本文系转载。作者:马军生博士。原文来源:财税闲谈的博客。
出纳管钱又对账,资金挪用不设防
休假出差人手忙,临时安排祸要闯
流水不腐是古训,轮换交接为良方
招人考试加面相,背景不查要遭殃
企业资源个人化,明星法师来当家
控制全靠一支笔,“两院院士”不稀奇
救火制度频频出,东一榔头西一棒
文本制度不可少,流程图表更重要
效率成本挂嘴上,风险存亡放两旁
说一套来做一套,制度如同放空炮
注:“两院院士”指“干得好进医院,干得不好进法院”
内部控制一般简称内控:由企业董事会、监事会、经理层和全体员工共同实施的、旨在实现控制目标的过程。需要注意的是:全体员工实施的。
内控的合理是保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。
内部控制原则:全面性原则、重要性原则、制衡性原则、适应性原则和成本效益原则。这里面有一个其他制度没有的,制衡性。内部控制五要素架构:
1、内部环境主要包括:治理结构、机构设置及权责分配、内部审计机制、人力资源政策和企业文化。
2、风险评估是企业及时识别、科学分析经营活动中与实现控制目标相关的风险,合理确定风险应对策略,是实施内部控制的重要环节。主要包括:确定风险承受度;内外部风险;:确定风险重要性水平;风险规避、风险承受、风险降低和风险分担。
3、控制活动是指企业根据风险应对策略,采用相应的控制措施,将风险控制在可承受度之内,是实施内部控制的具体方式。
4、信息与沟通主要包括:信息质量;沟通制度;信息系统;反舞弊机制其中:反舞弊机制:工作的重点包括:
1)未经授权或者采取其他不法方式侵占、挪用企业资产,牟取不当利益;
2)在财务会计报告和信息披露等方面存在虚假记载、误导性陈述或者重大遗漏等;
3)董事、监事、经理及其他高级管理人员滥用职权;相关机构或人员串通舞弊。
4)、企业应当建立举报投诉制度和举报人保护制度,并将其及时传达至全体员工。
5)、
内部监督包括日常监督
:企业对建立与实施内部的情况进行常规、持续的监督检查;
专项监督
:专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工发生较大调整或变化的情况下,对内部控制的某一或则某些方面进行由针对性的监督检查。
专项监督的范围和频率应当根据风险评估结果以及日常监督的有效性等给予确定。
实施
内部控制建设
涉及多个
组织
内部控制建设是一项系统工程,需要企业董事会、监事会、经理层及内部各职能部门共同参与并承担相应的职责。
1
、
董事会
,
作
为公司最高业务执行机关,负有监督管理层的责任。
2
、
审计委员会负责人
应具备相应的独立性、良好的职业操守和专业胜任能力。负责审查企业内部控制制度设计、监督内部控制的有效实施、领导开展内部控制自我评价、协调内部控制审计及其相关事宜等。
3
、
监事会
对董事会建立与实施内部控制进行监督。监事会监督不同于审计委员会对经理层的监督,
是一种层次更高、独立性更高的再监督。
监事会主席及其成员应当定期参加董事会及下属审计委员会召开的涉及内部控制的会议,如对董事会及下属审计委员会有关内部控制的决策持有异议,或认为董事会和经理层成员存在舞弊行为,还可提议召开独立的监事会议。
4
、
经理层由董事会委任
,是公司的代理人,经理层负责组织领导企业内部控制的日常运行。
5
、
内部控制部门
企业建立与实施内部控制,可以根据需要成立专门的内部控制工作团队,以项目组的形式运作;也可以成立内部控制专职机构(或岗位),专门负责内部控制在企业内部各部门间的组织协调和日常性事务工作。
6
、
内部审计部门
在
评价内部控制的有效性,以及提出改进建议等方面起着关键作用。
企业应当授予内部审计部门适当的权力以确保其独立地履行审计职责;内部审计部门负责人与董事会或审计委员会应保持畅通沟通;应当赋予内部审计部门追查异常情况的权力和提出处理处罚建议的权力。
7
、
财会部门
企业开展内部控制工作,要求财会部门不能将眼光仅仅局限于财务活动,而应贯穿于企业经营管理的全过程,
在制定发展战略、分析评估风险和作出决策等环节扮演好关键的助手和参谋角色。
8
、
其他职能部门
企业内部各职能部门(或业务单位)及其全体员工都应当在建立与实施内部控制过程中承担相应职责并发挥积极作用。
内部控制十大漏洞解析
内部控制是企业为控制经营风险、实现经营目标而制定的各项政策与程序。内部控制能够帮助企业达到其目标,同时将风险降低至合理范围内,保证企业资产安全,有效防范各种舞弊活动。内部控制的权威人士Adrian Cadbury爵士曾经说过“公司的败绩都是由内部控制失败引起的”,这一点从众多的企业失败案例都得到了验证。
从我国的现实情况来看,企业内部控制普遍比较薄弱,有关挪用、侵占或诈骗企业财产的新闻亦屡见不鲜,企业资产和股东权利得不到应有保护,甚至给企业造成灾难性损失导致经营陷入困境。2004年,中航油巨亏、四川长虹对APEX公司超过38亿元的坏账、创维黄宏生被香港廉政公署拘捕等诸多案例,给我国很多企业敲响了内部控制的警钟。
结合众多内控失败案例和内控咨询工作的经验,归纳了我国企业内部控制常见的十大问题,希望管理人员引以为戒,有则改之,无则加勉。
