内部控制十大漏洞

内部控制是企业为控制经营风险、实现经营目标而制定的各项政策与程序。内部控制能够帮助企业达到其目标，同时将风险降低至合理范围内，保证企业资产安全，有效防范各种舞弊活动。内部控制的权威人士Adrian Cadbury爵士曾经说过“公司的败绩都是由内部控制失败引起的”，这一点从众多的企业失败案例都得到了验证。从我国的现实情况来看，企业内部控制普遍比较薄弱，有关挪用、侵占或诈骗企业财产的新闻亦屡见不鲜，企业资产和股东权利得不到应有保护，甚至给企业造成灾难性损失导致经营陷入困境。2004年，中航油巨亏、四川长虹对APEX公司超过38亿元的坏账、创维黄宏生被香港廉政公署拘捕等诸多案例，给我国很多企业敲响了内部控制的警钟。　　笔者结合众多内控失败案例和内控咨询的经验，归纳了我国企业内部控制常见的十大问题，希望管理人员引以为戒，有则改之，无则加勉。　　一、出纳领取银行对账单、编制银行存款余额调节表。　　之所以把这个问题列在十大问题之首，是因为它非常普遍且后果严重，但遗憾的是，直到今天，仍有很多单位根本没有意识到这一问题，或虽然意识到了却不以为然，低估了其可能造成的严重后果。不相容职务分离是内部控制的一个基本原理，通常需要分离的不相容职务包括授权与执行、执行与审核、执行与记录、保管与记录，所谓 “管钱不管账，管账不管钱”就是不相容职务分离原理的一个典型运用。货币资金是最容易出现舞弊的一项资产，如果由出纳来负责领取银行对账单、编制银行存款余额调节表，出纳就有可能挪用或侵占公司货币资金，并通过伪造对账单或在余额调节表上做手脚来掩盖自己的舞弊行为。国家自然科学基金委会计卞中从1995 年到2003年的八年期间里，利用掌管国家基础科学研究的专项资金下拨权，采用谎称支票作废、偷盖印鉴、削减拨款金额、伪造银行进账单和信汇凭证、编造银行对账单等手段贪污、挪用公款人民币两亿余元。卞中担负着资金收付的出纳职能，同时所有的银行单据和银行对账单也都由他一手经办，使得他得以作案长达八年都没有引起过怀疑。 2003年春节刚过，基金委财务局经费管理处刚来的一名大学生上班伊始便到定点银行拿对账单，以往这一工作由会计卞中负责。一笔金额为2090万的支出引起了这名大学生注意，在其印象里他没有听说此项开支。这个初入社会的大学生找到卞中刨根问底，这桩涉案金额超过2亿元的大案也因此浮出水面。从笔者了解的情况看，80%以上的企业存在出纳领取银行对账单、编制余额调节表的现象，究其原因，主要从工作方便角度出发，由于出纳经常跑银行，办理各种收付款，于是便“顺理成章”地领取银行对账单、编制余额调节表。殊不知这种习惯做法存在巨大风险隐患，其实要防范这种风险并不难，只要改由出纳以外的人来负责银行对账单领取和账面银行存款余额核实工作即可，关键是要从思想意识上重视起来。　　二、领导“一只笔”审批，缺乏完善内控制度和流程保障。　　领导“一只笔”，表明看起来似乎控制很严格，不容易出问题，但事实上这种“一只笔”控制反映了单位内部控制方式的落后。首先，事无巨细都由领导来审批，囿于时间和精力，领导最后可能疲于应付，分不清主次，审批“一只笔”变成签字“一只笔”而已，控制流于形式。其次，如果缺乏相关支撑信息，领导无法对收支合理性进行判断，“一只笔”就会失去控制作用，例如经办人员申请购买某种设备，而领导没有该设备经济可行性、价格合理性的相关数据，审批就会演变成一种过场。第三，领导“一只笔”会造成高度集权，不利于对领导的制约和监督，可能导致腐败。因此，合理的内部控制应当按照重要性程度大小，适当分层授权，逐级审批。　　三、过于依赖业务人员，企业资源掌握在个人手中，企业对业务开展失去控制。　　