企业内部控制配套指引，从纸上谈兵到企业护城河的实战进阶

作为一名在注册会计师行业摸爬滚打多年的从业者，我看过太多企业的兴衰荣辱，经常有朋友或者客户问我：“你们审计师嘴里常说的那个‘企业内部控制配套指引’，到底是个什么东西？是不是就是用来应付监管的那本厚厚的‘天书’？”

每当我听到这种问题，我都会苦笑一下，如果把《企业内部控制基本规范》比作国家的宪法，确立了最高原则和框架，那么企业内部控制配套指引就是具体的民法、刑法和行政法，它告诉我们，在宪法的精神下，具体怎么做人、怎么做事。

我想抛开那些晦涩的法条，用最接地气的方式，和大家聊聊这套指引到底是怎么回事，为什么它不仅仅是合规的工具，更是企业生存的“免疫系统”。

配套指引：不仅仅是“18+1+1”

我们得搞清楚这个“配套指引”到底包含了什么，在财政部等五部委联合发布的文件中,它主要包括三个部分：

《企业内部控制应用指引》：这是主体，足足有18项，它涵盖了企业组织架构、发展战略、人力资源、社会责任、企业文化、资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告、全面预算、合同管理、内部信息传递、信息系统等方方面面，基本上，只要你的公司在运转,就离不开这18个领域。
《企业内部控制评价指引》：这是体检表，它教企业怎么自己给自己做体检,看看内控是不是有效运行了。
《企业内部控制审计指引》：这是外部医生的诊断书,它告诉我们注册会计师怎么独立地对企业的内控进行审计。

很多人觉得这套指引太宏观，但我看来，这18项应用指引，简直就是一部“企业避坑指南”。

那个因为“采购”掉进坑里的公司

为了让大家更直观地理解,我想讲一个我亲身经历的真实案例。

几年前，我参与一家中型制造企业A公司的年度审计，A公司生意做得很大，流水几个亿，但利润总是薄如刀片，老板很困惑：“我明明每一笔单子都盯着，为什么年底就是没钱？”

我们在审计过程中，重点对照了《企业内部控制应用指引第7号——采购业务》，这一指引明确要求：企业要建立采购申请管理制度，明确请购、审批、购买、验收、付款等环节的职责和审批权限,确保不相容岗位相互分离。

听起来很枯燥对吧？但在A公司,我们发现了一个惊人的漏洞。

A公司的采购经理老王，是个“能人”，为了提高效率，老板特批老王可以“一人到底”，从联系供应商、谈价格、下订单，到最后货物入库验收,老王全包了。

这完全违背了指引中“不相容岗位相互分离”的原则，结果是什么呢？老王和供应商B公司串通一气，B公司原本成本50元的零件，报价100元卖给A公司，老王为了掩盖这个事实，在入库验收环节，大笔一挥，签字放行，财务那边看到老王签了字的验收单,就乖乖付款。

一年下来，老王吃回扣吃了上百万，这直接导致A公司产品成本虚高,市场竞争力下降。

如果A公司当初认真落实了配套指引，设置一个独立的验收员，或者要求采购价格必须经过三方比价,老王的把戏根本玩不转。

这就是配套指引的价值，它不是在限制你的自由,而是在保护你的资产安全。

资金活动：企业的血液不能乱流

在18项应用指引中，《企业内部控制应用指引第6号——资金活动》是我个人认为最核心的一项，资金是企业的血液，血液一旦流错方向，或者被人抽干,企业立马休克。

这里面有个非常经典的“不相容职务分离”原则：付款的财务人员不能拥有划款的权限,拥有审批权限的老总不能接触网银U盾。

但我见过太多中小企业，为了图省事，老板的U盾就扔在出纳的抽屉里，或者老板一个人掌握着所有U盾,自己审批自己划款。

有个做外贸的朋友老李，就吃过这个亏，当时公司急需一笔钱付货款，老李在国外出差，把U盾交给了，结果那几天正好赶上股市大好，挪用了公司500万资金去炒股，本来想着赚一把就出来，结果股市大跌，被套牢了，等到老李回来，货款没付上，信用证违约，客户直接取消了订单,还要索赔违约金。

如果老李的公司严格执行了资金活动指引，实行“双人双锁”管理，或者定期进行银行余额调节表的稽核,这种悲剧根本不会发生。

软控制：文化与战略才是内控的灵魂

聊完了硬邦邦的资金和采购，我想谈谈很多企业容易忽视的“软控制”，在配套指引的前几项，专门讲了组织架构、发展战略、社会责任和企业文化。

很多老板觉得：“内控就是管钱的，文化算什么内控？”

