情绪,是内控审计最大的敌人。
举个我亲身经历的真实例子。
几年前,我去一家大型制造企业做内控咨询,他们的采购部经理老张,是个在行业里干了二十年的老兵,脾气火爆,当我们指出他们的“供应商入库单”只有一个人签字,缺乏复核环节,存在巨大的舞弊风险时,老张拍着桌子吼道:“你们懂个屁!我们这行讲究效率!货到了就得卸,不然卸货车堵在门口罚谁的钱?再找个人签字,半天就过去了!”
当时现场气氛非常尴尬,如果我只是拿着书本上的“职责分离”原则去压他,这项目肯定做不下去。
但我没有反驳,而是拉着老张去喝了杯茶,聊起了家常,后来,我给他算了一笔账:“老张,我知道您是为了公司好,怕耽误事,但您想过没有,如果那个唯一的签字员,被某个不良供应商收买了呢?或者他那天心情不好,疏忽了,把一批次品原料放进来怎么办?一旦这批次品进了生产线,做成成品卖出去,召回的成本是多少?品牌声誉的损失是多少?那可是几千万甚至上亿的损失,比起这几个小时的时间成本,哪个更重?”
老张沉默了,其实他心里明白,只是常年累月的惯性让他觉得“多一事不如少一事”。
后来,我们并没有强制要求他必须增加一个人工签字环节,而是建议他在系统中增加一个“二维码自动扫描匹配”的功能——通过技术手段解决复核问题,既不耽误卸货,又堵住了漏洞。
我的观点是:优秀的内控审计师,绝不是只会开罚单的冷面警察,而是通过“望闻问切”帮助企业治未病的医生。 我们指出问题,不是为了证明业务部门有多蠢,而是为了帮他们避开那些可能让他们职业生涯甚至公司毁于一旦的“坑”,真正的内控,是服务于业务的,是帮业务跑得更稳、更远的,而不是给业务使绊子的。
制度是死的,人是活的:当“人情世故”撞上“刚性制度”
在中国做企业,离不开“人情”二字,很多创业者,尤其是民营企业,在起步阶段往往靠的是兄弟义气、亲戚互助,这时候谈内控,简直就像是跟亲兄弟谈分家产,伤感情。
当企业从几十人发展到几百人、上千人时,如果还靠“熟人关系”来管理,那将是灾难的开始。
这里有一个非常典型的“老板娘管钱”的案例。
我曾审计过一家处于快速扩张期的餐饮连锁企业,老板是个很有魄力的人,但公司的财务总监是他的亲妹妹,这就导致了一个很尴尬的内控缺陷:所有的资金支付,虽然制度上规定要老板审批,但实际上老板娘手里拿着老板的私章和U盾,很多时候是“先斩后奏”,甚至老板根本不知道这笔钱花出去了。
我们在审计中发现,有一笔高达200万的“市场推广费”,仅仅只有老板娘一个人的签字,合同附件也是事后补齐的,且收款方是一家刚成立不久的空壳公司。
当我们把这个问题汇报给老板时,老板的脸色铁青,他当然信任自己的妹妹,但商业逻辑不相信信任,只相信制度,这笔钱最终追没追回来是后话,但它给公司带来的内部裂痕是无法弥补的。
在这个案例中,我的观点非常鲜明:内控审计的终极挑战,不是技术,而是人性。
人性是有弱点的,贪婪、懒惰、侥幸心理,这些都是客观存在的,内控审计的存在,就是要承认这些弱点,并用制度去约束它们,哪怕是亲兄弟,在财务流程上也要明算账,这不仅是保护公司的资产安全,其实也是在保护管理者自己。
试想一下,如果那个老板娘因为内控缺失,真的被人利用职务之便卷走了公款,或者因为随意审批导致公司资金链断裂,她这辈子能心安吗?严格的内控,其实是给每个人穿上了一层“防弹衣”,让你在面对诱惑时,有理由说“不”,在面对压力时,有底气说“系统不通过,我也没办法”。
看不见的“隐形利润”:内控审计到底值不值?
很多老板觉得,请我们做内控审计,或者建立一套完善的内控体系,是纯成本支出,看不见直接的收入,还要养一堆人,或者花几十万请咨询公司,值吗?
