今年4月濟南一刑事判決書爆出,碧桂園山東區一名財務部員工利用財務系統內部監管不力的漏洞,在不到一年半的時間內,瘋狂盜刷碧桂園公戶資金約4800萬元,用於給主播打賞、玩遊戲、娛樂消費等等。
而就在此前不久,味千拉麵CFO自曝身患抑鬱症而盜用公款買奢侈品減壓,從業7年間竊取公司共計2650萬港元的案件宣佈判罰,也震驚了財務界。
每當看到此類事件,財務人網友們都不禁疑惑:如此大額的資金被盜用竟然能逃過公司的內部審計監管?公司資金支出難道就沒有審批流程?財務部門資金支出內部控制制度形同虛設嗎?更有財務小夥伴宣稱:“如果讓我來主持內控,就不會發生這樣的事!”
作為碧桂園、味千這樣擁有完善內部控制制度和充足崗位人員設定的上市公司,內控執行程度尚且如此,眾多中小企業的內控管理水平豈不是更加令人擔憂?內控如何真正起到防範舞弊、貪汙的作用,也成為一直以來困擾企業管理層的問題。
企業的內控管理之痛:制度設計與執行只能是兩張皮?
據瞭解,如今多數企業的內部控制建設通常為財務部門、內部審計部門牽頭,同其他參與內控流程的部門普遍缺乏聯動,制度建設完成後的下達工作不夠充分,導致業務部門無法深刻理解內控執行的意義從而不夠重視。
在意識缺失、執行懈怠、監督不力的普遍情形下,再完善的制度,也無法發揮其應有的作用。
在碧桂園案件中,該財務部門員工一人手握兩個銀行的4個U盾,能夠獨自操作資金支付的申請、付款流程。而在長達一年多的時間內,公司內部竟然未發現任何異常,直到銀行方發出風險提示,才進行追查。
財智無界瞭解到,同事在某大型國企子公司辦事處實習時,也曾遇到過財務科長授權:“你登陸我的賬號審批一下”的情況。該公司有長達1800多頁的內部控制制度手冊,對於不相容崗位、內控流程、關鍵控制點、風險評估等均做出了明確的規定,管理制度不可謂不完善。
而在實際工作中,財務科長、會計、出納三人均可以登入其他人的賬號,彼此借用加密U盾操作審批、付款,這就為資金安全帶來了極大的隱患。此外該公司還在應對內部審計時,對於未按流程執行簽字授權的業務,將其會計憑證後附審批單進行臨時補籤,以逃過內審對內控執行情況的檢查。
內控執行不到位作為企業管理和學術研究中普遍關注已久的問題,至今沒有提出有效的應對措施。而內控執行不力的原因,主要存在如下方面。
制度傳達和宣導力度弱,管理層凌駕於內控制度之上;員工內控意識薄弱,對不合規行為存在僥倖心理;員工在業務流程中對維護制度規範缺乏責任心,由於追求效率和惰怠情緒而忽視制度要求;缺乏對內控執行情況的完善監督檢查手段等。
制度建設依然是防範舞弊的基礎
貨幣資金是企業各項業務中不可或缺的角色,資金安全是所有企業管理者和股東都極度重視的問題,而實際上雖然幾乎所有企業都有貨幣資金相關的內控制度,這些制度在與企業實際相結合的程度、預防舞弊及貪汙等行為的力度方面卻相差甚遠。
要建立好防範資金貪汙、舞弊的防線,嚴密的內控制度建設依然首當其衝。財智無界以某央企的內控手冊為基礎,結合審計師在內控審計和資金核查的從業經驗,總結了如下詳盡的資金管理相關內部控制制度。
貨幣資金迴圈內控制度屬於業務流程層面內部控制,我們主要從預防性控制制度和檢查性控制制度兩方面詳解資金內控的制度建設。
1、預防性控制:通常用於防止錯報和舞弊的發生,對於資金而言,主要涉及預防賬戶、審批與授權、印鑑管理、交易過程等方面的風險預防。
預防資金未劃入指定賬戶:由出納崗填制支付申請,由資金支付結算崗/會計稽核;建立銀行撥款唯一路徑,與銀行簽訂協議,嚴格設定軟體操作人員許可權。
預防資金劃撥、收付未經有效審批:根據資金需求編制月、周資金計劃表、付款申請,提交主管領導、財務部門、單位領導稽核。
預防未經授權的人員處理資金業務:制定出納崗位職責,明確不相容崗位嚴格分離原則,不相容崗位包括出納、對賬、制單、印鑑管理、稽核及其他負責辦理資金業務的相關人員。
預防銀行賬戶的開立、變更、登出未經有效審批:賬戶管理崗/出納提出賬戶開立、變更或撤銷申請, 財務經理、財務負責人對賬戶開立、變更和撤銷審查同意後報公司財務部審批,財務部領導在公司系統內審批透過才可生效。
預防銀行印鑑未妥善保管造成資金損失:銀行預留印鑑的刻制經過財務部領導審批。銀行印鑑由獨立於銀行票據保管人員進行保管。財務專用章和個人名章分別由不同人員進行保管、任何人不得保管1枚以上印鑑。個人名章由本人或其授權人員保管。銀行印鑑交接嚴格履行交接手續。
預防網上銀行交易範圍超出限制或出現舞弊:網上銀行交易操作人員必須經財務負責人有效授權;網上銀行交易必須經過有效的分級稽核,例如實行“三人操作、二人稽核”程式,即財務部門至少設定三個人員,交易需透過三個人的系統賬號進行操作,至少2個人進行稽核,以防範舞弊。
