内控连载11:中国企业内控常见漏洞
内部控制是企业为控制经营风险、实现经营目标而制定的各项政策与程序。内部控制能够帮助企业达到其目标,同时将风险降低至合理范围内,保证企业资产安全,有效防范各种舞弊活动。内部控制的权威人士Adrian Cadbury爵士曾经说过“公司的败绩都是由内部控制失败引起的”,这一点从众多的企业失败案例都得到了验证。从我国的现实情况来看,企业内部控制比较薄弱,有关挪用、侵占或诈骗企业财产的新闻亦屡见不鲜,企业资产和股东权利得不到应有保护,甚至给企业造成灾难性损失导致经营陷入困境。2004年,中航油巨亏、四川长虹对APEX公司超过38亿元的坏账、创维黄宏生被香港廉政公署拘捕等诸多案例,给我国很多企业敲响了内部控制警钟。
内控漏洞是指内部控制存在缺陷或问题,导致无法合理保证内部控制目标的实现,这种漏洞既有内控设计无效导致的,也有内控执行不到位引起的。企业内部控制可分为两个层次:公司层面内部控制(也称整体层面内部控制)和流程层面内部控制。公司层面内部控制是指对企业内部控制内部体系有普遍影响的一系列内部控制措施,包括企业文化、治理结构、反舞弊、风险管理、人力资源管理等方面具体内容。流程层面内部控制是以重要业务流程为主线,识别并记录的与企业重要业务及交易相关的内部控制措施。
公司层面内部控制是流程层面内部控制实施有效性重要保障,是一个整体机制,确保管理层设在公司内部各个领域、各个业务层面的控制机制得以有效运行的机制。关于各个流程层面的内控漏洞将在后续探讨,这里从公司层面,就我国企业经常容易出现的内控漏洞做个探讨。
一、缺乏系统的风险评估,内控体系建立不是以风险为导向。
很多单位的内部控制制度都是根据经验或企业发生过的案例来制定的,而忽视了企业全面风险评估,导致内部控制体系看起来有很多控制要求,但却忽视了一些重大风险或关键控制点,不能有效防止重大灾难性风险。良好的内控体系应在全面风险评估基础上,根据风险,选择合理的风险应对策略,内控活动的设计与执行应当以风险为导向,合理配置资源,抓住关键控制点。
【案例】某Y化纤上市公司营销部财务科的一名普通职员石某,利用管理公司销售款的便利条件,在自1999年至今长达6年的时间内,以“蚂蚁搬家”的方式挪用了公司票据达5000多万元,用于开公司、炒股票及炒期货,直到公司让石某轮岗交接工作时才败露,但已给公司造成损失近4000万元,绝大部分损失款项难以追回。这是该Y化纤公司建厂近30年来涉案金额最大的一个经济案件,具有讽刺意味的是,Y化纤公司在2004年还刚刚被评为本系统的“财务先进单位”。资金挪用案发生对公司高管来说无疑是非常尴尬的一件事情。在记者对案件深入采访时,公司高层都特别谨慎并三缄其口。Y化纤的母公司已组织了专门的调查小组,准备进行专项检查,特别是在销售环节,以确保今后不再发生此类案件。从Y化纤公司来看,具有一套相对全面的内部控制制度,而且公司每年都会花巨资请专业审计机构对公司财务状况进行审计,先是一年一审,后来是半年一审,再后来是一季度一审。据说,XY化纤公司内部管理制度“十分严格”。例如,XY化纤内部制度规定,超过2000元的招待费报销,要经过公司负责人签字。公司二级单位业务人员出差,飞机票必须经由公司主要负责人审核。然而石某挪用资金案却在领导的眼皮子底下发生了,且长达六年之久未被发现。强化对公司日常开支的监管固然重要,但公司决策者的目光不应对一些无关大局的事情左右盼顾,公司的内控制度应当紧紧盯住关键控制点,而Y化纤的内部控制恰恰忽视重大风险,对资金安全基本控制措施都没做到,如公司有对票据进行定期盘点或者财务人员轮岗的话,不至于发生如此大额损失。
内部控制本身需要成本,而且它也不是万能的,不能期望它能消灭所有风险,但有效的内部控制应当将风险降低到合理水平。这就需要企业对风险进行有效而全面的评估,在此基础上着重加强对关键控制点的控制,防 35 43581 35 15274 0 0 953 0 0:00:45 0:00:16 0:00:29 3616重大甚至灾难性风险的发生。
