又到了一年一度的年底,对于咱们注会行业的从业者,或者企业的财务负责人来说,这两个词大概既熟悉又让人头秃——“内控评价”。
说实话,在很长一段时间里,内控评价在很多企业眼中,就是一场不得不演的“年度大戏”,为了应付监管,为了满足上市公司的合规要求,或者是为了给外部审计师一个交代,大家忙忙碌碌地填表、抽样、打钩,最后生成一份厚厚的、却大概率会被束之高阁的报告。
但我今天想和大家聊的,不是怎么把底稿做得更漂亮,也不是怎么在穿行测试里糊弄过关,作为一名在这个行业摸爬滚打多年的写作者,我想从更接地气、更人性的角度,和大家探讨一下:内控评价到底是为了什么?它为什么本该成为企业的生存哲学,而不是仅仅停留在纸面上的“花架子”?
告别“填空游戏”:当内控变成一种形式主义的悲哀
咱们先来说个真事儿。
前两年,我去一家中型制造企业做咨询,他们的财务总监老王,是个在这个行业干了二十年的老兵,一见面,老王就跟我倒苦水:“每年的内控评价,就是我最大的噩梦,上面要合规,下面要效率,我夹在中间像个风箱里的老鼠,最后没办法,我只能让两个实习生,把去年的底稿拿出来,改改日期,换换数据,交上去完事。”
老王的话虽然夸张,但却道出了无数企业的现状。
在很多人的认知里,内控评价就是找茬,销售部觉得你在阻碍他们签单,采购部觉得你在怀疑他们吃回扣,研发部觉得你根本不懂技术创新,为了不得罪人,也为了省事,内控评价就变成了“填空游戏”。
我个人非常痛恨这种做法。 这种为了评价而评价的行为,不仅浪费了企业宝贵的人力资源,更可怕的是,它给企业制造了一种虚假的安全感。
当你在底稿上写下“控制有效”这四个字的时候,你是否真的去仓库看过那一堆堆积如山的物料?你是否真的找过出纳聊聊她每天面对的报销压力?如果你没有,那么这四个字就是谎言。
我见过太多这样的案例:企业的内控评价报告里全是“绿灯”,各项制度完美无缺,结果呢?第二年,仓库保管员卷走了几百万的库存,因为那个所谓的“每月盘点制度”从来就没有真正执行过,盘点表上全是提前编好的数字。
这就是形式主义的代价。内控评价的初衷,不是为了证明企业“没病”,而是为了在“大病”爆发之前,把那些“小毛病”给揪出来。 如果我们把它当成一种应付差事,那无异于是在给企业埋雷。
控制环境:看不见的“空气”决定看得见的“生死”
提到内控评价,大家脑子里蹦出来的第一个词往往是“流程”,采购流程、销售流程、资金流程……没错,这些很重要,但在我看来,内控评价的灵魂,其实在于“控制环境”。
COSO框架里说得玄乎乎的,什么诚信原则、道德价值观,翻译成人话,这家公司的老板是个什么样的人?这家公司的氛围是什么样的?
举个生活中的例子。
这就好比家庭教育,有的家里,父母定了一百条家规,几点起床、几点睡觉、饭前要洗手,但是父母自己天天睡懒觉、不洗手就抓馒头吃,你觉得孩子会遵守这些家规吗?大概率是当面一套,背后一套。
企业也是一样。
我曾经审计过一家创业公司,老板是技术出身,豪爽、讲义气,但也极其随意,公司没有明确的差旅报销标准,全看老板心情,老板高兴了,员工拿张假发票也能给报销;老板心情不好,正常的招待费也被卡住半年。
在做内控评价时,他们的《差旅费管理办法》写得那叫一个完美,审批流程那叫一个严谨,当我访谈几个老员工时,他们给我的反馈却是:“别看制度,看老板脸色。”
这种情况下,你告诉我,他们的内控是有效的吗?显然不是。
在评价控制环境时,我坚持一个观点:不要只看墙上挂什么,要看大家心里想什么。 评价人员需要走出办公室,去食堂听听员工在聊什么,去茶水间感受一下公司的氛围,如果一家公司里,大家都在讨论怎么钻空子、怎么把责任推给别人,那么无论你的流程设计得多么天衣无缝,这套内控体系都已经崩塌了。
控制环境是土壤,流程是植物,如果土壤里全是毒素,你指望种出参天大树?那是在做梦。
风险识别:别用显微镜找大象,也别用望远镜看细菌
内控评价的核心工作之一是风险识别,但这恰恰是很多企业做得最不到位的地方。
很多企业的内控评价,就像是拿着显微镜找大象,或者拿着望远镜看细菌——完全错位了。
我见过一个极端的例子,某集团公司的内控部,为了显示自己的存在感,在下属子公司的内控评价中,把“办公用纸的正反面使用率”作为了一个关键控制点,他们花了大量的人力去抽查打印纸的使用情况,甚至计算浪费了多少张A4纸。
结果呢?就在他们为节约了几包打印纸而沾沾自喜的时候,子公司的销售部门为了冲业绩,私自给了一个资信明显存疑的客户几千万的赊销额度,最后客户跑路,几千万坏账直接把公司一年的利润吃光了。
这就是典型的抓了芝麻,丢了西瓜。
我认为,一个合格的内控评价,必须具备“大局观”。 我们需要根据企业的战略目标、业务模式来识别真正的风险。
对于一家贸易公司,资金安全和存货周转就是命门,你评价的重点必须死死盯着这两个地方;对于一家互联网公司,数据安全和知识产权保护就是核心,你天天去查人家的考勤勤不勤快,有什么意义?
