作为一名在注会行业摸爬滚打多年的从业者,我每天都要和各种各样的报表、底稿以及企业制度打交道,提到“内部控制与风险管理”,很多人的第一反应可能是皱眉头,觉得这又是一堆枯燥的条文、繁琐的流程,或者是审计师为了收费而故意找茬的工具。
但我想告诉你的是,这种看法不仅过时,而且极其危险,在如今这个充满了不确定性(VUCA)的商业环境中,内部控制与风险管理早已不是企业锦上添花的装饰品,而是决定企业能否活过今晚的“保命符”。
我想抛开教科书上那些晦涩难懂的定义,用更接地气、更人性化的方式,聊聊我对这两个概念的真实感悟。
别把内控当成“防君子不防小人”的锁
我们先来聊聊内部控制。
很多企业管理者,尤其是中小企业的老板,常跟我说:“老师,我们公司人少,大家都知根知底,不需要那些复杂的内控,大家凭良心干活就行。”
这听起来很美好,就像我们小时候不用锁,因为邻里之间都很信任,商业世界远比邻里关系复杂得多。
举个生活中的例子:
想象一下,你家里装修,你找了一个你非常信任的包工头老王,他是你老乡,你给了他一笔钱去买材料,如果没有内部控制,这就是典型的“凭良心”,老王去买水泥,他说多少钱就是多少钱,买多少就是多少。
这时候,风险在哪里? 也许老王不会卷款跑掉(那是刑事犯罪,太极端),但他可能会在买材料的过程中,为了省事,买了标号不够的水泥;或者他跟材料商串通,吃回扣,把原本100块的水泥报成120块。
如果你家里装了个“内控”会是什么样? 哪怕你很忙,你会要求:每一笔大额支出,必须有发票;购买水泥的数量必须有人去现场清点签字;甚至你会自己去建材市场问个大概的行情。
这就是内部控制,它不是为了证明你不信任老王,而是为了保护你的房子不塌,保护你的钱包不瘪。
在注会审计中,我们经常看到企业因为缺乏这种基本的“不信任机制”而遭受损失,采购部经理既负责下单又负责付款,结果呢?他给自己在澳门的赌局“充值”了巨额资金,等公司发现时,窟窿已经大到无法填补。
我的个人观点是: 内部控制的本质,不是“管人”,而是“制衡”,它是通过流程的设计,让坏人没有机会作恶,让好人即使一时糊涂也不会犯下大错,一个没有内控的企业,就像一辆没有刹车和方向盘的车,哪怕司机技术再好,在高速公路上也是随时会翻车的。
风险管理:不是要消灭所有风险,而是学会“开车”
说完内控,我们再来看看风险管理。
很多人对风险管理有误解,认为风险管理就是把风险降到零,这怎么可能呢?如果不想承担任何风险,你最好的选择是把钱存进银行(虽然现在银行也有理财风险),或者干脆把钱埋在院子里。
生活实例是最好的老师:
这就好比我们学开车。 如果你从不开车上路,你确实避免了车祸的风险,但你失去了出行的自由和效率。 当你决定开车时,你就面临了一系列风险:爆胎、追尾、违章、甚至被碰瓷。
一个老司机和新手的区别在哪里? 新手往往只盯着眼前的路,看到前面有车急刹车,他也急刹车,手忙脚乱。 而老司机呢?他会预判,他会看后视镜,保持车距,知道哪个路口容易窜出电动车,知道下雨天路滑要提前减速。
这就是风险管理。
- 识别风险: 知道下雨天路滑。
- 评估风险: 知道如果不减速,侧翻的概率很高。
- 应对风险: 选择减速、换雪地胎,或者干脆今天不开车坐地铁。
在企业里,也是一样的道理。 比如一家科技公司,决定研发一款全新的AI产品。
- 风险是: 研发失败,资金链断裂。
- 不做风险管理的做法是: 倾家荡产all in,赌一把。
- 做风险管理的做法是: 设定止损点,分阶段投入资金,同时保留一部分现金流做传统业务,确保即使AI项目失败,公司也不会倒闭。
我个人的观点非常鲜明: 风险管理的核心不在于“避”,而在于“控”,企业存在的意义就是为了在不确定性中寻找收益,优秀的管理者,不是那些胆小怕事的人,而是那些像老司机一样,敢于踩油门,但脚下始终备着刹车的人。
那些因为“形式主义”而付出的惨痛代价
作为审计师,我最痛心的不是看到企业没有内控,而是看到企业的内控流于形式,我们管这叫“形式合规”。
这在很多大公司里非常普遍,为了应付上市合规要求,为了应付审计,他们堆砌了厚厚的一叠制度文件。
- 采购流程图?画得很漂亮。
- 授权审批表?签得满满当当。
- 季度内控自评报告?全是“无重大缺陷”。
但实际操作呢? 我亲眼见过一家上市公司,制度规定“所有大额合同必须由法务部审核”,法务部只有两个人,根本看不过来,业务部门为了赶进度,经常是先签了合同,再拿去法务部“补签字”,法务部一看,合同都签了,不签不行啊,那就大笔一挥,走个过场。
这种内控,比没有内控更可怕。 为什么?因为它给了管理层一种虚假的安全感。“你看,我们有法务审核,我们有内控流程。”但实质上,风险的大门是敞开的。
举个具体的例子: 某知名零售企业,为了控制库存损耗,规定门店每天必须盘点,店长为了省事,根本不数,直接把系统里的数字抄一遍填在盘点表上。 结果呢?仓库里的货物被员工偷走了一半,账面上却永远是平的,直到年底公司突击大检查,才发现仓库空了一大半。
我的观点是: 内部控制必须“落地”,如果一套制度不能被员工理解,不能被执行,甚至阻碍了正常的业务效率,那这套制度就是垃圾,好的内控,应该是像呼吸一样自然,融入到业务的每一个动作中去,而不是业务做完之后,为了填表而填表。
人性是最大的漏洞:技术能救场吗?
