本
文
摘
要
内部控制是企业为控制经营风险、实现经营目标而制定的各项政策与程序,也是管理会计工作的重要组成部分。本文结合众多内控失败案例和内控咨询工作经验,归纳内控制常见十大问题,希望会计人员有则改之,无则加勉。
01 出纳领取银行对账单、编制银行存款余额调节表。
这个问题非常普遍且后果严重,但直到今天,仍有很多单位没有意识到。
不相容职务分离是内部控制的一个基本原理,通常需要分离的不相容职务包括授权与执行、执行与审核、执行与记录、保管与记录,所谓“管钱不管账,管账不管钱”就是不相容职务分离原理的典型运用。货币资金是最容易出现舞弊的一项资产,如果由出纳来负责领取银行对账单、编制银行存款余额调节表,就能很轻易挪用或侵占公司货币资金,并通过伪造对账单或在余额调节表上做手脚来掩盖。
案例:国家自然科学基金委会计卞中从1995-2003年的8年时间里,利用掌管国家基础科学研究的专项资金下拨权,采用谎称支票作废、偷盖印鉴、削减拨款金额、伪造银行进账单和信汇凭证、编造银行对账单等手段贪污、挪用公款人民币两亿余元。卞中担负资金收付的出纳职能,同时所有银行单据和对账单也都由他一手经办,使得他得以作案长达八年都没有引起怀疑。
2003年春节刚过,基金委财务局经费管理处刚来的一名大学生上班伊始便到定点银行拿对账单,以往这一工作由会计卞中负责。一笔金额为2090万的支出引起了新人注意,印象里他没有听说此项开支。这个初入社会的新人找到卞中刨根问底,这桩涉案金额超过2亿元的大案也因此浮出水面。
实际上,还有80%以上的企业存在该现象,究其原因,主要从工作方便角度出发,由于出纳经常跑银行,于是便“顺理成章”地领取银行对账单、编制余额调节表。殊不知这种习惯存在巨大风险隐患,其实要防范并不难,只要改由出纳以外的人来负责银行对账单领取和账面银行存款余额核实工作即可,关键要从思想意识上重视起来。
02 领导“一只笔”审批,缺乏完善内控制度和流程保障。
领导“一只笔”,表面看起来似乎控制很严格,却反映了单位内部控制方式的落后。
首先,事无巨细都由领导来审批,囿于时间和精力,领导最后可能疲于应付,分不清主次,审批“一只笔”变成签字“一只笔”,控制流于形式。
其次,如果缺乏相关支撑信息,领导无法对收支合理性进行判断,“一只笔”就会失去控制作用,例如经办人员申请购买某种设备,而领导没有该设备经济可行性、价格合理性的相关数据,审批就会演变成过场。
第三,领导“一只笔”会造成高度集权,不利于对领导的制约和监督,合理的内部控制应当按照重要性程度大小,适当分层授权,逐级审批。
03 过于依赖业务人员,企业资源掌握在个人手中,企业对业务开展失去控制。
企业业务资源完全掌握在业务员个人手中,是非常危险的,现实中常见,不少企业业务员一旦跳槽或离职,原有的客户和业务关系也被随之带走,更有甚者,明地里使用单位各项资源,暗地里为自己或亲友开拓业务、谋取私利,严重损害企业利益。
对此,企业应通过完善制度设计,例如采取建立统一的客户档案和客户关系管理系统、同一笔业务有两人以上共同参与、适当进行工作轮换和加强财务对业务过程的控制等措施,将业务员手中的客户资源转化为企业资源,让客户认的是企业本身而不是个人,这样企业业务就不会依赖于某一两个人,从而保持持续稳定的发展。
案例:2003年初,花旗银行台湾区总经理陈圣德率领二十多位主管集体跳槽,但在经历短暂人事地震以后,花旗银行在短短两三个月内就基本恢复了业务正常开展,当年业绩并未受到大影响,盈利反而创下历史新高,靠的就是花旗银行内部完整的制度和流程,用制度保障业务,而不是依赖于某个业务人员或主管。
04 内部控制制度文字描述性东西较多,清晰的流程图和配套表单较少。
有这样一个现象,老员工在该岗位工作游刃有余,看似很简单,而一旦这个员工调离或辞职,后面接替的人员却花了很长时间还是接不上手。造成这种现象是企业制度主要是缺乏清晰的岗位说明和工作流程图,执行人往往凭自己经验和别人“言传身教” 来做事,岗位新手在开始阶段工作不知从何入手,需要很长一段学习和熟悉过程。
因此,一套完整的企业制度应包括三部分:
(1)文字描述的支撑制度文件;
(2)工作流程图或流程的文字描述;
(3)相关凭证、表单、文件的样式汇总。
通过绘制清晰的工作流程图,可以让每个人都能一目了然地知道办事程序、涉及的部门、人员和规章制度,且将工作形成的好经验固化下来,并从中发现内部控制中的不足和风险点,从而有助于企业内部控制的持续改进。
05 内部控制制度“救火式”的较多,制度体系缺乏系统性和完整性,甚至政出多门,相互打架。
很多企业的内控制度都是在发展中逐步建立起来。例如今天发现电话费高了,就制定一个通讯费管理办法,明天发现办公用品浪费严重,就拟定出办公用品采购与使用办法。
这种“救火式”制度往往只能防范已发生的风险,而对未发生的风险则考虑不足。此外,这样的制度无论内容还是形式,都缺乏系统性和完整性,甚至不同制度间存在矛盾或重叠。有的单位还有不同部门根据自身需要制定制度现象,政出多门,相互打架。
案例:某单位仅是购买电脑一项,既可以通过信息科购买,因为信息科负责整个单位的计算机软硬件系统;也可以通过行政办公室,因为电脑属于办公用品,归办公室管理;还可以通过负责管理固定资产的设备科购买,因为电脑是固定资产。为此,企业应有一套规范的制度制定程序和形式规范,包括制度的编号、格式、分类、内容、审批程序、执行及其他应注意事项进行统一的规范化管理,并以书面形式予以约束。
06 员工临时休假或出差时,缺乏明确的工作交接制度。
任何一个岗位,总会出现员工因故不能正常上班的情形,实操中,在遇到员工临时休假或出差时,便指派一位同时临时兼一下,但事实上,临时抱佛脚可能会带来风险。
企业正常的工作安排中通常会将不相容职务由两个以上的人来担任,以便相互牵制,而临时指派某人兼任做法,可能会导致不相容职务由同一人担任。例如支票印鉴平常一般都由两人分别保管,如果因其中一人临时有事而指派另一人暂时兼任,由一人掌握所有空白支票和印鉴的话,盗用支票的风险就会大大增加。
因此,企业有必要明确规定一些重要岗位的工作交接制度,防止内控“真空”现象。
07 人员招聘时注重笔试和面试的考察,忽视背景调查。
“谁能知道在一份漂亮的简历背后又隐藏着什么?”
