執筆関連

关于对企业内控和反舞弊体系构架维度的思考丨星瀚反舞弊

2020-03-16
分享到

近年来,国内大量民营企业(重点是互联网、房地产以及新兴科技公司)持续发布对舞弊案件的处理结果,尤其是一些移送司法机关追究刑事责任的案例,显示了企业对打击内部舞弊行为坚决的态度。星瀚律师事务所近年来作为深耕反舞弊案件调查和处置的前沿力量,也处理了大量员工舞弊案件,上至公司董事长、总经理等高层,下至销售、财务等基础员工。 

这些案件不仅反映了公司管理制度、业务流程上的问题,还反映了诸如员工劳动关系管理、供应商管理、商业秘密保护、IT管理、档案资料管理等多方面都涉及到企业内控和反舞弊的重要事项。企业内控和反舞弊贯穿融合在整个公司运作体系内的各个环节,虽然公司的审计、法务、HR、IT、业务等均为独立部门,但这些部门的常规管理职能并不能覆盖企业内控和反舞弊的知识层,因此仍有不少漏洞,不仅体现在不能遏止舞弊,还反映在发生舞弊案件后公司处置仍然很被动,或不能有效处置的方面。笔者因此有构建企业内控和反舞弊体系架构的思考,试图从各个维度去解读企业内控和反舞弊的要点。 

企业内控和反舞弊职能的定位 

从目前各企业实践中,笔者认为企业内控和反舞弊的目的是从维护公司安全的角度,避免因内部成员(包括股东、高管及其他员工等)的舞弊行为,导致公司利益受损害的情况。企业内控和反舞弊职能旨在通过内控体系的建设,从机制上、制度上对舞弊行为进行有效的隔绝和预防,并能够让舞弊案件的相关调查取证,包括涉案员工的纪律处理,民事、行政、刑事司法处理,劳动关系处理,以及相应交易对手的合同处理等均得以有效解决。 

我国《公司法》对公司的相应组织架构有明确规定,并且规定了股东会、董事会、监事会的各自职责,监事会对公司运营管理负有监督职能。这些法规在一定程度上对公司的权力设置、监督机构等进行了规定,体现了企业宏观层面的内控设置和安排。 

2008年财政部等五部委联合印发的《企业内部控制基本规范》及其配套指引,对中国境内设立的大中型企业(目前证监会对上市公司要求执行该规范)提出了内部控制要求。该规范对公司的内部控制工作从18项应用指引、评价指引、审计指引等方面进行规定,有了更具体的架构设置和具体操作规范,比如要求企业应当成立专门机构或者指定适当的机构具体负责组织协调内部控制的建立实施及日常工作。同时,企业应当在董事会下设立审计委员会。审计委员会负责审查企业内部控制,监督内部控制的有效实施和内部控制自我评价情况,协调内部控制审计及其他相关事宜等。 

应当说,该规范对企业内控有了众多原则性的规定,但根据笔者的案件经验,上述规范过于原则化,规定的内容和当下的企业舞弊实际情况匹配度不够,而且明显缺乏与司法的衔接,并不能真正满足目前企业的内控和反舞弊指引需求。况且目前上市公司对上述规范的规定执行也大多流于形式,常出现连续几年内控报告一字不差的情况。 

因此,笔者认为企业内控和反舞弊体系的构建,还是应当结合当前的舞弊形势,以及法律的配套来思考和设计。 

企业内控和反舞弊组织机构的职能 

企业中负责内控和反舞弊的相关人员,其职能应该包括两个方面:一是内控和反舞弊制度体系的建设和日常监督执行,负责研究内控的反舞弊的相关理论,结合《企业内部控制基本规范》制定可执行、可操作的实施细则,将制度规范落实到位等;二是对舞弊问题的有效处置,负责处理内部、外部举报,包括收集整理初步线索、材料,自行或寻求第三方开展案件调查,启动司法程序等。 

从组织架构上看,目前中国各企业负责内控和反舞弊的人员情况各异,有内审部门负责的、有专门设立监察部的、有归在法务甚至人事部门监管的,但综合职能来看,笔者认为企业内控和反舞弊贯穿在企业的各个运营环节中,其机构职能除了需要兼顾内审、监察两大职能外,同时还应当能够协调法务、人事、IT、财务、业务等各部门的协助参与。只有职能真正确立了,才能确保整个内控和反舞弊体系是深入企业各个运行环节的,真正有效做到事前有效预防,事中应对得当,事后有效处置。 

