1.1.4 内部控制失效的根源

雪崩时没有一片雪花是无辜的。大多数组织都会经历内部控制崩溃的事件，当内部控制失效，舞弊发生时，人们就会问：“内部控制到哪里去了？”

这里想跟大家明确一个概念：内部控制提供的是“合理”保证，而不是“绝对”保证。影响内部控制的有以下几个因素。

（1）缺乏有效的风险评估流程：如案例1-3所示，企业如果没有识别出会出现假发票的风险，自然不会采取任何措施。

（2）没有设计有效的内部控制程序：企业为了解决假发票问题，设计出的控制是让财务部加总发票的金额，而不是查询发票的真伪。这样的控制自然是无效的。

（3）没有按照设计的控制执行：企业要求财务部去查假发票，但是财务部负责报销的会计忽略了这条指令，或者在查发票时漏查了几张，都有可能造成控制失效。

（4）人员的能力不足：新来的费用会计刚毕业，根本不知道怎么去查验发票的真伪，也没有人教他，最后他自己摸索出的查验方法都是错误的。

（5）员工串通或者管理层凌驾于内部控制之上：比如费用会计明知道是假发票，但是还是给与自己合谋的同事报销；或者知道总经理拿来的发票是假发票，费用会计怕得罪总经理，就睁一只眼闭一只眼地给他报销了。

（6）剩余风险依然过大：管理层决定不检查单张金额在200元以下的发票，但是第二年单张金额在200元以下的发票特别多，按照之前的标准企业的剩余风险变大，引发了重大的不可接受的风险。这时候，就要对之前制定的制度和控制点进行再次审核及评估。

案例1-4　一个在签字前落跑的财务总监

2022年4月29日，A股份有限公司如以往一样公告了2021年年报和2022年一季报，不寻常的是，这两份报告上都没有财务总监的签字。上海证券交易所发出了监管函要求公司解释年报、一季报上没有财务总监签字的原因。

原来在4月27日晚上，公司董事会秘书发现桌上有一份财务总监签名的文件，文件主要内容：“大股东干预公司生产经营情况，财务人员独立履行职责受到巨大影响，不能做到勤勉尽责，无法保证报告中财务数据的真实性、准确性、完整性，无法承担个别和连带法律责任，拒绝签署财务报告。”收到该文件后公司跟财务总监一直无法取得联系。

直至5月5日，财务总监给出了书面解释：（1）2021年董事会决定恢复公司畜牧及屠宰业务，从2021年5月开始大量采购活牛，采购人员每人使用200万元备用金循环报销进行采购活动，且采购人员全部从大股东公司借调，在现金采购期间原始凭证和采购资料不齐，无法确认采购价格和生物资产，总金额达1亿元，对财务报告真实性影响重大；（2）大股东委派自己集团的财务人员进行付款审批而剥夺了A股份有限公司财务总监的审批权，影响财务独立性。

后经过协调，5月初大股东将采购人员召回公司补全了采购资料，满足了生物资产确认条件。5月12日大股东出具《关于作为实际控制人规范参与A股份有限公司运作的承诺》，自此，一场反管理层凌驾于制度之上的内部控制大战落下帷幕。

对该例子，我们用内部控制的五要素来进行分析。

1.控制环境：A股份有限公司（简称A公司）的控制环境没有给内部控制的实施提供很好的土壤。

从该例子可见，A公司的整体环境不利于内部控制的贯彻和执行。从财务总监的书面解释来看，A公司的大股东直接凌驾于内部控制制度之上，干预公司的日常经营活动，大股东的行为奠定了组织的内部控制基调。而公司的财务总监，为了维护投资人的利益，敢于挑战权威，最终换来了大股东对后续工作的规范承诺。

2.风险评估：分析A公司在展开新业务时面临的风险。

A公司2021年决定恢复畜牧及屠宰业务，这本身就面临着决策风险、市场变化风险、商品价格风险、流动性风险、操作风险和舞弊风险等。

先从战略来讲。由于受客观因素影响，本年作任何决策投入任何市场的不确定性都比较大，以往的经验在新环境下可能产生不一样的结果。公司在做决策前，需要充分评估目前进入该领域的可行性，将其作为一个全新的事业来进行评价。完成市场调研和可行性分析后，再确定方向。

再从市场和流动性来讲。A公司2021年5月决定恢复畜牧及屠宰业务，5月开始集中大量收购活牛，短时间内，收购活牛金额达1亿元，这势必让活牛的市场价格上涨，公司的利润空间被压缩。另外，短时间内拿出1亿元的现金进行收购，也会给公司的资金流造成一定的压力。

再从操作风险来考虑。大股东公司多名员工每人使用备用金200万元循环报销收购活牛。当前很多农产品或者农户无法提供强有力的证据证明活牛的价格，如果没有设计出合理合规的内部控制机制，容易给采购留下漏洞，而其中是否有舞弊的可能性值得商榷。这也是财务总监担心财务报告不公允的原因之一。

确定A公司的风险偏好。从上述资料可知，A公司是一个风险接受度比较高的公司，愿意为自己的决策承担较大的风险。另外，从采购活牛时的凭证不规范情况可以看出来，A公司对内部控制的监督制约机制不够，这是否与公司较高的风险容忍度相关不得而知。同时，A公司中也有像财务总监这样的管理层存在。财务总监的风险容忍度明显低于其他管理层，当其发现不齐全的凭证影响资产的确认从而影响财务报告的公允性时，其会选择举手，不签署财务报告。

3.控制活动：根据风险和可接受风险水平不同制定相应的控制机制。

A公司管理层的风险可接受程度较高，决定由员工先支取备用金进行采购，采购凭据采取后补的形式予以验证。这种控制机制，属于检查性控制，属于事后的消极控制，这样的操作下，公司采购活牛的效率会提升。

如果公司的风险可接受水平低，那么通常可以采取多重控制机制。比如双人随机搭配进行采购活动并且定期更换搭档，这样能降低串通舞弊的风险；员工与农户谈判完成后签订合同，由公司直接打款到农户的账户上，这样也可以降低没有拿到凭证而不能确认采购价格的风险，同时能在一定程度上降低舞弊的可能性（员工无法直接接触资金）。但这样的操作会降低采购效率，员工需要谈好合同条款，将其发回总部审核，没有问题后再进行签订并付款流程。

这里需要强调的是，所有的控制都是有代价的，这个代价可能是增加成本，也可能是降低效率，如何在可接受风险水平和控制的效益之间找一个平衡点，是每个公司需要思考的问题。

4.信息与沟通。

公司的信息应该是透明的、流通的，以协助公司进行更好的内部控制。据前述资料可知，财务总监的审批权和财务管理权被限制了，这对内部控制产生了不利的影响。所以财务总监才没有在财务报告上签字。

5.监控活动。

公司的内部控制需要定期回顾和监控。当财务总监发现公司的监控职能不能有效地起作用时，其利用不在财务报告上签字，将公司内部的问题公布，促使公司的财务监控和独立运作机制回到正轨。当然，并不是鼓励所有的公司都这样做，在公司出现问题时，还是需要有相关的监控和监督机制将内部控制的缺陷暴露，并将内部控制的运转拉回正轨上。