淺談企業(yè)常見的內(nèi)控漏洞

金 花

（延邊大學出版社有限責任公司；吉林 延吉 133002）

內(nèi)控漏洞是指內(nèi)部控制存在缺陷或問題，導致無法合理保證內(nèi)部控制目標的實現(xiàn)。這種漏洞既有內(nèi)控設計無效導致的，也有內(nèi)控執(zhí)行不到位引起的。企業(yè)內(nèi)部控制可分為兩個層次；公司層面與流程層面的內(nèi)部控制。其中公司層面內(nèi)部控制指對企業(yè)內(nèi)部體系存在普遍影響的各種內(nèi)部控制措施，包括治理結構、企業(yè)文化、反舞弊、風險管理、人力資源管理等方面。流程層面內(nèi)部控制是以重要業(yè)務流程為主線，識別并記錄與企業(yè)緊要業(yè)務及交易有關聯(lián)的內(nèi)部控制措施。公司層面內(nèi)部控制是流程層面內(nèi)部控制實施有效性的重要保障，是一個整體機制，確保管理層設在公司內(nèi)部各個領域、各個業(yè)務層面的控制機制得以有效運行的機制。本文從公司層面，就我國企業(yè)經(jīng)常出現(xiàn)的內(nèi)控漏洞做個探討。

一、內(nèi)控體系建立缺乏系統(tǒng)的風險評估

在絕大多數(shù)單位中，其內(nèi)部控制制度大多依據(jù)經(jīng)驗或企業(yè)發(fā)生過的案例制定，忽視對企業(yè)全面風險的評估，進而導致其內(nèi)部控制體系看起來有很多控制要求，但卻對一些重大風險與關鍵控制點有所疏忽，未能對重大災難性風險進行有效預防。良好的內(nèi)控體系應在全面風險評估基礎上，根據(jù)風險，選擇合理的風險應對策略。內(nèi)控活動的設計與執(zhí)行應當以風險管理為導向，合理配置資源，抓住關鍵控制點。如：某市檢察院反貪局查處J 公司原董事長范某、副總經(jīng)理李某等人貪污、受賄、挪用公款等案件的過程中發(fā)現(xiàn)，該公司賬外為其他企業(yè)提供銀行貸款和貿(mào)易借款擔保。據(jù)初步統(tǒng)計和調(diào)查，截至1998年底，該公司各類賬外擔保金額達24.1 億元人民幣，其中已逾期的為17.3 億元人民幣，約占擔?？傤~的72%。J 公司承擔著沉重的擔保償還責任。調(diào)查顯示，J 公司既沒有制定完整的擔保制度，也沒有設立擔保業(yè)務責任部門。J 公司對外擔保不是出于經(jīng)營或商業(yè)的考慮，而是基于某些公司高層的個人私利，成為一種關系擔保，擔保對象則多為私營公司。如某實業(yè)公司總經(jīng)理沙某和J 公司沒有任何資產(chǎn)或業(yè)務聯(lián)系，只是由于沙某和J公司原董事長范某關系特殊，J 公司為沙某的公司提供賬外擔保，折合人民幣2.1 億元。這種私利擔保的背后多隱藏有貪污、受賄、挪用公款等犯罪行為，造成企業(yè)資產(chǎn)大量流失。由此可見，企業(yè)必須對風險作出有效而全面的評估，并在此基礎上強化對關鍵部位的控制，未雨綢繆，從而避免重大甚至災難性風險的發(fā)生。

