我们之前的文章介绍过内控体系审计中的“设计类”缺陷及其整改建议(具体内容见《内控体系“设计类”缺陷整改建议(内附案例)》),并提供了相关的案例。但是不得不说的是,很多国有企业及上市公司经过多年的内控体系建设与优化,内控体系的设计工作已经渐趋完善,“设计类”缺陷已经越来越少,而更常发现的内控缺陷大多数都属于“执行类”缺陷。今天我们就在上一篇文章的基础上详细介绍一下“执行类”缺陷的特征及其整改建议,并在后边附上相关的案例参考。
一、“执行类”缺陷定义与特征
从内控缺陷的特征及定义来看,执行缺陷是指企业的控制体系设计较为完善,但是在日常决策与经营中,内部控制要求并没有被正确地执行,也就是说该部分控制要求已经包含在现有内部控制体系中,内控设计也能够满足风险控制要求,但却因为各种原因在实际操作中,控制措施未能被执行或未能被完整的执行。
“执行类”缺陷更多的反映在内控记录的不完整,在内部控制环节不能提供控制措施执行的证据,缺少各类执行记录或者执行记录不完整,以至于审计人员无法判断作业人员是否严格的执行了控制要求。
二、“执行类”缺陷的一般情形
有下列情况之一的,就可以被认定为存在“执行类”缺陷:
1、关键控制点控制活动执行者不具备胜任能力:指负责关键控制点控制活动的人员,缺乏完成该任务所需的专业知识、技能或经验。比如不熟悉控制流程、不懂相关法规标准,可能因培训不足、人员错配导致,会使控制活动难以有效落地,无法发挥应有的风险防控作用。
2、未执行或部分执行规定的控制活动:即未按制度要求开展全部控制活动,或仅开展部分环节。可能因人员敷衍、流程繁琐、重视不足等,导致关键控制点出现管控空缺,无法全面识别和防范风险,容易引发业务漏洞或合规问题。
3、错误执行控制活动或突破规定的控制活动权限:执行者未按规范流程操作控制活动,出现操作失误,或超越自身权限范围开展活动。前者源于业务不熟练,后者可能因权限管理不严,都会扰乱控制秩序,增加风险发生概率,甚至造成损失。
4、不能及时提供控制活动的相关记录证据:控制活动完成后,无法按时提供过程性、结果性记录材料。可能因记录意识薄弱、归档流程缺失等,导致无法追溯控制活动情况,难以验证控制效果,也不利于后续审计、监督及问题排查 。
三、“执行类”缺陷的核心特征
从以上可以看到,企业内部控制的执行缺陷,是指虽然内控制度设计本身不存在明显问题,但在企业管理的实际操作中未按规定执行,导致内控机制失效的情况。这类缺陷更具隐蔽性,且直接影响内控目标的实现。
执行类缺陷产生的根源往往与员工意识不足、管理层凌驾于制度之上、内部监督乏力等因素相关,也是监管机构(如证监会)在处罚案例中高频提及的问题。总结起来有以下几个特征:
1、人为绕过审批流程
在业务办理、决策执行等需按规定履行审批手续的场景中,相关人员未遵循既定的审批环节、权限层级及流程要求,擅自跳过部分或全部审批步骤,直接推进事项落地。这种行为可能源于图省时省事、规避流程约束,或因紧急情况临时变通等,会破坏管理规范的严肃性,导致审批本应发挥的风险把控、权责制衡作用失效,易引发决策失误、资源滥用、合规风险等问题,还会造成管理流程脱节,增加后续追溯与责任界定的难度 。
2、关键环节操作不规范
业务流程的核心关键环节,执行者未按既定规范操作,常见表现为记录造假(虚构操作数据、伪造过程记录等)、擅自省略必要操作步骤。此类行为多因侥幸避责、图省事或利益驱动,会直接破坏流程完整性与真实性,导致关键环节失去风险管控作用,易引发质量问题、数据失真、合规隐患,还会干扰后续追溯、审计与问题排查,损害管理秩序与业务可信度 。
3、监督检查未有效跟进
在完成监督检查、排查出问题后,未按要求落实后续整改与闭环管理,核心表现为对发现的问题不整改、整改不彻底,或未跟踪验证整改效果。此现象多因责任意识薄弱、缺乏考核约束,导致监督检查流于形式,无法解决实际问题。不仅会使原有风险持续存在甚至扩大,还会弱化监督的权威性与约束力,形成 “查而不改”的恶性循环,埋下业务合规、安全等方面的隐患 。
四、“执行类”缺陷整改逻辑
前边已经谈过,执行类缺陷产生的根源往往与员工意识不足、管理层凌驾于制度之上、内部监督乏力等因素相关,因此与设计缺陷整改不同,执行类缺陷的整改更侧重对“人”的行为进行规范,通过明确“谁来做、怎么做、做错怎么办”,将制度要求转化为可落地的操作动作,同时借助技术手段减少人为干预空间,确保执行不打折扣。
在设计“执行类”缺陷整改方案时,我们强调要通过“细化操作标准→强化岗位牵制→增加监督问责→系统强制约束”四个步骤,解决“有制度不执行”的核心问题。
1、细化操作标准