二、不相容职责未能有效分离。
之所以把这个问题列在前面,是因为它在我国企业非常普遍且后果严重,但遗憾的是,直到今天,仍有很多单位根本没有意识到这一问题,或虽然意识到了却不以为然,低估了其可能造成的严重后果。内控的一个原理就是通过相互牵制减少错弊,二个人犯同种错误的概率比一个人犯同种错误的概率低,而且可以起到相互起到监督制衡作用。《企业内控基本规范》第二十九条规定:“不相容职务分离控制要求企业全面系统地分析、梳理业务流程中所涉及的不相容职务,实施相应的分离措施,形成各司其职、各负其责、相互制约的工作机制。” 各单位通常应分离的不相容职务包括授权与执行、执行与审核、执行与记录、保管与记录,所谓“管钱不管账,管账不管钱”就是不相容职务分离原理的一个典型运用。一个常见且典型内控漏洞就是出纳领取对账单,从不相容职务分离要求来说,由出纳来领取银行对账单是项大忌,因为出纳本身负责货币资金保管和收支,如果再由出纳来负责领取银行对账单、编制银行存款余额调节表,出纳就有可能挪用或侵占企业货币资金,并通过伪造对账单或在余额调节表上做手脚来掩盖自己的舞弊行为。
【案例】世界500强企业高通公司在华公司,曝出出纳侵占公司款1100多万元案件。高通公司报案材料显示,根据公司规定,公司的月度银行账单明细应该按照银行对账中心的余额单记账。出纳丁某于2006年4月进入高通公司工作,现金和支票业务都由他负责。平时,他可以接触到财务章和法人人名章等财务印鉴及凭证。因为公司的收支业务都是他一人负责,他去银行办理业务时,曾经多买了一本转账支票。他先在网上找好能“串支票”的人,然后通过虚构公司的业务支出项目如采购设备、礼品等开出支票,支票的收款方是“串支票”的人安排好的公司,后者把支票兑成现金,对方再除去0.7%到1%的手续费,把剩下的钱打入丁某的账户。丁某为了掩盖犯罪,伪造了3枚银行柜员的人名章、1枚银行的业务专用章。银行定期给公司发对账单,但丁某提交给公司的银行对账单是他自己用电脑打印伪造的。此外,据丁某交代,使用伪造的印章,可以在公司询证函上加盖银行的业务章和人名章,直接发回公司,这样公司就不会发现问题了。直到2011年12月6日,高通公司开户行的工作人员告知该公司,其账户内余额不足,已经无法正常扣缴税款。公司派会计人员去银行核实相关情况,才发现四个账户内“消失”了1100余万元,导致案发。丁某在接受记者采访时回答:“外企比不了国企,有庞大的财务管理机构,(财务人员)往往身兼数职。我就是利用单位领导对我的信任吧,我觉得自己挺对不起他们的。” 、 “公司有审计制度,但由我负责。”
通过这个案例可以看出,一些单位进行职责分工时,往往是从工作方便或效率角度考虑,让同一人兼任不相容职务,殊不知,这种做法埋下了巨大隐患,案例中丁某作为银行出纳,负责领取银行对账单,而且公司审计竟然也由他兼任,这些严重违反不相容职务分离要求的安排,使得舞弊不仅容易发生,而且发生后不能及时被发现。再比如,一些企业让销售人员负责客户收款和对账的全过程,发生挪用货款事项也就不奇怪了。还有,让企业执行采购的人负责验、,仓库保管员负责盘点,都是违反不相容职务分离要求。因此,企业进行组织架构设计和岗位职责分工时,不能仅仅考虑业务流程是否高效顺畅,更应关注潜在风险,对关键的不相容岗位进行分离,如确因客观原因导致无法分离时,要评估潜在风险严重程度,采取其它补偿性控制措施,而不能坐视不管。
三、组织架构和岗位职责不明确,缺乏对组织架构和岗位设置的系统分析。
