內部控制是企業為控制經營風險、實現經營目標而制定的各項政策與程序。內部控制能夠幫助企業達到其目標,同時將風險降低至合理範圍內,保證企業資產安全,有效防範各種舞弊活動。完整的制度和合理的人員安排,以及強勁的制度執行力,都是企業自控的必要手段。
內部控制的權威人士Adrian Cadbury爵士曾經說過“公司的敗績都是由內部控制失敗引起的”,這一點從眾多的企業失敗案例都得到了驗證。從我國的現實情況來看,企業內部控制普遍比較薄弱,有關挪用、侵佔或詐騙企業財產的新聞亦屢見不鮮,企業資產和股東權利得不到應有保護,甚至給企業造成災難性損失導致經營陷入困境。
本文結合眾多內控失敗案例和內控諮詢工作的經驗,歸納了我國企業內部控制常見的十大問題,希望管理人員引以為戒,有則改之,無則加勉。
1
出納領取銀行對賬單、編制銀行存款餘額調節表
之所以把這個問題列在十大問題之首,是因為它非常普遍且後果嚴重,但遺憾的是,直到今天,仍有很多單位根本沒有意識到這一問題,或雖然意識到了卻不以為然,低估了其可能造成的嚴重後果。
從筆者瞭解的情況看,80%以上的企業存在出納領取銀行對賬單、編制餘額調節表的現象,究其原因,主要從工作方便角度出發,由於出納經常跑銀行,辦理各種收付款,於是便“順理成章”地領取銀行對賬單、編制餘額調節表。殊不知這種習慣做法存在巨大風險隱患,其實要防範這種風險並不難,只要改由出納以外的人來負責銀行對賬單領取和賬面銀行存款餘額核實工作即可,關鍵是要從思想意識上重視起來。
2
領導“一隻筆”審批,缺乏完善內控制度和流程保障
領導“一隻筆”,表明看起來似乎控制很嚴格,不容易出問題,但事實上這種“一隻筆”控制反映了單位內部控制方式的落後。
首先,事無鉅細都由領導來審批,囿於時間和精力,領導最後可能疲於應付,分不清主次,審批“一隻筆”變成簽字“一隻筆”而已,控制流於形式。
其次,如果缺乏相關支撐信息,領導無法對收支合理性進行判斷,“一隻筆”就會失去控制作用,例如經辦人員申請購買某種設備,而領導沒有該設備經濟可行性、價格合理性的相關數據,審批就會演變成一種過場。
3
過於依賴業務人員,企業資源掌握在個人手中,企業對業務開展失去控制
企業業務資源完全掌握在業務員個人手中,對企業來說是一件非常危險的事情,現實中經常可以看到,不少企業的業務員一旦跳槽或離職,原有的客戶和業務關係也被隨之帶走,形成企業對業務人員過於依賴的局面。更有甚者,有的企業業務員明地裡使用單位各項資源,暗地裡為自己或親友開拓業務、謀取私利,嚴重損害了企業利益。
針對這種現象,企業應通過完善制度設計,例如採取建立統一的客戶檔案和客戶關係管理系統、同一筆業務有兩人以上共同參與、適當進行工作輪換和加強財務對業務過程的控制等措施,將業務員手中的客戶資源轉化為企業資源,讓客戶認的是企業本身而不是認個人,這樣企業的業務就不會依賴於某一兩個人,從而保持持續穩定的發展。
2003年初,花旗銀行臺灣區總經理陳聖德率領二十多位主管集體跳槽,但在經歷短暫的人事地震以後,花旗銀行在短短兩三個月內就基本恢復了業務正常開展,當年業績並未受到大的影響,盈利反而創下歷史新高,靠的就是花旗銀行內部已經形成完整的制度和流程,用制度來保障業務開展,而不是依賴於某個業務人員或主管。
4
內部控制制度文字描述性東西較多,清晰的流程圖和配套表單較少
很多單位有這樣一種現象,員工在某個崗位工作久了後變得駕輕就熟,經驗老到,工作起來遊刃有餘,而一旦這個員工因有事調離或辭職,後面接替的人員則需要花很長時間來熟悉情況,重新摸索工作方法。造成這種現象的原因是企業制度主要是文字性東西,缺乏清晰的崗位說明和工作流程圖,執行的人往往憑自己的經驗和別人“言傳身教” 來做事,崗位新手在開始階段工作不知從何入手,通常需要很長一段學習和熟悉過程。
