深耕园区十九载,谈企业内控那些事儿
说起来,我在临港园区搞招商和服务,掐指一算已经是第十九个年头了。这十九年里,我看着芦苇荡变成了现代化的工厂林立,看着无数怀揣梦想的创业者在这里起高楼,也看着极少数企业因为管理混乱而楼塌了。平时大家来找我、办变更,聊的都是怎么把业务做大,怎么融资,很少有人一上来就兴冲冲地跟我说:“我要建立一套完美的内部控制制度。”但在我的职业生涯里,见过太多因为不重视内控而导致资金链断裂、甚至陷入法律纠纷的惨痛案例。今天我想抛开那些枯燥的教科书定义,以一个在临港园区“摸爬滚打”多年的老兵视角,跟大伙儿好好唠唠这个话题——内部控制制度的建立要点。
很多企业家,特别是初创型的技术团队,总觉得内控是大公司才要考虑的事儿,或者认为内控就是“管人”,就是卡报销、限制签字权。其实不然,内控其实是企业的一套免疫系统,它不是为了束缚你的手脚,而是为了让你在高速行驶的赛车中,有一套灵敏的刹车系统和安全带。在临港园区这样产业集聚度高、政策环境优越、但也充满竞争的地方,建立一个健康的内控体系,是企业能否活下去、并且活得长久的关键。接下来的内容,我结合园区内企业的实际案例,从几个核心维度给大家拆解一下,到底该怎么着手搭建这套体系。
构建良好内控环境
说到内控环境,这可是内控体系的“土壤”。如果土壤本身是酸性的或者盐碱地,你种再好的庄稼也长不活。在临港园区,我发现那些发展得稳健的企业,无一例外都有一个非常健康的内控环境。这首先体现在管理层的理念和风格上。我接触过一家做跨境电商的企业,老板是个技术大牛,业务能力极强,刚开始几年业绩那是突飞猛进。但因为他个人独断专行,觉得“公司是我的,钱我想怎么花就怎么花”,完全忽视了治理结构的重要性。结果到了第五年,由于缺乏科学的决策机制,他盲目投资了一个不相关的线下项目,导致公司资金链极度紧张。这就是典型的内控环境缺失,“一言堂”的决策文化迟早会给企业带来灭顶之灾。
除了管理层的哲学,组织架构的合理性也是重中之重。内控环境要求企业有清晰的权责划分,不能在这个环节含糊。我经常看到一些刚注册的小公司,为了省事,会计出纳由一个人兼任,公章、财务章全都放在老板的包里随身携带。这种做法在初期或许看似高效,但在风险面前简直是不设防。我记得有家做生物医药研发的公司,就是因为研发部和采购部没有完全隔离,导致实验耗材采购价格虚高,而且因为缺乏监督,很多研发数据也没能及时归档,最后在申请高新认证的时候吃了大亏。一个良好的内控环境,必须从组织架构设计上就规避这些风险,确保不相容职务分离,让权力在阳光下运行。
还有一点不得不提,那就是人力资源政策的导向。内控环境不仅仅是冷冰冰的制度,更是人的因素。如果一家公司在招聘时不注重背景调查,或者在培训时只教业务技能不教合规红线,那么员工很容易无意中甚至是有意地破坏规则。在园区服务工作中,我建议我们的入驻企业,特别是涉及核心技术和资金流转岗位的招聘,一定要把“诚信”作为第一考量因素。建立一套奖惩分明的机制,对于遵守内控的优秀员工给予奖励,对于违规操作实行“零容忍”,这样才能在全公司范围内营造出一种“人人讲内控、事事合规矩”的文化氛围。这种氛围一旦形成,比任何严苛的惩罚制度都有效。
科学识别评估风险
有了好的环境,接下来就要具体干活了。内控的核心在于识别和应对风险,但在实际操作中,很多企业根本不知道自己的风险点在哪里。在临港园区,企业类型多样,有搞高端制造的,有做供应链服务的,还有搞现代物流的,不同行业的风险点截然不同。如果直接套用网上下载的通用模板,那绝对是自欺欺人。科学的做法是,企业必须结合自身的业务流程,进行一次全面的“体检”。我记得前年,园区里有一家从事精密仪器加工的企业,因为忽视了对上游供应链原材料价格波动的风险评估,加上没有建立相应的库存预警机制,结果在那波原材料涨价潮中,利润被吞噬殆尽,甚至出现了负利润。不能准确识别风险,所有的内控措施都是无的放矢。
