描述
李秘书:“王总,上次我和你说的那个申请你看怎么样啊?”
王经理:“没什么问题,我这几天在出差,没法登录系统,等回来我就审批。”
李秘书:“可是王总,我现在急着要啊,这次的交易很大,领导们都很重视,要是因为审批太晚让这件事情黄了,我和你都担不起这个责任啊!”
王经理:“这样吧,你用我的用户名进系统批一下吧,我的用户名是******,密码是******。”
几天后
张经理:“老王啊,上周你批的两笔交易里有一笔可是会议上明确说不能批的啊!怎么回事?”王经理:“上个礼拜我在外面出差,都没上网,怎么审批?哦,对了!我让李秘书帮我批了一笔,可是……(汗)?”
王经理:“小宋,能查出上周我在系统内的操作日志吗?”
小宋(系统管理员):“好的,王经理,我看一下系统日志,您上周登录了两次系统,时间分别是……”
王经理:“果然我的账号被盗用了啊!”
分析
信息系统控制是《保险公司内部控制基本准则》运营控制中不可或缺的控制环节。信息系统控制一般分为整体控制和应用控制。整体控制是指对企业信息系统开发、运行和维护的控制;应用控制是指利用信息系统对业务处理实施的控制。
上述案例揭示了信息系统控制中整体控制上的缺陷。通俗地说,信息系统整体控制是信息系统部门日常所进行的一般业务管理,它是衡量信息系统整体是否可信赖的机制。对于用户账号和密码共享,系统日志无法辨别登录者的真实身份。如果必须共享账号,那么须明确定义共享目的和共享账号的权限,并由管理层进行确认。此外,用户账号、权限管理和密码设定作为信息安全领域要求中最重要的内部控制,在使用情况发生改变后,应及时更换密码,对用户账号和访问权限进行相应的赋予、变更或删除。也就是说,王经理在授权李秘书审批交易后,应该及时修改自己的密码,保证账号的安全。即使在平时,也应设定安全系数较高的密码,妥善保管并定期变更。
内控小字典
用户账号管理的基本要求
企业应当建立用户管理制度,加强对重要业务系统的访问权限管理,定期审阅系统账号,避免授权不当或存在非授权账号,禁止不相容职务用户账号的交叉操作。
企业应当在信息系统中设置操作日志功能,确保操作的可审计性。
公司应按照“谁主管、谁负责,谁运营、谁负责,谁使用、谁负责”的原则,明确信息安全各相关方的责任,加强人员管理,强化信息安全意识,全面落实信息安全管理责任制。
注:本文参照《企业内部控制应用指引第18号——信息系统》和《保险公司信息化工作管理指引(试行)》相关内容。已发表于《太平洋保险报》2011年4月1日,总第649期。
企业内部控制实务(9)——资金管理与资金有关的舞弊将动摇企业的根基
金融衍生产品管理:
企业需要的是明确的、具有可操作性的政策
与资金有关的交易产品中,一般认为风险最大的应该是金融衍生工具。实际上,“衍生工具”这个词本身就会给人感觉是偏离实业的金融机构的产品。但是,衍生工具原本是一方支付一定的手续费从而降低风险,另一方收取手续费以承担风险的交易,是如同保险一样,自然产生的产品。
实际上,世界上最初使用现代衍生产品的是日本江户时代1730年开设的位于大阪堂岛米会所的期货产品。诸藩有实际需求,希望确定预备生产的大米的价格,并将一部分变卖。米商接受未来商品价格,并可以对权利凭证本身进行交易以赚取净利润。
让我们再向前追溯,如果列举人类最伟大的30项发明,货币一定会名列其中吧。世界各地根据实际需要,自然而然地产生了各种材质、各种形状的货币。随着产业的发展和经济活动的复杂化,交易方式当然也越来越进步。