企业内控和反舞弊职能在公司运营各个环节的体现 

企业对于内控和反舞弊体系的定位和职能有了认识后,便需要将其贯彻在日常经营管理的各个环节。笔者认为一家具有一定规模的企业,其内控和反舞弊工作在业务流程、财务流程、知产保护、劳动人事、IT管理、档案管理和文化建设等各方面均需有重要涉及,增添与内控和反舞弊相关的内容。 

1 企业业务流程的内控和反舞弊设计 

不同领域、行业的企业,其业务流程各有不同,会细分到采购、销售、研发、外包等各个环节。对于企业业务流程中的内控和反舞弊设计,从原则上说,应坚持做好不相容职务分离控制和授权审批控制。 

不相容职务分离控制中的“不相容职务”,是指那些如果由一个人担任,既可能发生错误和舞弊行为,又可能掩盖其错误和舞弊行为的职务。企业在业务流程的设计中,需要以“内部牵制”为核心,要求每项经济业务都要经过两个或两个以上的部门或人员的处理,彼此形成监督和牵制,使得单个人或部门的工作必须与其他人或部门的工作相一致或相联系,增加舞弊成本和难度。 

授权审批控制,则要求企业根据常规授权和特别授权的规定,明确各岗位办理业务和事项的权限范围、审批程序和相应责任。对于重大的业务和事项,应当实行集体决策审批或者联签制度,任何个人不得单独进行决策或者擅自改变集体决策。例如,销售经理对某产品的销售定价权,就应当明确规定其在标准价格基础上的变动幅度,很多销售经理违规低价销售给自己设立或控制的关联公司的案件,就是因为定价权不明晰,导致案件性质无法认定,公司损失无法认定。 

2 企业财务流程的内控和反舞弊设计 

企业财务流程的内控和反舞弊设计首先要解决公司组织架构不合理的问题。若财务部门受制于业务部门或领导层,即使有再规范、再详细的制度,也会形同虚设,极易出现资金安全、虚假财务信息风险。 

其次,要避免账外账、出纳可单独控制资金等情况,很多财务人员舞弊行为的发生,就是因为财务人员可一人完成所有的资金操作工作。同时,财务凭证等档案资料应当在流程设计中明确,做到财务工作步步留痕可查。 

3 企业知识产权保护机制的内控和反舞弊设计 

现如今,随着互联网发展和各类核心信息的数据化,知识产权保护除了常规的商标注册、专利申请等措施外,商业秘密保护已经越发成为企业关注的焦点。因为商业秘密的泄露和被窃取,对企业造成的伤害往往更大。而这类案件大多发生于内部员工出现问题,比如员工恶意窃取商业秘密跳槽至竞争对手,或者高管直接将商业秘密带走自行成立公司同行竞争,或者员工被竞争对手收买泄露商业秘密等,都可能对企业带来致命性伤害。这类案件伤害最大,但因为取证难,以及现有司法的局限性,公司往往最难维权。很多公司甚至都不清楚如何将自己的“商业秘密”设定为法律上的“商业秘密”(法律上“商业秘密”应当符合“三性”要求)。 

因此,对于知识产权的保护,在内控和反舞弊的视角上,企业还应当重点关注商业秘密和反不正当竞争的保护。此外,采取一定的技术手段对商业秘密进行分级和权限管理,也是有效方法和手段。 

4 企业劳动关系的内控和反舞弊设计 

从实务经验来看,大多数企业在考虑劳动关系和人力资源政策时,仅仅包含传统的劳动权利义务,如合同期限、工作内容、工作时间、工资待遇、劳动保护、社会保险、劳动纪律等。这些条款的制定可以说是满足了《企业内部控制基本规范》第16条“企业应当制定和实施有利于企业可持续发展的人力资源政策”的最低条件,但并没有结合内控与反舞弊的特点对相关制度进行完善。 

