熊妈妈开了一家叫酥园的面包店,小熊因为专业关系成了酥园的财务顾问,同时小熊也是熊妈妈的老师,负责给熊妈妈讲一些基本的财务知识。从一家小小的面包店到一家即将上市的公司,熊妈妈也伴随着面包店不断成长,小熊的财务课程从会计轻松入门、财务报表看得懂、融资那些事儿讲到了风险内控与流程再造。
这本书讲的是内部风险控制与流程再造,让企业管理者了解内部控制与财务报表的关系,了解COSO魔方中的三大要素,做好风险评估,完善内部流程。同时介绍企业管理者需要了解的法案──《萨班斯法案》,以及《萨班斯法案》中重要的404条款、302条款和906条款,后完成萨班斯合规项目。
《牛角包一样的会计:风险控制与流程再造》已经新鲜出炉了,这是《牛角包一样的会计》系列的第四本。在这本书中,作者马津老师继续化身“小熊”成为故事里的主人公,此时的小熊已经不是熊妈妈面包店里的财务顾问,而是酥园CFO(首席财务官)。酥园也不是那间小小的面包店了,酥园已经不断壮大,发展成小有规模的公司,熊妈妈也是一位企业家了,这不,酥园正在准备上市,小熊的课程马上就要开始了。
《牛角包一样的会计》伴随着小熊、熊妈妈、酥园一起成长,从会计轻松入门,点破读者朋友们开店投资的种种疑惑,对于成本核算、利润核算都以一种很轻松的方式告诉大家财务知识没有那么枯燥,没有财务基础的人依然能看懂《牛角包一样的会计》系列丛书。这本《牛角包一样的会计:风险控制与流程再造》从名字上听起来就那么“高大上”,确实风险控制与流程再造在财务方面也是非常专业的知识,但是“牛角包”的忠实粉丝们都知道这本书一定不会让大家失望的。马津老师依然以他独有的诙谐幽默的写作风格把又香又酥又软的牛角面包与又晕又闷又难的风险控制与流程再造相结合,告诉大家如何规避企业内部风险,如何优化企业的管理流程,相信这本书依然不会让大家失望。
马津
博学英国特许公认会计师,加拿大注册会计师,管理学及英美文学学士。
翰华勤业管理咨询联席创始人和博学合伙人,拥有十多年财务管理咨询行业经验。专长为内部审计服务、风险管理服务及萨班斯法案遵循支持性服务。
曾供职于德勤会计师事务所,后为摩托罗拉北亚中心及毕马威会计师事务所服务多年,是批从事企业内部控制及风险管理服务的专业人员。为超过150家跨国公司及大型国企和民企,提供风险管理、内部控制的提升及内部审计服务。
及时章 体检报告的秘密
佳物自言
To be or Not to be
名不正,言不顺
内控与财务报表的关系
第二章 COSO魔方的威力
风险的三板斧
控制环境──管理层凌驾是个梗
一手软,一手硬,两手都要横
风险评估──君子不立于危墙之下
控制──以中为道
信息与沟通──一名出色审计师的必杀技
监督──古而有之
总结一下,COSO扮演个什么角色
第三章 名满天下,谤亦随之──《萨班斯法案》
万事皆有因果—安然及世通
萨班斯法案的出台
天下谁人不识君──404条款
不分伯仲──302条款和906条款
第四章 九转艰难下百城──如何完成一次完整的萨班斯合规项目
谋定而后动-Scoping
财务报表的认定与相亲
像了解爱人一样去了解流程
曲终人不散,江上数峰青
内控与财务报表的关系
小熊来找妈妈的时候妈妈正坐在办公室里看这个月的报表,边看嘴里还边叨叨些什么。小熊轻轻咳嗽了一声,妈妈的目光才透过老花镜抬向小熊,说道:“熊总来啦,快坐快坐,我正好有事跟你商量。”
小熊顺势在沙发上坐下,调整了一个舒服的姿势说:“董事长有何吩咐?”
熊妈妈端起桌子上的茶杯,打开杯盖,抿了一口茶。茶还很烫,熊妈妈的眉头皱了一下,又慢慢舒展开,看来茶泡得刚好。
“我想跟你商量商量下一步的工作。你看现在上市工作按部就班地进行,你挂帅,我放心。上市的事我不是很懂,你看从运营方面我还能做点什么工作?”