《企业内部控制应用指引第5号——企业文化》中提到：企业应当培育积极向上的价值观，这听起来像喊口号，但在实务中,企业文化决定了内控能不能落地。

我审计过一家上市公司，他们的SOP（标准作业程序）做得极其精美，摆满了一整个书架，他们的企业文化是“结果导向至上”，只要业绩好,过程可以忽略。

在这种文化下，销售团队为了冲业绩，甚至敢伪造合同、虚构收入，虽然指引里写了“销售业务”要合规，但在“业绩为王”的文化面前,那本SOP就是废纸。

我的观点是：没有文化的内控是僵死的，没有内控的文化是危险的。 配套指引把“企业文化”放在前面，其实是在提醒管理者：内控不仅是写在纸上的制度,更是刻在员工心里的敬畏。

评价指引：别让体检变成“走过场”

有了应用指引做规矩，还需要《企业内部控制评价指引》来检查规矩有没有被遵守。

这就好比我们每个人都知道要早睡早起、健康饮食（这是应用指引），但我们需要定期体检（评价指引）来看看身体到底怎么样。

在这一块，我见过最典型的形式主义就是“为了评价而评价”。

某央企子公司，每年年底都要搞内控评价，他们是怎么做的呢？把去年的评价报告拿出来，把日期改一改，把几个无关痛痒的缺陷改一改，然后交差,这完全违背了评价指引的初衷。

评价指引要求企业要关注内控缺陷，区分一般缺陷、重要缺陷和重大缺陷。

如果你真的把评价当回事，你可能会发现：你的公司虽然账面有钱，但库存周转率已经连续三年下降（这是资产管理内控的预警）；或者你的核心技术人员离职率高达20%（这是人力资源内控的预警）。

我个人非常看重内控评价中的“缺陷认定”环节。 一个敢于暴露自己问题的企业，才是有希望的企业，如果一个企业的内控评价报告全是“无重大缺陷”，要么它是神一样的存在，要么——大概率是它在撒谎。

审计指引：外部视角的“冷思考”

作为注册会计师，我们依据的是《企业内部控制审计指引》。

这里我想发表一个稍微尖锐一点的观点：很多企业把内控审计当成了“找茬”。

每次我们去审计，企业财务总监就像防贼一样防着我们，他们希望我们只看账，别去问业务流程，别去翻仓库,别去访谈销售员。

但审计指引明确要求，我们要采取自上而下的方法，了解企业整体内控环境,还要进行穿行测试。

为了验证“销售收款”的循环，我会挑一个订单，从头跟到尾，我要看销售合同是不是审批了，发货单是不是有签字，发票是不是开了,银行回单是不是对上了。

有一次，我在做穿行测试时，发现一个销售合同的审批日期晚于发货日期，这在逻辑上是不可能的——没审批怎么就发货了？财务总监一开始支支吾吾，后来不得不承认，那是为了赶双十一，老板特批“先斩后奏”。

虽然金额不大，但这在内控审计师眼里，就是一个“控制缺陷”，因为它意味着“授权审批”这个控制点在关键时刻失效了，如果不指出这一点,下次老板特批的可能就是一笔几千万的坏账。

个人观点：内控是成本还是投资？

写到这里，我想回到最初的问题：企业内部控制配套指引,到底对我们意味着什么？

很多企业家，特别是中小企业的老板，视内控为洪水猛兽，他们觉得：“搞内控就是要加人手、加流程、加审批，这全是成本！我本来利润就薄，哪养得起那么多人？”

这是一种极其短视的看法。

在我看来，内控不是成本，而是保险，更是投资。

它是保险： 你买车险希望不出事，但出了事保险公司会赔，内控就是企业的商业保险，你建立了完善的内控体系，可能每年要多花几十万的人力成本,但它能帮你规避掉几百万甚至上千万的资产舞弊风险。
它是投资： 一个流程清晰、权责分明的公司，效率其实是最高的，因为每个人都知道自己该干什么，出了问题能立刻找到责任人，不用推诿扯皮,这难道不是最高效的管理吗？

《企业内部控制配套指引》并不是要给企业戴上镣铐，而是给企业提供了一套经过无数企业用血泪教训总结出来的“管理地图”。