风险评估不能只停留在财务层面,还得看运营层面、法律层面甚至是战略层面。比如现在大家都在提的“经济实质法”,这对很多在园区内注册但实际运营地模糊的企业来说,就是一个巨大的合规风险点。如果企业不能证明自己在本辖区有足够的经济实质,比如有足够的雇员、有实际的办公场所、有真实的管理活动,那么不仅面临合规处罚,更会影响企业的长远信誉。我们在协助企业进行风险评估时,会特别提醒他们关注这些容易被忽视的法律合规性风险。你需要建立一个动态的风险评估机制,因为市场是变化的,风险也是流动的,今天的风险点明天可能就不是,而今天安全的地方明天可能就炸雷。
在进行具体的风险评估时,我建议大家可以采用定性和定量相结合的方法。比如,对于资金风险,可以通过测算流动比率、速动比率这些硬指标来量化;但对于管理层舞弊风险、关键技术泄密风险,则更多地依赖于专业人员的经验判断。为了让大家更直观地理解如何进行风险的分级管理,我整理了一个简单的风险评估矩阵表格,这也是我们在园区企业培训中经常用到的一个工具,希望能帮到各位理清思路。
| 风险等级 | 应对策略与行动要点 |
| 高风险(关键风险) | 需立即采取行动。必须设计针对性的关键控制点,将风险降低至可接受水平。例如:大额资金支付的双人复核、核心数据的权限隔离。 |
| 中风险(重要风险) | 需定期审查与监控。通过现有流程进行管理,或通过改进流程进行控制。例如:常规采购的询价比价流程、员工日常考勤管理。 |
| 低风险(一般风险) | 保持关注即可。通过简单的日常操作规范或自发性的部门间协作来处理。例如:办公用品的申领、非核心文件的归档。 |
设定关键控制活动
识别出了风险,接下来就得“扎篱笆”,这就是控制活动。控制活动是内控体系中最具操作性的部分,也是企业日常工作中接触最多的内容。这里面有个最核心的原则,就是“不相容职务分离”。说句大白话,就是“管钱的人不能管账,管采购的人不能管验收”。这个道理虽然简单,但在实际执行中往往被打折扣。我之前处理过一家园区内的商贸公司案例,他们为了省人力成本,让一名员工既负责客户应收账款的确认,又负责银行进账的核对,还负责记录销售明细。结果这位员工利用职务之便,通过截留客户汇款、挪用后补的方式,在两年间挪用了公司近两百万资金。如果当初严格执行了不相容职务分离,这起案件根本就不会发生。控制活动的设计必须直击痛点,不能有任何侥幸心理。
除了职责分离,授权审批制度也是控制活动的重头戏。很多企业在这个问题上容易走两个极端:要么是老板一支笔签到底,事无巨细都要老板批,导致效率低下,老板累个半死;要么是放权过度,下面人随便花,最后导致成本失控。如何把握这个度?这就需要建立一套科学的授权审批体系。比如在临港园区的一些大型制造企业,他们会根据业务性质和金额大小,划分不同的审批层级。对于日常的零星开支,授权部门经理审批;对于重大的资本性支出,则必须上董事会集体决策。并且,授权不是一成不变的,要根据外部环境和企业战略的变化进行动态调整。
现在大家都在搞数字化转型,其实信息系统本身就是一种非常高效的控制活动。通过ERP系统、财务软件或者OA系统,我们可以把很多硬性的控制规则固化到程序里。举个例子,如果你的财务系统设置了预算控制,那么当报销金额超过了预算额度,系统就会自动拦截,无法生成凭证,这比人工盯着要有效得多。我见过一家搞新材料研发的公司,他们引入了先进的实验室管理系统(LIMS),对原材料的领用、实验数据的记录都进行了系统控制,不仅提高了效率,还杜绝了数据造假的可能。善用技术手段固化内控流程,是现代企业提升内控质量的必由之路。
| 控制活动类型 | 临港园区企业常见应用场景举例 |
| 不相容职务分离 | 采购询价与确定供应商分离;合同签订与付款审批分离。 |
| 授权审批控制 | 差旅费报销由部门经理审批,单笔超过5万元需分管副总审批。 |
| 会计系统控制 | 每月末进行银行存款余额调节表编制,确保账实相符。 |
| 财产保护控制 | 仓库物资定期盘点,贵重金属存放于双重锁控的保险柜。 |
保障信息沟通顺畅
