讲义查看

企业财务内控漏洞识别与应对

显示模式：清爽模式字体：大中小打印

企业财务内控漏洞识别与应对

主讲：马军生

简介——马军生博士

▪ 目　　录

一、内部控制及风险管理框架

二、财务组织架构与授权审批漏洞及应对

三、货币资金管理内控漏洞及应对

四、会计核算内控漏洞及应对

五、销售环节内控漏洞及应对

六、采购环节内控漏洞及应对

七、内部控制落地的新思维与新方法

一、内部控制及风险管理框架

发生了什么？

案例1

　某上市公司子公司财务贪污1.539亿元

某上市公司2020年2月发布公告，下属子公司财务人员，四年期间挪用1.539亿元。

2016年→ 460 万元

2017年→1 765 万元

2018年→6 375 万元

2019年→6 790 万元

反思：四年时间，这么重大的内控缺陷及舞弊，无论是公司领导、业务、财务、内审还是外审一直未能发现？该类现象并非个案，在很多公司都出现过。

四年贪污1.539亿，如何瞒天过海？

作案手法：

盗用网银，未经公司授权批准转出资金；

账上对资金转出不记录，资金账存实无；

伪造银行对账单、编制虚假的银行余额调节表，瞒过财务检查和审计人员。

上市公司的内控整改与应对措施

由两名人员（其中至少一名非资金管理人员）到银行领取对账单，非资金管理人员按月及时编制银行余额调节表，加强银行对账单及对账管理。

全面开通银行账户短信提示功能，扩大银行账户短信通知接收人范围至各公司的关键、重要岗位人员。

全面核查资金管理岗位人员具备必要的履职能力和职业操守。通过持续参加专业培训，提高履职能力。明确资金管理岗位人员的职责及基本原则。加强内部控制，进行有效监督检查。

对资金管理的重点管理环节从制度层面进行了明确和强调，（其中包括）现金日清月结、银行对账、函证、制证记账等工作环节。严格落实不相容岗位管理规定，严格管理公章、印鉴、USB KEY 以及登录密码。强化财务部保险柜管理的具体要求。进行不定期的检查。

什么是内部控制？

内部控制COSO框架

COSO报告内部控制整体框架

内部控制是企业为控制经营风险、实现经营目标而制定的各项政策与程序。

COSO报告：“内部控制是一个过程，受企业董事会、管理当局和其他员工影响，旨在保证财务报告的可靠性、经营的效果和效率以及现行法规的遵循。它认为内部控制整体架构主要由控制环境、风险评估、控制活动、信息与沟通、监督五项要素构成。”

小结：一个过程、全员参与、三大目标、五项要素

五部委内控体系：基本思路、目标和原则

中国企业内控规范及配套指引

风险管理的三道防线

目标→风险→控制→实施→监督及持续改进

企业构建风险管理、内部控制和合规管理体系的工作

二、财务组织架构与授权审批漏洞及应对

组织架构及职责职权

①不相容职务分离

②部门及岗位职责设定

③岗位强制轮换

④岗位代理制度

⑤采购职责职权及授权审批体系

案例2

　 23岁海归女财务，2小时被骗1 919万元

2019年7月，林女士从国外留学回到长沙，成为湖南某大型企业财务管理人员。12月，林女士接到自称来自福建公安机关的电话，称其涉嫌一桩特大洗钱案，已被公安机关列为通缉对象，并向其出示了一张网络逮捕令。在对方的诱导下，林女士信以为真，便按要求进入其提供的一个“最高人民检察院”的虚假网站，下载 “资金清算软件”。

林女士在软件输入了公司账户账号和支付密码，并按对方要求将公司对公账户的U盾插入电脑。对方以资金清算需保密为由，要求其关闭电脑屏幕，刘女士照做后，短短两个小时，对方就分45次将公司账上的1 919万元全部转走。经查，所谓资金清算软件实则是一款名叫Teamviewer的远程控制软件，骗子远程操控了刘女士的办公电脑直接实施转账。

1.资金付款相互牵制

2.岗前培训

3.银行账户资金变动提醒

什么是不相容职务？

不相容职务是指那些如果由一个人担任，既可能发生错误和舞弊行为，又可能掩盖其错误和舞弊行为的职务。

不相容职务如同时由一人担任，缺乏相互牵制或复核，出现错弊的可能性就大得多，分解到不同人来担任，将大大降低错弊可能性。

不相容职务分离的核心是“内部牵制”，它要求业务都经过两个或两个以上的部门/岗位人员的处理，使得单个人（或部门）的工作必须与其他人（或部门）的工作相一致或相联系，并受其监督和制约。

