从创业到成功：掌握业务增长控制

在一系列备受瞩目的初创企业欺诈事件发生后，是时候破除业务控制阻碍增长的神话了。虽然过多或执行不力的制衡可能会阻碍公司的快速发展，但可以设计一种渐进的控制框架，使成长中的公司能够实现风险管理和敏捷性这两个看似矛盾的目标。

我们已经看到当控制权被抛出窗外时会发生什么——看看FTX就知道了。安然前恢复主席约翰·雷三世在首席执行官萨姆·班克曼-弗里德被捕后接管FTX时，称该公司的公司控制是“彻底的失败”，理由是治理不足、不负责任的现金管理流程以及权力集中在一个缺乏经验的小决策者群体中等问题。

作为一名拥有毕马威会计师事务所资格的审计师，我在大型企业和快速增长的风险投资支持的初创企业中担任高级财务职位已有17年的经验。我总是对小型企业和感受到快速扩张压力的早期初创企业中普遍存在的宽松控制感到惊讶。不幸的是，这些公司特别容易因设计或实施不当的控制措施而遭受本可避免的损失。

放松管制也有机会成本:在创纪录的加息后，资本成本大幅飙升，使得融资变得相当困难。这种增长也让投资者变得更加谨慎，促使他们进行比以往更严格的尽职调查。最近，我协助一家早期公司进行了A轮融资，我发现这种努力的广度和深度比我以前经历过的任何其他过程都要大。例如，投资者询问支付发放策略，并想知道公司在支付处理解决方案中的审批级别。在过去，这种详细程度在这个投资阶段并不常见。

在本文中，我将向您展示采用精心设计的渐进控制系统如何通过最小化风险和让投资者放心来支持您公司的成功。

业务控制的案例

业务控制（或内部控制）是在企业内部设计和实施的政策、程序和实践，旨在保护其资产、确保准确的财务报告并提高运营效率。每个内部控制组件，如职责分离、授权程序和定期监控，都有助于整个业务控制系统。

控制的重要性随着公司的规模成比例地增长，更具体地说，随着在该组织中工作的员工数量的增长而增长。远程办公的趋势加剧了这种风险。后新冠肺炎时代组织设计的转变使得许多传统的控制手段变得过时；例如，在月底亲自签署支票向供应商付款通常已被数字支付发布策略所取代。

在只有一个决策者（首席执行官）的小公司里，每个选择和行动都直接反映了这个人的责任。以一家种子期前初创公司的创始人为例，他希望与一家重要的软件供应商签订合同。当他们亲自决定与哪个供应商合作时，错误选择的后果会直接落在他们的肩上，影响财务和运营。为了追求速度，首席执行官可能会选择放弃严格的RFP流程并接受相关风险。同样可能的是，他们可能不知道合理的供应商选择审查是什么样的，或者更可能的是，他们太忙了，没有时间进行这样的审查。

然而，随着公司的发展，首席执行官必须做出选择:继续打所有电话并冒着造成瓶颈的风险，或者将其中一些决策委托给新聘用的运营副总裁。然而，无论CEO多么信任新副总裁，信任都不是一个可扩展的解决方案。如果没有控制框架，副总裁将遵循自己的选择流程，这样做可能会使公司面临与其职责水平不相称的过度风险。同样，首席执行官可能不清楚哪些决策需要授权，哪些决策需要保留，这可能会让他们在微观管理和脱离接触之间随意摇摆。

渐进的内部控制框架使首席执行官能够管理公司面临的风险，同时保持组织的正常运转。

如何开发控制框架

我在规模更大、组织更正规的公司接受培训并积累经验，为快速发展的公司创建了智能、进步的内部控制框架。这些框架旨在减少可避免的损失，并在不牺牲敏捷性的情况下帮助获得风险资本资金。

记录特定的风险和控制因素

我的最佳实践建议是从评估和记录您公司的以下风险和控制因素开始。这样做将确保就这些关键主题达成共识和共同理解，并允许决策者在适当管理风险的同时建立有效的工作流程。

• 操作复杂性 考虑当前的员工人数、人员模型（远程与办公室、W2s与承包商、在岸与离岸等）。）、运营地点（单一交易地点、国家数量等）。）、商业模式和客户群。一家公司越复杂，就越需要更密切的监控。
• 技术成熟度 允许公司部署广泛的自动化控制措施，是简化控制框架的关键支柱。大型组织通常会在所有部门中采用更多的技术，这增加了复杂性，但在自动化业务控制的设计中可以提高效率。
• 物质性 是一个阈值，低于该阈值，您将能够容忍流程中的财务差异、错误或偏差。超过该实质性阈值的任何情况都必须立即采取行动或报告。在考虑重要性时，我会同时考虑财务和非财务影响（如声誉或客户信任的损失）。较低的实质性门槛要求更强的控制。
• 风险容忍 是一种物质性形式，在难以估算货币价值时特别有用。它还允许首席执行官或创始人定义自己的判断和风险承受能力，即使只是主观的，就好像在说:“只要我们在增长，我就准备容忍销售团队未经授权的订阅折扣。”这种情绪可能会随着时间的推移而演变，现在将其记录下来可以提供一个有用的比较供参考。更高的风险容忍度允许更宽松的控制。
• A 筹款阶段 是实施更安全的控制框架的一个常见和重要的触发因素，因为投资者将对较大的公司有更高的期望。天使投资者和其他非机构投资者很少会询问业务控制情况，而领投1亿美元融资的D轮风投基金可能会在本轮融资结束前详细审查公司的业务控制情况。

