文/张康明
企业如何有效实施不相容职责分离
文/张康明
职责分离(Segregation of Duties,通常简称为SOD)不仅是典型的会计控制手段,而且已作为重要的内部控制工具在企业经营管理中得到了广泛的应用。但企业在进行职责分离的过程中需要面对风险控制效果和经营效率的两难选择。尤其中小企业相对于大企业人员配置更为精简,一人多岗的情况较为常见,实施职责分离面临诸多困难。为应对上述难题,本文以企业的固定资产采购业务为例,设计了一种职责分离的工作框架。该工作框架通过不相容职责的识别、不相容职责风险的分级等环节,针对企业不同的人力资源配置水平,以风险控制效果最优为目标设计相应的职责分离方案。从而帮助企业在职责分离的过程中 更好的兼顾风险控制效果以及经营成本。
内部控制;职责分离
职责分离是典型的内部控制工具,在COSO的内部控制整合框架以及五部委的《企业内部控制应用指引》都将其作为重要的内部控制活动要素多次提出。在笔者为多家上市和拟上市企业实施的内控体系建设咨询项目中,企业往往对不相容职责分离的实施有以下困惑:
● 原来的岗位设置好好的,为什么要职责分离?
● 哪些是职责是不相容职责?● 职责分离的到什么程度才足够好?针对以上困惑,在本文中笔者将基于的项目实施经验设计一套简单易用的有效进行职责分离的实施框架。
所谓不相容职责是指那些如果由一个人担任,既可能发生错误和舞弊行为,又可能掩盖其错误和弊端行为的职责。不相容职责分离的核心是“内部牵制”,它要求每项经济业务都要经过两个或两个以上的部门或人员的处理,使得单个人或部门的工作必须与其他人或部门的工作相一致或相联系,并受其监督和制约。
不相容职责分离是重要内部控制工具,以不相容职责分离为核心内部牵制理论,也是内部控制思想早期的体现。亚当斯密在《国富论》中对分工提高企业生产效率有过精妙的论述。然而,分工对企业生产效率的影响并非是绝对正面的。随着企业规模的不断扩大,分工逐步深化,如何保证信息在各层级和岗位间进行有效传递,如何有效协调各岗位人员的工作,将是一个不可回避的问题。同理,职责分离也是如此。职责分离一方面在降低舞弊及工作失误风险的同时,也可能导致企业经营效率的下降(经营效率可综合体现为业务处理时间及业务质量目标达成情况)。
(一)执行(asset handling)
一般来说,此类职责最主要的特点是责任人拥有接触和使用企业某些资产(这里所说的资产不仅指常规意义上的货币资产、固定资产、原材料等,也包括企业流程中涉及的一些关键表单,如采购订单等)的权力。例如,资金业务中的出纳,采购业务中的采购员等。承担“执行”职责的人员我们往往也习惯称之为经办人员。
(二)记录(booking)
顾名思义,承担此类职责的人员最主要的功能在于对业务执行结果进行记录,或者可以说对资产(a中所指的资产)的使用情况进行记录。例如,会计就是典型的记录职责;固定资产、存货的台账管理也属于记录职责。
(三)批准(approval)
批准意味着授权执行。针对业务执行过程中一些重要事项,需设置批准程序,在专业方面保证业务发生的合理性。例如,采购需求的审批。
(四)核对(comparison)
承担此类职责的人员会对执行、记录、批准的情况进行核对,以确定业务运作的规范性。例如,稽核会计、资产现场盘点就是典型的核对职责。
下面本文将以一个公司A的固定资产采购业务为例,阐述如何做到有效的职责分离。
(一)识别业务流程
有效职责分离的第一步工作是识别业务流程,企业的业务运营是一个有机整体,流程划分有助于我们更好的理解企业运作机制,进而进行有效管理。业务流程划分并不存在统一的标准,《企业内部控制应用指引》划分的18个业务活动,APQC[1]针对不同行业提出的流程划分框架等,都是很好的流程划分参考标准。
界定业务流程至少需要明确以下要素:
● 流程起始端与结束端
● 参与部门及岗位
● 信息传递路径
如何获取以上流程要素信息?
