《公司层面内控漏洞探讨》-北京元年管理咨询 

首页>元年思享

发布时间:2018-06-04

《公司层面内控漏洞探讨》

贾先生贾先生


内控漏洞是指内部控制存在缺陷或问题,导致无法合理保证内部控制目标的实现,这种漏洞既有内控设计无效导致的,也有内控执行不到位引起的。企业内部控制可分为两个层次:公司层面内部控制(也称整体层面内部控制)和流程层面内部控制。公司层面内部控制是指对企业内部控制内部体系有普遍影响的一系列内部控制措施,包括企业文化、治理结构、反舞弊、风险管理、人力资源管理等方面具体内容。流程层面内部控制是以重要业务流程为主线,识别并记录的与企业重要业务及交易相关的内部控制措施。

公司层面内部控制是流程层面内部控制实施有效性重要保障,是一个整体机制,确保管理层设在公司内部各个领域、各个业务层面的控制机制得以有效运行的机制。关于各个流程层面的内控漏洞将在后续探讨,这里从公司层面,就我国企业经常容易出现的内控漏洞做个探讨。

一、缺乏系统的风险评估,内控体系建立不是以风险为导向

很多单位的内部控制制度都是根据经验或企业发生过的案例来制定的,而忽视了企业全面风险评估,导致内部控制体系看起来有很多控制要求,但却忽视了一些重大风险或关键控制点,不能有效防止重大灾难性风险。良好的内控体系应在全面风险评估基础上,根据风险,选择合理的风险应对策略,内控活动的设计与执行应当以风险为导向,合理配置资源,抓住关键控制点。

二、不相容职责未能有效分离

之所以把这个问题列在前面,是因为它在我国企业非常普遍且后果严重,但遗憾的是,直到今天,仍有很多单位根本没有意识到这一问题,或虽然意识到了却不以为然,低估了其可能造成的严重后果。内控的一个原理就是通过相互牵制减少错弊,二个人犯同种错误的概率比一个人犯同种错误的概率低,而且可以起到相互监督制衡作用。《企业内控基本规范》第二十九条规定:“不相容职务分离控制要求企业全面系统地分析、梳理业务流程中所涉及的不相容职务,实施相应的分离措施,形成各司其职、各负其责、相互制约的工作机制。” 各单位通常应分离的不相容职务包括授权与执行、执行与审核、执行与记录、保管与记录,所谓“管钱不管账,管账不管钱”就是不相容职务分离原理的一个典型运用。一个常见且典型内控漏洞就是出纳领取对账单,从不相容职务分离要求来说,由出纳来领取银行对账单是项大忌,因为出纳本身负责货币资金保管和收支,如果再由出纳来负责领取银行对账单、编制银行存款余额调节表,出纳就有可能挪用或侵占企业货币资金,并通过伪造对账单或在余额调节表上做手脚来掩盖自己的舞弊行为。

三、缺乏对组织架构和岗位设置的系统分析

建立和完善组织架构可以为强化企业内部控制建设提供重要支撑。组织架构是企业内部环境的有机组成部分,也是企业开展风险评估、实施控制活动、促进信息沟通、强化内部监督的基础设施和平台载体。企业在组织架构和岗位设置方面问题主要有:组织架构设计不科学,权责分配不合理,岗位职责不明确,可能导致机构重叠、职能交叉或缺失、推诿扯皮、运行效率低下。具体内控漏洞表现有:(一)企业内部组织机构未能结合经营业务的性质,按照适当集中或分散的管理方式设置,导致企业或过于集权影响效率、或过于分权管理失控;(二)对内部组织机构设置、各职能部门的职责权限、组织的运行流程等没有明确的书面说明和规定,存在关键职能缺位或职能交叉的现象;(三)组织机构和岗位设置未能根据环境变化和经营战略及时调整;(四)未对岗位职责职权进行了恰当的描述和说明,职责职权不明晰,关键岗位员工对自身权责没有明确的认识;(五)未建立关键岗位员工轮换制度和强制休假制度;((六)存在不相容职务未分离的情况;(七)未对权限的设置和履行情况进行了审核和监督,对于越权或权限缺位的行为是否及时予以纠正和处理。

