反之,对于那些小额费用,可以由经办人将(已批准的)发票、收据交给会计部门。这时,需要互相核对的三类文件变成了一类。这种情况下,我们可以认为发生金额的批准行为是在事后,并且由费用发生部门连同发票核对的动作一起实施,会计部门仅实施会计入账。不过,由于这样的处理与职责分工不吻合,所以必须将其限定在一定的小金额范围内并明文规定。此外,还应该关注是否存在发票,收据不存在被使用部门批准的情况,如果有,应该作为极少的例外事项处理。
传统的会计部门应该对各现场部门的费用发生是否适当进行监控。这种监控角色非常重要。然而,正如例1中所提到的,笔者认为发票核对行为不应该承担如此高度的检查功能。“费用发生内容的适当性的斟酌”本质上相当于物资采购中“对发出订单的批准”,原则上应由发生费用的现场部门事先实施。
例5:公司将“支付通知”发送给供应商,无需实施发票收到、核对的行为
在商业流程重组(Business Process Reengineering,BPR)流行的时期,制造业尤其是组装型产业已经大量采用这样的方式,即不是由公司将“应付金额”同供应商发来的发票进行核对,而是由供应商将“应到账金额”同公司发来的支付通知相核对。公司希望能够通过这样的流程来减少工作量。
在中国这样的方式还不多见,可能在一些日资企业的中国子公司会见到。
采用这样的方式时,需要讨论在内部控制上是否有问题,如果只采取发票核对行为,控制上还是有很薄弱之处的。
首先,实施发票核对时,如果采购方的发票金额大于订单金额,那么一般会与供应商商议并调查原因,反之如果发票金额小于订单金额,则可以先放任不管(当然,最终这也应该进行商议、调查)。与此相对的,使用支付通知方式时,供应商会就公司由于计算错误等而导致支付通知金额小于应付金额的情况与公司电话联系,而如果是支付通知金额大于应付金额的话,自然供应商也很可能放任不管。
此外,一般部门员工如果企图在支付时实施舞弊行为的话(假设他已经回避了供应商主文档中的支付信息等基本控制),核对发票时,有订单、应付账款或其他应付款以及外部发票对其进行牵制。而在支付通知的方式下,即使不对订单数据进行核对,只要收款方自身没有异议的话款项就会被支付,因此,只要能够计入应付账款或其他应付款,支付的舞弊行为就有可能发生。
但是,组装型产业中实际使用支付通知这一方式时,我们也可以考虑一些相应的条件,比如只限于支付给有长期供应关系的供应商,并且需签订基本合同明确供货品种和价格等。通过这样的条件限制,虚构支付对象,虚构计提应付账款和其他应付款就会很困难,所以不能一概而言这种方式一定会造成什么样的问题。只是当限定了一定的条件和交易对象,并且自信支付金额计算处理不会发生差错时,才可以采用支付通知的方式,同时还必须充分考虑其风险。
支付:
注意支付流程系统化部分
在讨论支付处理之前,首先让我们来复习一下与支付相关的职责分工。前文提到的20世纪初的例子中,开始出现了会计部长和财务部长的职务分离。在现代,多数情况下会计部长和财务部长不亲自处理业务,且要求支付的记账人员和实际出纳人员必须分离,并分属不同部门的不同管理者。
实施支付的人员如果能够同时进行银行余额调整和拥有系统中应付账款记账的权限,可能产生怎样的舞弊行为恐怕已毋庸说明。实际上,笔者也在不少公司看到过类似的不当事例。让我们在假设满足基本的职责分工的前提下来讨论现代的支付模式。
企业银行业务系统(Firm Banking System)的控制
以前的支付都是使用票据,而现代的主流是在企业银行业务系统中输入信息,或者在系统中生成支付文件,通过磁带、U盘等媒介汇总并提交给银行进行银行转账支付。但是,我们必须充分认识到,即便是通过这种方式,如果没有同样的控制,舞弊行为还是会发生。