二、不相容職責缺乏有效規(guī)避

由財政部、審計署、證監(jiān)會、保監(jiān)會、銀監(jiān)會在2008年6月聯(lián)合發(fā)布的《企業(yè)內(nèi)部控制基本規(guī)范》中，第二十九條規(guī)定：“不相容職務分離控制要求企業(yè)全面系統(tǒng)地分析、梳理業(yè)務流程中所涉及的不相容職務，實施相應的分離措施，形成各司其職、各負其責、相互制約的工作機制。[1]46”指出“內(nèi)部控制是由企業(yè)董事會、證監(jiān)會、經(jīng)理層和全體員工實施的、旨在實現(xiàn)控制目標的過程。內(nèi)部控制的目標是合理保證企業(yè)經(jīng)營管理合規(guī)、資產(chǎn)安全、財務報告入相關信息真實完整，提高經(jīng)營效率和結果，促進企業(yè)實現(xiàn)發(fā)展戰(zhàn)略?！盵2]199內(nèi)控的一個原理就是通過相互牽制減少舞弊，兩個人犯同種錯誤的概率比一個人犯同種錯誤的概率低，而且可以起到互相監(jiān)督的作用。各單位一貫應分離的不相容職務包括授權與執(zhí)行、執(zhí)行與審核、執(zhí)行與記錄、保管與記錄，所謂“管錢不管賬，管賬不管錢”就是不相容職務分離原理的一個典型運用。如，國家自然科學基金委會計人員卞某，在199 5年到2003年的8年里，利用掌有國家基礎科學研究專項資金下拔的權利，采取偷蓋印鑒、減少拔款金額、謊稱支票作廢、編造銀行對賬單、偽造銀行進賬單和信匯憑證等手段挪用貪污公款2 億余元人民幣。卞某承擔資金收付出納職能，同時所有的銀行單據(jù)及對賬單亦均由其一手經(jīng)辦，使他得以作案長達8年都沒有引起過懷疑。2003年春節(jié)剛過，基金委財務局經(jīng)費管理處剛來的一名大學生上班伊始便到定點銀行拿對賬單，以往這一工作由會計卞某負責。一筆2 000 余萬元的支出引起這名大學生的注意，他遂找到卞某詢問此事，就這樣，這件涉案金額超過2 億元人民幣的大案隨之浮出水面。通過上述案例可以看出，一些單位進行職責分工時，往往是從工作方便或效率角度考慮，讓同一人兼任不相容職務，殊不知，這種做法埋下了巨大隱患。比如，丁某作為銀行出納，負責領取銀行對賬單，而且公司審計竟然也由他兼任，這些嚴重違反不相容職務分離要求的安排，使得舞弊不僅容易發(fā)生，而且發(fā)生后不能及時被發(fā)現(xiàn)。再比如，一些企業(yè)讓銷售人員負責客戶收款和對賬的全過程，倉庫保管員負責盤點，都是違反不相容職務分離要求的。因此，企業(yè)進行組織架構設計和崗位職責分工時，不能僅僅考慮業(yè)務流程是否高效順暢，更應關注潛在風險，對關鍵的不相容崗位進行分離，如確因客觀原因導致無法分離時，要評估潛在風險嚴重程度，采取其他補償性控制措施，而不能坐視不管。