企业业务资源完全掌握在业务员个人手中，对企业来说是一件非常危险的事情，现实中经常可以看到，不少企业的业务员一旦跳槽或离职，原有的客户和业务关系也被随之带走，形成企业对业务人员过于依赖的局面。更有甚者，有的企业业务员明地里使用单位各项资源，暗地里为自己或亲友开拓业务、谋取私利，严重损害了企业利益。针对这种现象，企业应通过完善制度设计，例如采取建立统一的客户档案和客户关系管理系统、同一笔业务有两人以上共同参与、适当进行工作轮换和加强财务对业务过程的控制等措施，将业务员手中的客户资源转化为企业资源，让客户认的是企业本身而不是认个人，这样企业的业务就不会依赖于某一两个人，从而保持持续稳定的发展。2003年初，花旗银行台湾区总经理陈圣德率领二十多位主管集体跳槽，但在经历短暂的人事**以后，花旗银行在短短两三个月内就基本恢复了业务正常开展，当年业绩并未受到大的影响，盈利反而创下历史新高，靠的就是花旗银行内部已经形成完整的制度和流程，用制度来保障业务开展，而不是依赖于某个业务人员或主管。　　四、内部控制制度文字描述性东西较多，清晰的流程图和配套表单较少。　　很多单位有这样一种现象，员工在某个岗位工作久了后变得驾轻就熟，经验老到，工作起来游刃有余，而一旦这个员工因有事调离或辞职，后面接替的人员则需要花很长时间来熟悉情况，重新摸索工作方法。造成这种现象的原因是企业制度主要是文字性东西，缺乏清晰的岗位说明和工作流程图，执行的人往往凭自己的经验和别人“言传身教” 来做事，岗位新手在开始阶段工作不知从何入手，通常需要很长一段学习和熟悉过程。因此，一套完整的企业制度应包括三部分：　　（1）文字描述的支撑制度文件；（2）工作流程图或流程的文字描述；（3）相关凭证、表单、文件的样式汇总。通过绘制清晰的工作流程图，可以让每个人都能一目了然地知道办事程序、涉及的部门、人员和规章制度，而且能够将工作形成的好经验固化下来，并且通过流程图能比较容易发现内部控制中的不足之处和风险点，从而有助于企业内部控制的持续改进。　　五、内部控制制度“救火式”的较多，制度体系缺乏系统性和完整性，甚至政出多门，相互打架。　　很多企业的内部控制制度都是在发展中逐步建立起来，经常是发现管理中出现了某种问题，于是相应地出台一个制度来规范。例如今天发现电话费高了，就制定一个通讯费管理办法，明天发现办公用品浪费严重，就拟定出办公用品采购与使用办法。这种“救火式”的制度往往只能防范已发生过的风险，而对未发生的风险则考虑不足。此外，这样的制度体系无论在内容上还是形式上，都缺乏系统性和完整性，没有科学合理的分类，甚至不同制度之间存在矛盾或重叠的现象。有的单位还有不同部门根据自身需要制定制度现象，政出多门，相互打架。笔者曾经接触过一个单位，仅是购买电脑一项，既可以通过信息科购买，因为信息科负责整个单位的计算机软硬件系统；也可以通过行政办公室，因为电脑属于办公用品，而办公用品归口办公室管理；还可以通过负责管理固定资产的设备科购买，因为电脑是一种固定资产。为此，企业应有一套规范的制度制定程序和形式规范，包括制度的编号、格式、分类、内容、审批程序、执行及其他应注意事项进行统一的规范化管理，并以书面形式予以约束。　　六、员工临时休假或出差时，缺乏明确的工作交接制度。　　任何一个岗位，总会出现员工因急事、生病或出差等原因不能正常上班的情形，很多单位在制度设计时都没有考虑到员工暂时离岗时工作由谁接替的问题。实际操作中，在遇到员工临时休假或出差时，便临时指派一位相关人员来兼任，但事实上，这种急时抱佛脚的做法，稍有不当，可能会给企业带来风险。