企业内控与风险防范，别让人情与惯性成为企业的掘墓人

作为一名在注会行业摸爬滚打多年的从业者,我见过太多企业的兴衰荣辱，这种兴衰甚至与市场环境、商业模式关系不大，反而是因为一些最基础、最不起眼的内部管理问题，导致了千里之堤溃于蚁穴。

我想和大家聊聊这个听起来有点枯燥,但实际上关乎企业生死存亡的话题——企业内控与风险防范。

说实话,很多老板一听到“内控”这两个字，第一反应就是皱眉头，他们觉得内控就是财务部那帮人没事找事，是增加流程、降低效率的“繁文缛节”，甚至有位民营企业的老总曾半开玩笑地对我说：“我请你们来是帮我做账、省税的，不是来教我怎么管人的，我的员工我信得过。”

但我必须很严肃地告诉大家：这种“信得过”，往往是企业最大的风险敞口。

“好人”假设是内控最大的敌人

在生活和工作中,我们倾向于相信身边的人是善良的、诚实的，但在企业内控的逻辑里，我们必须做一个“坏人”，我们要假设人性是有弱点的，假设在巨大的利益诱惑面前，制度是必须存在的。

举个我亲身经历的真实例子。

几年前,我审计过一家做得不错的贸易公司A公司，老板老王是白手起家，非常看重情义，他的财务经理李姐是跟着他打江山的开国元老，掌管公司印鉴、网银U盾，还负责做账，老王觉得李姐是自家人，绝对可靠，所以从来没有想过要搞什么“职责分离”。

结果呢？李姐的儿子染上了赌博恶习，欠了一屁股高利贷，为了帮儿子还债，李姐利用职务之便，在两年的时间里，通过虚构供应商、伪造转账单据，陆陆续续从公司挪用了将近300万资金。

直到有一天,银行打电话给老王核实一笔大额支出，东窗事发。

老王当时整个人都懵了,他甚至还在派出所门口求情，希望能保住李姐，但作为审计师，我看到的是惨痛的教训：如果老王哪怕多一点点内控意识，比如规定“出纳与会计分离”、“网银复核由老板亲自担任”，这场悲剧完全可以避免。

我的第一个观点是：企业内控的起点，不是怀疑某个具体的人，而是承认人性的弱点。 不要去考验人性，因为人性是经不起考验的，只有制度才是冰火两重天里的保护伞。

别把“签字”当成“控制”

很多企业以为内控就是“签字”，买个笔要老板签字，出个差要老板签字，报销个打车费要老板签字，老板们每天忙得像签字机器，以为这就是风控。

大错特错。

这就好比一个人家里装了十道门,但他把十道门的钥匙都挂在门把手上，这种形式主义的签字，除了增加管理成本，麻痹大家的神经，没有任何实际意义。

我曾经服务过一家大型制造企业B公司,他们的采购流程非常“严谨”：采购申请单要有部门经理签字、采购经理签字、财务总监签字、最后副总签字，看起来完美无缺吧？

我们在审计中发现,他们的一批原材料价格明显高于市场均价，深入调查后发现，采购经理和供应商是老乡，虽然流程上每个字都签了，但那些签字的领导根本没时间去核实每一笔采购的真实价格，他们只看流程是否合规，不看实质是否合理。

这就是典型的“为了控制而控制”。

真正的内控,不是看你签了多少字，而是看你的控制点是否有效，对于大额采购，除了签字，是否建立了询价机制？是否有定期的供应商评估？是否实现了采购、验收、付款三者的权力制衡？

我认为,好的内控是“润物细无声”的，它不应该让业务感到窒息，而应该像红绿灯一样，虽然让你停了一下，但保证了所有人的安全，如果一项制度让业务部门怨声载道，甚至为了绕过制度而造假，那这项制度本身就是失败的。

风险防范：不仅是“防盗”，更是“防瞎”