三、缺乏對組織架構和崗位設置的系統(tǒng)分析

建立并完善組織架構可為強化企業(yè)內(nèi)部控制提供重要支撐。企業(yè)在組織架構和崗位設置方面的問題主要有：組織架構設計的不科學，崗位職責的不明確，權責分配的不合理，可能導致機構重疊與職能交叉或缺失、推諉扯皮、進而運行效率低下。具體漏洞表現(xiàn)在：（1）企業(yè)內(nèi)部的組織機構不能結合經(jīng)營業(yè)務的性質(zhì)，依據(jù)適當集中或分散的管理方式進行設置，導致企業(yè)或過于集權影響效率，或過于分權管理失控；（2）對于內(nèi)部組織機構設置、各職能部門職責與權限、組織運行流程等沒有明確書面說明和規(guī)定，存在關鍵職能缺位或交叉現(xiàn)象；（3）組織機構和崗位設置未能根據(jù)環(huán)境變化和經(jīng)營戰(zhàn)略及時調(diào)整；（4）未對崗位職責職權進行恰當?shù)拿枋龊驼f明，職責與職權不清晰，關鍵崗位人員對自身權責沒有明確認識；（5）未建立關鍵崗位人員輪換與強制休假制度；（6）存在不相容職務未分離情況；（7）未對權限設置與履行情況審核和監(jiān)督，對于越權或權限缺位行為未及時給予糾正、處理。如：M 公司招聘李小姐，并與李小姐簽訂了3年期的勞動合同，試用期為6 個月。期間，M 公司對李小姐工作表現(xiàn)不滿意，于是在試用期將滿時，解除了雙方勞動合同。李小姐對公司“不符合錄用條件”說法并不認可，遂申請仲裁要求恢復履行勞動合同。目前司法解釋明確規(guī)定：“因用人單位作出的開除、除名、辭退、解除勞動合同、減少勞動報酬、計算勞動者工作年限等決定而發(fā)生的勞動爭議，用人單位負有舉證責任?！盡 公司首先需舉證界定李小姐擔任職位的“錄用條件”，其次需證明“李小姐不符合該錄用條件”。由于M 公司沒有明確的崗位說明書，對崗位職責沒有明確考核標準，且6 個月內(nèi)并未定期對李小姐評價和考核，因此，M 公司提出李小姐不能勝任崗位工作的說法未被仲裁庭認可。鑒于M 公司證據(jù)不足，其仲裁敗訴。之后，M 公司同意支付李小姐一定金額補償，雙方和解。此案例暴露出M 公司在崗位設置方面，對崗位職責職權、考核內(nèi)容都沒有明確界定，自然很難談得上有效管理了。

四、缺乏系統(tǒng)、合理的授權審批體系

企業(yè)實施授權審批過程中，經(jīng)常出現(xiàn)的漏洞有：沒有明確的授權審批權限表；授權審批缺乏統(tǒng)一梳理，政出多門，相互沖突；權限設置不合理，過于集權或放權，典型表現(xiàn)就是一支筆審批；授權審批流程設置不合理，缺乏緊急授權或臨時授權規(guī)定等。例如：有企業(yè)有如下規(guī)定：對貨幣資金開支做出管理控制，年度預算內(nèi)的資金開支，5 萬元以下由財務處長審批，5-20 萬元則由總會計師審批，而20-50 萬元開支由總會計師簽字報總經(jīng)理審批，至于50 萬元以上的開支則由董事會商討決定。某日，總會計師出差，負責出納的小劉也有事請假，而小劉個人名章和票據(jù)經(jīng)財務處長同意暫時由小趙代管，但小趙平時僅負責日常開支與銀行對賬，并不經(jīng)手開具支票。然而恰恰這一天公司采購部門送來付款申請及相關憑證，要求依據(jù)采購合同約定用轉賬支票支付上月貨款6 萬元。無奈之下，財務處長告訴采購處，暫時無法支付貨款。但采購部認為按照合同規(guī)定，當天如不能付款，就要支付供貨方一定的違約金做賠償，而且會影響到正常供貨，對生產(chǎn)和銷售也將帶來不利影響，要求財務必須解決付款問題。財務處長對此一籌莫展。該案例是企業(yè)經(jīng)常碰到的一個情形，出現(xiàn)該問題的癥結是公司制度對臨時授權和離崗人員工作交接缺乏明確規(guī)定。如果公司對此有明確規(guī)定，可由總會計師臨時授權，同意先由財務處長代簽，待出差回來后再辦理補簽手續(xù)，小李職權暫由小王行使，則可保證資金正常支付。企業(yè)構建合理、系統(tǒng)的授權審批體系，應關注如下幾個方面：（1）樹立并推行授權審批的正確理念；（2）梳理授權審批事項；（3）確定各事項申請、審核和批準的審批過程；(4)建立授權審批體系的持續(xù)跟蹤和反饋機制；(5)建立授權審批體系的追責機制。