企业正常的工作安排中通常会将不相容职务由两个以上的人来担任，以便相互牵制，而临时指派某人兼任做法，可能会导致不相容职务由同一人担任。例如支票印鉴平常一般都由两人分别保管，如果因其中一人临时有事而指派另一人暂时兼任，由一人掌握所有空白支票和印鉴的话，盗用支票的风险就会大大增加。因此，企业有必要明确规定一些重要岗位的工作交接制度，防止员工临时休假或出差时留下内部控制“真空”的现象。　　七、人员招聘时注重笔试和面试的考察，忽视背景调查。　　如果雇佣了不诚实的人，那么即使是最良好的控制也无法防范舞弊。如果企业不仔细地筛选应聘者，并因此而雇佣了不诚实的员工，则很有可能遭受损害。很多企业在招聘过程中也非常强调应聘者的诚信，但较多注重于笔试或面试的考察。“然而，谁能知道在一份漂亮的简历背后又隐藏着什么？”，背景调查则能有效发现应聘者有无虚构个人信息、是否存在不诚信记录、在以前雇主处工作情况，从而能帮助企业甄别应聘者，防止将不合格人员招进来。而且背景调查本身并不需要复杂的技术，只需要向应聘者以前工作过单位打几个电话或发封函件就能够了解一些非常有用的信息，实施成本也比较低。曾经被称为北京市医疗系统头号女贪、案发前为北京肿瘤医院住院部主任的石巧玲，四年时间贪污挪用1000多万元，检察官办案时发现她自己在不同表格上填写的出生日期就有三个版本，而在填写工作简历时她又玩上了花样：在1979年 5月石巧玲亲自填写的《工作人员履历表》中，前页写“售货员”，后页则写在“二商局工作”；1995年12月25日填写的肿瘤医院《干部任免呈报表》中，石巧玲的工作简历又变成了“1967——1978年，北京商业局会计”。对石巧玲来讲，严肃的履历表成了可随意填写的“草纸”。其实，这些问题通过对应聘者简历的认真审核和相应背景调查是不难发现的。　　八、关键岗位无强制轮换或带薪休假制度。　　企业员工在某一岗位工作时间长了，会比较熟悉内部控制漏洞所在，实施舞弊的可能性更大。现实中，有不少挪用或贪污等舞弊现象都是在工作交接时被发现的。2005年4月，仪征化纤公司在工作交接过程中发现营销部一会计挪用资金5000多万元，该会计1989年毕业后被分配至仪征化纤从事财务工作，十六年来他的岗位和职务一直都没有变化，由于在这个岗位上的时间很长，规律摸得非常透，他知道什么时候将款项交给单位，也清楚什么时候要进行财务检查或审计，总能找到新的款项填补以前的漏洞，自 1999年开始挪用资金，作案时间长达六年，期间一直未露蛛丝马迹，直到2005年因单位内部人事改革他被迫交接工作时才败露。过去我们比较强调“螺丝钉”精神，殊不知，“螺丝钉”在一个地方时间拧长了也会容易生锈的。通过强制轮换，或者带薪休假，在休假期间工作由别人暂时接替，由于员工离岗时的工作交接会受到他人监督，那么他实施并掩盖舞弊的机会将大大减少。美国货币管理局要求全美的银行雇员每年休假一周，在雇员休假期间，安排其他接替人员做他的工作，就是为了防止员工长期在同一岗位工作可能产生舞　　弊。对我国企业来说，对一些关键岗位，例如财务、采购中的部分岗位，通过建立强制轮换和带薪休假制度，既可以提升员工的工作能力，同时是防范和发现舞弊的一项有效措施。　　九、过分强调控制成本，经常将效率作为弱化或逾越内部控制的理由。　　实施内部控制无疑需要成本，并且在一定程度上会影响到运行效率。于是，一些单位管理人员便常常以影响效率为由，反对内部控制措施的推行。事实上，如果将各项职能都较给某一个部门或某一个人去执行，没有必要的授权批准和审核，在效率上可能会很高，但由此产生的风险也急剧上升。因此，为了防止一些重大风险给企业带来灾难性损失，牺牲一定程度的效率是控制风险所必须付出的成本。