“董事长圣明!在这个问题上,我的态度是这样的:及时,上市是瓜熟蒂落、水到渠成的事,生意做好了,上市是很自然的事情;第二,上市不能影响正常运营,它对运营应该有个正向的促进作用。所以,接着您刚才的话,咱们运营该怎么进行就怎么进行,我这边是从上市的角度提需求,力争不严重影响咱们的运营。如果需要您配合,我也不客气,比如现在我觉得咱们得开始着手内控工作了。”
“内控啊,咱们有,咱们有制度,ISO 9000和ISO 14000,这方面你妈我还是很重视的。”
小熊轻轻笑了笑,举起双手看了看指甲。
“我怎么感觉你的轻蔑之情溢于言表啊,我是又说傻话了吗?”
小熊回头看了看门,确认关上了,这才开口:“妈,您说的不能叫错,不过有一点似是而非。ISO是另外一套标准体系,它并不为企业的财务报表服务。制度的确是内控的体现之一,但它也不能代表内控。我刚才谈的内控是一套公司治理体系,通过这套体系做功,企业家可以对自己的财务信息更加有信心,此外还能降低企业的运营风险,防范管理层舞弊,使企业运营更加有效率。内控是个很大的话题,我几年前在外讲课的时候,想把内控讲清楚怎么也得个两天的课程。您现在太忙,哪有这个时间啊!您还当自己是当年那个开面包店的小老板啊?”
“嗨,别的事没时间,学习的时间必须有,你不是也好久没给我讲课了吗?再给咱讲讲内控,讲好了这个月多给你发50块钱奖金。”
“妈,您这个奖励条件要放在民国年间还算得上优厚呢!”
“少贫,现在你都是董事会的成员了,不要这么市侩,总是谈钱啊钱的,层次一下子就下去了三十几档。”
“好,不过现在咱俩都忙,我拿出一两天完整的时间也不现实,咱们每天讲一点儿,争取一个礼拜讲清楚。在我,向董事长布道解惑是本分,您对内控有个清晰的认识,对企业推动内控工作有积极的作用;在您,这也算是一个还不错的学习机会。之前我做咨询的时候,见过很多民营企业的老板,生意做得很好,但是学习精神不够,缺乏持续发展的原动力,只能说在某个时间段生意做得还不错。一旦大环境不好,关键管理人员离职,或者资源平台发生变化,生意就一泻千里、溃不成军。
“今天我也别白来,咱们先讲5块钱儿的。您先了解一下什么是内控,以及内控和财务报表是个什么关系。”
“哎呀,熊老师雷厉风行啊,我这还没做好思想准备呢。”熊妈妈开始翻抽屉,找出一个笔记本。
“嗨,您不用做什么思想准备,反正您啥也不知道。”
“你之前在外讲课也这么赤裸裸地嘲笑你的学生吗?”
“讲内控之前,先介绍个机构,这个机构会在后面的课程里反复出现,全名特别长,考虑到您的英文水平,您记住叫COSO (The Committee of Sponsoring Organizations of the Treadway Commission) 就行。这个委员会是1985年由美国注册会计师协会、美国会计协会、财务经理人协会、内部审计师协会、管理会计师协会联合创建的反虚假财务报告委员会下面的一个子委员会。反虚假财务报告委员会就是从各个方面来约束企业,避免企业出现财务信息虚假的问题。COSO虽不是官方组织,但由于参与方都是赫赫有名的专业机构,所以具有很高的性。
“1992年,COSO通过几年的调研,了及时个内控框架,我们一般称它为老框架。在这个框架里,COSO及时次通过官方定义了什么叫作内部控制。
“Internal control is a process, effected by an entity’s board of directors, management and other personnel, designed to provide reasonable assurance regarding the achievement of objectives in the following categories:
“1. Effectiveness and efficiency of operations.
“2. Reliability of financial reporting.
“3. Compliance with applicable laws and regulations.”