建立和完善组织架构可以为强化企业内部控制建设提供重要支撑。组织架构是企业内部环境的有机组成部分,也是企业开展风险评估、实施控制活动、促进信息沟通、强化内部监督的基础设施和平台载体。企业在组织架构和岗位设置方面问题主要有:组织架构设计不科学,权责分配不合理,岗位职责不明确,可能导致机构重叠、职能交叉或缺失、推诿扯皮、运行效率低下。具体内控漏洞表现有:(一)企业内部组织机构未能结合经营业务的性质,按照适当集中或分散的管理方式设置,导致企业或过于集权影响效率、或过于分权管理失控;(二)对内部组织机构设置、各职能部门的职责权限、组织的运行流程等没有明确的书面说明和规定,存在关键职能缺位或职能交叉的现象;(三)组织机构和岗位设置未能根据环境变化和经营战略及时调整;(四)未对岗位职责职权进行了恰当的描述和说明,职责职权不明晰,关键岗位员工对自身权责没有明确的认识;(五)未建立关键岗位员工轮换制度和强制休假制度;((六)存在不相容职务未分离的情况;(七)未对权限的设置和履行情况进行了审核和监督,对于越权或权限缺位的行为是否及时予以纠正和处理。
【案例】A公司招聘李小姐担任行政助理,并与李小姐签订3年期的劳动合同,同时约定试用期为6个月。试用期间,A公司认为李小姐工作表现时有差错,单位门禁系统显示李小姐常有迟到早退现象,李小姐的直接上司行政经理也对其表现不满意,A公司遂在试用期即将届满时,认定李小姐“不符合录用条件”而解除劳动合同。李小姐认为其在试用期表现虽不完美,但整体尚属良好,对A公司“不符合录用条件”的说法表示不服,遂申请仲裁,要求恢复履行劳动合同。现有司法解释明确规定“因用人单位作出的开除、除名、辞退、解除劳动合同、减少劳动报酬、计算劳动者工作年限等决定而发生的劳动争议,用人单位负举证责任”。A公司首先需要举证界定李小姐担任职位的“录用条件”,其次需要证明“李小姐不符合该录用条件”。由于A公司没有明确的岗位说明书,对岗位职责没有明确的考核指标,且6个月内未定期对李小姐进行评价和考核,因此,A公司提出李小姐工作不能胜任岗位工作未被仲裁庭认可。鉴于A公司证据不足,仲裁阶段A公司败诉。之后,A公司同意支付李小姐一定金额的补偿,双方和解。该案例暴露出A公司在岗位设置方面,对岗位职责职权、考核内容都没有明确界定,自然很难谈得上有效管理了。
企业应当按照科学、精简、高效、透明、制衡的原则,综合考虑企业性质、发展战略、文化理念和管理要求等因素,合理设置内部职能机构,明确各机构的职责权限,避免职能交叉、缺失或权责过于集中,形成各司其职、各负其责、相互制约、相互协调的工作机制。
在确定组织架构和部门职责后,企业应当对各机构的职能进行科学合理的分解,确定具体岗位的名称、职责和工作要求等,明确各个岗位的权限和相互关系。在组织机构设计和岗位职责分配过程中,应当体现不相容岗位相分离原则,努力识别出不相容职务,并根据相关的风险评估结果设立内部牵制机制,特别是在涉及重大或高风险业务处理程序时,必须考虑建立各层级、各部门、各岗位之间的分离和牵制,对因机构人员较少且业务简单而无法分离处理某些不相容职务时,企业应当制定切实可行的替代控制措施。部门职责和岗位说明应书面化列示,尽量避免一些在实际工作中形成的事实分工或口头分工等形式,企业应当制定组织结构图、业务流程图、岗(职)位说明书和权限指引等内部管理制度或相关文件,使员工了解和掌握组织架构设计及权责分配情况,正确履行职责。
四、缺乏内部控制的制度化管理,依赖人治。
一些企业没有系统的内部控制制度,或者规章制度泛泛而谈,缺乏操作性和指导性,使得企业经营管理主要依靠个人经营和责任心,缺乏明确操作标准规范、约束和指导业务流程。由此导致的可能后果,企业业务资源完全掌握在业务员个人手中,对企业来说是一件非常危险的事情,现实中经常可以看到,不少企业的业务员一旦跳槽或离职,原有的客户和业务关系也被随之带走,形成企业对业务人员过于依赖的局面。更有甚者,有的企业业务员明地里使用单位各项资源,暗地里为自己或亲友开拓业务、谋取私利,严重损害了企业利益。针对这种现象,企业应通过完善制度设计,例如采取建立统一的客户档案和客户关系管理系统、同一笔业务有两人以上共同参与、适当进行工作轮换和加强财务对业务过程的控制等措施,将业务员手中的客户资源转化为企业资源,让客户认的是企业本身而不是认个人,这样企业的业务就不会依赖于某一两个人,从而保持持续稳定的发展。同理,对企业支持性职能部门,如财务、人力资源、信息系统等,通过绘制清晰的工作流程图,可以让每个人都能一目了然地知道办事程序、涉及的部门、人员和规章制度,而且能够将工作形成的好经验固化下来,并且通过流程图能比较容易发现内部控制中的不足之处和风险点,从而有助于企业内部控制的持续改进。