四、缺乏内部控制的制度化管理,依赖人治

一些企业没有系统的内部控制制度,或者规章制度泛泛而谈,缺乏操作性和指导性,使得企业经营管理主要依靠个人经营和责任心,缺乏明确操作标准规范、约束和指导业务流程。由此导致的可能后果,企业业务资源完全掌握在业务员个人手中,对企业来说是一件非常危险的事情,现实中经常可以看到,不少企业的业务员一旦跳槽或离职,原有的客户和业务关系也被随之带走,形成企业对业务人员过于依赖的局面。更有甚者,有的企业业务员明地里使用单位各项资源,暗地里为自己或亲友开拓业务、谋取私利,严重损害了企业利益。针对这种现象,企业应通过完善制度设计,例如采取建立统一的客户档案和客户关系管理系统、同一笔业务有两人以上共同参与、适当进行工作轮换和加强财务对业务过程的控制等措施,将业务员手中的客户资源转化为企业资源,让客户认的是企业本身而不是认个人,这样企业的业务就不会依赖于某一两个人,从而保持持续稳定的发展。同理,对企业支持性职能部门,如财务、人力资源、信息系统等,通过绘制清晰的工作流程图,可以让每个人都能一目了然地知道办事程序、涉及的部门、人员和规章制度,而且能够将工作形成的好经验固化下来,并且通过流程图能比较容易发现内部控制中的不足之处和风险点,从而有助于企业内部控制的持续改进。

五、缺乏系统的、合理的授权审批体系

企业实施授权审批过程中,经常出现的漏洞有:没有明确的授权审批权限表;授权审批缺乏统一梳理,政出多门相互冲突;权限设置不合理,过于集权或放权,典型表现就是一支笔审批;授权审批流程设置不合理、缺乏紧急授权或临时授权的规定等。例如:某企业先后分别颁布了《采购制度》、《固定资产管理制度》和《信息系统管理制度》,其中关于购买办公电脑的审批程序,这三个制度都可以适用,而三个制度规定的审批程序又各不相同,给内控执行带来混乱。因此企业建立书面的授权审批权限指引表,把各个制度中涉及的审批事项和程序,都纳入到权限指引表中进行统一梳理,才能防止这种自相矛盾导致失效的情况出现,并且可清楚地了解企业各个事项审批流程与权限。另外,实务中经常碰到一些单位采取领导“一只笔”审批,表明看起来似乎控制很严格,不容易出问题,但事实上这种“一只笔”控制反映了内部控制方式的落后。首先,事无巨细都由领导来审批,囿于时间和精力,领导最后可能疲于应付,分不清主次,审批“一只笔”变成签字“一只笔”而已,控制流于形式。其次,如果缺乏相关支撑信息,领导无法对收支合理性进行判断,“一只笔”就会失去控制作用,例如经办人员申请购买某种设备,而领导没有该设备经济可行性、价格合理性的相关数据,审批就会演变成一种过场。第三,领导“一只笔”会造成高度集权,不利于对领导的制约和监督,可能导致腐败。因此,合理的内部控制应当按照重要性程度大小,适当分层授权,逐级审批。

企业在构建合理、系统的授权审批体系,应关注如下几个方面:树立并推行授权审批的正确理念;梳理授权审批事项;确定各事项申请、审核和批准的审批过程;建立授权审批体系的持续跟踪和反馈机制;建立授权审批体系的追责机制。

六、制度体系缺乏系统性和完整性,甚至政出多门

很多企业的内部控制制度都是在发展中逐步建立起来,经常是发现管理中出现了某种问题,于是相应地出台一个制度来规范。例如今天发现电话费高了,就制定一个通讯费管理办法,明天发现办公用品浪费严重,就拟定出办公用品采购与使用办法。这种“救火式”的制度往往只能防范已发生过的风险,而对未发生的风险则考虑不足。此外,这样的制度体系无论在内容上还是形式上,都缺乏系统性和完整性,没有科学合理的分类,甚至不同制度之间存在矛盾或重叠的现象。有的单位还有不同部门根据自身需要制定制度现象,政出多门,相互打架。