一、
出纳领取银行对账单、编制银行存款余额调节表。
之所以把这个问题列在十大问题之首,是因为它非常普遍且后果严重,但遗憾的是,直到今天,仍有很多单位根本没有意识到这一问题,或虽然意识到了却不以为然,低估了其可能造成的严重后果。不相容职务分离是内部控制的一个基本原理,通常需要分离的不相容职务包括授权与执行、执行与审核、执行与记录、保管与记录,所谓“管钱不管账,管账不管钱”就是不相容职务分离原理的一个典型运用。货币资金是最容易出现舞弊的一项资产,如果由出纳来负责领取银行对账单、编制银行存款余额调节表,出纳就有可能挪用或侵占公司货币资金,并通过伪造对账单或在余额调节表上做手脚来掩盖自己的舞弊行为。国家自然科学基金委会计卞中从1995年到2003年的八年期间里,利用掌管国家基础科学研究的专项资金下拨权,采用谎称支票作废、偷盖印鉴、削减拨款金额、伪造银行进账单和信汇凭证、编造银行对账单等手段贪污、挪用公款人民币两亿余元。卞中担负着资金收付的出纳职能,同时所有的银行单据和银行对账单也都由他一手经办,使得他得以作案长达八年都没有引起过怀疑。2003年春节刚过,基金委财务局经费管理处刚来的一名大学生上班伊始便到定点银行拿对账单,以往这一工作由会计卞中负责。一笔金额为2090万的支出引起了这名大学生注意,在其印象里他没有听说此项开支。这个初入社会的大学生找到卞中刨根问底,这桩涉案金额超过2亿元的大案也因此浮出水面。
从笔者了解的情况看,80%以上的企业存在出纳领取银行对账单、编制余额调节表的现象,究其原因,主要从工作方便角度出发,由于出纳经常跑银行,办理各种收付款,于是便“顺理成章”地领取银行对账单、编制余额调节表。殊不知这种习惯做法存在巨大风险隐患,其实要防范这种风险并不难,只要改由出纳以外的人来负责银行对账单领取和账面银行存款余额核实工作即可,关键是要从思想意识上重视起来。
二、
领导“一只笔”审批,缺乏完善内控制度和流程保障。
领导“一只笔”,表明看起来似乎控制很严格,不容易出问题,但事实上这种“一只笔”控制反映了单位内部控制方式的落后。首先,事无巨细都由领导来审批,囿于时间和精力,领导最后可能疲于应付,分不清主次,审批“一只笔”变成签字“一只笔”而已,控制流于形式。其次,如果缺乏相关支撑信息,领导无法对收支合理性进行判断,“一只笔”就会失去控制作用,例如经办人员申请购买某种设备,而领导没有该设备经济可行性、价格合理性的相关数据,审批就会演变成一种过场。第三,领导“一只笔”会造成高度集权,不利于对领导的制约和监督,可能导致腐败。因此,合理的内部控制应当按照重要性程度大小,适当分层授权,逐级审批。
三、过
于依赖业务人员,企业资源掌握在个人手中,企业对业务开展失去控制。
企业业务资源完全掌握在业务员个人手中,对企业来说是一件非常危险的事情,现实中经常可以看到,不少企业的业务员一旦跳槽或离职,原有的客户和业务关系也被随之带走,形成企业对业务人员过于依赖的局面。更有甚者,有的企业业务员明地里使用单位各项资源,暗地里为自己或亲友开拓业务、谋取私利,严重损害了企业利益。针对这种现象,企业应通过完善制度设计,例如采取建立统一的客户档案和客户关系管理系统、同一笔业务有两人以上共同参与、适当进行工作轮换和加强财务对业务过程的控制等措施,将业务员手中的客户资源转化为企业资源,让客户认的是企业本身而不是认个人,这样企业的业务就不会依赖于某一两个人,从而保持持续稳定的发展。2003年初,花旗银行台湾区总经理陈圣德率领二十多位主管集体跳槽,但在经历短暂的人事地震以后,花旗银行在短短两三个月内就基本恢复了业务正常开展,当年业绩并未受到大的影响,盈利反而创下历史新高,靠的就是花旗银行内部已经形成完整的制度和流程,用制度来保障业务开展,而不是依赖于某个业务人员或主管。
十、
说一套,做一套,制度放空炮。
内部控制制度是否得到有效执行是个老生常谈的问题,却又不得不谈,很多出问题的案例往往都不是因为制度缺乏规定,而恰恰是制度有明文规定却未能遵照执行。以中航油(新加坡)为例,尽管公司有完整的风险管理规章制度,是由国际“四大”之一的安永会计师事务所制定的,在风险管理委员会设置、风险控制流程等各方面制度都比较完备按照规定,公司的风险管理基本结构是从交易员,到风险管理委员会,到内审部,到首席执行官,再到董事会层层上报;每名交易员亏损20万美元时,要向风险管理委员会报告,亏损达37.5万美元时向首席执行官汇报,亏损50万美元时,必须斩仓。但遗憾的公司这些制度并未得到有效执行,公司内部风险管理内控系统形同虚设,最终给公司造成了超过5亿美元的灾难性损失。
内部控制制度不能有效执行原因主要有二:一是制度本身制定得不合理,或过于理想化,或随着新情况出现,原有制度已不能适应却没有及时修改,从而使得制度不具可操作性,自然也就不会被执行;二是缺乏保证制度执行的机制,一些单位对内部控制执行情况既没有检查监督,又没有相应的奖惩措施,内部控制制度成为墙上摆设和一纸空文也就不奇怪了。为此,企业一方面需要提高制度可操作性,另一方面要加强制度执行力,不能为制度而制度。