預防網銀交易人員未經授權:網銀交易操作人員許可權必須經財務負責人有效授權;網銀交易事項必須經有效複核。
預防銀行存款餘額賬實不符:出納人員填制收/付款申請單並提交憑證編制人員審批,經資金支付結算崗/會計稽核後加蓋財務專用章。
預防票據未經稽核或接收偽造的票據:定期組織對業務人員進行票據知識培訓,增強其辨識票據真偽的能力;嚴格對接收票據進行審查;發現接收到偽造票據時立即通知業務部門終止合同履行。
預防銀行票據未妥善保管造成資金損失:銀行票據(支票、匯票、本票等)由獨立於印鑑保管人員的出納崗位進行保管;出納崗對銀行票據的領用和使用進行登記;銀行票據交接嚴格履行交接手續。
對不相容崗位的職責分離設計,指透過不同人員負責某一工作流程的提交、複核/審批、執行、記錄等程式,來預防錯誤、舞弊、竊取等風險。是預防性控制措施之一,也保障了審批流程和崗位間的相互制約、監督。
在資金內控方面實行崗位分離原則,主要體現在出納崗位不得兼任稽核、會計檔案保管和收入、支出、費用、債權債務賬目的登記工作,不得保管銀行預留印鑑、不得從事銀行對賬等。此外出納人員應施行2-3年定期輪崗制,以防止利用制度漏洞舞弊貪汙而未被發現的風險。
理論上講,資金業務流程設計的稽核環節越多、涉及的人員越廣泛,越能夠起到防範串通舞弊和貪汙挪用的作用。但另一方面,複雜的流程設計和廣泛的人員參與,無疑增加了業務環節和崗位設定的成本,也降低了效率。
這便涉及到內部控制的關鍵性原則——成本效益原則,而成本與防控風險帶來的效益之間該如何平衡,也成為企業內控中最棘手的問題之一。需要企業基於自身的實際情況,結合事後的檢查性措施、建立監督與反饋機制等手段來降低業務流程的風險。
2、檢查性控制:通常用於發現流程中是否存在錯報和舞弊,對於資金內控而言主要涉及賬戶餘額、交易過程、審批與授權等方面的風險。
檢查銀行存款賬實是否相符:至少每月末,由非辦理本賬戶收支業務的人員進行銀行對賬工作,編制銀行存款餘額調節表,及時跟蹤未達賬項,並交由財務負責人稽核、簽字。
檢查內部資金劃撥是否及時:按月、周編制銀行存款餘額調節表。
檢查資金收付是否經過審批:定期對資金收付憑證相關審批單進行檢查,檢視審批流是否與制度要求一致。
檢查是否存在預算外、未授權的支出專案:檢查付款申請事由,核實該事項是否真實且與資金預算相符。
檢查資金交易是否合規:採用觀察、重新執行程式,驗證工作流程是否與內控要求相符。
提升內控環境和資訊科技控制,是保障執行的關鍵
企業內部控制執行情況不理想,或多或少地可以歸因於企業內部控制環境因素,可見內部控制環境是內控制度設計和執行脫節的癥結所在。
在財智無界對財務行業內專家進行採訪時,也不止一次提到過關於改進內控制度執行方面的對策,深圳市燃氣集團首任財務部長郭少明老師就指出過,內控工作的有效開展離不開良好內控環境的支撐。
企業的控制環境要素包括對誠信價值觀的溝通與落實、對勝任能力的重視、治理層的參與程度、管理層的理念和經營風格、組織結構、職權與責任的分配、人力資源政策與實務等。
提升企業的內部控制環境是一場自上而下的工作,首先管理層應該提升重視程度,並做到以身作則,不凌駕於內控制度之上,不逾越內控制度規定。其次要加強企業的價值觀、企業文化建設,提升員工對公司文化和制度的認同和重視程度,理解內控制度執行的意義和必要性。
此外,強化內部審計的監督管理職能、完善公司治理結構、重視員工素質和勝任能力、最佳化人力資源政策等,都有助於提升企業的內控環境。
另一方面,資訊科技內部控制環境也為發揮了為內控執行保駕護航的作用。相比於人工控制,資訊系統內控有著不易被篡改、不易被逾越的特點,且能夠有效減少錯誤的發生。同時,資訊科技使得內控程式轉向資訊系統,減少了內控流程的工作量,提升了效率,促使員工參與內控制度執行的意願提升,這便為內控的執行創造了便利條件。
寫在最後:
企業的內控執行應該切實落實到每一個人,做好制度建設和事前規劃,並定期審查、厲行監督管理,切勿等到挪用資金、舞弊等事件發生後才採取補救措施。挪用資金給企業帶來的經濟損失影響或許尚可接受,而舞弊可能導致的對企業信譽形象和品牌價值的損害卻是不可估量的。
企業資金內控的核心在於財務部門,相較於其他業務內控的複雜性和全員參與程度,資金內控其實並不複雜,關鍵是要在頻率極高的業務活動中一絲不苟的長期執行。能夠真正做到這一點,便可以讓類似的會計盜用企業資金的醜聞不再發生。