从“5100万大案”浅谈内部控制
2007年4月14日,邯郸农行发生建国以来罕见的特大金库盗窃案,被盗现金高达人民币5100万元。家贼内鬼犯罪嫌疑人任晓峰、马向景最终落网,判处两人死刑,剥夺政治权利终身,受到了法律的严厉制裁。
5100万元,要装满满6个麻袋,而金库的墙都是约60公分多厚的钢板水泥加固的,大门必须两个人两把钥匙才能打开,即使这样,金库仍然被盗;山东省德州市平原县某银行工作人员刁某在50天时间内挪用银行2180万元资金买彩票,银行竟然迟迟发现不了……这些都暴露了我国银行在监管方面的巨大漏洞,折射出银行在系统管理上还存在不少问题,在管理模式发生变革的情况下制度建设跟进不够,尤其是管理上控制乏力,制度执行不到位,对要害岗位员工的教育管理以及日常的监督不力,虽然不少银行都制订了比较完善的制度,但疏于执行,许多制度成了摆设,无法有效地制约员工的行为,对其监管,也无法有效控制风险。本文拟通过此案谈谈内部控制的五大因素,旨在人们增强内控观念意识,以加强内控工作,实现企业资产的保值增值。
一、内部控制的目标
内部控制是指单位为了提高经营管理效率,保证信息质量真实可靠,保护资产安全完整,促进法律法规有效遵循和发展战略得以实现等而由单位治理层、管理层及其员工共同实施的一个权责明确、制衡有力、动态改进的管理过程。它有五大目标:战略目标、经营目标、报告目标、资产目标、合规目标。
二、内部控制的五大要素
1、控制环境。控制环境规定单位的纪律与架构,影响经营管理目标的制定,塑造单位文化氛围并影响员工的控制意识,是实施内部控制的基础,董事会、单位负责人在塑造良好的内部环境中发挥关键作用。控制环境通常包括以下几个方面:(1)单位整体的风险意识和风险管理理念;(2)董事会或类似决策机构职能的发挥;(3)经理层的诚信和道德价值观;(4)员工的职业道德和工作胜任能力,以及管理层为提升员工操守和胜任能力所作出的努力;(5)单位的组织结构设计;(6)权力和职责的分配。
在工作中,内控工作往往被领导委派给内审(稽核)部门去计划和安排,没有理解内控工作的内涵,而简单地把内控任务交办给本单位的稽核系统,具体业务部门有重业务经营,轻管理控制的传统倾向,在控制的组织结构上,缺少一个专司内控的综合部门,流于形式,以应付各种检查,企业没有营造一种良好的控制环境。
2、风险评估
风险是指一个潜在事项的发生对目标实现产生影响的可能性,它包括正面和负面影响两个方面,在内部控制中,通常将风险界定为产生负面影响的可能性。风险评估是指分析和辨认实现有关目标可能发生的负面风险,以便形成确定应该如何对它们进行管理的依据,是实现内部控制的重要环节。风险评估主要包括目标设定、风险识别、风险分析和风险应对。
风险评估是各经营管理部门的重要职责,传统的经营管理方式忽视对风险的识别和分析,而满足于执行指令。这种方式给国营企业和金融机构在转轨过程中带来了巨大的损失。金融系统近年来存在秩序混乱、案件频频,经营亏损的现象,其重要原因之一就是风险管理落后。
3、控制活动
控制活动是指单位管理层根据风险评估结果,制定和实施政策与程序,以帮助管理层所选择的风险应对措施得以有效实施,是实施内部控制的具体方式,常见的控制活动有:授权批准、实物控制、职责分离、预算控制、会计系统控制、信息系统控制、审核批准控制、内部报告控制、经济活动分析控制、绩效考评控制等。
在今年的农行年度工作会议上,邯郸农行行长曾与37个省级分行行长及3所培训学院院长签订了合规经营操作与防范案件责任书,责任书第一条内容就是案件控制目标,要求实现无新发重大事故或者重大违法违规案件。在3月15日农行召开的纪检监察工作会议中,要确保案件继续下降,并实行案件责任追究“双向问责”和“双线责任追究制度”,可是,这些制度、责任却被当作一种形式,应付了事,如果落实了,也许不会出现“5100万元”的大案吧!