但是工具和技术若使用不当,将带来危险。比如火和刀都是非常便利的人类发明,但是同时要注意不能被烧伤或者刺伤。同样道理,在使用衍生产品的时候也要建立适当的风险管理手段(内部控制)。
关于衍生工具的内部控制,首先要注意的是建立使用衍生工具的明确制度。到底是根据实际需要(风险对冲)来使用衍生工具,还是出于追逐利益的原因使用衍生工具(投机)?一般来说,除了业务本身即是承担投资风险的金融机构和投资基金,其他的企业应该在公司内部规章中说明衍生工具必须仅为风险对冲而使用,并进一步限定使用种类,例如,仅限于汇率远期、利率掉期等具体的工具。
即使是根据实际风险对冲需要使用衍生工具,管理层的审批仍然必不可少。如果与投机活动相关,企业必须根据实际承担风险的程度建立相应的审批手续和规则。
可以参考套期会计的原则来判断使用衍生工具的目的
然而,人们往往难以判断是不是真的根据实际风险对冲需要使用衍生工具。比如,企业预测到会有外币计价的订单,于是不得不进行相应的采购和生产活动,为了锁定利润额,自然会尽早约定远期汇率。但是,从理论上讲,在订单还没有确定的情况下就约定汇率,相当于将全部利润暴露于汇率风险下。
套期会计相关的会计准则可以成为一个判断标准。因为企业可以考虑不同的衍生工具是否适用套期会计,它们在财务报表及附注中有不同的披露要求。但是,套期会计相关的会计准则在美国、日本和中国(套期会计和国际财务报告准则非常相近)这三国之间目前来说都有很大的不同。
对于已经使用的衍生工具,企业必须建立良好的台账管理,记录合同的条件、金额、风险说明及衍生工具的对方。
而且,尤其重要的是,企业须确认衍生工具合同实际上和交易对手互相核对。具体举例来说,由和衍生交易无关的独立的其他交易人员从交易对手处获取计算表,并与公司内部的衍生工具台账相对照。
中国航油(新加坡)股份有限公司(简称“中航油”)是一个典型的衍生工具投机失败的案例。经国家有关部门批准,中航油自2003年开始做油品套期保值业务。但管理层擅自扩大业务范围,从事石油衍生品期权交易,但一直未向中国航油集团公司报告,中国航油集团公司也没有发现。该期权交易致使中航油在清算时造成账面实际损失和潜在损失总计约5.54亿美元。2005年6月3日,外部会计师发布了有关中航油巨额亏损的最终调查报告。报告认为若干因素单独或共同造成了公司在期权投机交易上受到损失,包括没有按照行业标准对期权仓位进行估值;没有正确地在公司的财务报表上记录期权组合的价值;缺乏针对期权交易的适当及严格的风险管理规定;公司管理层有意违反本应该遵守的风险管理规定等。
另一个典型案例是中国国储局2005年的铜期货巨额亏损事件。中国国储局一名交易员在LME(伦敦金属交易所)铜期货市场上通过伦敦金属交易所场内会员SEMPRA,在每吨3000多美元的价位附近抛空,建立空头头寸约15万~20万吨。铜价格的一路上涨给国储局带来巨额损失。另外,在国储铜事件上,交易行为由原来的两个岗位变成由该交易员一个人操控,背离了内部控制职务分离的原则。
衍生工具的市值确认非常重要。企业须对衍生工具的财务特点进行充分了解和评价,并由管理层建立相应的制度。
在中国,似乎使用金融衍生工具的企业为数尚少。但是,还是有些公司使用了衍生工具,以此减少了原材料价格高涨对经营的影响,并实现了比同行更高的利润。如开头所述,企业通过衍生工具的使用,可以降低风险。企业须以构筑完善的管理体制为前提,积极地审视衍生工具的管理。
投资、借出资金的管理:
企业应以发展主营业务为重
无论是投资还是借出资金,企业都须根据金额和风险程度确定相应的管理层审批权限。而且和衍生工具相似,投资和借出资金也必须实施台账管理并定期通过市值评估。