也称“不相容职责”、“不相容岗位”。

不相容职务分离的原则

①授权和执行的职务要分离

②执行和审核的职务要分离

③执行和记录的职务要分离

④保管和记录的职务要分离

⑤保管和核对实存数与账存数的职务要分离

⑥记录明细账和记录总账的职务要分离

⑦登记日记账和登记总账的职务要分离

⑧系统管理人员不能处理相关业务及数据

不相容职务分离——示例

企业全面系统地分析、梳理业务流程中所涉及的不相容职务，实施相应的分离措施，形成各司其职、各负其责、相互制约的工作机制。　

　　　　　　　　　　　　　　　　　　　　　 ——《企业内部控制基本规范》第二十九条

如何梳理需分离的不相容职务及贯彻实施

1.梳理业务流程，确定流程清单，描述流程现状；

2.确定流程中相关职务类型，授权批准、具体经办、审核监督、财产保管、会计记录？

3.制定各环节的不相容职务分离表；

4.评价公司流程是否符合不相容职务分离要求，是否需要改进完善；如因特殊原因不能分离，是否有相应的补充控制；风险是否在可接受范围内；

5.检查信息系统相关权限是否符合不相容职务分离要求；

6.定期检查不相容职务分离是否合适，是否严格执行。

部门及岗位职责设定

1.明确的职责界定，以保证经营中每个环节功能的实现；

2.有效的沟通与协调，使各项工作流程顺利进行；

3.明确责、权、利，避免不必要的推诿；

4.符合不相容职务分离原则、防范风险；

5.工作负荷相对公平，避免苦乐不均；

6.岗位人员应具备相应胜任能力；

7.部门和岗位责任制应当是书面的，尽量避免在实际工作中形成的事实分工或口头分工等形式；并由责任人阅读后签字，避免推诿。

岗位轮换和强制休假

员工离岗时的工作交接会受到他人监督，那么他实施并掩盖舞弊的机会将大大减少。

美国货币管理局要求全美的银行雇员每年休假一周，并在雇员休假期间，安排其他接替人员做他的工作。

对一些关键岗位，应建立强制轮换或带薪休假制度，既可以提升员工的工作能力，同时有是防范和发现舞弊的一项有效措施。

轮岗的组织

企业应当从本单位的实际出发，制定各级管理人员和关键岗位员工定期轮岗制度，明确轮岗范围，轮岗周期，轮岗方式等，形成相关岗位员工的有序持续流动，全面提升员工素质，从而使本单位的轮岗工作有目的、有计划的进行。

应注意以下问题：

①认真选择轮岗对象

②做好思想工作和培训组织工作

③轮岗一般不应提前通知

④企业关键岗位人员离职前，应当根据有关法律法规的规定进行工作交接和离任审计

职务代理制度（AB角）

缺乏明确职务代理，可能导致：

①影响工作正常开展；

②导致不相容职务由同一人担任，增加舞弊风险；

③相关规定不明确，可能会形成内部控制“真空”，导致内控失效。

案例3

　D公司办公室装修

D公司装修，副总问行政主管多少预算，说450万。问行政经办，回答说：“750万。”

经办人分析：新装修风格会变化较大，间隔得重做，机电消防、家具、交换机系统需要更新；现在办公室面积是4 500平方米，租约两年一签，业务呈明显上升趋势，需要多加10%的面积，面积大约要5 000平方米。

综合几条，每平方米的理论价格会达到1 500元左右，总预算应在750万左右。”

按照权限，D公司预算提交申请给总部地产部审批。

你是审批人，是否同意预算？会提出哪些审批意见？理由？

授权审批体系的常见问题

①不了解找谁审？职责不清、权限不明

②眉毛胡子一把抓，不分主次，缺乏分级授权机制

③授权权限不合理：过于集权Vs过于放权

④不清楚为什么审？流于形式，龙多乃旱

⑤不知道如何审？凭经验和感觉

⑥只关心有没有签字?——过程Vs结果

⑦授权手续不完备、文档不完善

示例——付款审批权限表（节选）

类别

序号

项目(单笔)

