作者都是各自领域经过审查的专家,并撰写他们有经验的主题. 我们所有的内容都经过同行评审,并由同一领域的Toptal专家验证.
布莱恩是一位经验丰富的财务领导者,他从企业世界过渡到领导许多初创公司的财务运营,包括他自己的公司. 利用他作为kpmg合格审计师的专业知识, 他还领导了各种规模企业的欺诈和风险分析.
在一系列事件之后 备受瞩目的创业欺诈在美国,是时候破除商业控制阻碍增长的神话了. 而过度或执行不当的制衡会阻碍公司的快速扩张, 设计一个渐进式控制框架,使成长型公司能够实现两个看似矛盾的目标,这是可能的 风险管理 和敏捷性.
我们已经看到发生了什么 控制就出了窗外-看看 FTX. 时前 安然 在首席执行官萨姆·班克曼-弗里德被捕后,恢复主席约翰·雷三世接管了FTX, 他将该公司的企业控制描述为“彻底的失败,,理由是治理不足。, 不负责任的现金管理流程, 和权力集中在一个小, 一群没有经验的决策者, 在其他问题中.
作为一名合格的毕马威会计师事务所 审计师 拥有17年在大型企业和快速发展企业担任高级财务职位的经验 风险投资支持的创业公司,我总是惊讶于它是如此的普遍 宽松的控制 在小型企业和 早期的创业公司 感受到快速扩张的压力. 不幸的是, 由于控制设计或实施不当,这些公司特别容易遭受本可避免的损失.
放松管制也有机会成本:资本成本 大幅跳 在创纪录的加息之后,融资变得相当困难. 这一增长也使投资者更加谨慎,激励他们更严格地执行 尽职调查 比以往任何时候都要多. 最近,我帮助一家初创公司完成了a轮融资, 我发现这种勤奋的广度和深度比我以前经历过的任何过程都要强烈. 例如, 投资者询问了支付发布策略,并想知道公司在支付处理解决方案中有什么批准级别. 在过去,这种程度的细节在这个投资阶段并不常见.
在本文中, 我将向您展示如何采用精心设计的渐进式控制系统来支持公司的成功, 既要降低风险,又要安抚投资者.
业务控制或内部控制是最重要的 政策、程序和实践 在企业内部设计和实施,以保护其资产,确保准确 财务报告,提高运营效率. 每个内部控制组成部分, 比如职责隔离, 授权程序, 定期监测, 有助于整个系统的业务控制.
控制的重要性与公司的规模成正比, 更具体地说, 与在该组织工作的员工数量有关. 这一风险因a的趋势而加剧 远程工作. covid -19后的转变 组织设计 has rendered many traditional controls obsolete; 例如, 在月底签署支票支付给供应商的做法通常已被数字支付策略所取代.
在只有一个决策者(CEO)的小公司里, 每个选择和行动都直接反映了个人的责任. 以一家初创公司的创始人为例,他希望与一家重要的软件供应商签订合同. 当他们亲自决定与哪个供应商合作时, 错误选择的后果完全落在了他们的肩上, 影响财务和运营. 追求速度, CEO可能会选择放弃严格的RFP流程,并接受相关的风险. 很有可能, 他们可能不知道一个健全的供应商选择审查是什么样子的, 或者更有可能, 忙到他们没有时间进行这样的审查.
然而, 随着公司的发展, 首席执行官必须做出选择:继续打电话,冒着制造瓶颈的风险, 或者把这些决定委托给, 例如, 新聘用的运营副总裁. 然而,无论CEO多么信任新的副总裁,信任都不是一个可扩展的解决方案. 没有控制框架, 副总裁将遵循他们自己的选择程序, 这样做可能会使公司面临与他们的责任水平不成比例的过度风险. 同样的, 首席执行官可能不清楚哪些决定应该授权,哪些决定应该保留, 哪些因素会让他们在微观管理和不参与之间随意摇摆.
一个渐进的内部控制框架允许CEO管理公司面临的风险,同时维持组织的心跳.
我创造了智能, 通过调整我在大公司的培训和经验,为快速发展的公司提供渐进式内部控制框架, 组织更正式的公司. 这些框架旨在减少可避免的损失,并在不牺牲敏捷性的情况下帮助获得风险资本资金.
我的最佳实践建议是从评估和记录公司的以下风险和控制因素开始. 这样做将确保就这些关键议题达成协商一致意见和共同谅解, 并允许决策者在适当管理风险的同时建立有效的工作流程.
很好地理解这些因素是渐进式控制系统的基础,因为它们影响控制框架中包含的控件数量, 触发控制的频率是多少, 以及控制措施在防止或发现未经授权的行为方面的有效性. 这些因素也直接影响到我如何使用三个基本杠杆——价值极限(或公差), 节奏, 目标是为组织的每个领域设计每个控制.
一旦风险和控制因素的文件化和评价完成, 我使用三个关键杠杆来校准每个控制与每个公司的整体风险评估和风险偏好:
这三种杠杆可以根据风险连续体进行调整:
杆 | 低风险承受能力 | 高风险承受能力 | 例子 |
价值限制或公差 | 较低的值限制,更频繁地触发控件 | 较高的值限制,触发控制的频率较低 | 百货公司可能要求直线经理在给予退款之前获得批准. 对于风险较高的项目,可以将触发授权需求的控制限制设置为较低的值.g.风险较低的项目(如电子设备)的价值更高.g.、衣服). |
节奏 | 经常执行控制评审 | 减少控制评审的执行频率 | 餐厅需要严格控制食品和饮料的库存. 需求较高的库存,如酒精和其他饮料,应该每天计算多次, 而蔬菜和冷冻食品只能每天或每隔一天计算一次. |
客观的 | 预防性控制,在不希望发生的行为发生之前阻止它 | 检测控件,它在不需要的操作发生后识别它 | 系统授权限制可以通过要求预先批准来防止发出不适当的信用票据, 或者通过管理层审查的月度报告来发现不适当的发放. |
在小公司, 或者是那些更喜欢冒险和速度的人, 我将设置更高的值限制, 设计执行频率较低的控件, 并且更多地依赖于侦查控制.
