在一系列事件之后 备受瞩目的创业欺诈在美国，是时候破除商业控制阻碍增长的神话了. 而过度或执行不当的制衡会阻碍公司的快速扩张, 设计一个渐进式控制框架，使成长型公司能够实现两个看似矛盾的目标，这是可能的 风险管理 和敏捷性.

我们已经看到发生了什么 控制就出了窗外-看看 FTX. 时前 安然 在首席执行官萨姆·班克曼-弗里德被捕后，恢复主席约翰·雷三世接管了FTX, 他将该公司的企业控制描述为“彻底的失败,，理由是治理不足。, 不负责任的现金管理流程, 和权力集中在一个小, 一群没有经验的决策者, 在其他问题中.

作为一名合格的毕马威会计师事务所 审计师 拥有17年在大型企业和快速发展企业担任高级财务职位的经验 风险投资支持的创业公司，我总是惊讶于它是如此的普遍 宽松的控制 在小型企业和 早期的创业公司 感受到快速扩张的压力. 不幸的是, 由于控制设计或实施不当，这些公司特别容易遭受本可避免的损失.

放松管制也有机会成本:资本成本 大幅跳 在创纪录的加息之后，融资变得相当困难. 这一增长也使投资者更加谨慎，激励他们更严格地执行 尽职调查 比以往任何时候都要多. 最近，我帮助一家初创公司完成了a轮融资, 我发现这种勤奋的广度和深度比我以前经历过的任何过程都要强烈. 例如, 投资者询问了支付发布策略，并想知道公司在支付处理解决方案中有什么批准级别. 在过去，这种程度的细节在这个投资阶段并不常见.

在本文中, 我将向您展示如何采用精心设计的渐进式控制系统来支持公司的成功, 既要降低风险，又要安抚投资者.

业务控制案例

业务控制或内部控制是最重要的 政策、程序和实践 在企业内部设计和实施，以保护其资产，确保准确 财务报告，提高运营效率. 每个内部控制组成部分, 比如职责隔离, 授权程序, 定期监测, 有助于整个系统的业务控制.

控制的重要性与公司的规模成正比, 更具体地说, 与在该组织工作的员工数量有关. 这一风险因a的趋势而加剧 远程工作. covid -19后的转变 组织设计 has rendered many traditional controls obsolete; 例如, 在月底签署支票支付给供应商的做法通常已被数字支付策略所取代.

在只有一个决策者(CEO)的小公司里, 每个选择和行动都直接反映了个人的责任. 以一家初创公司的创始人为例，他希望与一家重要的软件供应商签订合同. 当他们亲自决定与哪个供应商合作时, 错误选择的后果完全落在了他们的肩上, 影响财务和运营. 追求速度, CEO可能会选择放弃严格的RFP流程，并接受相关的风险. 很有可能, 他们可能不知道一个健全的供应商选择审查是什么样子的, 或者更有可能, 忙到他们没有时间进行这样的审查.

然而, 随着公司的发展, 首席执行官必须做出选择:继续打电话，冒着制造瓶颈的风险, 或者把这些决定委托给, 例如, 新聘用的运营副总裁. 然而，无论CEO多么信任新的副总裁，信任都不是一个可扩展的解决方案. 没有控制框架, 副总裁将遵循他们自己的选择程序, 这样做可能会使公司面临与他们的责任水平不成比例的过度风险. 同样的, 首席执行官可能不清楚哪些决定应该授权，哪些决定应该保留, 哪些因素会让他们在微观管理和不参与之间随意摇摆.

一个渐进的内部控制框架允许CEO管理公司面临的风险，同时维持组织的心跳.

如何开发控制框架

我创造了智能, 通过调整我在大公司的培训和经验，为快速发展的公司提供渐进式内部控制框架, 组织更正式的公司. 这些框架旨在减少可避免的损失，并在不牺牲敏捷性的情况下帮助获得风险资本资金.

记录具体的风险和控制因素

我的最佳实践建议是从评估和记录公司的以下风险和控制因素开始. 这样做将确保就这些关键议题达成协商一致意见和共同谅解, 并允许决策者在适当管理风险的同时建立有效的工作流程.

• 操作的复杂性 考虑当前的员工总数, 人员配置模式(远程与基于办公室的), W2s与承包商, 陆上与海上, 等.)、经营地点(单个交易地点、国家数量等).)、商业模式和客户基础. 一家公司越复杂，就越需要更密切的监控.
• 技术成熟 允许公司部署广泛的自动化控制，是简化控制框架的关键支柱. 大型组织通常在所有部门中使用更多的技术, 这增加了复杂性，但在自动化业务控制的设计中却能提高效率.
• 物质 你能容忍财务差异的临界值是多少, 错误, 或者过程中的偏差. 任何超过这个重要阈值的事情都必须立即采取行动或报告. 在考虑重要性时，我将同时考虑财务和非财务影响.g.(信誉或客户信任的损失). 较低的重要性门槛要求更大的控制.
• 风险承受能力 当难以估计货币价值时，某种形式的重要性是否特别有用. 它还允许CEO或创始人定义他们的判断和风险承受能力, 即使只是主观的, 好像在说, “只要我们还在成长，我就准备容忍销售团队未经授权的订阅折扣.“这种情绪可能会随着时间的推移而演变, 现在对其进行记录可以提供有用的比较参考. 更高的风险承受能力允许更宽松的控制.
• A 融资阶段 是否要实现一个更安全的控制框架的常见且重要的触发器, 因为投资者会对大公司有更高的期望. 天使和其他非机构投资者很少询问企业控制, 而D轮融资1亿美元的风投基金可能会在融资结束前详细审查公司的业务控制.