申请表单

金额

权限

申请经办人

部门负责人

分管副总经理

财务部

CFO

总经理

董事长

董事会

人员费用

月度工资薪金

付款申请表、工资表

人事部↑

✓

☆

社保、公积金等缴纳

付款申请表、费用明细表

人事部↑

✓

☆

全年性奖金、专项奖

付款申请表、费用明细表

<= 30万元

人事部↑

✓

☆

>30万元

人事部↑

✓

☆

福利费、困难补助、员工救济性支出

付款申请表、申请报告、费用明细表

<=1万元

各部门↑

✓

☆

<= 20万元

各部门↑

✓

☆

>20万元

各部门↑

✓

☆

1.表中的“↑”表示发起申请，“#”表示专业审核把关，“✓”表示审核,“☆”表示审批或决议，“✓”表示参与联合签批或会议审批；

2.各类财务支出的审批均应控制在预算额度和当期资金计划范围内，资金计划是本审批表的基础，计划外事项需另行审批。

如何合理确定审批权限？

上级定？

问朋友？

看同行？

凭感觉？

合法合规是基础

风险导向是原则

审核流程及具体要点（节选示例）

经办人	经办部门负责人	财务部负责人

1．在合同付款审批单上注明合同名称、编号、金额 2．注明合同签约单位、开户行、账号 3．注明预付金额、比例 4．承包商提供履约保函 5．向财务部提供合同原件 6．提供合法有效发票或收据	1．确认合同付款审批单上所注信息的真实性 2．在合同付款审批单上签署意见	1．核实付款信息是否与合同相符，付款条件是否具备 2．核实预付金额是否准确 3．发票或收据是否合格 4．在合同付款审批单上签署意见

示例：合同的税务审核要点

1.服务提供方是一般纳税人还是小规模纳税人；

2.需要在合同价款中注明是否包含增值税；

3.明确提供发票类型（专用or普通）、税率的要求；

4.法定税率调整时，结算价格如何调整、发票如何开具；

5.明确提供发票的时间要求；

6.应当考虑将取得增值税发票作为一项合同义务列入合同的相关条款；

7. 在合同条款中加入虚开条款，“三流一致”，三流指物流、资金流、票流；

8.加入违约责任和赔偿责任，例如：供应商自身接受虚开发票，导致其开出的发票不能抵扣，给接收方带来的损失；

9.合同应约定发票送达及签收方式：专人或使用挂号信件及特快专递等方式，分清遗失责任。

授权审批体系的构建要点

流程要清晰

顺序要注意

权限要合理

依据要充分

标准要明确

责任要分清

沟通要有效

风险需关注

小结：构建授权审批权限表考虑要素

1. 审批的事项

2. 审批的权限

3. 审批责任人

4. 审批的职责（审核、会签、知情、批准）

5. 审批的方式

6. 审批的时间和效率

7. 审批的依据及相关表单

8. 审批的标准

9. 表单的归档和备案要求

10. 例外事项考虑——绿色通道要求

三、货币资金管理内控漏洞及应对

案例4

　杭州某科技创业公司财务总监两年挪用2.6亿

周某是杭州某科技创业公司财务负责人，2019年5月公司例行账务核对过程中发现个别子资金往来业务数据异常，突然就联系不到他，公司紧急向辖区派出所报案。

他在担任公司财务总监期间，通过各种手段骗取了公司上下对他的信任。利用财务总监的职务之便，编造购买理财产品等各种理由，以欺上瞒下的方式借用本该由下属出纳保管的相关财务盾，并将相关财务盾长期占有使用或盗用，从而达到转移公司巨额资金的目的。他谎称这些非法占有资金已被用于购买理财产品，并告诉其他出纳人员无需经常查看这些账户，同时编造虚假的资金日报蒙骗公司领导。

案件发生后，公司采取了以下几个措施：

1. 从世界顶级的知名咨询机构聘请了内控专家进入公司，协助公司对资金管理、销售、采购、合同管理等方面进行全方位的诊断及梳理，建立统一的制度管理办法和内部控制流程，并固化成制度管理办法和内控手册，并且加强相应内容的培训；

2. 在审批制度方面，对业务流程中需要审核的事项进行了系统化梳理，相关事项落实到人。

3. 在核对机制方面，建立并完善了业业核对及业财核对机制，及时发现差异并分析原因，确保信息及数据完整性和准确性。

4. 在资金管理方面，建立严格的银行账户管理机制，规范了资金划拨审批流程，合理规划资金，确保资金账户的安全性。建立全面预算管理制度，包括资金使用计划和成本费用开支计划等。