现实中经常碰到的情形是，在企业推行新的内部控制制度，往往会涉及到原有利益格局的打破和调整，这时一些管理人员便表明上以影响效率为由来反对内部控制新举措推行，实际是由于个人或部门利益受到影响。因为内部控制制度不完善带来的损失可能是关系到企业存亡问题，而效率则是影响企业发展的快慢，作为企业的领导者，不能过分强调成本因素而忽视内部控制制度的建设，应当合理权衡内部控制的成本和效率的关系。　　十、说一套，做一套，制度放空炮。　　内部控制制度是否得到有效执行是个老生常谈的问题，却又不得不谈，很多出问题的案例往往都不是因为制度缺乏规定，而恰恰是制度有明文规定却未能遵照执行。以中航油（新加坡）为例，尽管公司有完整的风险管理规章制度，是由国际“四大”之一的安永会计师事务所制定的，在风险管理委员会设置、风险控制流程等各方面制度都比较完备按照规定，公司的风险管理基本结构是从交易员，到风险管理委员会，到内审部，到首席执行官，再到董事会层层上报；每名交易员亏损20 万美元时，要向风险管理委员会报告，亏损达37.5 万美元时向首席执行官汇报，亏损50万美元时，必须斩仓。但遗憾的公司这些制度并未得到有效执行，公司内部风险管理内控系统形同虚设，最终给公司造成了超过5亿美元的灾难性损失。　　内部控制制度不能有效执行原因主要有二：一是制度本身制定得不合理，或过于理想化，或随着新情况出现，原有制度已不能适应却没有及时修改，从而使得制度不具可操作性，自然也就不会被执行；二是缺乏保证制度执行的机制，一些单位对内部控制执行情况既没有检查监督，又没有相应的奖惩措施，内部控制制度成为墙上摆设和一纸空文也就不奇怪了。为此，企业一方面需要提高制度可操作性，另一方面要加强制度执行力，不能为制度而制度。　　简单归纳如下：　　1、出纳领取对账单，调节余额她来编；　　2、领导同志一支笔，事无巨细啥都批；　　3、销售业务控制好，没他企业很苦恼；　　4、文本制度不可少，流程图表更重要；　　5、救火制度频颁布，各自为政把令出；　　6、临时休假或出差，无规无律乱安排；　　7、笔试面试乃基础，背景调查易疏忽；　　8、关键岗位强轮换，带薪休假执行难；　　9、成本压缩太过分，内部控制无人问；　　10 说一套来做一套，制度如同放空炮。　　分公司内部控制风险　　内部控制制度是现代企业制度的重要内容，也是降低财务风险的重要举措。没有内部控制系统的企业财务报告不一定无可靠性，但是财务报告一旦不可靠，则企业的内部控制系统必定无效。有效的内部控制系统只能合理保障企业财务报表的可靠性，内部控制制度不是万能的，也存在着局限性和风险性。分公司内控风险点有可能是存在于分公司内部的隐患，也有可能是在外部环境影响下隐藏的痼疾。　　一、公司集体舞弊带来的内部控制风险　　当分公司高管集体进行财务舞弊时，由于内部利益的纽带作用，易形成攻守同盟，其财务丑闻很难被总公司监管发现或被发现成本很高。内部控制对于这类事件不可能控制，只有靠外部的监督机制了。即使被发现，也是受益者、授意者不受罚，执行人却“代人受过”的现象，或者出现法不责众现象，只惩罚一两个替罪羊。内部控制的一条重要原则就是将不相容职务进行分离，在实际工作中，如果处于不相容职务上的有关人员相互串通、相互勾结，失去了不同职务相互制约的基本前提，再好的控制措施也无能为力。　　二、控制成本超过控制收益带来的内部控制风险　　成本效益原则要求一个内部控制制度的实施不得超过预期的效益。任何单位制定内部控制制度都要花费一定的人力、物力、财力，而这些的付出未必能带来预期的结果。