作者:@马军生博士
近年来,内控漏洞导致资金被挪用或其他重大损失的案例,可谓屡见不鲜:东北高速巨额银行存款不翼而飞、外高桥2亿多资金被挪用、仪征化纤销售会计6年期间挪用公款5000多万、光大证券“乌龙指”事件……作为上市公司,通常来说,已基本建立起一套相对完善的内控管理制度,但一些内控“低级错误”为何还会频频发生?在事后分析原因时,人们经常听到的一种解释是,公司有明确制度规定,但相关人员未能严格执行,将风险或危机的发生归咎于执行有效性,认为是由于员工未按章办事才导致问题,今后需加强规章制度教育,提高员工责任心和敬业精神来保证制度执行。但果真仅仅是执行有效性问题?并非如此。
一个企业在建设风险控制体系时,如果寄希望于员工都能按照既定制度办事,并以此来设定相关控制措施,那将是一件非常危险的事。这就好比打仗,假定敌人仅会正面进攻,不会攻击侧翼、迂回包抄或内部策反,那一定会留下致命空门,给敌人可趁之机。
很多企业建立风控体系时,却仍然在重蹈类似覆辙。以货币资金内部控制为例,资金支付通常需经过支付申请、支付审批、支付复核和办理支付几道程序,企业内控制度一般也是按照这个流程严控相关节点,尤其审批和复核环节往往是很多企业的控制重点,对于正常走流程的付款,这样层层控制确实可以防控风险。但从大量已曝光资金舞弊案例来看,绝大多数恰恰都是绕过正常审批、伪造签字或越权审批,直接从支付环节入手,轻易挪用资金。巴林银行倒闭就是个典型例子,里森当时既是前台的首席交易员,又是后台的结算主管,这两个至关重要的岗位,都是由里森一人把持,为其越权违规交易提供了方便,他开立了“88888”账户(误差账户)来掩盖交易亏损,直到给巴林银行带来超过10亿美元损失。
企业构建风控体系时,不仅要正向考虑,同时要反向考虑是否存在漏洞。对于内部或外部舞弊人员,在实施舞弊时,通常并不按常理出牌。而是会从各个角度来寻找潜在漏洞。为此,企业对风控体系有必要进行适当的“压力测试”,即假设某岗位员工存在蓄意舞弊动机时,是否仍有机会绕过现有各项控制实施舞弊且不会被发现,如果有,说明公司风控体系存在薄弱环节。譬如某公司虽然规定所有资金支付要经总经理审批,但所有银行预留印章却由出纳一人保管,则即使总经理未批准付款,出纳也能调动资金,这样的话,资金可能就有被不当挪用风险。因此,建立风控体系时,应具备一定逆向思维,从舞弊防范视角考虑,一是通过物理隔离或职责分离从源头防止舞弊发生;二是对重要风险应建立多道防控线,除直接控制措施,还应有补偿性控制;三是定期检查监督,保障防控措施有效执行。
马其诺防线已成为历史,成为“看似表面坚固、实际毫无价值的东西”的代名词,企业构建风控体系时,应避免再犯类似错误,从正反两方面考虑整个风控体系有效性,莫让风控制度沦为摆设。
(注:第一次世界大战后,法国开始研究如何防御德国和意大利入侵,1930年,法国国防部长马其诺制定了一份防御计划,并在此后十年中,耗费了大量财力物力在法德和法意边境建造了一系列防御工事,这就是举世闻命名的“马其诺防线”,整个防线工事可谓固若金汤。但是,这个登峰造极的防线并没能在二战中挡住德军,1940年5月,德国主力通过阿登山脉,从左翼绕过马其诺防线,直插法军后方,仅一个多月占领了法国全境,法军40个师兵力一直呆在防线等德军来进攻,直到战争结束时还未放一枪一炮、毫发无损,就走出防线直接去了战俘营。被神话般信奉的马其诺防线最终成了无用摆设和莫大讽刺。)