內部控制十大漏洞
內部控制是企業為控制經營風險、實現經營目標而制定的各項政策與程序。內部控制能夠幫助企業達到其目標,同時將風險降低至合理范圍內,保證企業資產安全,有效防范各種舞弊活動。內部控制的權威人士AdrianCadbury爵士曾經說過“公司的敗績都是由內部控制失敗引起的”,這一點從眾多的企業失敗案例都得到了驗證。從我國的現實情況來看,企業內部控制普遍比較薄弱,有關挪用、侵占或詐騙企業財產的新聞亦屢見不鮮,企業資產和股東權利得不到應有保護,甚至給企業造成災難性損失導致經營陷入困境。2004年,中航油巨虧、四川長虹對APEX公司超過38億元的壞賬、創維黃宏生被香港廉政公署拘捕等諸多案例,給我國很多企業敲響了內部控制的警鐘。
筆者結合眾多內控失敗案例和內控咨詢工作的經驗,歸納了我國企業內部控制常見的十大問題,希望管理人員引以為戒,有則改之,無則加勉。
一、出納領取銀行對賬單、編制銀行存款余額調節表。
之所以把這個問題列在十大問題之首,是因為它非常普遍且后果嚴重,但遺憾的是,直到今天,仍有很多單位根本沒有意識到這一問題,或雖然意識到了卻不以為然,低估了其可能造成的嚴重后果。不相容職務分離是內部控制的一個基本原理,通常需要分離的不相容職務包括授權與執行、執行與審核、執行與記錄、保管與記錄,所謂“管錢不管賬,管賬不管錢”就是不相容職務分離原理的一個典型運用。貨幣資金是最容易出現舞弊的一項資產,如果由出納來負責領取銀行對賬單、編制銀行存款余額調節表,出納就有可能挪用或侵占公司貨幣資金,并通過偽造對賬單或在余額調節表上做手腳來掩蓋自己的舞弊行為。國家自然科學基金委會計卞中從1995年到2003年的八年期間里,利用掌管國家基礎科學研究的專項資金下撥權,采用謊稱支票作廢、偷蓋印鑒、削減撥款金額、偽造銀行進賬單和信匯憑證、編造銀行對賬單等手段貪污、挪用公款人民幣兩億余元。卞中擔負著資金收付的出納職能,同時所有的銀行單據和銀行對賬單也都由他一手經辦,使得他得以作案長達八年都沒有引起過懷疑。2003年春節剛過,基金委財務局經費管理處剛來的一名大學生上班伊始便到定點銀行拿對賬單,以往這一工作由會計卞中負責。一筆金額為2090萬的支出引起了這名大學生注意,在其印象里他沒有聽說此項開支。這個初入社會的大學生找到卞中刨根問底,這樁涉案金額超過2億元的大案也因此浮出水面。
從筆者了解的情況看,80%以上的企業存在出納領取銀行對賬單、編制余額調節表的現象,究其原因,主要從工作方便角度出發,由于出納經常跑銀行,辦理各種收付款,于是便“順理成章”地領取銀行對賬單、編制余額調節表。殊不知這種習慣做法存在巨大風險隱患,其實要防范這種風險并不難,只要改由出納以外的人來負責銀行對賬單領取和賬面銀行存款余額核實工作即可,關鍵是要從思想意識上重視起來。
二、領導“一只筆”審批,缺乏完善內控制度和流程保障。
領導“一只筆”,表明看起來似乎控制很嚴格,不容易出問題,但事實上這種“一只筆”控制反映了單位內部控制方式的落后。首先,事無巨細都由領導來審批,囿于時間和精力,領導最后可能疲于應付,分不清主次,審批“一只筆”變成簽字“一只筆”而已,控制流于形式。其次,如果缺乏相關支撐信息,領導無法對收支合理性進行判斷,“一只筆”就會失去控制作用,例如經辦人員申請購買某種設備,而領導沒有該設備經濟可行性、價格合理性的相關數據,審批就會演變成一種過場。第三,領導“一只筆”會造成高度集權,不利于對領導的制約和監督,可能導致腐敗。因此,合理的內部控制應當按照重要性程度大小,適當分層授權,逐級審批。
三、過于依賴業務人員,企業資源掌握在個人手中,企業對業務開展失去控制。
企業業務資源完全掌握在業務員個人手中,對企業來說是一件非常危險的事情,現實中經常可以看到,不少企業的業務員一旦跳槽或離職,原有的客戶和業務關系也被隨之帶走,形成企業對業務人員過于依賴的局面。更有甚者,有的企業業務員明地里使用單位各項資源,暗地里為自己或親友開拓業務、謀取私利,嚴重損害了企業利益。針對這種現象,企業應通過完善制度設計,例如采取建立統一的客戶檔案和客戶關系管理系統、同一筆業務有兩人以上共同參與、適當進行工作輪換和加強財務對業務過程的控制等措施,將業務員手中的客戶資源轉化為企業資源,讓客戶認的是企業本身而不是認個人,這樣企業的業務就不會依賴于某一兩個人,從而保持持續穩定的發展。2003年初,花旗銀行臺灣區總經理陳圣德率領二十多位主管集體跳槽,但在經歷短暫的人事地震以后,花旗銀行在短短兩三個月內就基本恢復了業務正常開展,當年業績并未受到大的影響,盈利反而創下歷史新高,靠的就是花旗銀行內部已經形成完整的制度和流程,用制度來保障業務開展,而不是依賴于某個業務人員或主管。
