各位同仁,咱们坐下来聊聊企业内控审计那点事儿。干这行这么多年,我见过太多企业在这条路上摔跟头,也亲手帮不少单位把漏洞补上。内控审计不是摆设,它是企业的免疫系统,出了问题就得动手术。
流于形式的内部控制设计
很多企业把内控体系做成了面子工程,制度文件堆起来半人高,真正落地的没几条。上次去某家制造企业审计,发现他们的采购流程写得天花乱坠,实际执行却是另一码事。采购订单没有连续编号,供应商资质审核流于形式,甚至连基本的货比三家都做不到。
这种问题根源在于设计阶段就脱离了业务实际。制定制度的人不懂业务,懂业务的人没参与设计,最后弄出来一套花架子。好的内控应该像量身定制的衣服,每个扣子都扣得恰到好处。我建议企业在设计阶段就让一线人员参与进来,他们最清楚业务的关键风险点在哪里。
执行过程中的常见漏洞
再完美的制度也要靠人来执行。我见过最可惜的情况是,制度设计得挺好,却在执行环节功亏一篑。比如某家公司的财务审批制度,规定超过一定金额需要双签,但实际上总经理一支笔签到底,下面的人也不敢说什么。
还有个普遍问题是权限管理混乱。权限设置要么过松要么过紧,有些人权限大得能搬走整座金山,有些人连买支笔都要走三天流程。权限分配要遵循不相容职务分离原则,这是内控的底线。现在好些企业上了ERP系统,以为电脑自动控制就万无一失,殊不知系统权限配置不当带来的风险更大。
审计方法的老毛病与新挑战
不少内审人员还停留在查账的老路上,翻凭证、对流水,忙活半天却抓不住重点。现代内控审计要关注的是风险,而不是单纯找错账。有一次我发现某销售团队为了冲业绩,把的订单提前做到,从账面上看毫无破绽,但业务逻辑明显有问题。
数字化转型给内控审计带来了新课题。以前看纸质单据,现在要面对海量电子数据;以前审计范围清晰,现在云服务、外包流程让组织边界变得模糊。不会用数据分析工具的内审人员,就像拿着大刀长矛上现代战场。建议审计团队引进懂IT的复合型人才,传统审计方法和数字化手段要结合起来用。
整改环节的常见误区
找出问题只是第一步,更重要的是整改落实。很多企业审计报告写得漂亮,整改措施列了一大堆,最后却不了了之。有一次回访某客户,发现审计发现的问题原封不动地摆在那里,问起来就说“忙忘了”。
有效的整改需要明确责任人和时间表,还要建立跟踪机制。整改不是审计部门一家的事,需要业务部门深度参与。有时候业务部门为了应付检查,会采取临时性补救措施,等审计组一走又恢复原样。这就需要建立长效机制,把整改措施固化到日常工作中。
说到底,内控审计是个良心活。它不仅能帮企业防范风险,更能创造价值。好的内控体系能让企业跑得更稳更远,在这条路上,我们要做的还有很多。
经验之谈
想了解更多实用技巧?欢迎交流分享