在进行风险识别评价时,我们要问自己三个问题:
- 这件事如果搞砸了,会让企业伤筋动骨吗?(如果是,那就是重大风险)
- 这个风险发生的概率大吗?(如果大概率发生,那就是高频风险)
- 我们现有的控制手段,真的能防住它吗?(如果不能,那就是缺陷)
别再纠结于那个贴票贴得不平整的小问题了,把目光投向那些可能让企业“猝死”的深渊,这才是专业人士该有的判断力。
穿行测试:像侦探一样去“还原现场”
说到具体的评价手段,“穿行测试”绝对是咱们注会人的看家本领,但很多时候,这个测试变成了“走马观花”。
标准的穿行测试,通常是抽几份凭证,看看签字全不全,看看流程对不对,这没错,但这不够。
在我看来,真正的穿行测试,应该是一次“现场还原”。
我给大家讲个我亲身经历的故事。
有一次,我在评价一家企业的采购付款流程,按照制度,付款需要经过采购经理申请、财务审核、总经理审批的三重把关,我抽了几份凭证,签字齐全,印章清晰,完美。
在翻看附件的时候,我发现了一张被揉得皱皱巴巴的送货单,上面沾着油渍,这张单据和其他光鲜亮丽的Excel表格格格不入。
出于好奇(或者说职业病),我拿着这张单据去了仓库,我问仓管员:“这张单据怎么回事?”
仓管员叹了口气说:“哎呀,那天货来的时候是半夜,卸货口就我一个人,司机急着要走,我就先签收让他走了,第二天早上补录系统的时候,发现型号录错了,为了改系统单子,我求了采购部的小张半天,最后还是总经理特批才改过来的,那个签字,都是后来补的。”
你看,如果我只是坐在办公室里看凭证,我会得出“控制有效”的结论,但通过这张不起眼的油渍单据,通过和仓管员的一句闲聊,我发现了这个流程中巨大的漏洞:系统录入滞后、特批权限滥用、事后补单。
这就是穿行测试的魅力。它不应该只是对静态数据的核对,更应该是对动态业务的追踪。
做内控评价,得有点侦探的精神,不要只看结果,要看过程,那个签字是不是真的签了?那个合同是不是真的执行了?那个验收是不是真的去现场看了?多问几个“为什么”,多去现场跑几趟,你会发现很多底稿里永远写不出来的真相。
缺陷认定与报告:不是为了问责,而是为了“治病”
内控评价的最后一步,是出具报告,认定缺陷,这也是最让人纠结的环节。
一般缺陷、重要缺陷、重大缺陷,这三个词像三座大山压在评价人员头上,定轻了,监管机构不放过你,说你掩盖风险;定重了,管理层恨死你,说你阻碍发展,不懂业务。
我见过很多内控报告,写得那是“滴水不漏”,全是“建议优化”、“建议加强”,哪怕发现了天大的窟窿,措辞也是“部分环节有待进一步完善”。
这种“老好人”式的报告,我认为是毫无价值的。
内控评价报告,本质上是一份“体检报告”,如果医生发现病人得了肺癌,却只在报告上写“建议肺部注意保养”,那这是草菅人命。
我也不是提倡大家拿着报告到处去吓唬人。发表个人观点的关键在于:缺陷要定得准,建议要提得实。
如果发现了重大缺陷,比如资金被挪用、财务造假,那么我们必须在报告里一针见血地指出来,不管管理层多不高兴,因为这是我们的职业操守,也是对企业的股东负责。
在提出整改建议时,我们要换位思考,不要只会说“加强控制”、“严格执行”,这种话谁都会说。
我们要说:“针对采购价格虚高的问题,建议引入公开比价系统,并设定最高限价预警线,而不是单纯地要求‘采购员要自律’。” 我们要说:“针对库存积压的问题,建议将销售预测准确率纳入销售部KPI考核,并与奖金挂钩,而不是只让仓库‘多盘点’。”
好的内控评价报告,不仅要指出“病”在哪里,还要开出“药方”,甚至要告诉病人怎么“吃药”。
让内控回归常识
写了这么多,其实我想表达的核心思想很简单。
内控评价,不应该是一门高高在上的玄学,也不应该是一堆枯燥乏味的表格,它应该回归常识,回归人性。
它是为了防止好人犯错,也是为了遏制坏人作恶;它是为了让企业跑得更快,也是为了确保企业跑得不偏。
作为从业者,我们既是企业的“医生”,也是企业的“参谋”,当我们拿起笔,在底稿上写下每一个字的时候,我们记录的不仅仅是分数和结论,我们影响的是企业的生死存亡,是无数员工的饭碗。
不要把内控评价做成“只有审计师才看的天书”,要把它做成“管理者爱不释手的指南”。
在这个充满不确定性的商业世界里,一套真诚、有效、接地气的内控评价体系,或许就是企业最坚硬的铠甲,让我们少一点套路,多一点真诚;少一点形式,多一点实质,这,才是我们这个行业的价值所在。
还没有评论,来说两句吧...