关于如何在劳动关系的设计中预防舞弊事件的发生,如何设置员工隐私权和公司调查权对平衡,以及妥善解决舞弊人员与企业的劳动争议,需要企业进一步设定利益冲突和反贿赂政策,避免裙带关系、关联交易等危害企业利益的情形出现;设计保密和竞业禁止协议,对意图舞弊的人员起到实质性的威慑作用,便于企业事后主张违约责任;建立舞弊举报制度,保护举报人的隐私,确保信息及时有效传递等。 

5 企业合同管理的内控和反舞弊设计 

很多舞弊行为发生在合同关系里,比如采购合同中公司采购人员和供应商的关系,销售合同中公司销售人员和经销商/客户的关系,如果在上述关系中发生商业贿赂等舞弊问题,该合同很可能会给公司带来重大损失。对这类合同,公司有无针对性设立廉洁条款,以及该条款对合同效力、解除权、违约责任等约定是否适当等,都会成为公司能否及时止损、寻求法律救济的重要依据。 

6 企业IT管理的内控和反舞弊设计 

随着数字时代的到来,IT技术已经渗透到企业运营的方方面面,大多数舞弊人员会将自己的舞弊行为痕迹留存在邮箱、计算机、移动存储介质等电子设备中,也即在上述设备会留存有重要的证据和线索。但大部分企业在做IT架构时,并不会有意识地考虑其中的内控和反舞弊设计,以致企业的基本内控需求大量被忽略。例如,不同岗位的不相容原则应当体现在OA流程中;公司在员工配发手机、计算机、移动存储介质应当有规范的登记、签收等规定;IT人员对涉案员工的邮箱账号、计算机、移动存储介质保存应当有基本的证据保管法律技能;以及重要商业秘密的服务器存储,账户分级管理和技术安全设置等等,都是IT管理在内控和反舞弊上的重要应用。 

7 企业档案管理的内控和反舞弊设计 

档案资料是发生舞弊案件后开展有效调查的重要方面,越完整的档案资料越能反映和还原当时的客观事实,例如员工自填的一份员工信息表,就可能包含了其基本的家庭成员信息;例如一份审批单,就包含了申请人信息、审批人信息,而这些信息往往在舞弊案件中会起到决定性的证据作用。 

从内控和反舞弊的角度,对于项目合同、劳动合同等合同档案的管理设计,在合同订立后,合同副本及相关审核资料应交由档案管理部门归档,合同正本由合同归口管理部门负责保管和履行。 

对于记账凭证、财务报表、会计账簿等财务档案,采取信息化会计档案管理制度也是目前的常见做法。将财务会计档案存储为电子数据,指定专人负责管理,做好防消磁、防火、防潮和防尘等工作。还要进行定期检查,防止由于介质损坏而使会计档案丢失。 

8 企业文化的内控和反舞弊设计 

企业内控和反舞弊工作,核心价值在于预防和控制舞弊的发生,而非惩处舞弊人员。积极向上的企业文化和必要的警示教育,对于企业营造良好的廉洁文化都是非常有效的方法。通过定期的培训和教育,尤其针对一些特定岗位员工和高管定期开展针对性的廉洁教育,可以培养员工对企业的信心和认同感,从根源上预防舞弊行为的发生。如果企业没有良好的廉洁文化,对舞弊行为容忍或形成风气,会让其他员工为自己的舞弊行为找到“自我合理化”借口。常见的如员工看到企业运转中的漏洞,不仅没有跟公司指出,反而借机利用漏洞实施舞弊;或者员工看到其他人舞弊也没有得到惩罚,效而仿之。 

目前有越来越多的互联网企业公开宣称对腐败舞弊行为“零容忍”,这也是企业文化的一种体现。 

综上,企业的内控和反舞弊工作,不仅仅是审计和案件的查处,也不仅仅是审计部、监察或法务的职能,对公司而言,是企业管理层需高度关注、融入在企业运行各个环节的一项系统性工程。因此,企业应当结合舞弊现状,考量现有的各项法律规定和司法实务要求,在职能、架构、机制层面进行重塑和调整,通过有效的制度设计和管理,才是完整和有效的内控和反舞弊体系。

作者:星瀚企业内控与反舞弊法律中心 汪银平律师