我最近协助了一家初创公司进行a轮融资. 该公司的员工人数相对较少,管理层在努力实现多个目标方面捉襟襟肘. 考虑到公司的实际情况, I designed a control framework that employed more 检测ive controls and had management review these less frequently: We prepared a report at the end of each month detailing all overtime worked for client-facing staff; exceptions were investigated and recorded, 并通过电子邮件与更广泛的管理团队分享执行摘要和成本影响. 我们很少有问题, 但是在一个月内, 加班膨胀, 运营副总裁采取了一系列纠正措施. 虽然额外的成本是可以避免的, 到目前为止,额外的时间和精力超过了这个月的损失.
虽然有些控制措施附带了明确的最佳实践(例如.g.,执行 银行对帐单 所有商业帐户(每月), 大多数控制措施可以调高或调低,以适应每个实体的特定风险偏好. 更重要的是,在总体风险评估的背景下,定期(至少每年)审查这些杠杆, 并且每个控制都要修改以匹配特定时间组织的规模和复杂程度.
一旦你的控制杠杆校准好了, 是时候考虑应该授权谁来部署它们了. 对于成长型或中型企业的领导者来说,最常见的挑战是将业务控制的责任委托给中层和一线管理人员. 这在从初创企业或家族企业发展而来的公司中尤其常见,在这些公司中,有影响力的关键人物习惯于亲自执行所有控制. 我合作过的大多数小公司都遇到过这个问题, 其结果就是阻碍业务发展的瓶颈. 更糟糕的是,创始人或首席执行官的宝贵时间从高价值的工作转移到了管理任务上, 这是一个经常被忽视的极其昂贵的情况.
帮助领导者管理转型, 我建议建立一个“授权”矩阵, 也被称为“权限限制”矩阵. 这是一份政策文件,指导和指导所有员工在代表公司进行交易时的审批限制. 该矩阵通过明确和量化管理团队每个成员的决策权,作为公司治理框架的基础.
解决业务所有职能领域的矩阵通常由首席财务官制定,并由公司董事会批准.
摘自一个典型的授权矩阵
业务领域 | 区 | 主题 | 批准的限制 | 批准要求 |
运营成本和资本支出 | 营业费用 | 一次性的支出 | 5000美元以下 | 生产线管理人员 |
在5000到20000美元之间 | 高级经理 | |||
20000美元以上 | 管理层 | |||
供应商合同 | 年化价值低于5000美元 | 高级经理 | ||
年化价值在5000美元到20000美元之间 | 管理层 | |||
年化价值在20000美元以上 | 高管兼首席执行官 |
在这个例子中, 授权部门经理代表公司承担运营费用的权限以5美元为限,000, 任何超过这一数额的开支都需要得到下一位高管的事先批准.
随着时间的推移,不断增长的业务在整个组织中面临着越来越多的复杂性,因为它雇佣了更多的员工, 处理更大的交易量, 并处理较大金额或数量的交易. 随着复杂性的增加,风险也在增加.
虽然许多公司和管理人员都知道授权矩阵,并对其目的有一个有效的理解, 根据我的经验, 很少有人了解如何记录风险因素和实施我所描述的杠杆,从而在风险降低和运营效率之间实现最佳平衡. 遵循这里概述的方法还将有助于获得更广泛的管理团队的支持,并导致更严格地遵守任何已实现的业务控制. 它还可以帮助控制可能默认标准控制框架的财务团队,这些框架没有考虑到特定公司的复杂性或风险承受能力.
随着公司的发展,决策权开始延伸到核心创始人集团之外, 这个矩阵的重要性变得越来越重要. 我建议尽快实现一个简单的版本, 这绝对应该在你开始招聘中层和一线经理的时候完成——通常是在你有50名员工左右的时候. 一旦您的框架就位, 我想你会惊讶于它的低调, 以及它如何无缝地根据您的需求进行扩展. 不仅如此, 你的公司将得到更好的风险保护, 你的投资者会更有安全感, 这样你的企业就能更好地茁壮成长. 正如我们所学到的,不仅仅是FTX, 但Theranos, 安然, 而其他方面——没有护栏的增长可能会让你的公司面临来自内部和外部的风险.
业务控制, 或者内部控制, 流程和政策是为了标准化操作而设计的吗, 保护公司资产, 管理风险. 风险包括财务风险、法律风险、操作风险等.
业务控制在本质上可以是预防性的,也可以是检测性的. 预防性财务控制可能涉及要求经理授权初级职员进行某些采购. 侦查控制将允许初级员工进行采购, 但要求他们提交一份报告供管理层稍后审查.
虽然很难说哪种业务控制是最常见的, 实际上,每家公司都有或应该有某种类型的财务控制. 这些措施可能像核对每月银行对账单或限制谁可以签署支票一样基本.
布莱恩是一位经验丰富的财务领导者,他从企业世界过渡到领导许多初创公司的财务运营,包括他自己的公司. 利用他作为kpmg合格审计师的专业知识, 他还领导了各种规模企业的欺诈和风险分析.
17
世界级的文章,每周发一次.
世界级的文章,每周发一次.