由于投资和借出资金记为资产,所以内部控制方面必须确认其真实存在性。资产的确认必须由不负责该资产管理的其他人员实施,这一点尤为重要。
上市公司浙大海纳2003年年报、2004年半年报披露的银行存款都有两亿多元,但在这期间,大股东及关联方多次私自从公司账户上划走巨额存款,实际银行存款不到一半。另外,大股东不仅喜欢现金,还喜欢国债。截至2004年半年报,披露的债券投资额实际上全部落入了关联方的囊中,公司的国债账户空空如也。大股东有此“胃口”,上市公司也在行动上予以配合。
此外,投资或借出资金对象无论是谁,都不像衍生工具那样简单地是一个承担风险或是降低风险的问题。这关系到留存资金的运用、采购方和销售方的支持、和同行业企业的合作、对子公司和关联方的出资等考虑,还和本业相关的各种战略目标都相联系,并不是单纯的承担风险。
近年来,面向消费者生产商品的制造业也开始顺利地开展金融业务。通用电气、通用汽车的财务公司特别有名。它们从方便消费者购买自己公司产品的金融贷款起步,通过赊销收取利息,帮助了主营业务的发展。
面向消费者的金融,其本身有很高的利润率。但是如通用汽车,主营业务虽然不景气,但是财务公司业绩很好,这恐怕只是数字的游戏。在美国,相关的融资和信用卡使用已经非常普遍。在这样的地方,制造商的价格战略中,首先考虑的是降低利率,其次才是商品本身的降价。通用汽车的“零利率”策略在媒体上也有报道,这样低的利率只是为了促进消费者购买产品而已。
在会计处理上,对于财务公司来说,因为利息收入是“营业收入”,财务公司根据消费者的信用状况将正常的利息记为营业收入,而与实际利息的差额部分由汽车公司通过销售费用对财务公司予以填补。在财务报表的分部报告中,看起来好像主营业务不景气但是财务公司业绩很好,实际上利息的减免是产品打折促销的一种手段,我们应该将主营业务和财务公司业务合并起来分析财务报表。
借入资金的管理:
还款到期日检查和资金周转
借入资金有多种形式,除了简单地从金融机构借入资金,还有公司债券、可转换公司债券以及资产支持证券等形式。资产支持证券是以资产为担保借入资金的形式。它不仅是资金周转的问题,而且是以应收账款为资产对象,在财务报表上多表现为出售应收账款以回笼资金。资产支持证券在2006年5月16日中国证监会发布的《关于证券投资基金投资资产支持证券有关事项的通知》中已经提及,但是实际使用的很少。
借入资金的内部控制,从基本要素上说,就是和存在性相关的审批、台账管理以及和交易对手的复核(具体来说,就是从贷款人处获得计算表并和台账相对照)。如果从借入资金本身的特点来看,到期还款日检查和相应的资金周转管理显得非常必要。
对于附有财务限制条款(Covenant Clause,比如合同规定,股本比率、分红情况等财务数值须确保在一定数值以上或者以下)的借入资金,为了遵守财务限制条款,企业必须有定期的复核。公司债券发行附条款的情况往往比较多。即使是从金融机构借入资金,在金额巨大或者内容复杂的情况下,例如,针对公司所有的应收账款进行资产支持证券化时,金融机构有时候会要求公司维持某些财务指标在一定值以上。
与财务相关的三个方面的审查要点
关于台账管理,固定资产的台账往往通过简易的软件或者表格计算管理,必须关注安全和备份等信息系统整体控制。同样,这也适用于衍生工具、投资、借出资金和借入资金的台账管理。特别是借入资金的还款和衍生工具的履行,若操作上有差错,将带来严重的后果。