七、缺乏体系化的信息化管理,信息系统控制薄弱

现代企业的运营越来越依赖于信息系统。比如银行的资金实时结算系统、航空公司网上订票系统、超市进销存系统、电商运营平台等,没有信息系统的支撑,业务开展就举步维艰、难以为继,企业经营就很可能陷入瘫痪状态。但企业信息系统内部控制以及利用信息系统实施内部控制也面临诸多风险,信息方面常见漏洞包括:信息系统缺乏或规划不合理,可能造成信息孤岛或重复建设,导致企业经营管理效率低下;系统开发不符合内部控制要求,授权管理不当,可能导致无法利用信息技术实施有效控制;系统运行维护和安全措施不到位,可能导致信息泄漏或毁损,系统无法正常运行。

对于信息系统建设和开发,企业必须制定信息系统开发的战略规划和中长期发展计划,并在每年制定经营计划的同时制定年度信息系统建设计划,促进经营管理活动与信息系统的协调统一,避免造成信息孤岛或重复建设,信息孤岛现象是不少企业信息系统建设中存在的普遍问题,根源在于这些企业往往忽视战略规划的重要性,缺乏整体观念和整合意识,常常陷于“头痛医头、脚痛医脚”,导致有的企业财务管理信息系统、销售管理信息系统、生产管理信息系统、人力资源管理系统、办公自动化系统等各自为政、孤立存在的现象,削弱了信息系统的协同效用,甚至引发系统冲突。

对于信息日常运行维护,企业应制定信息系统使用操作程序、信息管理制度以及各模块子系统的具体操作规范,及时跟踪、发现和解决系统运行中存在的问题,确保信息系统按照规定的程序、制度和操作规范持续稳定运行。关注系统各类用户的职责分离及权限管理,做好系统运行记录,尤其是对于系统运行不正常或无法运行的情况,应对异常现象发生时间和可能的原因作出详细记录。对重要系统,要做好备份及灾难恢复工作,保证系统的安全运行。

八、内部控制忽视书面证据,执行过程缺乏留痕

在法学界,常常有实体正义与程序正义之争,关于程序正义的重要性,英国著名大法官丹宁勋爵有句名言,“正义不仅要实现,而且要以看得见的方式实现”,借用这句话,我们可以说,“内部控制不仅要实现,而且要有确凿的证据证明它已实现”。这种证据,一般是事后可审查的书面证据,包括以纸质或电子形式保存的文档资料、交易系统中留下的控制痕迹等,例如书面制定制度、审批流转单、会议记录等等。现实中,很多企业在内控制度设计和执行过程中,往往重内容、轻形式,忽视控制过程中的书面记录重要性,认为只要实施了控制活动就可以了,而不太关注控制过程是否留有证据。这种现象在企业非常普遍,例如,某一重大事项是经高层领导或各部门开会讨论通过,但却没有相关会议记录,或虽有记录,但对涉及到重要决策事项,没有相关人员签字;支付一笔款项,需要领导审批,由于时间比较紧急,在电话请示同意后,财务人员予以支付,事后也无补签手续;会计凭证或某些表格需要复核,复核人在复核后不在上面签字或盖章,以证明已复核过。

控制过程当中没有留下可审查的痕迹、证据,会导致几个方面问题:一是很难保证内部控制真正执行到位,由于无法验证,控制活动是否执行只有当事人自己清楚,在企业中,经常会碰到凭证或表单需要复核的而无复核签章的现象,复核的人往往辩称确实已执行过复核控制,但试想一下,如果复核人连举手之劳的签字或加盖印章都做不到,又怎么能让别人相信他能认真地履行过复核这个控制程序呢?其次,不利于内部控制的监督和评价,对控制活动的监督和评价,所能依据的只能是客观证据,而不是控制执行人员的口头描述,如果没有证据支持,从内控监督人员或审计人员角度来说,就只能认定该项控制缺失;第三,不利于信息传递和沟通,如果没有留下书面记录,其他非直接当事人往往难以了解相关情况,比如没有详细的会议纪录,非参会人员就难以了解会议议题、讨论情况和决策过程;第四,不利于责任清晰界定,甚至会带来很大的法律风险。这种责任界定不清,既可能涉及到企业内部不同部门、不同员工的责任界定,也可能涉及到本企业与其他单位之间的责任界定,例如,业务部门申请支付一笔大额款项,本来需要总经理签字,因总经理出差,财务总监电话请示总经理同意后,批准财务人员支付了这笔款项,但事后也没有要求总经理补签,结果后来审计时查出这笔款项支出有问题,总经理却称他并不知情,财务总监虽辩称是总经理同意的,但却没有任何书面证据来支持,只能口说无凭了。另外,在与外单位的来往中,企业不注意书面证据的使用和保管可能导致法律风险。譬如通过运输公司发货,企业应当保留清晰的书面发货单据,否则,一旦货物丢失或毁损,则很难说清到底是谁的责任,导致索赔缺乏证据。再比如,最近有一起建筑质量事故,案发后调查表明,施工方的施工过程存在严重过失,而这期间,施工监理已发现施工方问题,并多次与施工方沟通,要求施工方尽快改正,但施工方并未改正,以致最终酿成重大事故发生。在事故调查时,施工监理方虽然称其已尽到监理责任,但却拿不出相应有力的书面证据来证明其说法,只能承担监理缺失之责。