【案例】2003年初,花旗银行台湾区总经理陈圣德率领二十多位主管集体跳槽,但在经历短暂的人事地震以后,花旗银行在短短两三个月内就基本恢复了业务正常开展,当年业绩并未受到大的影响,盈利反而创下历史新高,靠的就是花旗银行内部已经形成完整的制度和流程,用制度来保障业务开展,而不是依赖于某个业务人员或主管。
在职场小说《杜拉拉升职记》中,DB公司总裁何好德和杜拉拉说:“我们把公司的SOP(Standard OperationProcedure,标准操作流程)全方位地健全起来。大家想办任何事情,哪个级别有权利做决定,可以办还得是不可以办,该怎么办,有谁来办,多长时间内得办好,在SOP里全都规定好。还有,别忘记在SOP中规定特批的程序,对未尽事宜的审批办法设定好解决途径,因为总会有特例存在。”“这样,任何人之间都不用发生争论乃至对立,做决定的人也有依据,凡事都以SOP为行事标准,我批准什么,是依据SOP,不批准什么,也是依据SOP——大公司嘛,就应该尽量避免太多个人化的决定,让制度来管理公司才是正道。”
五、缺乏系统的、合理的授权审批体系
企业实施授权审批过程中,经常出现的漏洞有:没有明确的授权审批权限表、;授权审批缺乏统一梳理,政出多门相互冲突;权限设置不合理,过于集权或放权,典型表现就是一支笔审批;授权审批流程设置不合理、缺乏紧急授权或临时授权的规定等。例如:某企业先后分别颁布了《采购制度》、《固定资产管理制度》和《信息系统管理制度》,其中关于购买办公电脑的审批程序,这三个制度都可以适用,而三个制度规定的审批程序又各不相同,给内控执行带来混乱。因此企业建立书面的授权审批权限指引表,把各个制度中涉及的审批事项和程序,都纳入到权限指引表中进行统一梳理,才能防止这种自相矛盾导致失效的情况出现,并且可清楚地了解企业各个事项审批流程与权限。另外,实务中经常碰到一些单位采取领导“一只笔”审批,表明看起来似乎控制很严格,不容易出问题,但事实上这种“一只笔”控制反映了内部控制方式的落后。首先,事无巨细都由领导来审批,囿于时间和精力,领导最后可能疲于应付,分不清主次,审批“一只笔”变成签字“一只笔”而已,控制流于形式。其次,如果缺乏相关支撑信息,领导无法对收支合理性进行判断,“一只笔”就会失去控制作用,例如经办人员申请购买某种设备,而领导没有该设备经济可行性、价格合理性的相关数据,审批就会演变成一种过场。第三,领导“一只笔”会造成高度集权,不利于对领导的制约和监督,可能导致腐败。因此,合理的内部控制应当按照重要性程度大小,适当分层授权,逐级审批。
企业在构建合理、系统的授权审批体系,应关注如下几个方面:树立并推行授权审批的正确理念;梳理授权审批事项;确定各事项申请、审核和批准的审批过程;建立授权审批体系的持续跟踪和反馈机制;建立授权审批体系的追责机制。
六、内部控制制度“救火式”的较多,制度体系缺乏系统性和完整性,甚至政出多门,相互打架。
很多企业的内部控制制度都是在发展中逐步建立起来,经常是发现管理中出现了某种问题,于是相应地出台一个制度来规范。例如今天发现电话费高了,就制定一个通讯费管理办法,明天发现办公用品浪费严重,就拟定出办公用品采购与使用办法。这种“救火式”的制度往往只能防范已发生过的风险,而对未发生的风险则考虑不足。此外,这样的制度体系无论在内容上还是形式上,都缺乏系统性和完整性,没有科学合理的分类,甚至不同制度之间存在矛盾或重叠的现象。有的单位还有不同部门根据自身需要制定制度现象,政出多门,相互打架。