关于借出资金和借入资金,包括现金管理、现金流量系统控制在内的全面管理可能是最佳实践。对于衍生工具,虽然系统并不适合于管理特殊和复杂的事物,但是根据实际需要不得不采用衍生工具交易的情况下,由于汇率远期约定等已是定型的工具,根据交易规模和数量,还是由系统管理比较合适。
由于公司债券被记入负债类会计科目,企业需要实施与借入资金相关的内部控制。除此之外,由于公司债券属于公开发行的有价证券,对于其发行、偿还需要实施和股票相同的管理。至于可转换公司债,需要做潜在性稀释股票(Dilutive Security)计算,其商业上的性质和管理渐渐接近股票。
出资方作为股东影响公司的经营是理所当然的。然而,如前所述,如借款金额巨大,那么公司的经营状况和借出资金者也会存在重大的利害关系。很早之前,财务报表的最初目的就是为债权人提供财务信息。
所有者权益的管理:
今后的课题是,怎样的“内部控制”适合企业所有者权益从本质上来说,不会发生经常性的交易。迄今为止,还很少有人考虑所有者权益需要怎样的内部控制。可以想到的内部控制包括(包括股本变化的)资本明细的定期复核、与登记簿和从证券代理机构(信托银行)获得的股东名单相互对照。
股票的发行、减资等与《公司法》、《证券法》等多个法规制度相关。为了准备好董事会决议、对股东和债权人的通知、登记等合规性要件,企业必须准备一份检查用的一览表(可以从证券代理机构等处获得),在股本变化的实施过程中使用。同样道理,公司债券、可转换公司债券也以此为准。
中国的上市公司屡次出现虚假出资、挪用资金等事件。比如20世纪90年代曾被称为“中国股市第一案”的“红光案”,红光实业涉嫌虚假出资,编造虚假利润,骗取上市资格;少报亏损,欺骗投资者;隐瞒重大事项,挪用募集资金违规买卖股票,未履行重大事项的披露义务。骗取配股资金也是上市公司的重大舞弊手段之一。比如山东巨力公司原董事长和原财务处副处长涉嫌虚增1999年年度利润16145.73万元,骗取了配股资格,于2001年在深交所配售发行股票1149万股,共募集资金15971.1万元。公司成功配股之后,多项配股募资项目却发生变更。相关负责人由于涉嫌欺诈发行股票被追究刑事责任。
也许人们认为内部控制(尤其是在传统的业务流程层面上的内部控制)难以防止上述舞弊事件的发生。然而,今天的内部控制登上历史舞台的契机是,安然和世界通讯通过虚假报告以哄抬股价的舞弊事件。由此,2002年美国制定了企业改革法——萨班斯(SOX)法案。
尝试对“股份公司”体制作出新调整中国于1990年成立了上海证券交易所和深圳证券交易所,普通市民可以通过交易所进行证券交易。证券交易所的成立为中国经济发展奠定了良好的基础。
实际上,“股份公司”和“货币”一样,被称为人类的伟大发明之一。股票市场是一个中介场所,连接了拥有生意和业务但是没有资金的人,和虽然有资金但是不能有效使用的人。它使得社会整体资金利用的有效性取得了飞跃性的提高。股份公司这种组织方式的广泛采用,也支持了产业革命。
人们从早期开始就对“资本主义”的各种缺点提出批判。自由竞争的结果,是胜者垄断或者成为寡头,从而变得缺乏效率。
所有的体制都需要管理维护和调整。在现代经济中,股份公司高速发展和日趋复杂。“内部控制”的明确义务也许是股份公司尝试的调整之一,包括美国SOX法、日本版SOX,还有中国的《企业内部控制基本规范》及其指引的征求意见稿等都是对其的最新锐尝试。
注:本文已发表于《中美日企业内部控制实务》一书中,但对其中内容进行了些许调整。
1(非常差)
聚合中文网 阅读好时光 www.juhezwn.com
小提示:漏章、缺章、错字过多试试导航栏右上角的源