我在注册会计师行业摸爬滚打多年,见过大大小小企业的账本,也参与过无数次的审计底稿编制,如果让我用一个词来形容“内控管理”在很多老板和员工心中的形象,那大概是——又爱又恨,或者更多的是“恨”。
爱它,是因为知道它能防错、防弊;恨它,是因为觉得它繁琐、僵化,像是一个挥之不去的幽灵,时刻盯着你的每一个动作。
我想脱下审计师那身严肃的职业装,以一个同行的身份,和大家坐下来喝杯茶,好好聊聊“内控管理”,我们不谈教科书上那些枯燥的COSO框架定义,也不去背诵那些晦涩的准则条款,我们就聊聊,为什么你的公司明明有制度,却还是照样“翻车”?为什么内控管理有时候变成了“形式主义”的代名词?以及,我们该如何把它变成企业真正的护城河。
内控不是“紧箍咒”,而是企业的“免疫系统”
很多老板在找我做咨询时,第一句话往往是:“老师,帮我出一套制度,要那种最全的,把采购、销售、财务全管住。”
每当听到这话,我都感到一阵无奈,这就像是一个身体虚弱的人,不去锻炼身体、改善饮食,而是想买一套最厚的盔甲把自己裹起来,结果呢?盔甲太重,路都走不动;而且盔甲再厚,也防不了内部的“病变”。
我个人的观点是:内控管理的本质,不是“管人”,而是“护企”。
举个生活中的例子吧,大家家里都有电表箱,上面总闸下面分了很多小开关,这就是最基础的内控,如果你把所有的电线都绕过开关直接接在主线上,省钱是省了,装修也简单了,但一旦短路,整个家可能瞬间付之一炬,内控管理就是那个“开关箱”。
在专业领域,我们常说内控有三大目标:经营的效率效果、财务报告的可靠性、法律法规的遵循性,翻译成人话就是:别瞎忙活(效率)、别做假账(报告)、别进局子(合规)。
但这还不够,我认为内控更重要的功能是构建企业的“免疫系统”,就像人体一样,病毒(风险)无处不在,你不可能生活在一个真空里,强大的内控系统能在风险刚露头时就识别并消灭它,而不是等到病入膏肓了再请“医生”(外部审计或律师)来动大手术。
为什么大家都在吐槽内控?——那些被异化的“僵尸流程”
既然内控这么重要,为什么在现实操作中,它往往成了人人喊打的“过街老鼠”?
我想起几年前我去一家拟上市公司做IPO尽职调查的经历,那家公司规模不小,光制度手册就有厚厚的三大本,老板非常自豪地拍着那些书对我说:“老师,你看,我们的内控非常完善,完全符合你们的要求。”
我在现场蹲点的第一周就发现了问题。
有一次,业务部的老张急需采购一批原材料,因为市场波动大,晚一天采购成本就要上涨10%,老张急匆匆地填好单子,去找采购经理签字,采购经理说:“这金额超了我的权限,你得找副总。”老张跑到副总办公室,副总去开会了,要下午才回,下午找到副总签了字,财务总监又说:“这合同条款没按标准模板来,我得法务部确认一下。”
法务部的小王正在处理另一个官司,把老张的单子压了两天,等所有流程走完,原材料价格已经涨了15%,老张气得差点把电脑砸了。
这就是典型的“僵尸流程”。
对此,我有非常鲜明的个人观点:脱离了业务实质的内控,就是耍流氓。
很多企业做内控,是为了做给投资人、监管机构或者审计师看的,他们把“流程”看得比“结果”重,在这种思维下,内控变成了一堆毫无生气的表格和签字,员工把80%的精力花在“走流程”上,只有20%的精力去创造价值,这不仅没有提升效率,反而扼杀了企业的活力。
真正的内控,应该是“有温度”的,它应该像高速公路上的护栏,而不是路障,护栏的存在是为了让你在高速行驶时(业务发展)不至于冲出悬崖(重大风险),而不是为了让你寸步难行。
血泪教训:当“信任”代替了“制度”
说到内控失效的案例,我脑海里能瞬间浮现出好几个血淋淋的故事,其中有一个关于“采购舞弊”的例子,至今让我印象深刻。
那是一家家族式的商贸企业,老板创业初期非常信任自己的得力干将——采购总监老刘,老刘跟着老板打江山十年,为人豪爽,业务能力极强,老板觉得:“老刘是自己人,绝对没问题,搞那么复杂的内控干什么?那是防贼的,难道我当老刘是贼?”