熊妈妈说:“完了,我还没醒过味儿来呢你都念完了……你这么讲课可有点难为老太太了。”
“妈您别担心,我先把定义念出来,之所以不说中文的,是因为我觉得即使把中文翻译写出来也不怎么好懂。我来跟您解释一下,内部控制首先是个过程,它不是静止的状态,而是在实时变化的。之前我们做内控项目,很多企业老板都觉得我们做完了也就做完了,报告写得再精彩,我们撤场后便束之高阁,这个项目的价值便直接归零。因此,内部控制讲的不是一件事,而是很多件事在一起,要达成很多目标的一个过程。
“既然要完成这么一个过程,那么就需要相关人员的参与,这里面主要包括三方面的人员,董事会、管理层、员工。这是内控工作应该由谁来完成的定义。”
“员工和管理层我能理解。咱们酥园平时召开董事会的时候也不多,你知道,我最讨厌开会了。这个董事会怎么推动内控工作啊?”
“您这个问题问得挺好,但是一会儿我再回答这个问题。您先记着,内部控制其实是一把手工程,上有好焉,下才必有效焉。大企业的董事会构成可能比较复杂,但在咱们这样的中型规模的民营企业里,您在董事会里的重要性我就不用强调了吧!开会的时候您提个建议,听到过反对意见吗?”
“有啊,上次我提议我作为董事长就不拿工资了,马上就有人反对。”
“嘿,这哪是在反对,明明是在拍马屁。咱们接着说,现在咱们知道了三个阶层的人员要一起完成一个过程,那么他们的目标是什么呢?根据框架里的定义,内控的目标主要有三个:财务、运营、合规。咱们分别说说。首先说财务。既然COSO的主要宗旨之一是反虚假财务报告,那么内控之于财务的目标就是经过内控这个过程,使财务信息更加真实、、,让你的投资人、股东对你公司的业绩有充分的信心。讲到此处,我想问问,您觉得内控和财务报表是什么关系?”
“哎呀,又来了又来了,没有问问题的环节你讲不圆满吗?”
“一般我讲累了的时候就会抛出一个问题,让大家七嘴八舌地回答,我趁机歇会儿。”
“那你的如意算盘打错了,你面前只有一嘴一舌,而且我准备回答我不知道。”
小熊哈哈一笑,说道:“没事没事,我早猜到了。这么多年过去了,别看您生意越做越大,爱耍赖的学习作风倒是一点儿也没变。正好,我前几天刚做完体检,有一张肝肾脂全的验血报告,我以这张验血报告为例给您讲一下吧。”
“你什么时候去体检的?你现在这个岁数,可得多注意身体。你看你爸就满不在乎,我上次催他快点去,他还跟我推三阻四的。你的报告呢?快给我看看。”
“托您的福,结果还不错。您看,满篇一个上下箭头都没有。咱们扯远啦,继续刚才的话题。在7年前,我及时次给您讲会计的时候,我讲的是这张验血单的每一项都是什么意思,以及整张验血单的结构。举个例子,甘油三酯来自食物中脂肪的分解,是一个衡量体脂肪的指标;而葡萄糖则是一个衡量血糖水平的指标。后来咱们讲了财务报表的分析及财务舞弊的防范,还拿这张表来说,如果甘油三酯的指标高于1.7mol/L, 则代表血脂高了;如果空腹血糖高于5.6mol/L,则代表糖耐量水平降低了,那么还需要继续监测饭后血糖。这张表的任何一个比率或数值都可以告诉我们身体的总体状况如何。
“再后来我们讲企业融资、并购、上市,好比你在入职前做了这样一个体检,现在你要拿着这张验血报告去面试了,这张表的质量好坏可能影响你求职是否成功。这次我们讲的内控,看上去可能和财务报表没什么直接关系,但其实意义更为重大。好比我拿给您看的这张验血报告,看上去结果不错,但是您知道我为这张薄薄的纸付出了多少努力吗?每天不管多忙都要快走5公里,一周尽量安排2~3次游泳,戒了烟,尽量不出去应酬,每天不熬夜,每周24小时素食,晚上不吃主食—经常在夜里饿得想把鼠标吃了。我做了这么多的基础工作,最终都会体现在这张表上,这就是内部控制和财务报表的关系。”
熊妈妈把水杯递过来:“这个例子举得好,你这么一说,我还真回忆起来好多当年的事。你记得不,那个时候咱俩还在那儿算一个牛角包的固定成本和变动成本呢!”