虽然汇票支付方式的使用有所减少,但还是有不少公司采用。票据的管理一般较好,例如空白票据和未使用支票应在金库妥善保管,空白票据须连续编号,银行章只能由管理者加盖等,而这些在企业银行业务系统的管理中有时就非常松散了。
企业银行业务系统的软件通常不是在服务器上,而是通过相关财务人员的个人电脑进入,此外因为是资金的直接处理,所以大多并没有信息系统部门的参与,因此,很多情况下都没有充分地实施使用计算机时一般需要的内部控制。例如,密码长度下限、定期变更、业务必要权限的分配,以及权限的定期更新等。
实践中,笔者发现多家公司存在有以下一些情况:
企业银行业务系统的用户名和密码由多人共享,人员离职时不适时变更;
密码只有4位,而且还有相同的英文字母或数字;
安装有企业银行业务系统的电脑设在办公室出入口附近,而且办公室进入没有门卡的限制;
负责确认到账的人员拥有与其业务不相关的付款权限;
负责支付的人员在实际操作中可以不经管理者的批准实施没有上限的付款。
最后的事例可以在很多公司看到,负责支付的人员如果受到诱惑决定去南美欢度余生的话那就糟糕了。所以说,支票的签字和票据的盖章这类相当于管理者“批准”的行为,在企业银行业务系统也是不可或缺的。
具体而言,可以考虑如下控制:
在系统中批准支付。企业银行业务系统的一个功能是设置只有以管理者用户名登录批准才可以完成支付处理。而且,管理者用户名没有输入金额的权限,只有负责支付的员工的用户名才可以实施金额的输入;
传真确认。将有管理者签字的传真确认件(付款委托书)送交银行,由银行工作人员对企业银行业务系统中输入的金额与传真确认件核对;
账户余额限制:(补充控制)在企业银行业务系统中设定账户以及/或者单笔转账的金额上限。
生成,送交的支付数据无法篡改
美国SOX法和日本版SOX中,针对业务流程和信息系统的内控评价,因为评价者必备技能的不同,而由不同人员负责的情况很多。如前所述,企业银行业务系统往往不由信息系统部门直接管理,所以相关控制活动很容易被从信息系统部门管理的范围中遗漏。相反,从业务流程相关工作人员的角度来看,企业银行业务系统也是“不怎么搞得明白”的系统之一,应该由系统方面的专职人员来负责,或者认为因为是系统处理所以无论如何应该是安全的(当然并不是这样)。
如果是从基础系统中生成磁带或支付文件,“确保应付账款/其他应付款无法篡改”就成了问题的关键。笔者曾看到过这样的例子,生成支付文件后,可在企业银行业务系统中处理,“支付文件只是单纯的文本文件,包括金额都是可以自由改动的”。发生这种情况时,当然就必须与在企业银行业务系统中人工输入时一样,实施先前所举的控制活动。
轮岗和长期休假:
内部控制还是植根于文化中的事物
到现在为止都在讲述会引起舞弊行为的灰暗一面,最后想以稍微轻松的话题结尾。
轮岗和长期休假制度作为内部控制最早出现在文献资料上是在20世纪20年代,是历史上最为古老的内部控制行为之一。
设置轮岗使得人员或部门发生变更,在长期休假期间由别的人员负责该职务,是旨在发现平时很难发现的舞弊行为的强有力的控制,包括与外部的串通、外部凭证(余额对账单、寄存证明)的篡改等。
但是在美国SOX法或日本版SOX中,轮岗和长期休假通常不被认为是必需的内部控制行为(关键控制)。其他控制,例如“批准”是“内容的检查和斟酌”,“职责分工”是“业务的分担”等,这些都是与提高业务效率目标一致的控制。相反,例如轮岗,可能被认为是违背业务习惯性和专业性的。长期休假多在金融机构会实施,在一般的企业并不多见。这一控制在欧洲等有长期度假习惯的国家可能更能被接受。
在中国,轮岗和强制休假制度的实施作为内部控制的一环得到提倡,《企业内部控制应用指引》中也记载了希望资金管理、采购、衍生产品的相关负责人员以及销售领域的管理者实施轮岗,资金管理和衍生产品负责人员等实施强制休假制度。
注:本文已发表于《中美日企业内部控制实务》(复旦大学出版社,2009)一书中,但对其内容进行了些许调整。