银行账户管理常见漏洞及应对

银行账户的开立和撤销缺乏必要的授权批准程序；

私自设立、变更或撤销银行账户；

银行账户设立及使用不符合法规规定（例如：违反公司规定出租出借银行账户；公司以个人名义开户，公款私存）

银行账户开立数量过多；

长期不用或失效的银行账户未及时办理销户；

未建立银行账户统一台账；

银行预留印鉴未能妥善管理；

未定期进行独立对账（不对账、出纳领取对账单并对账）

银行存款调节表编制

银行存款余额调节表
户名:AB有限公司
帐号：601522539
开户行：中国民生银行股份有限公司北京万寿路支行			2013年11月
项　　目（摘要）	金额（元）	项　　目（摘要）	金额（元）
企业银行存款日记账余额：	557,663.34	银行对账单余额：	579,063.34
加:银行已收、企业未收款	0.00	加：企业已收、银行未收款	0.00


减：银行已付、企业未付款	0.00	减：企业已付、银行未付款	21,400.00
		购买办公家具	16,400.00
		物流车辆加油卡	5,000.00

调节后的存款余额：	557,663.34	调节后的存款余额：	557,663.34
复核：	制表人：王	制表时间：	2013 年 12 月03 日

所有银行账号都应编制

不仅核对余额，也应核对发生额一致性

可考虑软件自动对账

未达账项一般不应超过一个月

从职责分离角度，余额调节表由出纳以外人员编制

案例5

　出纳挪用3 000多万给男友

1984年出生的张英，进入常州市一家涉外企业担任出纳。2010年，认识男友孙强，随着个人积蓄陆续被“借”走，张英也没钱了，但她不肯对男友说不，于是从公司现金中取出200多万元交给孙强。为了应付公司的例行审计，张英将公司还没有付的应付款做成已付的记在账上。

2011年5月，张英和孙强分手了。张英开始向孙强催款。之前从公司取走的现金，她一直采用做平账的方式蒙混过关，但如果公司仔细审核，发现问题是早晚的事。

2012年底，因为账目漏洞太大，张英想从银行争取一些贷款来填平账目。她将这个想法告诉孙强，还提到了相关流程：“公司要寄询证函给银行，银行要盖章了再发给审计事务所。”孙强说：“我来想办法，你把银行印章的样子拍照给我看下。”

2012年3月至2017年4月，孙强累计收到张英利用职务便利从公司账户转出的资金共3 600余万元。

岗位轮换后，挪用案件曝光

2017年4月底，预产期将至，张英请产假回家待产。

同事朱某刚刚接手张英的工作，就接到好几个来自银行的催还贷款电话，数额竟高达3000多万元，而朱某在公司账单和报表上只看到有200万元的贷款未结清。意识到问题的严重性，朱某立即向审计事务所核实，对方拍了最近几年的银行询证函发过来。经比对发现，上面的银行业务专用章是假章。

随后，张英所在公司经专业财务审计发现，2012年以来，张英将公司的多笔银行贷款及退税款打入自己及其他与公司无关人员的银行卡上，涉及资金3000余万元。公司立即向警方报案。2017年11月3日，孙强、张英涉嫌职务侵占案侦查终结移送江阴市检察院审查起诉。

现金管理常见漏洞

现金安全措施不符合规定，影响现金安全；

现金收支不符合规定；

现金记录和盘点工作不完善；

现金收据使用不规范；

案例6

　经营不错，资金为何困难？

禅城区一家民营药业公司老板梁某，2010年发现公司经营顺畅，却总是莫名出现资金周转困难，但却不知原因何在。

2011年4月，公司组织外出活动，梁某妻子无意中发现，出纳黄某所穿衣服全部价格不菲，便回家告诉丈夫梁某。回到公司，梁某要求黄某交出账本，经仔细核查，原来近几年账本均显示出黄某缴纳货款金额与实际收取货款金额严重不符。

据黄某供认，在公司担任出纳几年时间里，她注意到公司财务管理的一个漏洞。老板在接收现金时，只会核对收到总货款与

现金日记账簿登记是否一致，却从不去核对现金日记簿与现金明细簿是否一致。此后，黄某开始采取少登记、少入账的方式，将货款据为己有。据查明，2006年3月至2011年7月，黄某便通过上述方法侵占货款910余万元。