【案例】W公司各部门根据本部门经营管理需要,制定了一系列规章制度,但公司并没有统一的规章制度发布平台,对制度维护也没有专门的归口部门,各部门可自行发布管理制度。例如,针对存货管理,仓储部门出台了存货管理制度,其中对存货盘点程序进行了规定;与此同时,财务部门也针对资产管理出台了相关管理制度,其中也包括了存货盘点方面规定,但是两个制度在存货盘点的频率、盘点责任主体、盘点具体程序方面都存在差异,导致无法对控制活动执行启动有效的指导和规范。
因此,企业应明确规章制度的牵头维护职能部门,编写制度时应有一套规范的制度制定程序和形式规范,包括制度的编号、格式、分类、内容、审批程序、执行及其他应注意事项进行统一的规范化管理,制度完成后有统一的发布平台,并加强制度宣贯。《杜拉拉升职记》中公司决定大规模推进SOP(标准操作流程)建设时,管理层首先批准了一个SOP——“关于如何规范SOP的SOP”,杜拉拉和财务部负责SOP管理的同事一起,在全国各办事处宣讲这个SOP的内容,从而保证了公司SOP建设顺利推进。
七、缺乏体系化的信息化管理,信息系统控制薄弱。
现代企业的运营越来越依赖于信息系统。比如银行的资金实时结算系统、航空公司网上订票系统、超市进销存系统、电商运营平台等,没有信息系统的支撑,业务开展就举步维艰、难以为继,企业经营就很可能陷入瘫痪状态。但企业信息系统内部控制以及利用信息系统实施内部控制也面临诸多风险,信息方面常见漏洞包括:信息系统缺乏或规划不合理,可能造成信息孤岛或重复建设,导致企业经营管理效率低下;系统开发不符合内部控制要求,授权管理不当,可能导致无法利用信息技术实施有效控制;系统运行维护和安全措施不到位,可能导致信息泄漏或毁损,系统无法正常运行。
【案例】某电子通讯公司市场部在例行工作中发现,该公司刚刚推出的一款新型号手机竟然以非常低廉的批发价格出现在上海闸北区的一家通讯市场的私营小店内。经调查发现,这些手机确实是从下属的两个销售点流出去的。但过去的几个月里,公司没有接到过手机失窃报告,也没有陌生人进入过保管手机的仓库。据此,公司认为很可能是有内部人员做了手脚,便向公安机关报警。经过侦查,发现犯罪嫌疑人王某,一手策划并操控整个犯罪团伙实施了这起非法侵占案件。王某曾在这家通讯公司做财务工作,在一次公司数据报错时,电脑上显示了指示路径,直接可以看到数据库的所在,于是他尝试着进入了公司的数据库。不过,王某对公司的管理层有意隐瞒了数据库可随意进入并篡改的情况,因为他从中看到了一个发财的大好机会。2003年6月,王某离开了公司,但他却并没有急着找工作,也没有断掉和公司中某些人的联系,而是精心策划起如何非法侵占和倒卖手机的实施方案。按照王某的设计,首先,由在公司本部工作的一名员工按照之前获得的路径进入数据库并复制好全部数据。然后,王某修改其中某个门店的销售记录,比如,某型号的手机明明卖了100部,他改成105部,那么,门店的仓库里就多出来了5部手机。接下来,他用修改好的数据覆盖掉公司电脑里正确的数据,并通知事先物色好的仓库保管员拿出这些手机。在对这些环节都进行了仔细研究、并有了相应对策以后,王某串通公司里一名财务人员以及仓库保管员等人大肆作案,从最初每个月从4个销售点侵占近10部手机,到后来一个月侵占70多部手机,累计盗窃手机近300部。由于该公司管理不健全及信息系统漏洞,再加之具体核对数据的财务人员就是在案件中替王某复制并传输数据的人,所以,长期以来公司并不知晓手机缺失的情况,直到案件发生。