这家公司出现了一个巨大的内控漏洞:**采购询价、供应商选择、合同签订、付款审批,这几个关键环节,老刘一个人全权说了算,财务部只负责付款,从来不审核价格是否合理。
前几年相安无事,直到有一年,公司利润莫名其妙地大幅下滑,老板觉得奇怪,明明销量在涨,怎么钱越来越少?后来,是老刘的一个竞争对手为了抢生意,匿名给老板寄了一封信,附上了老刘在海外别墅的照片,以及几张关键的对账单。
原来,老刘利用老板的信任,成立了三家空壳公司,作为公司的“独家供应商”,他把进价100元的货,通过空壳公司加价到200元卖给公司,短短五年,他掏空了公司近千万的利润。
这个案例告诉我们一个残酷的真相:人性是经不起考验的。
作为CPA,我们常说一句行话:“良好的内控不能保证不发生舞弊,但没有内控一定会发生舞弊。”
在这个案例中,如果有一个最基本的“职责分离”(Segregation of Duties)内控——比如采购部负责谈价,财务部负责核价,质检部负责验收——老刘就算有天大的本事,也无法独自完成这个闭环。
很多老板喜欢谈“兄弟情义”,谈“企业文化”,觉得搞内控是对员工的不信任,但我认为,真正的信任,是建立在制度约束基础上的信任。 就像我们过马路,我们信任红灯能拦住车,所以敢绿灯通行,这种信任,不是对某个司机的信任,而是对“交通规则”的信任,企业也是如此,用制度把权力关进笼子,才是对员工最大的保护——既保护了公司,也保护了员工不因诱惑而走上犯罪道路。
内控的最高境界:此时无招胜有招——信息化与人性化的融合
优秀的内控管理应该长什么样?
我见过一家互联网科技公司,他们的做法让我耳目一新,他们没有厚厚的制度手册,墙上也没有贴满各种“禁止XXX”的标语,他们的内控,全部“藏”在信息系统里。
比如报销,以前我们报销,要贴发票,填单子,找领导签字,流程繁琐,这家公司用的是智能报销系统,员工只要把发票拍个照上传,系统会自动识别发票真伪、自动比对金额是否超标、自动检查是否重复报销。
如果是符合规则的,系统自动秒批,钱直接到账;如果是异常的,系统会自动退回并提示原因。
在这个过程中,没有人情世故,没有“看面子签字”,也没有繁琐的跑腿,内控变成了系统底层的代码,变成了“空气”。
我的观点是:未来的内控管理,必须是“看不见”的。
随着ERP、RPA(机器人流程自动化)等技术的发展,内控应该越来越多地嵌入到业务流程中,而不是游离在业务之外。
- 刚性控制自动化: 比如预算控制,系统里没钱了就是付不出款,谁特批都没用(除非经过严格的线上预算调整流程),这就避免了“领导特批”打破内控的情况。
- 柔性控制人性化: 对于一些需要职业判断的环节,系统提供预警,而不是生硬的拦截,比如提示“该供应商价格异常偏高,请确认”,而不是直接禁止交易。
给老板和财务人的真心话
我想分别对两类人群说几句心里话。
致老板们: 别把内控当成成本,它是投资,很多老板为了省几十万的咨询费或系统费,结果损失了几千万甚至上亿,这就像为了省油钱而不给车做保养,最后发动机报废了得不偿失。 也别迷信“大而全”的制度,适合你的才是最好的,初创企业,抓关键风险点(资金、印章);成熟企业,抓流程优化和效率。内控是随着企业成长而不断迭代进化的,没有一劳永逸的“完美内控”。
致财务和内控同仁们: 我们常被业务部门戏称为“只会踩刹车的”,这其实很尴尬,我们不应该只是站在路边喊“停”的交警,我们应该坐在副驾驶上,帮司机看地图、看路况的领航员。 当业务部门提出需求时,不要张口就说“这不合规”、“制度不允许”,多问一句:“你们想达成什么目标?风险在哪里?我们有没有办法既能做成事,又能控制风险?” 内控管理的最高境界,是“赋能”。 当你能帮业务部门规避风险,让他们睡得更安稳时,他们才会真正尊重你的专业。
内控管理,听起来是一个冷冰冰的词汇,充满了数字、表格和规则,但在我看来,它是一门关于“平衡”的艺术——在风险与效率之间寻找平衡,在信任与制度之间寻找平衡,在人性贪婪与职业操守之间寻找平衡。
它不是用来束缚手脚的镣铐,而是企业在波涛汹涌的商海中航行时的压舱石和导航仪。
希望每一位企业管理者都能重新审视手中的内控手册,别让它变成抽屉里的废纸,也别让它变成员工口中的“僵尸流程”,把它激活,让它流动起来,让它成为企业基业长青的真正护城河。
毕竟,在这个充满不确定性的时代,唯一能确定的,就是一套扎实、有效的内控体系,它能让你在风暴来临时,依然稳坐泰山。
还没有评论,来说两句吧...