企业内部控制设计很重要。每个企业都需要内部控制。内部控制就像企业的安全网。它保护企业的财产。它保证信息的真实完整。它帮助企业完成任务。没有内部控制企业会出问题。企业可能丢钱。企业可能记错账。企业可能不遵守法律。设计好的内部控制能预防这些问题。

内部控制有五个部分。控制环境是第一部分。控制环境是企业的氛围。管理层要重视控制。员工要明白控制的重要。企业要有好的道德标准。管理层要以身作则。企业要设置合理的结构。权责要分清楚。每个人要知道自己该做什么。控制环境是基础。环境不好控制很难有效。

风险评估是第二部分。企业面临各种风险。市场会变化。政策会调整。技术会更新。内部也会产生风险。新员工不熟悉工作。新系统可能出现故障。企业必须找出这些风险。企业要分析风险的可能性和影响。企业要根据风险大小采取措施。大的风险要重点防范。小的风险也要注意。风险评估要持续进行。情况变了风险也会变。

控制活动是第三部分。控制活动是具体的措施。授权审批是一种控制活动。花钱买东西需要领导批准。报销费用需要审核。职责分离是另一种控制活动。管钱的人不能记账。收货的人不能采购。实物保护也很重要。仓库要锁好。重要文件要保管妥当。定期核对也是控制活动。银行账户要每月对账。库存要定期盘点。控制活动要落到实处。不能只写在纸上。

信息与沟通是第四部分。企业需要准确及时的信息。财务数据要真实。业务数据要可靠。信息要在企业内部流动。上级要知道下级的情况。下级要明白上级的指令。部门之间要交流。销售部门要告诉生产部门客户需求。采购部门要通知仓库到货信息。沟通要畅通。问题要及时报告。员工发现错误要敢于说出来。信息与沟通连接各个部分。没有信息控制无法执行。

监督是第五部分。监督是检查控制是否有效。企业要持续监督日常活动。管理层要查看报告。员工要反馈问题。企业还要单独评价。内部审计部门要定期检查。他们测试控制是否起作用。监督发现缺陷要及时改正。小问题不解决会变成大问题。监督保证控制长期有效。

设计内部控制要考虑企业特点。大企业和小企业不一样。工厂和商店不一样。设计要符合实际。不能照搬别人的制度。要了解企业的业务。要清楚企业的目标。要分析企业的风险。要结合企业的能力。钱少的企业不能做太贵的控制。人少的企业不能设太复杂的流程。设计要简单实用。好控制不一定复杂。关键是要有效。

授权审批要明确。什么事需要谁批准要写清楚。小额费用部门经理批。大额开支总经理批。特别大的支出董事会决定。审批权限要合理。不能所有事都找老板。也不能随便让人决定。审批人要负责任。他们要认真审查。不符合规定的不批准。审批记录要保存。以后可以查证。

职责分离很重要。一个人不能包办一个流程。管现金的人不管账。下单采购的人不收货。保管物资的人不记录。这样做能防止错误和舞弊。两个人比一个人可靠。小企业人手可能不够。老板可以参与关键环节。老板监督现金和记账。职责分离能保护员工。减少犯错的机会也减少怀疑。

文件和记录要完整。业务发生要有单据。买货要有发票。领料要有申请单。单据要连续编号。缺了号码能发现。记录要及时准确。今天的事今天记。不要等月底一起记。凭证和账目要对得上。文件和记录是证据。没有记录事情说不清。审计也要看这些材料。

保护资产是直接目的。现金要放在保险柜。存货要放在安全仓库。重要设备要定期维护。电子数据要备份。钥匙和密码要管好。下班要锁门。陌生人不能随便进出。资产要登记造册。知道有什么在哪里谁负责。损失能很快发现。

员工素质很关键。制度靠人执行。要选可靠的人。要培训他们。让他们知道怎么做。让他们明白为什么重要。要考核员工的表现。做得好要奖励。违反制度要处罚。公平对待每个员工。员工满意会更负责。turnover太高对控制不利。新员工容易出错。

技术影响控制设计。电脑系统现在很普遍。软件能代替人工控制。系统能设置权限。不同的人看到不同的内容。系统能自动核对。输入错误的数据会报警。但技术也有风险。系统可能崩溃。数据可能被篡改。网络可能被攻击。要有技术控制。安装防火墙。定期备份数据。密码定期更换。用技术的人也要控制。

成本效益原则必须考虑。控制要花钱花时间。设计控制要想值不值得。控制带来的好处要大于成本。不能为了绝对安全不计代价。一百万的东西用一百万的保护不现实。关键风险要重点投入。次要风险简单处理。找到平衡点。既安全又可行。

企业变化控制也要变。业务扩大了。产品增加了。新开了分公司。收购了其他企业。控制制度要跟着调整。以前三个人做的事现在三十个人做。控制方法肯定不同。要定期检查制度是否还合适。过时的控制要修改。不够的地方要加强。变化是常态。控制要跟上变化。

总之内部控制设计是细致工作。要考虑方方面面。要立足企业自身情况。要依靠全体员工。要持续维护改进。好控制让企业健康发展。让老板睡得安稳。让员工工作有序。让客户和伙伴信任。这是企业长久的基础。每个企业都应当认真对待这件事。