对这些因素的良好理解是渐进控制系统的基础，因为它们会影响控制框架中包括多少控制措施、触发控制措施的频率以及控制措施在防止或检测未经授权的行为方面的有效性。这些因素还直接影响我如何使用三个基本杠杆——价值限制（或容差）、节奏和目标——来为组织的每个领域设计每个控制措施。

校准三个控制杆

风险和控制因素的记录和评估完成后，我使用三个关键杠杆将每个控制措施与每个公司的整体风险评估和风险偏好进行校准:

• 限值或公差: 这将调整触发控件的数量或值。更改此限制会极大地影响标记为审查的例外的数量。
• 节奏: 这将调整控制的执行频率，从每笔交易到每天、每月甚至每年。
• 目标: 这定义了控件是否设计为 预防 或者 发现 未经批准的事件或决定。虽然预防性控制在最小化风险方面更胜一筹，但破坏性较小的检测控制是一种很好的妥协，可以与其他核心控制配合使用。

这三个杠杆可以根据风险连续体进行改变:

工具低风险承受能力高风险承受能力例子数值极限或公差较低的值限制，会更频繁地触发控件较高的值限制，触发控件的频率较低百货商店可能要求直线经理在批准退款前获得批准。对于高风险物品（如电子设备）和低风险物品（如衣服），触发授权需求的控制限制可以设置为较低的值。节奏经常进行控制审查降低执行控制审查的频率一家餐厅需要严格控制食品和饮料库存。酒精和其他饮料等需求较高的库存应该每天清点多次，而蔬菜和冷冻食品只能每天或每隔一天清点一次。目标预防性控制，在不必要的行为发生之前将其阻止检测控制，在有害操作发生后进行识别系统授权限额可以通过要求预先批准来防止发行不适当的信贷票据，或者通过管理层审查的月度报告来检测不适当的发行。

在规模较小的公司，或者对风险和速度有更大偏好的公司，我会设定更高的价值限制，设计执行频率较低的控制措施，并更多地依赖侦查控制措施。

我最近协助了一家初创公司进行A轮融资。该公司员工相对较少，管理层为了实现多个目标而捉襟见肘。考虑到公司的实际情况，我设计了一个控制框架，采用了更多的侦查控制措施，并减少了管理层审查这些措施的频率:我们在每个月底准备一份报告，详细列出面向客户的员工的所有加班情况；对例外情况进行了调查和记录，并通过电子邮件与更广泛的管理团队分享了执行摘要和成本影响。我们很少遇到问题，但在一个月内，加班人数激增，运营副总裁采取了许多纠正措施。虽然超额成本本可以避免，但迄今为止为此付出的额外时间和精力超过了这一个月损失的金钱。

虽然一些控制措施有明确的最佳实践（例如，每月对所有业务账户进行银行对账），但大多数控制措施可以上调或下调以适应每个实体的特定风险偏好。更重要的是，应在总体风险评估的背景下定期（至少每年一次）审查这些杠杆，并对每项控制措施进行修改，以匹配特定时期组织的规模和复杂性。

决定如何授权

一旦你的控制杆被校准，是时候考虑谁应该被授权部署它们了。成长型或中型实体的领导者面临的最常见挑战是将业务控制的责任委托给中层和直线管理层。这在由初创企业或家族企业发展而来的公司中尤为常见，在这些公司中，具有影响力的关键人物习惯于亲自执行所有控制。我工作过的大多数小公司都经历过这个问题，其结果是一个减缓业务发展的瓶颈。更糟糕的是，创始人或首席执行官的宝贵时间被从高价值工作转移到行政任务上，这种异常昂贵的情况往往被忽视。

为了帮助领导者管理过渡，我建议开发一个“授权”矩阵，也称为“权限”矩阵。这是一份政策文件，指导所有员工在代表公司进行交易时遵守审批限制。该矩阵通过明确和量化管理团队每个成员的决策权限，作为公司治理框架的基础。

涵盖业务所有职能领域的矩阵通常由首席财务官制定，并由公司董事会批准。

典型授权矩阵摘录

商务办公区子区域主题批准限额需要批准运营支出/资本支出营业费用非经常性支出低于5000美元部门主管在5000到20000美元之间高级经理20，000美元以上首席执行官供应商合同年化价值低于5000美元高级经理年价值在5000美元到20000美元之间首席执行官年价值超过20，000美元最高管理层和首席执行官

在本例中，授权直线经理代表公司产生运营费用的限额为5，000美元，任何超过该限额的费用都需要得到下一位最高级别人员的事先批准。

随着时间的推移，成长型企业面临着整个组织越来越复杂的情况，因为它雇用了更多的员工，处理了更多的交易量，并且处理了更多的交易。随着复杂性的增加，风险也在增加。

虽然许多公司和高管都知道授权矩阵，并对其目的有着切实的理解，但以我的经验来看，很少有人理解记录风险因素和实施我所描述的杠杆如何能够在降低风险和运营效率之间实现最佳平衡。遵循此处概述的方法还将有助于获得更广泛的管理团队的认可，并更好地遵守任何已实施的业务控制。它还可以帮助控制财务团队，这些团队可能会默认一个标准的控制框架，而该框架没有考虑到其特定公司的复杂性或风险承受能力。

随着公司的发展，决策权开始延伸到核心创始人群体之外，这种矩阵的重要性变得越来越关键。我建议尽快实施一个简单的版本，并且绝对应该在你开始招聘中层和直线经理时完成——通常是在你拥有大约50名员工时。一旦您的框架到位，我想您会惊讶于它是多么不引人注目，以及它可以如何无缝地根据您的需求进行扩展。不仅如此，你的公司将更好地防范风险，你的投资者将更有安全感，你的企业将更有利于繁荣发展。正如我们从FTX、Theranos、安然和其他公司学到的那样，没有护栏的增长会让你的公司面临来自内部和外部的风险。