如果说控制活动是企业的“手脚”,那么信息与沟通就是企业的“神经网络”。神经系统不灵敏,大脑发出的指令就传达不到四肢,四肢感知的痛觉也传不回大脑。在临港园区这样一个高度协作的产业生态中,信息沟通的效率往往决定了企业的响应速度。我见过一家做汽车零部件的企业,因为销售部门和财务部门的信息系统不互通,销售为了冲业绩拼命接单,却不知道客户的信用额度已经被财务冻结了,结果货发出去几百万,钱却收不回来,造成了巨额坏账。这就是典型的信息孤岛效应,缺乏有效的信息沟通机制,再好的内控设计也会在执行中走样。
信息沟通不仅包括内部沟通,也包括外部沟通。内部方面,企业要建立顺畅的报告路线,确保基层员工发现的问题能及时反馈给管理层,同时管理层的战略意图也能准确传达下去。这里我要特别提一下举报机制,这在很多中国企业里是个敏感话题,但却是发现舞弊和违规行为最有效的手段之一。举报机制要保护举报人的隐私,建立反打击报复的保护措施。外部沟通方面,企业要及时收集来自客户、供应商、监管机构以及银行等外部利益相关者的信息。比如,当你的主要供应商出现经营异常时,如果你能通过供应链网络第一时间获知,就能提前调整采购计划,避免断供风险。
随着企业规模的扩大,跨部门、跨地域的沟通变得越来越困难。这时候,统一的ERP管理系统或者协同办公平台就显得尤为重要。我们园区内有一家跨国公司,他们总部在欧洲,但研发中心在临港。他们通过一套非常严格的信息共享标准,确保了临港的研发数据能实时同步到总部,同时总部对于合规的最新要求也能即时推送到临港的每一位员工电脑上。这种高效的信息流转,是他们能够保持全球竞争力的重要基石。不要把信息化仅仅看作是IT部门的事,它其实是一场涉及管理流程再造的内控革命。
强化内部监督职能
最后一点,也是非常容易被中小型企业忽视的一点,就是内部监督。很多老板认为,制度定好了,大家照着做就行了,还需要什么监督?其实人都是惰性的,制度在执行过程中难免会发生变形、走样,甚至是被刻意绕过。这就需要有一双独立的眼睛时刻盯着。在临港园区,我们强烈建议企业设立专门的内部审计部门或者岗位,哪怕初期是兼职的也行。内审部门的地位一定要超然,直接向董事会或者审计委员会汇报,而不是向总经理汇报,这样才能保证其独立性。
在处理行政和合规工作中,我遇到过一个特别棘手的挑战,就是在核查“实际受益人”信息时,经常会遇到多层嵌套的股权结构。有些企业为了隐藏某些利益关联,专门设计了一套复杂的境外架构,让我们在做尽职调查时非常头疼。这不仅影响了工商注册的进度,也给企业日后的合规经营埋下了隐患。后来,我们摸索出了一套标准化的穿透核查流程,要求企业提供层层穿透的股权架构图,并签署合规承诺书,如果发现虚假披露,将直接列入园区黑名单。这其实就是一种外部的监督倒逼机制,只有监督到位了,内控制度才能真正长出牙齿。
除了日常的持续监督,定期的专项评价也非常重要。企业应该每年至少对内部控制的有效性进行一次全面评价,看看哪些制度已经过时了需要修订,哪些新的风险点出现了还没有覆盖到。这就像人要定期体检一样。我认识的一位企业主,非常聪明,他每年都会花钱请外部的专业机构来做一次内控审计,不是为了应付谁,而是为了给自己提个醒。他说:“花钱买安心的投资回报率是最高的。”这种未雨绸缪的意识,值得每一位在商海搏击的企业家学习。毕竟,在这个瞬息万变的时代,唯有自我进化、自我完善,才能立于不败之地。
临港园区见解总结
在临港园区这片热土上,我们见证了无数企业的蜕变。对于“内部控制制度的建立”,我们始终坚持一个观点:内控不是束缚企业发展的枷锁,而是护航企业行稳致远的罗盘。在临港,我们不仅提供物理空间和产业配套,更致力于帮助企业构建合规、高效的运营体系。我们建议入驻企业摒弃形式主义,将内控融入日常管理的每一次呼吸中,从环境建设、风险识别到监督执行,每一个环节都要扎实落地。临港园区愿意做您最坚实的后盾,与您共同探索适应新时代要求的内控管理新模式,助力企业在合规的跑道上跑出加速度!