因此,一套完整的企業制度應包括三部分:
(1)文字描述的支撐制度文件;
(2)工作流程圖或流程的文字描述;
(3)相關憑證、表單、文件的樣式彙總。
通過繪製清晰的工作流程圖,可以讓每個人都能一目瞭然地知道辦事程序、涉及的部門、人員和規章制度,而且能夠將工作形成的好經驗固化下來,並且通過流程圖能比較容易發現內部控制中的不足之處和風險點,從而有助於企業內部控制的持續改進。
5
內部控制制度“救火式”的較多,制度體系缺乏系統性和完整性,甚至政出多門,相互打架
很多企業的內部控制制度都是在發展中逐步建立起來,經常是發現管理中出現了某種問題,於是相應地出臺一個制度來規範。例如今天發現電話費高了,就制定一個通訊費管理辦法,明天發現辦公用品浪費嚴重,就擬定出辦公用品採購與使用辦法。
這種“救火式”的制度往往只能防範已發生過的風險,而對未發生的風險則考慮不足。此外,這樣的制度體系無論在內容上還是形式上,都缺乏系統性和完整性,沒有科學合理的分類,甚至不同制度之間存在矛盾或重疊的現象。有的單位還有不同部門根據自身需要制定制度現象,政出多門,相互打架。
筆者曾經接觸過一個單位,僅是購買電腦一項,既可以通過信息科購買,因為信息科負責整個單位的計算機軟硬件系統;也可以通過行政辦公室,因為電腦屬於辦公用品,而辦公用品歸辦公室管理;還可以通過負責管理固定資產的設備科購買,因為電腦是一種固定資產。為此,企業應有一套規範的制度制定程序和形式規範,包括制度的編號、格式、分類、內容、審批程序、執行及其他應注意事項進行統一的規範化管理,並以書面形式予以約束。
6
員工臨時休假或出差時,缺乏明確的工作交接制度
任何一個崗位,總會出現員工因急事、生病或出差等原因不能正常上班的情形,很多單位在制度設計時都沒有考慮到員工暫時離崗時工作由誰接替的問題。
實際操作中,在遇到員工臨時休假或出差時,便臨時指派一位相關人員來兼任,但事實上,這種急時抱佛腳的做法,稍有不當,可能會給企業帶來風險。企業正常的工作安排中通常會將不相容職務由兩個以上的人來擔任,以便相互牽制,而臨時指派某人兼任做法,可能會導致不相容職務由同一人擔任。例如支票印鑑平常一般都由兩人分別保管,如果因其中一人臨時有事而指派另一人暫時兼任,由一人掌握所有空白支票和印鑑的話,盜用支票的風險就會大大增加。
因此,企業有必要明確規定一些重要崗位的工作交接制度,防止員工臨時休假或出差時留下內部控制“真空”的現象。
7
人員招聘時注重筆試和麵試的考察,忽視背景調查。如果僱傭了不誠實的人,那麼即使是最良好的控制也無法防範舞弊
如果企業不仔細地篩選應聘者,並因此而僱傭了不誠實的員工,則很有可能遭受損害。很多企業在招聘過程中也非常強調應聘者的誠信,但較多注重於筆試或面試的考察。
“然而,誰能知道在一份漂亮的簡歷背後又隱藏著什麼?”,背景調查則能有效發現應聘者有無虛構個人信息、是否存在不誠信記錄、在以前僱主處工作情況,從而能幫助企業甄別應聘者,防止將不合格人員招進來。而且背景調查本身並不需要複雜的技術,只需要嚮應聘者以前工作過單位打幾個電話或發封函件就能夠了解一些非常有用的信息,實施成本也比較低。
在1979年 5月石巧玲親自填寫的《工作人員履歷表》中,前頁寫“售貨員”,後頁則寫在“工商局工作”;
對石巧玲來講,嚴肅的履歷表成了可隨意填寫的“草紙”。其實,這些問題通過對應聘者簡歷的認真審核和相應背景調查是不難發現的。