得手后，黄某大肆挥霍，买楼、买车、买股票、买衣服，还在某高档美容中心开卡预存近390万元，仅用于美容花销便高达225万元。

票据管控要点

票据购买和使用要授权；

票据的启用、接收、转交和处置都设置相应的记录；

票据使用情况定期检查；

票据库存情况要定期盘点；

作废票据需妥善处置；

资金管控常见工具

资金计划/预算

资金预测

资金报表

安全资金库存

资金集中管控（资金池）

收支两条线

付款审批（审批权限表、付款申请单据）

银行对账（银行余额调节表）

现金盘点（定期盘点和突击盘点）

案例7

　碧桂园员工挪用4 800万元打赏女主播、游戏娱乐

李某仅仅是一名27岁的出纳，2018年12月至2020年4月，担任珠海碧优管理咨询服务公司济南大区的出纳，为山东泰安碧桂园提供财务核算服务。

2020年4月30日，李某使用“泰安碧桂园”渤海银行账户给自己的私人账户转了63万元。因为渤海银行有内部规定，对于大于50万的支出都会进行核实。随即渤海银行就打电话给泰安碧桂园的财务负责人核实，他们才发现这笔钱转向了李某的私人账户。

公司的人一查，才发现有李某的账户里有大量从公司转入的钱，前前后后加起来竟然高达4 800多万元。

U盾保管的漏洞

山东泰安碧桂园开设了两个银行账户，一个银行账户两个U盾，那这里就有四个。

做财务或内控的都知道所谓“不相容职责要分离”的原则。公司的网银U盾一般都不会全在一个人手里，都是分开管理的，有负责制单、有负责复核或管理之类的。

只有每一个U盾都通过了，才能完成转账的全部流程，这样的话，就可以相互制约，避免一个人挪用或侵占资金。

结果，碧桂园的U盾都保管在李磊一个人手里。

资金审批的漏洞

李某挪用资金其中一种方式就是：直接转账！

资金对账的漏洞

公司的资金账、往来账等等，一般每个月至少要核对一次，从而保证账实一致。对账应该是由出纳以外的人员，独立进行。根据李某的描述，他的领导检查财务情况的时候，只看截图，他稍微PS一下即过关了，后续也没有人提出异议。

银行账户管理、收付款和信息系统的内控漏洞

四、会计核算内控漏洞及应对

案例8

　会计随心换，退税有麻烦

2 000多万元出口退税款，前后换了三个会计，一年多一直退不下来，导致企业资金困难。最后，老板亲自出马，总算把税退下来。

单据收集不齐、账目不清，账证不相符，会计工作交接不规范。

会计核算及财务报告相关控制目标

会计事项（即会计处理所对应的经营事项）真实、完整；

会计事项处理所依据的会计政策准确、所制定的会计估计合理；

会计处理准确（含会计科目设置科学、合理）、依据充分；

具体会计数据的流转、汇总准确；

财务报告数据分类准确，披露充分、准确；

财务报告出具过程中的各项授权、审核、审批完整规范，相关资料及时完整归档。

会计核算和财务报表编制流程

会计核算常见内控漏洞

会计凭证不合法、不合规或不完善。

会计科目缺乏统一设置和维护，使用随意，影响财务报表编制。（例如：集团公司未制定统一的会计科目及使用说明；会计科目增删修改缺乏必要审批；会计科目及下属核算项目设置违反会计制度规定；会计科目及下属核算项目设置不能满足企业需要；会计科目在会计软件里没有权限控制）

未制定统一会计政策或缺乏对会计政策使用控制，导致采用会计政策违反规定。

会计信息系统控制存在缺失。

结账和会计报表编制的控制不够完善。

会计科目的内部控制

统一会计科目设置、辅助核算及使用说明；

科目设置应符合会计制度规定及企业管理需要；

明确各会计科目的维护责任人；

明确会计科目增删修改的权限及审批流程；

财务信息系统的科目维护及使用权限与制度规定一致；

定期审阅与评价会计科目使用情况、会计科目设置的合理性，及时修订。

示例：统一的会计科目设置表及使用说明（节选）

会计凭证编制的内部控制

常规业务制定标准记账凭证（模板凭证），明确每类业务的会计科目使用，凭证附件要求。

填制记账凭证时的“望闻问切”：

望：仔细审查凭证，主要审查票据真实性、合法性、合规性，还有各项要素是否填写齐备、准确。报销程序是否合理，签字是否完备、审批权限是否适当等等。

闻：此闻者，听也，非嗅也。一般来说部门主管对业务的真实性负责，财务部门无法一一确定业务的真实性，但要将票据所反应的经济业务与自己的所知所闻相印证，如有不符，应仔细询问并核实。这就需要平时多了解公司的生产经营情况，多与其他部门沟通交流。