四、內部控制制度文字描述性東西較多,清晰的流程圖和配套表單較少。
很多單位有這樣一種現象,員工在某個崗位工作久了后變得駕輕就熟,經驗老到,工作起來游刃有余,而一旦這個員工因有事調離或辭職,后面接替的人員則需要花很長時間來熟悉情況,重新摸索工作方法。造成這種現象的原因是企業制度主要是文字性東西,缺乏清晰的崗位說明和工作流程圖,執行的人往往憑自己的經驗和別人“言傳身教”來做事,崗位新手在開始階段工作不知從何入手,通常需要很長一段學習和熟悉過程。因此,一套完整的企業制度應包括三部分:(1)文字描述的支撐制度文件;(2)工作流程圖或流程的文字描述;(3)相關憑證、表單、文件的樣式匯總。通過繪制清晰的工作流程圖,可以讓每個人都能一目了然地知道辦事程序、涉及的部門、人員和規章制度,而且能夠將工作形成的好經驗固化下來,并且通過流程圖能比較容易發現內部控制中的不足之處和風險點,從而有助于企業內部控制的持續改進。
五、內部控制制度“救火式”的較多,制度體系缺乏系統性和完整性,甚至政出多門,相互打架。
很多企業的內部控制制度都是在發展中逐步建立起來,經常是發現管理中出現了某種問題,于是相應地出臺一個制度來規范。例如今天發現電話費高了,就制定一個通訊費管理辦法,明天發現辦公用品浪費嚴重,就擬定出辦公用品采購與使用辦法。這種“救火式”的制度往往只能防范已發生過的風險,而對未發生的風險則考慮不足。此外,這樣的制度體系無論在內容上還是形式上,都缺乏系統性和完整性,沒有科學合理的分類,甚至不同制度之間存在矛盾或重疊的現象。有的單位還有不同部門根據自身需要制定制度現象,政出多門,相互打架。筆者曾經接觸過一個單位,僅是購買電腦一項,既可以通過信息科購買,因為信息科負責整個單位的計算機軟硬件系統;也可以通過行政辦公室,因為電腦屬于辦公用品,而辦公用品歸口辦公室管理;還可以通過負責管理固定資產的設備科購買,因為電腦是一種固定資產。為此,企業應有一套規范的制度制定程序和形式規范,包括制度的編號、格式、分類、內容、審批程序、執行及其他應注意事項進行統一的規范化管理,并以書面形式予以約束。
六、員工臨時休假或出差時,缺乏明確的工作交接制度。
任何一個崗位,總會出現員工因急事、生病或出差等原因不能正常上班的情形,很多單位在制度設計時都沒有考慮到員工暫時離崗時工作由誰接替的問題。實際操作中,在遇到員工臨時休假或出差時,便臨時指派一位相關人員來兼任,但事實上,這種急時抱佛腳的做法,稍有不當,可能會給企業帶來風險。企業正常的工作安排中通常會將不相容職務由兩個以上的人來擔任,以便相互牽制,而臨時指派某人兼任做法,可能會導致不相容職務由同一人擔任。例如支票印鑒平常一般都由兩人分別保管,如果因其中一人臨時有事而指派另一人暫時兼任,由一人掌握所有空白支票和印鑒的話,盜用支票的風險就會大大增加。因此,企業有必要明確規定一些重要崗位的工作交接制度,防止員工臨時休假或出差時留下內部控制“真空”的現象。
七、人員招聘時注重筆試和面試的考察,忽視背景調查。
如果雇傭了不誠實的人,那么即使是最良好的控制也無法防范舞弊。如果企業不仔細地篩選應聘者,并因此而雇傭了不誠實的員工,則很有可能遭受損害。很多企業在招聘過程中也非常強調應聘者的誠信,但較多注重于筆試或面試的考察。“然而,誰能知道在一份漂亮的簡歷背后又隱藏著什么?”,背景調查則能有效發現應聘者有無虛構個人信息、是否存在不誠信記錄、在以前雇主處工作情況,從而能幫助企業甄別應聘者,防止將不合格人員招進來。而且背景調查本身并不需要復雜的技術,只需要向應聘者以前工作過單位打幾個電話或發封函件就能夠了解一些非常有用的信息,實施成本也比較低。曾經被稱為北京市醫療系統頭號女貪、案發前為北京腫瘤醫院住院部主任的石巧玲,四年時間貪污挪用1000多萬元,檢察官辦案時發現她自己在不同表格上填寫的出生日期就有三個版本,而在填寫工作簡歷時她又玩上了花樣:在1979年5月石巧玲親自填寫的《工作人員履歷表》中,前頁寫“售貨員”,后頁則寫在“二商局工作”;1995年12月25日填寫的腫瘤醫院《干部任免呈報表》中,石巧玲的工作簡歷又變成了“1967——1978年,北京商業局會計”。對石巧玲來講,嚴肅的履歷表成了可隨意填寫的“草紙”。其實,這些問題通過對應聘者簡歷的認真審核和相應背景調查是不難發現的。