中小企业如果设计的控制环节过多，控制措施越复杂，相应的内部控制成本也就越高，最终会影响企业生产经营活动的效率。大企业虽然有能力设计较为完善的内部控制制度但是实践中内部控制制度所发生总成本的主观判断与控制效益难以准确计量，这就使得各分公司很难找到内部控制成本与效益的最适宜点。由于信息的不可靠性、财务人员工作效率低下和对内部控制制度所花费成本上限的忽视，理应保障的内部控制成本等于并略小于内部控制效果的基本拓扑原则可能无法如愿以偿。因此，在设计和实施内部控制时，企业必须要考虑控制成本与控制效果之比。一般来说，控制程序的成本不能超过风险或错误可能造成的损失，否则，再好的控制措施和方法也将失去意义。　　三、大概率事件造成的内部控制风险　　内部控制的对象仅是大概率事件，不可能预见所有财务风险，有可能存在控制死角或真空。即使公司有足够的财力去进行内部控制，也可能因为没有足够的理由（比如八小时之外的活动和隐私）、时间和精力去监控。因为再完善的内部控制制度也只能是提供一种合理保证，而不是提供一种绝对保证。它不能绝对保证预防或察觉错误和不正常现象。　　四、人为错误带来的内部控制风险　　如果单位内部行使控制职能的人员在知识、经验、能力、责任心、独立性、心理上、技能上和行为方式上未能达到实施内部控制的基本要求，如执行人员的粗心大意、精力分散、身体不适、理解错误、判断失误、曲解指令、趋迎奉承等，致使有些财务问题没有能够及时察觉，或已经察觉但被疏忽，没有采取相应补救措施，或补救措施欠妥当而酿成大祸，那么再好的内部控制也很难发挥作用。执行人员的错误会给企业内部控制造成影响，但是设计人员在设计方面没考虑周密而造成了后来在执行中的困难。任何“完美的”内部控制系统，都会因设计人员经验和知识水平的限制而带有缺陷。因此，企业在制定控制制度时也不能苛求百分之百的完美。　　五、管理越权带来的内部控制风险　　如果单位内部行使控制职能的管理人员滥用职权、喜欢越俎代庖，或为某种私利越权行事，加上知情人的官本位思想、洋奴哲学和事不关己高高挂起的痼疾，往往使越权发号施令畅通无阻。很多领导表面上大谈特谈内部控制制度的必要性和紧迫性，骨子里始终认为自己可以凌驾于内部控制制度之上，内部控制制度是给一般职工制订的和遵守的，给上级部门检查看的和同行学习的，作为公司领导永远都是例外。即使设计再良好的内部控制制度，由于特权阶层故意避开或指示其下属避开某些预定的控制程序，也不会发挥其应有的效能。　　六、内外部环境变化带来的内部控制风险　　内部控制一般都是针对经常而重复发生的业务而设置的，而且一旦设置就具有相对稳定性，因此如果出现不经常发生或未预计到的经济业务，原有控制就可能不适应，而临时控制又可能招架不住或仓促迎战而给分公司带来损失。另外，国家政策法律法规也经常进行调整和修订，原有的内部控制制度的程序和细则可能会赶不上法规的变化，或者新内部控制规范缺乏可操作性，从而造成内部控制失效。　　七、社会大环境使然带来的内部控制风险　　外部市场规范和整个社会诚信体系的建立是增强内部控制制度执行效果的有力保障和外在压力。再加上总公司其他分公司以前管理的惯性使然，某一个分公司严格执行内部控制制度的做法难唱独角戏。另外主管有不法前科记录、管理当局逃避责任、管理层频繁变动、内部控制薄弱、决策高度集权化、经常更换外部注册会计师、人力资源短缺、存在巨额法律诉讼、夕阳工业或濒临倒闭的产业、有关法律、法规、政策的变化等都可能对内部控制制度的有效运行造成重大不利影响。为了提高内部控制制度执行的效率，可以采取由独立于企业的设计人员制订分公司高管人员风险准备金，建立了内部控制匿名举报系统，不定期的进行秘密调研，加强舆论监督和惩罚力度等举措。