很多人把风险防范狭隘地理解为“防贪污、防舞弊”，在注会的视角里，战略风险、运营风险比财务风险更可怕。

我想讲一个关于“盲目扩张”的故事。

C公司是一家做连锁餐饮的企业,在前几年资本热潮的时候，老板老张被冲昏了头脑，他看到竞争对手疯狂开店，自己也坐不住了，在没有进行充分市场调研、没有测算单店盈亏平衡点、没有建立标准化供应链的情况下，制定了“一年开500家店”的战略目标。

从财务报表上看,那几年C公司的收入确实在暴涨，但现金流却越来越紧张，为什么？因为新店都在烧钱，老店的利润被新店吞噬了。

这时候,如果有一个有效的“战略风险预警机制”，财务部门应该及时向管理层预警：我们的单店回本周期已经从6个月延长到了18个月，我们的资产负债率已经逼近红线。

遗憾的是,C公司的财务部只是个记账的工具，老板听不进任何“泼冷水”的声音，资金链断裂，C公司在一夜之间倒闭，几百名员工失业。

这就是典型的“企业瞎了”，当企业失去对风险的感知能力时，就像一辆在高速公路上蒙眼狂奔的跑车，速度越快，死得越惨。

风险防范的核心是“信息真实”与“决策理性”，内控部门要敢于做那个说真话的“恶人”，要在老板头脑发热的时候，递上一杯冰水，拿出一份客观的数据分析报告，这才是企业最高级的风险防范。

数字化时代的“伪内控”陷阱

现在很多企业都在搞数字化转型,上了ERP、SAP等各种高大上的系统，老板们觉得，花了大价钱买了系统，内控就自动升级了。

这又是一个巨大的误区。

技术是工具,内控是逻辑，如果你用一把“金斧头”去砍树，斧头再贵，如果砍的方向不对，树还是会倒向房子砸死人。

我见过一家上市公司D公司,花了几千万上了一套最先进的ERP系统，但在实际运行中，为了图省事，他们的IT部门给业务主管开放了“超级权限”，所谓的超级权限，就是可以随意修改系统里的历史数据，可以反审核、反记账。

结果呢？销售经理为了完成季度业绩指标，在系统里私自修改了发货日期，把下个月的单子“挪”到了这个季度，等到下个月业绩不够了，又把未来的单子“挪”过来。

表面上,系统里的数据非常漂亮，每个月都超额完成任务，但年底一盘库，发现全是账实不符，几千万的系统，最后成了造假的高级工具。

我的观点很明确：数字化不能替代内控，反而对内控提出了更高的要求。 在系统上线前，必须梳理清楚业务流程；在系统上线后，必须严格管理权限（IT General Control），如果不懂内控逻辑，系统越先进，造假的手段就越隐蔽，风险就越大。

中小企业的内控：实用主义至上

写到这里,可能有读者会说：“你说的这些大道理我都懂，但我就是个中小企业，没那么多闲人去搞互相牵制，怎么办？”

这确实是个现实问题,我们不能拿世界500强的标准去要求一个只有几十人的创业公司，但我认为，中小企业更需要内控，只不过要讲究“抓大放小”。

对于中小企业,我建议抓住三个最核心的“命门”：

钱袋子（资金管控）： 不管公司多小，老板必须亲自管住“流出”的口子，不要把所有的网银U盾都交给出纳，哪怕你不懂财务，也要开通银行短信通知，每一笔大额支出都要你心里有数。
货架子（存货管控）： 对于贸易型和制造型企业，存货就是钱，要建立定期盘点制度，哪怕是一个季度盘一次，很多中小企业倒闭，不是因为没生意，而是因为库存积压、损耗严重，最后账面有利润，兜里没现金。
章把子（合同与印鉴）： 很多老板乱盖公章，最后莫名其妙背上巨额债务，公章必须专人保管，使用必须登记，这是企业的法律防线，一旦失守，后果往往是毁灭性的。