五、缺乏體系化的信息科技管理，信息系統(tǒng)控制薄弱

現(xiàn)代企業(yè)的運營越來越依賴于信息系統(tǒng)。企業(yè)信息系統(tǒng)在企業(yè)經(jīng)營管理工作中，運用通信技術、網(wǎng)絡技術、計算機技術和現(xiàn)代信息技術而建造和運行的能對銷售、生產(chǎn)、采購以及人事、財務、資產(chǎn)等業(yè)務數(shù)據(jù)進行收集、傳送、加工、處理、存儲和管理。[3]77隨著經(jīng)濟與社會的發(fā)展，信息化建設在我國取得了長足的發(fā)展，也得到了企業(yè)的高度重視，但是在發(fā)展的過程中呈現(xiàn)出了一些問題。某電子通信公司市場部在例行工作中發(fā)現(xiàn)，本公司剛推出的一款新型號手機竟以十分低廉的批發(fā)價格在上海閘北區(qū)的一家通信市場中的私營店內(nèi)出現(xiàn)。經(jīng)調(diào)查，這些手機確實是從下屬的兩個銷售點流出。但在過去幾個月內(nèi)，公司并沒有接過手機失竊報告，也沒有陌生人進入保管手機的倉庫。據(jù)此，公司認為很可能是內(nèi)部人員所為，便向公安機關報警。經(jīng)過偵查，發(fā)現(xiàn)犯罪嫌疑人王某，一手策劃并操控整個犯罪團伙實施了這起非法侵占案件。王某曾在這家通信公司做過財務工作，在一次公司數(shù)據(jù)報錯時，電腦上顯示出指示路徑，可以看到數(shù)據(jù)庫所在，而其從中看到發(fā)財機會，于是嘗試進入了公司數(shù)據(jù)庫。由于該公司管理的不健全及信息系統(tǒng)漏洞，另加之具體核對數(shù)據(jù)的財務人員就是在案件中協(xié)助王某復制并傳輸數(shù)據(jù)的人，所以長期以來公司并不知曉手機缺失情況，直到案件發(fā)生。對于信息日常運行維護，企業(yè)應嚴格制定信息系統(tǒng)的使用操作挰序、信息管理制度以及各模塊子系統(tǒng)具體操作的規(guī)范，及時追蹤、發(fā)現(xiàn)并解決系統(tǒng)運行中的存在問題，確保信息系統(tǒng)按照規(guī)定程序、操作規(guī)范和相應制度持續(xù)穩(wěn)定運行。關注系統(tǒng)各類用戶的職責分離及權限管理，做好系統(tǒng)運行記錄，尤其是對于系統(tǒng)運行不正?；驘o法運行的情況，應對異?，F(xiàn)象發(fā)生時間和可能的原因做出詳細記錄。[4]19通過財務信息化建設及流程改進，財務人員從會計信息日常煩雜處理流程中擺脫出來，起到一個管理員、分析員、控制員而非記錄員的作用。

以上對我國企業(yè)常見內(nèi)控漏洞進行了探討，需要特別說明的是，由于內(nèi)部控制具有較大的復雜性，上述漏洞只是典型問題示例而非窮舉，不同企業(yè)情況千差萬別，需要各企業(yè)靈活分析和合理應對。

[1]企業(yè)內(nèi)部控制編審委員會編.企業(yè)內(nèi)部控制基本規(guī)范及配套指引案例講解[M].上海:立信會計出版社,2014.

[2]中國注冊會計師協(xié)會編.公司戰(zhàn)略與風險管理[M].北京:經(jīng)濟科學出版社,2010.

[3]王君彩,張建華主編.財務管理與控制[M].北京:經(jīng)濟科學出版社,2012.

[4]馬軍生.內(nèi)控漏洞識別與財務應對[M].昆明:云南大學出版社,2014.