对于信息系统建设和开发,企业必须制定信息系统开发的战略规划和中长期发展计划,并在每年制定经营计划的同时制定年度信息系统建设计划,促进经营管理活动与信息系统的协调统一,避免造成信息孤岛或重复建设,信息孤岛现象是不少企业信息系统建设中存在的普遍问题,根源在于这些企业往往忽视战略规划的重要性,缺乏整体观念和整合意识,常常陷于“头痛医头、脚痛医脚”,导致有的企业财务管理信息系统、销售管理信息系统、生产管理信息系统、人力资源管理系统、办公自动化系统等各自为政、孤立存在的现象,削弱了信息系统的协同效用,甚至引发系统冲突。
对于信息日常运行维护,企业应制定信息系统使用操作程序、信息管理制度以及各模块子系统的具体操作规范,及时跟踪、发现和解决系统运行中存在的问题,确保信息系统按照规定的程序、制度和操作规范持续稳定运行。关注系统各类用户的职责分离及权限管理,做好系统运行记录,尤其是对于系统运行不正常或无法运行的情况,应对异常现象发生时间和可能的原因作出详细记录。对重要系统,要做好备份及灾难恢复工作,保证系统的安全运行。
八、内部控制忽视书面证据,执行过程缺乏留痕
在法学界,常常有实体正义与程序正义之争,关于程序正义的重要性,英国著名大法官丹宁勋爵有句名言,“正义不仅要实现,而且要以看得见的方式实现”,借用这句话,我们可以说,“内部控制不仅要实现,而且要有确凿的证据证明它已实现”。这种证据,一般是事后可审查的书面证据,包括以纸质或电子形式保存的文档资料、交易系统中留下的控制痕迹等,例如书面制规定度、审批流转单、会议记录等等。现实中,很多企业在内控制度设计和执行过程中,往往重内容、轻形式,忽视控制过程中的书面记录重要性,认为只要实施了控制活动就可以了,而不太关注控制过程是否留有证据。这种现象在企业非常普遍,例如,某一重大事项是经高层领导或各部门开会讨论通过,但却没有相关会议记录,或虽有记录,但对涉及到重要决策事项,没有相关人员签字;支付一笔款项,需要领导审批,由于时间比较紧急,在电话请示同意后,财务人员予以支付,事后也无补签手续;会计凭证或某些表格需要复核,复核人在复核后不在上面签字或盖章,以证明已复核过。
控制过程当中没有留下可审查的痕迹、证据,会导致几个方面问题:一是很难保证内部控制真正执行到位,由于无法验证,控制活动是否执行只有当事人自己清楚,在企业中,经常会碰到凭证或表单需要复核的而无复核签章的现象,复核的人往往辩称确实已执行过复核控制,但试想一下,如果复核人连举手之劳的签字或加盖印章都做不到,又怎么能让别人相信他能认真地履行过复核这个控制程序呢?其次,不利于内部控制的监督和评价,对控制活动的监督和评价,所能依据的只能是客观证据,而不是控制执行人员的口头描述,如果没有证据支持,从内控监督人员或审计人员角度来说,就只能认定该项控制缺失;第三,不利于信息传递和沟通,如果没有留下书面记录,其他非直接当事人往往难以了解相关情况,比如没有详细的会议纪录,非参会人员就难以了解会议议题、讨论情况和决策过程;第四,不利于责任清晰界定,甚至会带来很大的法律风险。这种责任界定不清,既可能涉及到企业内部不同部门、不同员工的责任界定,也可能涉及到本企业与其他单位之间的责任界定,例如,业务部门申请支付一笔大额款项,本来需要总经理签字,因总经理出差,财务总监电话请示总经理同意后,批准财务人员支付了这笔款项,但事后也没有要求总经理补签,结果后来审计时查出这笔款项支出有问题,总经理却称他并不知情,财务总监虽辩称是总经理同意的,但却没有任何书面证据来支持,只能口说无凭了。另外,在与外单位的来往中,企业不注意书面证据的使用和保管可能导致法律风险。譬如通过运输公司发货,企业应当保留清晰的书面发货单据,否则,一旦货物丢失或毁损,则很难说清到底是谁的责任,导致索赔缺乏证据。再比如,最近有一起建筑质量事故,案发后调查表明,施工方的施工过程存在严重过失,而这期间,施工监理已发现施工方问题,并多次与施工方沟通,要求施工方尽快改正,但施工方并未改正,以致最终酿成重大事故发生。在事故调查时,施工监理方虽然称其已尽到监理责任,但却拿不出相应有力的书面证据来证明其说法,只能承担监理缺失之责。