背景调查能有效发现应聘者有无虚构个人信息、是否存在不诚信记录、在以前雇主处工作情况,且本身并不需要复杂技术,只需要向应聘者以前工作过单位打几个电话或发封函件就能够了解,实施成本不高。
案例:北京肿瘤医院住院部主任的石巧玲,四年时间贪污挪用1000多万元,检察官办案时发现她自己在不同表格上填写的出生日期就有三个版本,而在填写工作简历时她又玩上了花样:
在1979年 5月石巧玲亲自填写的《工作人员履历表》中,前页写“售货员”,后页则写在“工商局工作”;
1995年12月25日填写的肿瘤医院《干部任免呈报表》中,石巧玲的工作简历又变成了“1967——1978年,北京商业局会计”。
严肃的履历表成了可随意填写的“草纸”。其实,这些问题通过对应聘者简历的认真审核和相应背景调查是不难发现的。
08 关键岗位无强制轮换或带薪休假制度。
企业员工在某一岗位工作时间长了,会比较熟悉内部控制漏洞所在,实施舞弊的可能性更大。现实中,不少挪用或贪污等舞弊现象都是在工作交接时被发现的。
案例:2005年4月,仪征化纤公司在工作交接过程中发现营销部一会计挪用资金5000多万元,该会计毕业后被分配至公司从事财务工作,16年来他的岗位和职务一直都没有变化,由于在岗时间很长,规律摸得非常透,他知道什么时候将款项交给单位,也清楚什么时候要进行财务检查或审计,总能找到新的款项填补漏洞,自1999年开始挪用资金,作案时间长达6年,期间一直未露蛛丝马迹,直到2005年因单位内部人事改革他被迫交接工作时才败露。
过去比较强调“螺丝钉”精神,殊不知,“螺丝钉”在一个地方时间拧长了容易生锈。通过强制轮换,或带薪休假,在休假期间工作由别人暂时接替,由于员工离岗时的工作交接会受到他人监督,那么实施并掩盖舞弊的机会将大大减少。
美国货币管理局要求全美的银行雇员每年休假一周,在雇员休假期间,安排其他接替人员做他的工作,就是为了防止员工长期在同一岗位工作可能产生舞弊。对我国企业来说,例如财务、采购中的部分关键岗位,通过建立强制轮换和带薪休假制度,既可以提升员工的工作能力,同时是防范和发现舞弊的一项有效措施。
09 过分强调控制成本,经常将效率作为弱化或逾越内部控制的理由。
内控无疑需要成本,并且在一定程度上会影响到运行效率。于是, 一些单位管理人员便常常以影响效率为由,反对内控推行。
如果将各项职能都较给某一个部门或某一个人去执行,没有必要的授权批准和审核,效率上可能会很高,但风险也急剧上升。很多反对往往是因为涉及到原有利益格局的打破和调整,影响其本人利益。
内控不完善带来的损失可能是关系到企业存亡问题,而效率则是影响企业发展的快慢,作为领导者,不能过分强调成本因素而忽视内部控制制度的建设,应当合理权衡内部控制的成本和效率的关系。因此,为了防止重大风险,牺牲一定程度的效率是控制风险所必须付出的成本。
10 说一套,做一套,制度放空炮。
内控是否得到有效执行是个老生常谈的问题,却又不得不谈。
案例:以中航油(新加坡)为例,尽管公司有完整的风险管理规章制度,而且是由“四大”之一的安永制定的,要求从交易员,到风险管理委员会,到内审部,到首席执行官,再到董事会层层上报;每名交易员亏损20万美元时,要向风险管理委员会报告,亏损达37.5 万美元时向首席执行官汇报,亏损50万美元时,必须斩仓。
但这些制度并未得到有效执行,内控系统形同虚设,最终给公司造成了超过5亿美元的灾难性损失。
内部控制制度不能有效执行原因主要有二:
一是制度本身制定得不合理,或过于理想化,或随着新情况出现,原有制度已不能适应却没有及时修改,从而不具可操作性,自然也就不会被执行;
二是缺乏保证制度执行的机制,一些单位对内部控制执行情况既没有检查监督,又没有相应奖惩,内部控制制度成为墙上摆设和一纸空文也就不奇怪了。
为此,企业一方面需要提高制度可操作性,另一方面要加强制度执行力,不能为制度而制度。