八、關鍵崗位無強制輪換或帶薪休假制度。
企業員工在某一崗位工作時間長了,會比較熟悉內部控制漏洞所在,實施舞弊的可能性更大。現實中,有不少挪用或貪污等舞弊現象都是在工作交接時被發現的。2005年4月,儀征化纖公司在工作交接過程中發現營銷部一會計挪用資金5000多萬元,該會計1989年畢業后被分配至儀征化纖從事財務工作,十六年來他的崗位和職務一直都沒有變化,由于在這個崗位上的時間很長,規律摸得非常透,他知道什么時候將款項交給單位,也清楚什么時候要進行財務檢查或審計,總能找到新的款項填補以前的漏洞,自1999年開始挪用資金,作案時間長達六年,期間一直未露蛛絲馬跡,直到2005年因單位內部人事改革他被迫交接工作時才敗露。過去我們比較強調“螺絲釘”精神,殊不知,“螺絲釘”在一個地方時間擰長了也會容易生銹的。
通過強制輪換,或者帶薪休假,在休假期間工作由別人暫時接替,由于員工離崗時的工作交接會受到他人監督,那么他實施并掩蓋舞弊的機會將大大減少。美國貨幣管理局要求全美的銀行雇員每年休假一周,在雇員休假期間,安排其他接替人員做他的工作,就是為了防止員工長期在同一崗位工作可能產生舞弊。對我國企業來說,對一些關鍵崗位,例如財務、采購中的部分崗位,通過建立強制輪換和帶薪休假制度,既可以提升員工的工作能力,同時是防范和發現舞弊的一項有效措施。
九、過分強調控制成本,經常將效率作為弱化或逾越內部控制的理由。
實施內部控制無疑需要成本,并且在一定程度上會影響到運行效率。于是,一些單位管理人員便常常以影響效率為由,反對內部控制措施的推行。事實上,如果將各項職能都較給某一個部門或某一個人去執行,沒有必要的授權批準和審核,在效率上可能會很高,但由此產生的風險也急劇上升。因此,為了防止一些重大風險給企業帶來災難性損失,犧牲一定程度的效率是控制風險所必須付出的成本。現實中經常碰到的情形是,在企業推行新的內部控制制度,往往會涉及到原有利益格局的打破和調整,這時一些管理人員便表明上以影響效率為由來反對內部控制新舉措推行,實際是由于個人或部門利益受到影響。因為內部控制制度不完善帶來的損失可能是關系到企業存亡問題,而效率則是影響企業發展的快慢,作為企業的領導者,不能過分強調成本因素而忽視內部控制制度的建設,應當合理權衡內部控制的成本和效率的關系。
十、說一套,做一套,制度放空炮。
內部控制制度是否得到有效執行是個老生常談的問題,卻又不得不談,很多出問題的案例往往都不是因為制度缺乏規定,而恰恰是制度有明文規定卻未能遵照執行。以中航油(新加坡)為例,盡管公司有完整的風險管理規章制度,是由國際“四大”之一的安永會計師事務所制定的,在風險管理委員會設置、風險控制流程等各方面制度都比較完備按照規定,公司的風險管理基本結構是從交易員,到風險管理委員會,到內審部,到首席執行官,再到董事會層層上報;每名交易員虧損20萬美元時,要向風險管理委員會報告,虧損達37.5萬美元時向首席執行官匯報,虧損50萬美元時,必須斬倉。但遺憾的公司這些制度并未得到有效執行,公司內部風險管理內控系統形同虛設,最終給公司造成了超過5億美元的災難性損失。
內部控制制度不能有效執行原因主要有二:一是制度本身制定得不合理,或過于理想化,或隨著新情況出現,原有制度已不能適應卻沒有及時修改,從而使得制度不具可操作性,自然也就不會被執行;二是缺乏保證制度執行的機制,一些單位對內部控制執行情況既沒有檢查監督,又沒有相應的獎懲措施,內部控制制度成為墻上擺設和一紙空文也就不奇怪了。為此,企業一方面需要提高制度可操作性,另一方面要加強制度執行力,不能為制度而制度。
簡單歸納如下:
1、出納領取對賬單,調節余額她來編;
2、領導同志一支筆,事無巨細啥都批;
3、銷售業務控制好,沒他企業很苦惱;
4、文本制度不可少,流程圖表更重要;
5、救火制度頻頒布,各自為政把令出;
6、臨時休假或出差,無規無律亂安排;
7、筆試面試乃基礎,背景調查易疏忽;
8、關鍵崗位強輪換,帶薪休假執行難;
9、成本壓縮太過分,內部控制無人問;
10說一套來做一套,制度如同放空炮
|