问：审查凭证时一边审查，一边与报销人聊天，尽量多问。对有疑问的地方要多方询问并相互印证。

切：是指运用逻辑分析和职业判断。审查票据要素（时间、地点、金额、票据号）与业务内容是否相符，对各要素的合理性做出职业判断。

填制记账凭证常见误区：

不及时记账；

多笔业务合并记账；

多借多贷；

摘要不清；

原始凭证不规范；

凭证附件不完整；

科目使用标准不统一；

借贷科目使用不利于取数或日后查账；

凭证附件装订不规范。

结账的内部控制

制定结账清单，控制结账进程。

资产负债科目对账：

对账记录簿应妥善保管，正确记录各科目对账情况。

所有的资产负债科目总账与明细账必须每月核对无误。

月底必须合理估计折旧摊销/计提，保证财报的准确性。

所有业务的截至点必须遵循公司政策执行。

所有的凭证必须经过复核。

必须执行所有的结账步骤，保证结账的完整性和及时性。

结账必须锁住其他用户的权限，保证结账的准确性。

示例——结账任务清单

结账六部曲

示例——月度结账核查表

部门	结账事项	完成	凭证号
SMT	设备维护维修费 ·SMT	Y	J713
ME	厂房维护维修费	Y	J714
QA	安规质量认证	Y	J712
HR	公司活动费	Y	J-715
HR	公司项目培训	Y	J716
mag	mag外包人工费	Y	J717
Fin	预提费用-工行贷款利息	Y	J-722
Fin	预提费用 ·预计集团借软利息	Y	J723
	无形资产摊销	Y	J731
	计提折旧	Y	J747
	结转汇兑损益
	低值易耗品摊销	Y	J761
	结转制造费用	Y	J774

财务报告编制和披露的后期差错防范

1.版本控制

企业会计和审计师团队人员众多，需控制版本：“财务报告2023 0205 2150 by张三 to 李四”，表示这一稿是在21点50分由张三修改后发给李四的。

2.修改控制

修改后的版本要重新编号，这样发给谁都不会覆盖原稿。修改建议用修订格式，并插入批注说明原因；如果提出疑问要求相关修改，则建议涂色、插入批注。注意附注与正文的同步修改。

3.核对控制

对审计报告、报表、附注，要从头至尾逐段阅读、逐字核对，有疑必问。若是经此检查，报告模版乌龙也就不会那么容易出现。可能发生的问题有：公司名字没写对（都是模版惹的祸），营业范围没更新（公司改范围是常事），会计政策想当然、上下年份口径不一，附注正文不统一、数字离谱。

4.定稿控制

定稿后锁定不得修改，需上网披露，要安排可靠的人，在发出前最后检查一次。

示例：建立财务报告清单（节选）

梳理所有对外和对内财务报告报送清单，列示报表名称、报送频次、报送方式、报送时间、责任人、报表样表等。(外部报表××种，内部报表根据管理需要编制)

报送频次	报送对象	报表名称	报送时间	报送方式（纸质/网报）
月报	国家税务总局	资产负债表	每月15日下午5：00前	网报
		利润表	每月15日下午5：00前	网报
		重点税源企业税收信息（月报）表	每月15日下午5：00前	网报
		增值税纳税申报表主表	每月15日下午5：00前	网报
		增值税纳税申报表附列资料一	每月15日下午5：00前	网报
		增值税纳税申报表附列资料二	每月15日下午5：00前	网报

案例9

　某集团公司会计核算体系构建

五、销售环节内控漏洞及应对

销售业务主要环节

销售内控要点：职责分工

建立销售与收款业务的岗位责任制，明确相关部门和岗位的职责权限，确保办理销售与收款业务的不相容岗位相互分离、制约和监督。

销售与收款不相容岗位至少应当包括：

（1）客户信用管理、与销售合同协议的审批、签订。

（2）销售合同协议的审批、签订与办理发货。

（3）销售货款的确认、回收与相关会计记录。

（4）销售退回货品的验收、处置与相关会计记录。

（5）销售业务经办与发票开具、管理。

（6）坏账准备的计提与审批、坏账的核销与审批。

销售内控要点：销售价格管理

销售预算一旦确定，企业就需要有统一的市场定价政策。

企业应当制定出较为详细的折扣政策。

任何折扣政策必需得到最高管理当局的认可。

一项给予客户的折扣应经过销售部门经理的签字认可。

折让行为偶尔发生，要有更多的授权控制。

价格标准的制定应与财务部门充分沟通：

（1）价格政策应与销售人员、代理商充分沟通。

（2）建立价格执行的检查、监督机制。

案例讨论：新任总经理发现各商铺出租价格标准不明确，合同签订随意。

案例10

　某外企销售经理职务侵占案

某企业销售经理周某伙同羊某及胡某、吴某、黄某利用负责设立经销商、产品定价审批、报价及合同审批等职务便利，将由上述人员参与成立、控制或者其他有关系的企业授权为S公司经销商，并要求已与S公司业务员谈妥价格的客户转而向上述企业采购产品。随后，被告人周某等人利用职务便利，利用上述企业低价向S公司购入客户所需产品，再加价销售给客户，从而侵吞S公司的财产，共计人民币2 770万元。