本案中,控制活动没有很好地执行,是酿成恶果的重要原因,在监控方面,金库的监控系统、110报警系统均不能正常运转,谁说这不会出大案呢?!银行应安排专人负责查看录像,定期抽查以前的记录,检查是否有违规操作等情况,每日必须检查监控设备的正常使用及备份情况,在非工作时间必须设防110联网报警系统,对非工作时间进入设防范围或金库内的人员,马上向领导汇报情况,金库必须安装监控设备;在执行制度方面,主管或副主任每月查一次金库,现金中心主任每日查一次金库,在查库时,帐实是否相实,对装好的整包现金,打开进行核对,各级领导在查库时,实行不固定时间,对重要岗位和人员,实行强制休假制度,在不事先通知的情况下,由领导监督交接工作。如果在控制活动中做好每步骤、每一环节,我们就能防止很多不良事件的发生。
4、信息与沟通
信息与沟通是指单位为了提高管理效能,促进员工全面正确履行职责而收集,识别、交流各种内部和外部信息,是实施内部控制的重要条件。在信息科技突飞猛进地发展的时代,信息与交流是经营管理中的另一个不容忽视的职能,把有关的内部和外部控制信息搜集整理出来,经营管理者要利用可靠信息为实现目标服务,并向适当的部门和负责人进行交流。在邯郸农行大案中,信息与沟通没有有机地结合起来,任晓峰、马向景的同事赵学楠、张强在已知道有违法违纪的情况下,没有将信息传递给管理层,如果他们传递了这个信息,使之采取相应的措施,就会阻止事态的蔓延,降低风险。
5、监控
监控是指由适当的人员评估内部控制的设计和监控内部控制运行情况,形成书面报告并作相应处理的过程,是实施内部控制的重要保证。它包括持续监督、个别评估或者两者有机结合,监控情况应当书面报告,并在报告中揭示内部控制的重要缺陷,如果不执行好监控,内部控制就没有实质和意义了。
对内控情况进行监督评审犹如设立一道道防线,而第一道检查监督的防线应由经营管理部门的各级负责人监守,包括设置岗位和执行岗位之间的相互牵制,进行前后台和部门之间的平衡制约等等,并应不断地在日常工作中监督评审内控的效果;财会部门是化解风险的第二道防线,也即财会人员负责行使后台监督的重要职能;内审(稽核)监察工作是第三道防线,每个企业都应当设立这一战线,特别是对于风险较高的金融机构来说,更是一道必不可少的防线!
如今,在经济生活日益货币化和证券化的过程中,国有专业银行也正在商业化,同时,各种金融机构象雨后春笋般地涌现出来,新的形势要求金融机构和各企业在内审工作从传统的以对账目和会计凭证进行核查为主,转向以对内控制度及其执行情况进行检查为主的审计方式上来。审计人员应认识到这一根本性的变革,具有对现代内控理论和方法的超前认知,上级主管部门和审计职能部门,要把对内控水平不高的单位和内控意识不强的人员(特别是管理层)进行咨询,相关知识培训,以提高其内控监管观念。
总之,内部控制不仅是内审部门的责任,或者财务部门的事,它是我们整个企业的事,只有营造一种良好的内控环境,单位领导、经营管理者、单位职工,大家齐抓共管,才能把内控工作做好。只有强调高级领导层的控制责任,大力提倡和营造一种“控制文化”,充分关注对全部风险的评估,做好企业控制活动,加强企业的信息与交流,加强监督评审活动,降低和避免风险发生,促进企业发展。虽然,内部控制不是万能的,有它固有的局限性,它受到人、财、物、资源等诸多因素的约束,但是,我们应从“5100万大案”痛定思痛,理解、把握内部控制的五大要素,从实际情况出发,制定控制活动,做好内控工作,保证企业资产的安全与完整,把风险降到最低,创造良好经济效益,实现资产的保值、增值,使企业经济工作健康有序发展。
参考文献:
1、上海证券报
2、中国新闻网 中国网
3、武汉晚报
4、杨海群(1999)“稽核评价金融机构内部控制状况”,《金融稽核监督研究》第1期,第3期,第8期。
5、2007年高级会计实务考试大纲