最近有异动的想法，写了点东西主要是给自己单位小朋友看的，也给自己做内控评价尚未成熟开展的公司参考吧，

一、项目质量控制是关键

人员能力培养，组织能力建设，设备资源投入都是需要关注的。现场无论几个人，都要指定一个组长或评审，国外咨询机构叫「FIC」，field in charge，他要负责现场的管理和组员的表现评价。他也要检查其他组员工作结果、提出更深度或广度的测试意见要求组员落实，并在审核过程中持续监督和解释组员遇到的问题。

现场组长的上级要有能力和意愿对交回的作业进一步检查，并提出问题。对潜在的问题要根据情况要求组员解释甚至「重做」，直到没有问题，并对最终结果负全部责任。多说一下组长的上级的能力，客观需求还是很高的，在事务所通常这种人应该是合伙人，级别高是次要的，重点是经验老练，知轻重，签字且承担责任。

目前我们在现场发现的一些问题，子公司不太想承认，说不清楚的地方是有的。这时候需要类似「合伙人」角色的领导给出准确的指示，要么深入检查说透为止，要么对放弃进一步检查对总体质量的影响充分评估并承担责任。这里多提一句董事长的概念，无论是总部的公司分管领导还是企业法人，这类终级的管理者是我们要保持沟通的关键人物。

通过高质量的输出，对企业领导者提供有价值的改进建议，树立总部内控人良好的职业形象，形成良性的业务循环是我们应该有的追求。

二、考虑定位，索要资料

可以强势也可以委婉，但是要的东西必须要。越是没提供的东西或晚提供的东西越是有问题的概率大。要的东西最好做个清单，详细记录提供了哪些没提供了哪些。已经提供过的东西避免重复要。

现阶段因为制度基础还不完善，建议确认「他们知道正确的做法」就可以了（第一阶段）。

通过财务账本、各项交易台账相互佐证、反查，是能够有效排查制度是否被一贯遵守的。这是第二阶段。如果抱著找问题的心态，将需要索要全部样本，进行数据统计的抽样，发现有问题的样本还要根据其数量判断是否在可接受的范围，比如100次操作，1次失误是不能认定为缺陷的，因为这极可能是非主观失误，即「错报」而非「舞弊」。

真正的「审计」是要「核数」的，即确认每个数字来源都是真实、可靠且钩稽关系正确。我称之为第三阶段。但这不是内部控制的范畴，相反，内部控制是审计的组成部分。

效仿华为做法，做内控的人，做好两件事就可以了，一个是赋能，一个是方法论建设。像流程稽查、审计、监督等工作在大企业都是有专门的人做的。

三、价值观：三个所有

1.在风险导向的基础上，所有的管理都应该制度化

先检查制度，因为制度是「显性」的管理。基于对业务的掌握程度，要清楚至少应该有哪些制度。制度是第一位的。

像我曾去财务请款（备用金），他们部长说去外省差旅才能请，所以导致我们部长的签字白签了（后来我去外省他又以信用卡可以支付再次拒绝）。经检查他们制度，完全没有「去外省才能请款」或「预算小于2万的不允许请款」的规定，但在实际中他布关设卡，这样的管理我称为「隐性的」，类似潜规则。我们要努力消除潜规则，使管理「显性」化，以减少上述业务中可能出现的摩擦。

2.所有的制度都应该有明确的输出

全面预算这块，即便总部也是一年一变，不是说金额，而是说方案。归根到底是制度就没写好。子公司这块，我看到几乎都有所谓的「全面预算管理制度」，有的放在运营职能在做，有的放在财务职能来做。但通常情况是，财务那块的费用比较实，而且容易监控，运营这块非常的散，又是考核又是奖励的比较谋乱。总之最近看的DS与HZ，运营职能做了不少东西，但名字、内容与制度里讲的通常区别是比较大的。这都是没有持续评价和固化的结果。

表单是控制体现的直接形式，它是过程运行的证据。没有表单的制度是无效的制度，没有制度的表单也是非法的表单。如果一个制度没有明确输出（表单），我们可以判定它是控制无效或是控制缺失的。说起来好像非常容易懂的道理，但即便在一些大型企业（其实真跟大小无关，只与最高领导者有关）可能人治还是主流，他们不觉得制度管人效果好，只觉得信赖的人管事结果总是好的。

3.所有的表单都应该有制度归属

没有制度的表单是没妈的孩子，是没办法上户口「非法居民」，所有的干部均不应该签这些没有出处的表单。

但子公司存在制度缺失，执行却还有的情况。如我在DS看到「预算费用审批表」这样的东西，无论是名字还是表样都是没有在其《全面预算管理制度》中出现的，但其坚称这是与此制度相关的。这是对制度漠视的表现。如果上述表单控制是必要的，那应该在制度中明确描述，否则表单写不写变成了看领导心情的管理。

这种情况严格意义上讲，仍应判定为设计缺陷。

四、具体业务领域的常见问题

1.制度检查时要过一下所有输出物（有的一个输出物都没有），以及输出物的样式（很有可能一个表样都没有）。检查实际这些输出物是不是都有，样式是否与制度一致，子公司随意改表样是普遍现象。

2.对业务文件要阅读仔细，比如招标文件，了解规则，比如10号现场开标。就看各单位的投标文件有没有10号号以后的。类似扣时间点、和表单的东西原理相通。

3.时间不充足直接抽表单，高频业务直接抽30份。这是假定制度是没问题的或者没时间看制度了，方略自在心中，制度再怎么规定业务固有风险是一定的。

4.财务核算，一定有跨期的。就是今年12月的票，做到明年1月的账里，也可以反过来。所以抽凭证的话，抽12月 1月，没有没有问题的。财务日常管理需要学学那些基本规范。比如每年必须对客户、供方往来账发函。根据制度有的是每月或季对账，有时候要发函，能做到的都是非常规范的企业了。

5.合同管理，除了第1点扣时间。还可以看签字盖章全不全。再有可以扣条款，约定3月付多少钱就去账里看，约定5月到货，就查到货记录。所有条款同理。合同管理有必要多说一下，理论上所有的交易无论是采购还是销售都是通过合同来支持的。子公司通常没有专门的岗位来管理合同，都是由一个人兼职。合同风险点指引上有此不赘述，通常合同考核是缺失的。

6. 采购。指引要求要进行比质议价，价格、配比、采购计划这块是高风险点，看下是如何控制的。付款这块一般没啥风险。供方准入、评价、索赔是不容易做好的点。

7.销售。与总部的关联交易风险极小，重点看外部交易。由于都是先货后款、账期结付，所以应收款是大量存在的，关键看应收是如何管理的、逾期有没有及时催收。

8.存货。现在都比较关注两金管理了，对360天以上的存货不用追究成因了，可以关注近期形成的那部分，分析下金额大小、确认控制机制是否有效。

五、缺陷认定及出报告注意

1.特别小的缺陷，可以进行同类合并，尽量减少缺陷数量。重大缺陷原则上不认定，重要缺陷是目前最重点缺陷标准，一定要充分取证使其有说服力。

2.出报告口吻上应尽可能平和，少些辞令性语言，先总体肯定，再托出问题点。

推荐阅读：

相关文章