针对业务各环节,制定具体、明确、可落地的操作规范,涵盖流程步骤、执行要求、评判标准等,消除模糊地带。比如明确关键岗位操作的具体流程、数据填报的规范格式等。其作用是让执行者有章可循,减少因操作随意性导致的失误,为后续管理、监督提供统一依据,保障业务流程规范有序。
2、强化岗位牵制
合理设置岗位,使不同岗位间形成相互制约、相互监督的关系,避免单一岗位或人员独揽关键业务全流程。例如将业务的申请、审核、执行、记录等环节分配给不同岗位。这能有效防范因权力集中引发的违规操作、舞弊等风险,保障业务处理的真实性与合规性。
3、增加监督问责
建立完善的监督机制,定期或不定期对业务操作、岗位履职等情况开展检查,同时明确针对违规行为的问责办法。发现问题后,依据规定对相关责任人进行追责,包括通报批评、处罚等。此举可增强人员责任意识,倒逼其规范履职,确保各项制度和操作标准落到实处,减少违规行为。
4、系统强制约束
借助信息化系统,将既定的操作标准、流程要求等嵌入系统程序中,通过技术手段强制规范操作。比如系统设置审批流程,未完成前序审批无法进入下一环节;对超权限操作进行拦截。这能从技术层面减少人为干预,避免人为绕过流程、违规操作等问题,保障业务流程严格按规范执行。
五、案例:某上市公司执行类缺陷整改建议
1、背景资料
某上市公司已制定《采购付款管理办法》,明确“采购发票需与入库单、采购合同核对一致后,经财务经理、总经理逐级审批方可付款”,但实际操作中存在以下问题:财务部门未核对发票与入库单的匹配性,直接凭发票和总经理签字付款,导致多笔款项支付后发现原材料未实际入库,造成资金损失。
2、缺陷定位与风险分析
(1)执行缺陷表现:未落实 “三流合一”(发票、入库单、合同)核对要求,财务付款审核流于形式;审批流程中虽有总经理签字,但管理层未核实业务真实性,仅 “签字走过场”。
(2)潜在风险:虚假采购套取资金、多付货款、资产账实不符等。
3、整改目标
通过强化执行监督,实现“采购付款全流程可追溯、业务真实性 100% 核实”,杜绝无实际交易的付款行为,3个月内追回已发生的虚假付款资金,半年内使采购付款差错率降至0。
4、具体整改措施
(1)重构付款审核执行流程,明确操作标准
细化核对要求:在现有制度基础上,补充《采购付款操作指引》,明确财务人员核对要点:a,发票抬头、金额与采购合同一致;b,入库单需仓库管理员签字并注明 “已验收合格”,且数量、规格与发票一致;c,对于预付款项,需额外提供供应商出具的“履约进度说明”,由采购部负责人签字确认。
设置“双人复核”机制:财务部门新增“付款初审岗”和“付款复核岗”,初审岗核对资料完整性,复核岗重点校验数据匹配性,两者均需在凭证上签字留痕,缺一不可。
(2)强化管理层审批的实质性审核
建立“审批问询制”:要求总经理在签字前,向采购部负责人核实以下信息:a,该笔采购是否为生产急需;b,入库单是否由仓库实地验收;c,供应商是否在合格供应商名单内;d,相关问询内容需由采购部记录并存档,作为后续审计依据。
限制“批量签字”:禁止将多笔付款单据集中由总经理一次性签字,单笔超 50 万元的付款需单独提交审批,附详细业务说明。
(3增加执行监督与问责机制
内部审计高频检查:内审部门每月抽取20% 的付款凭证,重点检查“三流合一”核对记录、管理层问询记录,对未按规定执行的单据,直接向董事会审计委员会报告。
建立“差错追责制”:a,若因财务人员未核对导致虚假付款,扣减财务负责人当月绩效的 20%,初审岗、复核岗分别承担 50% 责任;b,若管理层未履行问询义务导致失误,总经理绩效扣减 10%,并在董事会上作书面说明。
(4)借助信息系统固化执行环节
升级ERP系统付款模块:系统设置强制校验,未上传入库单扫描件的,无法提交付款申请;发票信息与入库单信息不一致的,自动弹出预警提示,需采购部提交差异说明并经财务经理审批后方可继续;
增加“付款轨迹查询”功能,记录每笔付款的审核人、审核时间、核对结果,支持审计部门实时调阅。
引入电子签章与入库扫码:仓库验收时通过扫码枪录入原材料信息,生成带电子签章的入库单,与 ERP 系统实时同步,避免人工填写的疏漏或篡改。
5、整改目标
(1)短期(1-3 个月):
a,完成对近1年采购付款凭证的全面复盘,追回因虚假采购支付的资金(预计金额 500 万元);
b,组织财务、采购、仓库人员开展3次《操作指引》培训,考核通过率需达 100%。
(2)长期(6-12 个月):
a,采购付款环节的 “三流合一”核对执行率达100%,未再发生虚假付款或错付情况;
b,管理层审批问询记录完整率达100%,审计检查中未发现执行不到位问题。