现在很多企业都在搞数字化转型,搞ERP系统,搞大数据风控,这当然是好事,机器比人更诚实,机器不会累,机器不会受贿。
技术真的能解决一切吗?
我们来看一个案例: 某银行安装了最先进的反欺诈系统,只要有大额转账,系统就会自动预警。 结果,一个潜伏在银行内部的高管,利用自己的权限,分成了几百笔小额转账,每笔都在系统预警线以下,慢慢把资金挪用了出去。
这就是“道高一尺,魔高一丈”。 只要系统是人设计的,人就能找到系统的漏洞,更何况,很多风险是系统无法量化的。
企业创始人的个人风格风险。 如果老板是个赌徒,性格激进,喜欢盲目扩张,ERP系统能管得住老板乱投资吗?财务总监敢因为老板的决策“风险过高”而拒绝拨款吗?在现实中,很多时候财务总监只能无奈地配合,甚至在压力下帮忙造假。
这就是COSO框架里强调的“控制环境”,如果高层基调就是“业绩至上,不择手段”,那么再完美的IT系统也只是一堆废铁。
我认为: 无论技术如何进步,内部控制与风险管理的核心,依然是“人”,我们需要培养的是一种“风险文化”,就像我们过马路,不管有没有红绿灯,有没有摄像头,都要先看车,这种刻在骨子里的敬畏感,才是最强大的防火墙。
给企业管理者的几句掏心窝子的话
写了这么多,作为一名注会行业的观察者,我想给正在阅读这篇文章的企业管理者、财务同行们几点建议:
-
不要把内控当成业务的绊脚石。 经常有业务部门抱怨:“审个合同要盖五个章,太慢了!” 但请反过来想,如果这五个章能帮你避免一次巨额诈骗,或者避免签下一个无法履行的霸王条款,这个时间成本就是值得的,如果内控真的严重拖慢了业务,那说明你的内控设计有问题,需要优化流程,而不是抛弃内控。
-
关注“实质重于形式”。 别再盯着那些漂亮的PPT和手册了,去仓库转转,去车间看看,找一线员工聊聊天,问问他们:“如果不按流程做,会怎么样?”如果他们说“没人管”,那你的内控就一定出了大问题。
-
建立“说真话”的安全环境。 最大的风险往往来自信息不对称,当下面的人发现问题时,如果因为害怕被惩罚而选择隐瞒,等到上面知道时,往往就是雷爆的时候,鼓励员工报告风险,哪怕是小错误,也是风险管理的重要一环。
-
警惕“幸存者偏差”。 很多企业觉得:“我们这行都这么干,也没见出事。” 这就像酒驾,很多人酒驾没出事,但这不代表酒驾是安全的,一旦出事,就是毁灭性的,不要用运气去博弈,要用概率去思考。
回到我们最初的话题,内部控制与风险管理,听起来冷冰冰的,充满了专业术语,但剥去这些外壳,它的内核其实充满了对人性弱点的洞察和对企业生存的关怀。
在这个黑天鹅满天飞的时代,我们无法预测明天会发生什么,但我们可以做的是,把家里的门窗修结实一点(内控),把车子的刹车保养好一点(风险管理),给自己系好安全带。
作为注会,我们的工作不仅仅是出具一份无保留意见的审计报告,更是希望通过我们的专业视角,帮助企业构建这种韧性,毕竟,只有活下来的企业,才有资格谈论利润和增长。
希望这篇文章,能让你对这两个词有了一点新的认识,哪怕只是从今天开始,在签下一份合同前多看一眼条款,在审批一笔费用时多问一句缘由,那也就是风险管理的开始。
还没有评论,来说两句吧...