此外,使用书面凭证形式不规范的现象也在很多企业广泛存在,无固定格式的表单(如对同一类事项的付款申请,使用的报告或表单五花八门)、表单无编号、表单上签字不规范(如以画圈代签名、不签日期)等等,这些都会削弱内部控制活动的效果。
“没有证据,就没有控制(no evidence, no control)”,对我国企业来说,应当改变重内容、轻形式的观念,在设计内控制度时,注意相关控制表单的设计和运用;在内部控制执行过程中,加强培训和监督,促使控制活动过程留下“痕迹”,以保证内部控制得到真正有效执行。
九、过分强调控制成本,经常将效率作为弱化或逾越内部控制的理由。
实施内部控制无疑需要成本,并且在一定程度上会影响到运行效率。于是,一些单位管理人员便常常以影响效率为由,反对内部控制措施的推行。事实上,如果将各项职能都交给某一个部门或某一个人去执行,没有必要的授权批准和审核,在效率上可能会很高,但由此产生的风险也急剧上升。因此,为了防止一些重大风险给企业带来灾难性损失,牺牲一定程度的效率是控制风险所必须付出的成本。现实中经常碰到的情形是,在企业推行新的内部控制制度,往往会涉及到原有利益格局的打破和调整,这时一些管理人员便表明上以影响效率为由来反对内部控制新举措推行,实际是由于个人或部门利益受到影响。因为内部控制制度不完善带来的损失可能是关系到企业存亡问题,而效率则是影响企业发展的快慢,作为企业的领导者,不能过分强调成本因素而忽视内部控制制度的建设,应当合理权衡内部控制的成本和效率的关系。
十、 内部控制执行不力,说一套做一套,制度如同放空炮。
内部控制制度是否得到有效执行是个老生常谈的问题,却又不得不谈,很多出问题的案例往往都不是因为制度缺乏规定,而恰恰是制度有明文规定却未能遵照执行。
【案例】中航油(新加坡)公司因从事衍生品业务,导致5.5亿美元巨亏,引发各方关注。事后调查发现,公司有完整的风险管理规章制度,是由国际“四大”之一的安永会计师事务所制定的,在风险管理委员会设置、风险控制流程等各方面制度都比较完备按照规定,公司的风险管理基本结构是从交易员,到风险管理委员会,到内审部,到首席执行官,再到董事会层层上报;每名交易员亏损20万美元时,要向风险管理委员会报告,亏损达37.5万美元时向首席执行官汇报,亏损50万美元时,必须斩仓。但遗憾的公司这些制度并未得到有效执行,公司内部风险管理内控系统形同虚设,最终给公司造成了超过5亿美元的灾难性损失。
内部控制制度不能有效执行主要有两方面原因:一是制度设计层面问题,内控制度本身制定得不合理,或过于抽象无法落地,或随着新情况出现,原有制度已不能适应却没有及时修改,从而使得制度不具可操作性,自然也就不会被执行;二是缺乏保证制度执行的机制,一些单位对内部控制执行情况没有检查监督机制(未设立独立的内审部门或缺乏有效的内部审计职能),或内部控制执行与奖惩考核不挂钩,或缺乏对控制缺陷整改的有效跟进,这些都会导致内控执行不力,内部控制制度成为墙上摆设和一纸空文也就不奇怪了。
如何让内控不走过场、落到实处,需要企业管理层高度重视,建立健全的治理结构和组织架构,并保证内控制度落实执行的机制,做到职权分明、流程可操作、执行有监督、结果有奖惩,还需定期评估和完善内控制度,对已过时制度及时修订,对内控缺陷要进行整改和跟踪。此外,要将内控建设工作与信息化系统紧密结合,借助信息化工具来建立和完善内控体系。另外,加强内控落地与信息科技的结合,完善业务管理系统的信息化建设,将业务环节的各项关键控制措施通过信息化系统实现。
以上对我国企业常见内控漏洞进行了探讨,需要特别说明的是,由于内部控制具有复杂性,上述漏洞只是典型问题示例而非穷举,不同企业情况千差万别,需要各企业灵活分析和应用。
(欢迎继续关注内控连载……)
内控相关文章:
内控连载08:销售内控案例——促销存漏洞,一人独得200个特等奖