8
關鍵崗位無強制輪換或帶薪休假制度
企業員工在某一崗位工作時間長了,會比較熟悉內部控制漏洞所在,實施舞弊的可能性更大。現實中,有不少挪用或貪汙等舞弊現象都是在工作交接時被發現的。
2005年4月,儀徵化纖公司在工作交接過程中發現營銷部一會計挪用資金5000多萬元,該會計19***畢業後被分配至儀徵化纖從事財務工作,十六年來他的崗位和職務一直都沒有變化,由於在這個崗位上的時間很長,規律摸得非常透,他知道什麼時候將款項交給單位,也清楚什麼時候要進行財務檢查或審計,總能找到新的款項填補以前的漏洞,自1999年開始挪用資金,作案時間長達六年,期間一直未露蛛絲馬跡,直到2005年因單位內部人事改革他被迫交接工作時才敗露。
過去我們比較強調“螺絲釘”精神,殊不知,“螺絲釘”在一個地方時間擰長了也會容易生鏽的。
通過強制輪換,或者帶薪休假,在休假期間工作由別人暫時接替,由於員工離崗時的工作交接會受到他人監督,那麼他實施並掩蓋舞弊的機會將大大減少。
美國貨幣管理局要求全美的銀行僱員每年休假一週,在僱員休假期間,安排其他接替人員做他的工作,就是為了防止員工長期在同一崗位工作可能產生舞弊。
對我國企業來說,對一些關鍵崗位,例如財務、採購中的部分崗位,通過建立強制輪換和帶薪休假制度,既可以提升員工的工作能力,同時是防範和發現舞弊的一項有效措施。
9
過分強調控制成本,經常將效率作為弱化或逾越內部控制的理由
實施內部控制無疑需要成本,並且在一定程度上會影響到運行效率。於是, 一些單位管理人員便常常以影響效率為由,反對內部控制措施的推行。
因此,為了防止一些重大風險給企業帶來災難性損失,犧牲一定程度的效率是控制風險所必須付出的成本。
現實中經常碰到的情形是,在企業推行新的內部控制制度,往往會涉及到原有利益格局的打破和調整,這時一些管理人員便表明上以影響效率為由來反對內部控制新舉措推行,實際是由於個人或部門利益受到影響。
因為內部控制制度不完善帶來的損失可能是關係到企業存亡問題,而效率則是影響企業發展的快慢,作為企業的領導者,不能過分強調成本因素而忽視內部控制制度的建設,應當合理權衡內部控制的成本和效率的關係。
10
說一套,做一套,制度放空炮
內部控制制度是否得到有效執行是個老生常談的問題,卻又不得不談,很多出問題的案例往往都不是因為制度缺乏規定,而恰恰是制度有明文規定卻未能遵照執行。
以中航油(新加坡)為例,儘管公司有完整的風險管理規章制度,是由國際“四大”之一的安永會計師事務所制定的,在風險管理委員會設置、風險控制流程等各方面制度都比較完備按照規定,公司的風險管理基本結構是從交易員,到風險管理委員會,到內審部,到首席執行官,再到董事會層層上報;每名交易員虧損20萬美元時,要向風險管理委員會報告,虧損達37.5 萬美元時向首席執行官彙報,虧損50萬美元時,必須斬倉。
但遺憾的公司這些制度並未得到有效執行,公司內部風險管理內控系統形同虛設,最終給公司造成了超過5億美元的災難性損失。
內部控制制度不能有效執行原因主要有二:
一是制度本身制定得不合理,或過於理想化,或隨著新情況出現,原有制度已不能適應卻沒有及時修改,從而使得制度不具可操作性,自然也就不會被執行;
二是缺乏保證制度執行的機制,一些單位對內部控制執行情況既沒有檢查監督,又沒有相應的獎懲措施,內部控制制度成為牆上擺設和一紙空文也就不奇怪了。
為此,企業一方面需要提高制度可操作性,另一方面要加強制度執行力,不能為制度而制度。
分享到:
閱讀更多 CIA內審師小站 的文章