常用的方法包括:阅读企业管理制度,访谈业务流程参与人员,穿行测试等。
对于A公司而言,其固定资产采购业务流程的要素如下:
● 起始端:使用部门提出采购需求;
● 结束端:采购付款;
● 参与部门:使用部门、采购部、财务部、总经理
● 信息传递路径:使用部门提出采购需求,该采购需求被总经理批准后由采购部执行,固定资产验收后,由财务部付款。
(二)识别流程重要职责
完成流程界定后,还需对流程中的重要职责进行归纳,这也是我们对业务流程深化理解的必备工作。在识别流程重要职责过程中,我们必须明确每个职责是属于执行、记录、批准、核对四类中的哪一类。记住,这一步非常重要!另外,需要提醒的是,不要把“职责”同诸如“采购员”、“采购经理”等所谓岗位职务混淆。
针对A公司的采购业务而言,有以下一些重要职责(见下页表1,深灰色代表职责所属的类型):
(三)识别“基本不相容职责”
表1
前文我们将职责分为四类,而这四类职责将是我们识别不相容职责的基础,一般来说,这四类职责中存在以下5对不相容职责:
1.批准进行某项业务和执行该项业务的职责要分离;
2.执行某些业务和核对该项业务的职责要分离;
3.执行某项业务和记录该项业务的职责要分离;
4.记录某项业务和批准修改该项业务记录的职责要分离;
5.记录某项业务和核对记录真实完整性的职责要分离;
为了便于应用,上述几对不相容职责可以用表2表示:(见表2)
表2
然而基于我们的项目实施经验,仅仅依靠上表对采购业务流程进行职责分离是不够的。我们还需要将采购业务流程分为若干个“业务环节”,而这些“业务环节”则是职责分离的分析基础。这些“业务环节”实际上指的就是上述5对不相容职责中所说的“业务”(见黑体灰字部分)。
分析每个“业务环节”中涉及的职责及其类型,结合上表则可以识别采购业务的“基本不相容职责”。
所谓“基本不相容职责”,意味这些不相容职责是采购业务流程职责分离中不可逾越的底限,是防范舞弊风险和错漏风险的基础防线。
“基本不相容职责”见下页表中的“●”表格。
(四)识别其他重要不相容职责
除了业务环节内部的职责分离分析,采购业务若干业务环节之间的业务分离也应进行关注。我们可以称之为“次级不相容职责”,它发挥控制效果依赖于“基本不相容职责”。这一步骤将更多的结合企业特点,并充分发挥分析人员的专业能力。对于A公司而言,我们识别出了“基本不相容职责”之外的其他一些重要的“次级不相容职责”。(见下表中的“×”表格)
通过使用上表,我们可以对A公司采购业务中的不相容职责进行识别,识别结果见表3:
(五)职责分离风险分级
就A公司的采购业务流程而言,不相容职责分离的“深度”将影响其对舞弊风险和错漏风险的控制效果。但对职责无限制的进行分离也是不现实的,这势必将影响经营效率,同时升高管理成本。因此,有必要对各类职责分离情况所对应的舞弊风险和错漏风险情况(简称为“职责分离风险”)进行分级,以便于企业根据实际情况选择。以A公司采购业务为例,我们简要列举了三类代表性的职责分离方案,对三类职责分离方案的分析见表4下方说明。
需要特别说明的是,“验收”职责相对特殊,企业中验收职责由多人执行基于两点需求:(1)与职责分离目的相同,避免一个人单独执行多个职责而产生舞弊;(2)保证采购质量,由采购提出人及实施人共同确认采购需求是否得到满足。
不相容职责分离并非企业经营效率的障碍。本文提供了一个简单易用的职责分离框架,该框架从业务流程梳理入手,通过对主要职责的梳理和分类,识别出业务流程中重要的不相容职责,并对各类不相容职责组合进行风险评级,为企业如何平衡风险管理与经营效率提供了决策基础。这将有助于企业在防范舞弊风险和错漏风险的同时,更好的兼顾企业经营效率和管理成本。
表3 A公司采购业务不相容职责识别表
表4 A公司采购业务职责分离方案风险评级
[1]美国生产力与质量中心(American Productivity and Quality Center,简称为APQC),是一家具备了丰富的“流程与绩效改善资源”的全球性机构。APQC创立于1977年,致力于各种改善手法的研究开发,订定产业标竿与最佳实务,并及时地发布新知识、训练课程、以及关键成功工具。
[2]在企业实务中常见的情况是,一个部门掌握了业务操作的全部环节,即使各个环节中实现了执行/审批等职责分离,但部门领导的个人影响力将严重削弱职责分离的效用,从而导致舞弊的发生。
(上海阅洲咨询执行合伙人冯萌博士、张烨星先生对本文亦有贡献。)
(作者单位:上海阅洲企业管理咨询有限公司)