销售内控要点：信用管理

应制定合理的信用政策和信用评价标准。

应当加强市场调查，合理确定信用方式。

应当健全客户信用档案，根据对客户的调查，针对每个客户制定信用额度，关注重要客户资信变动情况。

加强信用数据的搜集、整合、分析工作，并建立连续的信用记录。

对于境外客户和新开发客户，应当建立严格的信用保证制度。

应建立适当的专业分工，确保不相容职责有效分离，确保审核人员的专业性；销售业务与信用检查、信用额度确定是不相容业务，不能由同一人负责。

应建立适当的分级授权信用审核机制，应分级设置批准赊销信用的权限，并在程序中设置操作权限，不同信用额度的赊销由不同层次的管理人员审批。

信用管理体系建设

全程信用管理模式

案例11

　销售业务人员挪用资金

河南某上市公司下属煤炭销售中心业务人员收取银行承兑汇票未缴存单位形成职务侵占情况进行立案调查，经初步调查，涉案资金5 750万元，扣除公安机关扣押的财产后全额计提坏账准备4 145万元，与之相关的财务报告内部控制运行失效。

六、采购环节内控漏洞及应对

采购业务主要环节

案例12

　采购反腐风暴

“晒一晒我们内部光鲜亮丽外表下丑陋的一面。”

拥有14 000人的深圳DJ创新公司在2019年1月17日对内发布的一份反腐败公告中表示，该公司近几个月以来处理了一批涉嫌严重贪腐的人员，截止目前已处理45人，其中移交司法处理的有16人，直接开除的有29人。

内部的腐败比想象的严重，2018年由于供应链贪腐造成的损失保守估计超过10亿元，为2017年公司所有年终福利的2倍以上。

“这损失的10亿元每一分钱都是纯利，原本可以用来做公司发展投入和员工福利，却由于腐败白白损失掉了。”

牵扯上百人，几乎涉及所有部门，包括研发、采购、销售、行政、售后和工厂，里外勾结，其中拥有供应链决策权的研发和采购人员最多，达26人。

案例12

　（续）DJ采购环节舞弊手法

让供应商报底价，然后伙同供应商往上加价，最后双方分成；

利用手中的权力故意以技术不达标把正常供应商踢出局，把可以给回扣的供应商押镖进短名单，长期拿回扣；

故意以降价为由，把所有正常供应商淘汰，把可以给回扣的供应商塞进短名单，造成独家垄断然后涨价，双方分成；

引入差供应商，联合供应商串通收买研发人员，在品质不合格的情况下不进行物料验证，导致差品质高价格的物料长期供应给DJ；

搞皮包公司接单，然后把单子转手分给工厂，赚中间差价分成。

DJ表示，很多物料长时间以高价卖给公司，高价物料少则贵20%~50%，很多低价物料不少都以2~3倍的价格卖给公司。

采购计划管理的内控

典型内控措施：

明确采购计划制定的关键流程步骤；

建立采购计划编制的多部门参与平台，确保采购计划编制参与主体的信息完整及专业匹配；

建立内部沟通机制，及时获取生产、库存、销售信息，根据生产计划和目前库存及在途情况，科学安排采购计划制定和调整采购计划；

将采购计划管理与企业预算管理体系充分融合（匹配销售/生产计划）；

确保采购计划的审批权威性以及经审批采购计划信息的充分传播与共享。

采购职能分配方式的选择

典型内控措施：

对各类采购进行重要性评价，并进行恰当分类；

根据采购重要性/专业性，划分采购方式。

采购方式选择

1．公开招标采购

2．邀请招标采购

（1）具有特殊性，只能从有限范围的供应商处采购的；

（2）采用公开招标方式费用占采购项目总价值的比例过大的。

3．竞争性谈判采购

（1）招标后没有供应商投标或没有合格标的或重新招标未能成立的；

（2）如技术复杂或性质特殊，不能确定详细规格或者具体要求的；

（3）采用招标所需时间不能满足紧急需要的；

（4）不能事先计算出价格总额的。

4．询价采购

采购的货物规格、标准统一，现货货源充足且价格变化幅度小的。

5．单一来源采购

供应商管理的内控要点

建立完善的供应商管理体系；

建立科学的供应商评估和准入制度，确定合格供应商清单，与选定的供应商签订质量保证协议；

建立供应商管理信息系统，对供应商提供物资或劳务的质量、价格、交货及时性、供货条件及其资信、经营状况等进行实时管理和综合评价，根据评价结果对供应商进行合理选择和调整；