很好地理解这些因素是渐进式控制系统的基础，因为它们影响控制框架中包含的控件数量, 触发控制的频率是多少, 以及控制措施在防止或发现未经授权的行为方面的有效性. 这些因素也直接影响到我如何使用三个基本杠杆——价值极限(或公差), 节奏, 目标是为组织的每个领域设计每个控制.

校准三个控制杠杆

一旦风险和控制因素的文件化和评价完成, 我使用三个关键杠杆来校准每个控制与每个公司的整体风险评估和风险偏好:

• 价值限制或容忍: 这将调整触发控件的数量或值. 更改此限制将极大地影响标记为审查的异常的数量.
• 节奏: 这将调整控件执行的频率, 从每笔交易到每天, 每月, 甚至每年一次.
• 摘要目的: 这定义控件是否设计为 防止 or 检测 未经批准的事件或决定. 而预防性控制在最大限度地降低风险方面更胜一筹, 破坏性较小的检测控件是一个很好的折衷方案，可以很好地与其他核心控件配合使用.

这三种杠杆可以根据风险连续体进行调整:

在小公司, 或者是那些更喜欢冒险和速度的人, 我将设置更高的值限制, 设计执行频率较低的控件, 并且更多地依赖于侦查控制.

我最近协助了一家初创公司进行a轮融资. 该公司的员工人数相对较少，管理层在努力实现多个目标方面捉襟襟肘. 考虑到公司的实际情况, I designed a control framework that employed more 检测ive controls and had management review these less frequently: We prepared a report at the end of each month detailing all overtime worked for client-facing staff; exceptions were investigated and recorded, 并通过电子邮件与更广泛的管理团队分享执行摘要和成本影响. 我们很少有问题, 但是在一个月内, 加班膨胀, 运营副总裁采取了一系列纠正措施. 虽然额外的成本是可以避免的, 到目前为止，额外的时间和精力超过了这个月的损失.

虽然有些控制措施附带了明确的最佳实践(例如.g.，执行 银行对帐单 所有商业帐户(每月), 大多数控制措施可以调高或调低，以适应每个实体的特定风险偏好. 更重要的是，在总体风险评估的背景下，定期(至少每年)审查这些杠杆, 并且每个控制都要修改以匹配特定时间组织的规模和复杂程度.

决定如何授权

一旦你的控制杠杆校准好了, 是时候考虑应该授权谁来部署它们了. 对于成长型或中型企业的领导者来说，最常见的挑战是将业务控制的责任委托给中层和一线管理人员. 这在从初创企业或家族企业发展而来的公司中尤其常见，在这些公司中，有影响力的关键人物习惯于亲自执行所有控制. 我合作过的大多数小公司都遇到过这个问题, 其结果就是阻碍业务发展的瓶颈. 更糟糕的是，创始人或首席执行官的宝贵时间从高价值的工作转移到了管理任务上, 这是一个经常被忽视的极其昂贵的情况.

帮助领导者管理转型, 我建议建立一个“授权”矩阵, 也被称为“权限限制”矩阵. 这是一份政策文件，指导和指导所有员工在代表公司进行交易时的审批限制. 该矩阵通过明确和量化管理团队每个成员的决策权，作为公司治理框架的基础.

解决业务所有职能领域的矩阵通常由首席财务官制定，并由公司董事会批准.

摘自一个典型的授权矩阵

在这个例子中, 授权部门经理代表公司承担运营费用的权限以5美元为限,000, 任何超过这一数额的开支都需要得到下一位高管的事先批准.

随着时间的推移，不断增长的业务在整个组织中面临着越来越多的复杂性，因为它雇佣了更多的员工, 处理更大的交易量, 并处理较大金额或数量的交易. 随着复杂性的增加，风险也在增加.

虽然许多公司和管理人员都知道授权矩阵，并对其目的有一个有效的理解, 根据我的经验, 很少有人了解如何记录风险因素和实施我所描述的杠杆，从而在风险降低和运营效率之间实现最佳平衡. 遵循这里概述的方法还将有助于获得更广泛的管理团队的支持，并导致更严格地遵守任何已实现的业务控制. 它还可以帮助控制可能默认标准控制框架的财务团队，这些框架没有考虑到特定公司的复杂性或风险承受能力.

随着公司的发展，决策权开始延伸到核心创始人集团之外, 这个矩阵的重要性变得越来越重要. 我建议尽快实现一个简单的版本, 这绝对应该在你开始招聘中层和一线经理的时候完成——通常是在你有50名员工左右的时候. 一旦您的框架就位, 我想你会惊讶于它的低调, 以及它如何无缝地根据您的需求进行扩展. 不仅如此, 你的公司将得到更好的风险保护, 你的投资者会更有安全感, 这样你的企业就能更好地茁壮成长. 正如我们所学到的，不仅仅是FTX, 但Theranos, 安然, 而其他方面——没有护栏的增长可能会让你的公司面临来自内部和外部的风险.