小熊道了声谢,接过杯子:“对,财务数字是前台,财务数字漂亮与否要看后台运营的各个方面的整合运筹。内控,就是润滑、加速、提升运营效率的一个系统工程。回到最初的话题,内控的及时个目标是保障财务信息的真实、完整和。
“咱们接着说第二个目标,有助于提升运营效率。传统的企业管理是以运营部门为牵引的,比如采购部、销售部、市场部、仓库、财务部等,但是咱们搭建内部控制体系的目标是以流程为导向,把部门之间的墙头拆散。”
“这个学生就不太明白啦,难道做内控的企业都不要采购部、销售部啦?”
“当然不是,部门该怎么设还怎么设,包括部门的日常管理,该怎么管还怎么管。流程建立了,控制设计了,部门与部门之间在之前的断点就被连接起来了。举个例子,之前我做内控项目,只要观察财务部和销售部同事们的日常关系,就能知道他家的现金流情况。”
“我这个时候是不是应该配合地问一句,敢问先生是如何得知的呢?”
“不敢不敢,说穿了其实也没什么。我关注的核心事项是应收账款的催收,在很多公司这个事项究竟该由哪个部门来管,其实有点含糊。一般而言,应该由销售部负责,谁的客户谁明白,但是销售部整天冲锋陷阵,一心想着往前跑,很少有人主动回过头来理会应收账款的事情,这个时候财务部和销售部之间配合与衔接的重要性就体现出来了。应收账款的账龄分析应该是财务部和销售部共同完成的工作。两个部门关系好,沟通得多,财务部会先把应收账款的余额统计出来,主动拉着销售部对数,提请销售部抓紧催收,事后再盯着点,应收账款的催收就会变得有效率和主动。您看,两个人手拉手做账龄分析,一起核对数字的性,这就是把两个部门连接在一起的流程和关键控制点,内控就是通过这样的方式来促进运营效率的。”
“别说,你这个推理过程有点基本演绎法的意思啊!现在细想,是这么个道理。咱们的销售部主要面对公司客户,之前我就感觉应收账款这事儿有点像踢皮球,每次找销售部的刘总问应收账款的事,她总跟我说财务部不给她数据,我说没给你数据你自己不会去问问啊,怎么管理层连这点主动意识都没有?她跟我说财务经理跟她说还没统计出来。后来我才听说,之前俩人有矛盾,平时不说话,有事都是交代手下的人去对接。”
“嗨,这俩人都不是省油的灯,您别着急。咱们先立规矩,按规矩办的就留下,不积极配合的咱们也有章程。
“咱们再说说第三个目标:合规。这个目标好理解多了。目前不管在美国上市还是在国内A股上市,内控都是必须做的功课,有相应的法规约束。在美国上市需要遵循《萨班斯-奥克斯利法案》第302条款、404条款和906条款;在国内A股上市需要遵循《企业内部控制基本规范》和配套的指引,这两个法规咱们留在后面慢慢讲。还有,这个名字太长,我以后再提的话,就直接说《萨班斯法案》了,是一个意思。
“好啦,熊老师再总结一下学习内容就准备下课啦。咱们讲了内部控制和财务报表的关系,介绍了内控框架的者COSO,详细地说了内部控制的定义。根据咱们刚才说的这些,中文版的内部控制定义已经很清楚了吧?
“内部控制是董事会、管理层、运营层面人员共同努力,为企业提高运营效率,实现财务信息及法律合规而提供合理保障的一个过程。我之所以说合理保障而不是保障,您知道是为什么吧?”
“老外给自己留后路?”
“哈哈,您真了解人性。咱们后面请审计师来审计的时候,您看人家给您的合同上也会写明‘合理保障’四个字。因为程序毕竟是程序,还需要人的具体执行。后面咱们还会讲到涉及人性的风险都很难得到控制,因此‘合理保障’显得这个定义更加严谨。”
“儿子啊,你刚开始给我讲这个内控的时候我还没怎么当回事,讲完这一课还真的激发了我学习的欲望,你今天没啥事接着再讲一课得了。”
“别,您让我也歇会儿。此外,我现在的时间可不比原来的时间自由啦!今天早上我看了看月报,我觉得数算得不对,此刻我准备把孙姐请过来批评教育,能力不行可以原谅,态度不行就只能走人。”
“对,你顺便问问她跟小刘有什么私人恩怨,我想听听。”