制定例外紧急需求的采购处理程序，选定备用供应商，在首选供应商发生突发情况时保证采购的连续性。

示例：供应商评价制度

采购合同和订单管理

规范采购合同签订及审批流程，规范运用统一合同范本，按照规定权限签订合同。建立完整准确的采购合同台账，对采购合同进行综合管理。

准确描述合同条款，明确双方权利，义务和违约责任，按照规定权限签订采购合同。

采购验收管理

验收人员的不相容职责分离；

建立严格的采购验收制度，明确检验方式，由专门的验收机构或人员组织验收，对验收的不合格物资及时办理退换货索赔；

对物资质量进行严格监督，对供应商实施管理，对于供应商不良行为进行及时处理，实现对供应商物资资料及服务资料的管控。

采购付款控制

预付款的信用风险管理

应付账款的入账审核：“三单”匹配、合同；

付款计划

付款方式

费用报销及付款管控要点

预算控制

授权审批：建立审批权限表，付款前由专人审核审批是否符合规定；建立管理人员签字样本，防止伪造签字；

职责分离：例如会计与出纳的职责分离；

凭证与表单控制

事后控制：每月将报销费用汇总分析，报告给主管领导

采购环节的财务管控措施

财务职能应充分参与采购计划的编制；

财务职能参与合同审核、供应商管理和价格控制；

财务职能应严格控制采购款项的支付；

（1）明确付款审核人的责任和权力，严格审核采购预算、合同、相关单据凭证、审批程序等相关内容，审核无误后按照合同规定办理付款；

（2）严格审查采购发票的真实性、合法性和有效性。发现虚假发票的，应查明原因，及时报告处理；

（3）大额或长期的预付款项，应当定期进行追踪核查，综合分析预付账款的期限、占用款项的合理性、不可收回风险等情况，明确责任人，发现有疑问的预付款项，应当及时采取措施；

财务职能应实施有效的采购往来款核对控制。

小结：采购管理的关键内控要点

七、内部控制落地的新思维与新方法

内部控制流于形式的主要表现

喊口号、表决心；

制度必严、普遍违规；

补台账、补签字；

闭着眼睛签字，形式执行、实质未行；

可以放火、不许点灯；

铤而走险、恶意违规。

内部控制流于形式的常见借口

时间太紧

情况特殊

影响业务

变化太快

资源不够

……

内部控制流于形式的原因

高层理念认识；

治理结构缺陷；

缺少风险导向，控制过度或不足；

控制措施不具可操作性、缺少表单工具等；

缺少信息支持或沟通；

执行无监督。

风险管理手段的迭代：从制度、流程到数据规则

传统风险防控主要依靠制度手册以及流程系统，然而这些手段都是依靠人进行具体的风险判断，无法克服人的经验、能力和情绪差异在风险管理造成的差错，无法真正实现风险管理的有效落地。

风险管控数字化视角下三个维度的风险分类

很多企业在风险的识别中并没有从落地的角度对不同维度的风险进行区分，导致不同风险类型混在一起，无法进行有效的针对性的管理。

决策事项的风险模型化

通过对信用额度、投资回报、市场价格、安全库存等重要决策事项的风险因子的选取、统计模型的设计以及风险容忍度的设定，实现对决策事项风险的预判。这类风险属于事前风险，其信息化落地工具为模型管理平台。

流程执行的风险规则化

通过对法规和制度要求的标准提炼以及数据字段的提取，实现对操作执行风险的监控。这类风险属于事中和事后风险，其信息化落地工具为规则管理平台。

经营结果的风险指标化

通过对人、财、物等重要领域的关键指标选取与阈值设定，实现对经营结果风险的预警和监控。这类风险属于事后风险，其信息化落地工具为指标管理平台。

全面风险管理体系的发展方向

风险管控数字化的实现

内部控制的执行与落地

公司治理

内控制度设计

构建PDCA循环

可操作性

风险与效率

激励与惩罚

人员管理和培训

信息化+自动化+智能化

借助专业机构