此外,使用书面凭证形式不规范的现象也在很多企业广泛存在,无固定格式的表单(如对同一类事项的付款申请,使用的报告或表单五花八门)、表单无编号、表单上签字不规范(如以画圈代签名、不签日期)等等,这些都会削弱内部控制活动的效果。

“没有证据,就没有控制(no  evidence, no control)”,对我国企业来说,应当改变重内容、轻形式的观念,在设计内控制度时,注意相关控制表单的设计和运用;在内部控制执行过程中,加强培训和监督,促使控制活动过程留下“痕迹”,以保证内部控制得到真正有效执行。

九、过分强调控制成本

实施内部控制无疑需要成本,并且在一定程度上会影响到运行效率。于是,一些单位管理人员便常常以影响效率为由,反对内部控制措施的推行。事实上,如果将各项职能都交给某一个部门或某一个人去执行,没有必要的授权批准和审核,在效率上可能会很高,但由此产生的风险也急剧上升。因此,为了防止一些重大风险给企业带来灾难性损失,牺牲一定程度的效率是控制风险所必须付出的成本。现实中经常碰到的情形是,在企业推行新的内部控制制度,往往会涉及到原有利益格局的打破和调整,这时一些管理人员便表面上以影响效率为由来反对内部控制新举措推行,实际是由于个人或部门利益受到影响。因为内部控制制度不完善带来的损失可能是关系到企业存亡问题,而效率则是影响企业发展的快慢,作为企业的领导者,不能过分强调成本因素而忽视内部控制制度的建设,应当合理权衡内部控制的成本和效率的关系。

十、内部控制执行不力

内部控制制度是否得到有效执行是个老生常谈的问题,却又不得不谈,很多出问题的案例往往都不是因为制度缺乏规定,而恰恰是制度有明文规定却未能遵照执行。

内部控制制度不能有效执行主要有两方面原因:一是制度设计层面问题,内控制度本身制定得不合理,或过于抽象无法落地,或随着新情况出现,原有制度已不能适应却没有及时修改,从而使得制度不具可操作性,自然也就不会被执行;二是缺乏保证制度执行的机制,一些单位对内部控制执行情况没有检查监督机制(未设立独立的内审部门或缺乏有效的内部审计职能),或内部控制执行与奖惩考核不挂钩,或缺乏对控制缺陷整改的有效跟进,这些都会导致内控执行不力,内部控制制度成为墙上摆设和一纸空文也就不奇怪了。

如何让内控不走过场、落到实处,需要企业管理层高度重视,建立健全的治理结构和组织架构,并保证内控制度落实执行的机制,做到职权分明、流程可操作、执行有监督、结果有奖惩,还需定期评估和完善内控制度,对已过时制度及时修订,对内控缺陷要进行整改和跟踪。此外,要将内控建设工作与信息化系统紧密结合,借助信息化工具来建立和完善内控体系。另外,加强内控落地与信息科技的结合,完善业务管理系统的信息化建设,将业务环节的各项关键控制措施通过信息化系统实现。

以上对我国企业常见内控漏洞进行了探讨,需要特别说明的是,由于内部控制具有复杂性,上述漏洞只是典型问题示例而非穷举,不同企业情况千差万别,需要各企业灵活分析和应用。

 

 

 

 

 

下载
返回

分享: