浅谈企业常见的内控漏洞

金 花

（延边大学出版社有限责任公司；吉林 延吉 133002）

内控漏洞是指内部控制存在缺陷或问题，导致无法合理保证内部控制目标的实现。这种漏洞既有内控设计无效导致的，也有内控执行不到位引起的。企业内部控制可分为两个层次；公司层面与流程层面的内部控制。其中公司层面内部控制指对企业内部体系存在普遍影响的各种内部控制措施，包括治理结构、企业文化、反舞弊、风险管理、人力资源管理等方面。流程层面内部控制是以重要业务流程为主线，识别并记录与企业紧要业务及交易有关联的内部控制措施。公司层面内部控制是流程层面内部控制实施有效性的重要保障，是一个整体机制，确保管理层设在公司内部各个领域、各个业务层面的控制机制得以有效运行的机制。本文从公司层面，就我国企业经常出现的内控漏洞做个探讨。

一、内控体系建立缺乏系统的风险评估

在绝大多数单位中，其内部控制制度大多依据经验或企业发生过的案例制定，忽视对企业全面风险的评估，进而导致其内部控制体系看起来有很多控制要求，但却对一些重大风险与关键控制点有所疏忽，未能对重大灾难性风险进行有效预防。良好的内控体系应在全面风险评估基础上，根据风险，选择合理的风险应对策略。内控活动的设计与执行应当以风险管理为导向，合理配置资源，抓住关键控制点。如：某市检察院反贪局查处J 公司原董事长范某、副总经理李某等人贪污、受贿、挪用公款等案件的过程中发现，该公司账外为其他企业提供银行贷款和贸易借款担保。据初步统计和调查，截至1998年底，该公司各类账外担保金额达24.1 亿元人民币，其中已逾期的为17.3 亿元人民币，约占担保总额的72%。J 公司承担着沉重的担保偿还责任。调查显示，J 公司既没有制定完整的担保制度，也没有设立担保业务责任部门。J 公司对外担保不是出于经营或商业的考虑，而是基于某些公司高层的个人私利，成为一种关系担保，担保对象则多为私营公司。如某实业公司总经理沙某和J 公司没有任何资产或业务联系，只是由于沙某和J公司原董事长范某关系特殊，J 公司为沙某的公司提供账外担保，折合人民币2.1 亿元。这种私利担保的背后多隐藏有贪污、受贿、挪用公款等犯罪行为，造成企业资产大量流失。由此可见，企业必须对风险作出有效而全面的评估，并在此基础上强化对关键部位的控制，未雨绸缪，从而避免重大甚至灾难性风险的发生。

二、不相容职责缺乏有效规避

由财政部、审计署、证监会、保监会、银监会在2008年6月联合发布的《企业内部控制基本规范》中，第二十九条规定：“不相容职务分离控制要求企业全面系统地分析、梳理业务流程中所涉及的不相容职务，实施相应的分离措施，形成各司其职、各负其责、相互制约的工作机制。[1]46”指出“内部控制是由企业董事会、证监会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合规、资产安全、财务报告入相关信息真实完整，提高经营效率和结果，促进企业实现发展战略。”[2]199内控的一个原理就是通过相互牵制减少舞弊，两个人犯同种错误的概率比一个人犯同种错误的概率低，而且可以起到互相监督的作用。各单位一贯应分离的不相容职务包括授权与执行、执行与审核、执行与记录、保管与记录，所谓“管钱不管账，管账不管钱”就是不相容职务分离原理的一个典型运用。如，国家自然科学基金委会计人员卞某，在199 5年到2003年的8年里，利用掌有国家基础科学研究专项资金下拔的权利，采取偷盖印鉴、减少拔款金额、谎称支票作废、编造银行对账单、伪造银行进账单和信汇凭证等手段挪用贪污公款2 亿余元人民币。卞某承担资金收付出纳职能，同时所有的银行单据及对账单亦均由其一手经办，使他得以作案长达8年都没有引起过怀疑。2003年春节刚过，基金委财务局经费管理处刚来的一名大学生上班伊始便到定点银行拿对账单，以往这一工作由会计卞某负责。一笔2 000 余万元的支出引起这名大学生的注意，他遂找到卞某询问此事，就这样，这件涉案金额超过2 亿元人民币的大案随之浮出水面。通过上述案例可以看出，一些单位进行职责分工时，往往是从工作方便或效率角度考虑，让同一人兼任不相容职务，殊不知，这种做法埋下了巨大隐患。比如，丁某作为银行出纳，负责领取银行对账单，而且公司审计竟然也由他兼任，这些严重违反不相容职务分离要求的安排，使得舞弊不仅容易发生，而且发生后不能及时被发现。再比如，一些企业让销售人员负责客户收款和对账的全过程，仓库保管员负责盘点，都是违反不相容职务分离要求的。因此，企业进行组织架构设计和岗位职责分工时，不能仅仅考虑业务流程是否高效顺畅，更应关注潜在风险，对关键的不相容岗位进行分离，如确因客观原因导致无法分离时，要评估潜在风险严重程度，采取其他补偿性控制措施，而不能坐视不管。

三、缺乏对组织架构和岗位设置的系统分析

建立并完善组织架构可为强化企业内部控制提供重要支撑。企业在组织架构和岗位设置方面的问题主要有：组织架构设计的不科学，岗位职责的不明确，权责分配的不合理，可能导致机构重叠与职能交叉或缺失、推诿扯皮、进而运行效率低下。具体漏洞表现在：（1）企业内部的组织机构不能结合经营业务的性质，依据适当集中或分散的管理方式进行设置，导致企业或过于集权影响效率，或过于分权管理失控；（2）对于内部组织机构设置、各职能部门职责与权限、组织运行流程等没有明确书面说明和规定，存在关键职能缺位或交叉现象；（3）组织机构和岗位设置未能根据环境变化和经营战略及时调整；（4）未对岗位职责职权进行恰当的描述和说明，职责与职权不清晰，关键岗位人员对自身权责没有明确认识；（5）未建立关键岗位人员轮换与强制休假制度；（6）存在不相容职务未分离情况；（7）未对权限设置与履行情况审核和监督，对于越权或权限缺位行为未及时给予纠正、处理。如：M 公司招聘李小姐，并与李小姐签订了3年期的劳动合同，试用期为6 个月。期间，M 公司对李小姐工作表现不满意，于是在试用期将满时，解除了双方劳动合同。李小姐对公司“不符合录用条件”说法并不认可，遂申请仲裁要求恢复履行劳动合同。目前司法解释明确规定：“因用人单位作出的开除、除名、辞退、解除劳动合同、减少劳动报酬、计算劳动者工作年限等决定而发生的劳动争议，用人单位负有举证责任。”M 公司首先需举证界定李小姐担任职位的“录用条件”，其次需证明“李小姐不符合该录用条件”。由于M 公司没有明确的岗位说明书，对岗位职责没有明确考核标准，且6 个月内并未定期对李小姐评价和考核，因此，M 公司提出李小姐不能胜任岗位工作的说法未被仲裁庭认可。鉴于M 公司证据不足，其仲裁败诉。之后，M 公司同意支付李小姐一定金额补偿，双方和解。此案例暴露出M 公司在岗位设置方面，对岗位职责职权、考核内容都没有明确界定，自然很难谈得上有效管理了。

四、缺乏系统、合理的授权审批体系

企业实施授权审批过程中，经常出现的漏洞有：没有明确的授权审批权限表；授权审批缺乏统一梳理，政出多门，相互冲突；权限设置不合理，过于集权或放权，典型表现就是一支笔审批；授权审批流程设置不合理，缺乏紧急授权或临时授权规定等。例如：有企业有如下规定：对货币资金开支做出管理控制，年度预算内的资金开支，5 万元以下由财务处长审批，5-20 万元则由总会计师审批，而20-50 万元开支由总会计师签字报总经理审批，至于50 万元以上的开支则由董事会商讨决定。某日，总会计师出差，负责出纳的小刘也有事请假，而小刘个人名章和票据经财务处长同意暂时由小赵代管，但小赵平时仅负责日常开支与银行对账，并不经手开具支票。然而恰恰这一天公司采购部门送来付款申请及相关凭证，要求依据采购合同约定用转账支票支付上月货款6 万元。无奈之下，财务处长告诉采购处，暂时无法支付货款。但采购部认为按照合同规定，当天如不能付款，就要支付供货方一定的违约金做赔偿，而且会影响到正常供货，对生产和销售也将带来不利影响，要求财务必须解决付款问题。财务处长对此一筹莫展。该案例是企业经常碰到的一个情形，出现该问题的症结是公司制度对临时授权和离岗人员工作交接缺乏明确规定。如果公司对此有明确规定，可由总会计师临时授权，同意先由财务处长代签，待出差回来后再办理补签手续，小李职权暂由小王行使，则可保证资金正常支付。企业构建合理、系统的授权审批体系，应关注如下几个方面：（1）树立并推行授权审批的正确理念；（2）梳理授权审批事项；（3）确定各事项申请、审核和批准的审批过程；(4)建立授权审批体系的持续跟踪和反馈机制；(5)建立授权审批体系的追责机制。

五、缺乏体系化的信息科技管理，信息系统控制薄弱

现代企业的运营越来越依赖于信息系统。企业信息系统在企业经营管理工作中，运用通信技术、网络技术、计算机技术和现代信息技术而建造和运行的能对销售、生产、采购以及人事、财务、资产等业务数据进行收集、传送、加工、处理、存储和管理。[3]77随着经济与社会的发展，信息化建设在我国取得了长足的发展，也得到了企业的高度重视，但是在发展的过程中呈现出了一些问题。某电子通信公司市场部在例行工作中发现，本公司刚推出的一款新型号手机竟以十分低廉的批发价格在上海闸北区的一家通信市场中的私营店内出现。经调查，这些手机确实是从下属的两个销售点流出。但在过去几个月内，公司并没有接过手机失窃报告，也没有陌生人进入保管手机的仓库。据此，公司认为很可能是内部人员所为，便向公安机关报警。经过侦查，发现犯罪嫌疑人王某，一手策划并操控整个犯罪团伙实施了这起非法侵占案件。王某曾在这家通信公司做过财务工作，在一次公司数据报错时，电脑上显示出指示路径，可以看到数据库所在，而其从中看到发财机会，于是尝试进入了公司数据库。由于该公司管理的不健全及信息系统漏洞，另加之具体核对数据的财务人员就是在案件中协助王某复制并传输数据的人，所以长期以来公司并不知晓手机缺失情况，直到案件发生。对于信息日常运行维护，企业应严格制定信息系统的使用操作挰序、信息管理制度以及各模块子系统具体操作的规范，及时追踪、发现并解决系统运行中的存在问题，确保信息系统按照规定程序、操作规范和相应制度持续稳定运行。关注系统各类用户的职责分离及权限管理，做好系统运行记录，尤其是对于系统运行不正常或无法运行的情况，应对异常现象发生时间和可能的原因做出详细记录。[4]19通过财务信息化建设及流程改进，财务人员从会计信息日常烦杂处理流程中摆脱出来，起到一个管理员、分析员、控制员而非记录员的作用。

以上对我国企业常见内控漏洞进行了探讨，需要特别说明的是，由于内部控制具有较大的复杂性，上述漏洞只是典型问题示例而非穷举，不同企业情况千差万别，需要各企业灵活分析和合理应对。

[1]企业内部控制编审委员会编.企业内部控制基本规范及配套指引案例讲解[M].上海:立信会计出版社,2014.

[2]中国注册会计师协会编.公司战略与风险管理[M].北京:经济科学出版社,2010.

[3]王君彩,张建华主编.财务管理与控制[M].北京:经济科学出版社,2012.

[4]马军生.内控漏洞识别与财务应对[M].昆明:云南大学出版社,2014.