我的回答是:太值了,内控审计挖掘的是企业的“隐形利润”。
我想讲一个关于“存货损耗”的故事。
有一家做生鲜电商的公司,毛利率一直上不去,老板以为是采购价格太高,于是拼命压榨供应商,结果导致供应商以次充好,用户体验更差,陷入恶性循环。
我们介入内控审计后,没有直接看采购合同,而是去了仓库,我们在仓库蹲守了一周,发现了一个惊人的现象:每次生鲜入库,搬运工在搬运过程中粗暴扔掷,导致很多水果在进库前就已经内伤;出库的时候,分拣员为了赶时间,随便抓取,导致很多本来能卖的商品被碰伤报废。
这并不是财务报表上能直接看到的“采购成本”,但这是实打实的“隐形成本”。
通过优化仓储作业的内控流程(增加搬运规范培训、调整计件工资的考核指标、引入更温柔的传输带),这家公司半年内将损耗率从15%降到了8%,对于一家年营收几个亿的生鲜企业来说,这7%的降幅,就是几千万的纯利润!这比他们辛辛苦苦做营销、搞促销赚的钱要多得多,而且可持续。
我认为:内控审计是成本最低的增效手段。
很多企业眼睛只盯着外面,盯着市场,盯着竞争对手,却忽略了内部巨大的浪费,跑冒滴漏、重复劳动、决策失误、资产闲置……这些每一个点背后都是真金白银,内控审计就是拿着手电筒,把这些黑暗角落里的浪费照亮,把流失的利润堵回来,这不是花钱,这是捡钱。
告别“翻账本”时代:数字化如何重塑内控审计
聊到未来,我不得不提一下技术,以前我们做内控审计,真的是“抽凭抽到吐,翻账翻到手抖”,但是现在的内控审计,正在发生翻天覆地的变化。
现在的企业,业务都在系统里跑:ERP、CRM、OA……所有的操作都留有日志,这给了内控审计师全新的武器。
举个“反舞弊”的例子。
以前要查一个员工有没有吃回扣,很难,但现在,通过大数据分析,我们可以轻易地发现异常:比如某个采购员,总是倾向于在周五下午下单,且金额总是刚好卡在审批权限的临界点之下(比如4999元,而5000元需要总监审批),或者他总是选择某几家特定的供应商,哪怕这些供应商的价格比平均水平高10%。
系统会自动把这些“异常点”推送到我们面前,我们不需要去翻那一千张凭证,只需要盯着这三个异常点深挖即可。
我的个人观点是:未来的内控审计师,必须懂数据,甚至要懂编程。
那种只会看凭证、查发票的审计师,迟早会被AI取代,真正的价值在于解读数据背后的商业逻辑,系统告诉你“退货率异常升高”,普通的审计师可能只写个“建议加强管理”,而优秀的审计师会去分析:是因为产品质量下降了?还是销售部门为了冲业绩盲目发货?或者是竞争对手推出了更好的产品?
内控审计正在从“事后诸葛亮”向“事前预警器”转变,通过嵌入系统的自动控制(System Control),很多错误在发生的瞬间就会被系统拦截,根本不需要人工去复核,这才是内控审计的最高境界。
内控审计的最高境界:让合规成为一种肌肉记忆
写了这么多,最后我想总结一下。
很多企业做内控,是为了应付上市要求,应付监管检查,搞出一大堆没人看的SOP(标准作业程序)文件锁在柜子里,这种形式主义的内控,比没有内控更可怕,因为它给了老板一种虚假的安全感。
我认为,真正好的内控审计,是“润物细无声”的。
它不应该是一堆冷冰冰的条文,而应该融入企业的血液里。
打个比方,就像我们开车系安全带。
刚开始推行交规时,大家都很烦,觉得系安全带束缚手脚,不舒服,警察(内控审计)不抓,我就不系,但是久而久之,随着事故的减少和安全意识的提升,现在很多人上车第一件事就是系安全带,哪怕没人检查,不系还会觉得浑身难受,没有安全感。
这就是我所说的“肌肉记忆”。
当一家企业的员工,在做一个决策时,下意识地就会考虑:“这样做合规吗?”“风险可控吗?”“有没有留痕?”而不是先考虑“能不能省事”或者“能不能捞好处”,这家企业的内控审计就真正成功了。
在这个充满不确定性的VUCA时代(易变、不确定、复杂、模糊),外部的市场风险我们无法控制,政策风险我们无法预测,但我们至少可以掌控自己的内部阵地。
内控审计,就是帮企业守住这块阵地的最后一道防线,它不是为了限制谁,而是为了让企业在狂风暴雨中,依然能稳住舵,不翻船,不触礁。
下次当你的内控审计师又来“找茬”时,请不要急着翻白眼,给他们倒杯水,听听他们的建议,因为,他们可能是这艘船上,最希望你平安抵达彼岸的人之一。
还没有评论,来说两句吧...