浅谈“故宫失窃案”对内部控制建设的启示
2012-08-15中国劳动关系学院
中国劳动关系学院 王 李
震惊中外的故宫失窃案留给世人的警示是意味深长的。据报道,故宫的安保硬件配备可谓壁垒森严,但这套坚不可摧、无懈可击的防范体系却未能阻止盗贼行窃。反思该事件,不难发现,忽略内部控制建设所造成的安保人员“心防”工事的溃堤,才是导致“故宫失窃”悲剧的根本原因。
一、故宫失窃案始末及其内部控制建设存在的问题分析
2011年5月8日上午,无业游民石柏魁在未购买门票的情况下混入故宫,并成功进入诚肃殿的香港“两依藏珍选粹展”展厅。因事发当天北京降雨,石柏魁躲在展厅与西配房的夹道中直至天黑,并关闭西配房内供电系统总闸,破坏展厅玻璃及内部展板后进入展厅,盗取展柜中的展品9件。后由诚肃殿上房,攀爬上故宫内墙逃窜。在其逃跑途中,曾被故宫夜巡人员发现,见其形迹可疑,命令其蹲下并向上级报告,而石柏魁居然能够逃离现场,并藏在一辆汽车底下躲过了搜查,利用铁质护栏,爬上高约8米的故宫外墙,成功逃脱。在事发3天后,石柏魁于丰台区友联时代网吧上网时才被警方抓获。故宫失窃案暴露出在内部控制建设方面存在以下问题:
第一,安保人员风险意识淡薄,安全警觉性差。在案件回放中,我们可以发现一个重要的环节,即“石柏魁在逃跑中曾被故宫夜巡人员发现,见其形迹可疑,命令其蹲下并向上级报告”,夜巡人员在特定的时间——夜里(已是闭馆时间),在特定的地点——故宫(收藏大量珍宝),遇到形迹可疑的人,只是做了令其蹲下而不是将其控制并搜查的处理,导致其携宝外逃。安全保卫人员麻痹大意的心态,直接造成展品失窃的案件后果。
第二,风险防控方案不完善。据了解,故宫的监控系统虽然可以实现24小时的全天监控,但现实的情况却并未施实24小时监控,而是间歇监控。即监控摄像机仅在遇到特殊情况、报警器报警后才会打开。另外,从案件回放中“石柏魁破坏展厅玻璃及内部展板后进入展厅,盗取展柜中的展品9件”可以看出,所用展柜没有报警设备,且展柜防击打能力较弱。再者,从“石柏魁利用铁质护栏,爬上高约8米的故宫外墙,成功逃脱”,不难发现,安防范围存在盲点,紫禁城的墙城未加装安防设施。
第三,风险控制措施执行存在重大缺陷。首先,入宫准入控制不严格。犯罪嫌疑人石柏魁在未购票的情况下居然可以从检票口两次混入故宫,检票人员都未察觉。再者,报警处置措施执行不到位。“石魁躲在展厅与西配房的夹道中直至天黑,并关闭西配房内供电系统总闸”,即石柏魁在作案前将常规报警器电闸切断,值守人员应当接到了“区域故障”的报警,但遗憾的是却未按规定到现场查看。另外,闭馆清场也存在疏漏。工作人员在执行每天例行清场时,仅关注了开放区域,未按规定对建筑地形复杂的区域进行细致查看。同时,日常安全检查也存在一定的问题区:如对部分长期非开放区域的施工遗留物(电线、光缆、废弃物品等)的检查和清理力度不够,为犯罪分子作案提供了便利。
第四,应急预案有效性不足。在可疑人脱离控制后的搜捕过程中,没有做出与重大作案有关的预判,在四门紧闭的情况下,应及时对城墙布置防控和搜索。正是这项疏漏,直接导致了国宝的流失。并且在当晚搜寻未果后,也没有进行全面检查和展品清点,直到次日才发现有展品被盗,错失了提升应急预案处置级别的最佳时机。
二、故宫失窃案对加强内部控制建设的启示
通过上述的分析可以看出故宫失窃案并非偶然事件,其内部控制建设方面存在的问题对企业完善内部控制,不断提高管理水平有很好的借鉴作用。其实,内部控制系统内容复杂、边界相对模糊,再加上企业内、外环境的变化又会对其不断提出新的要求,所以,建立较完善的内部制度本身就是一件很困难的事。同时,纸张上的规定不可能天然成为员工的有效行动,这需要通过机制设定来加以保证。所以企业应从以下几方面加强内部控制建设:
第一,建设有生命力的内部控制文化并持续提升全员风险意识。有生命力的内部控制文化是内部控制的建立与完善的“活的灵魂”。企业可以通过培训、案例教育、宣传片等多种形式,不断渗透制度文化、健全内控激励措施,促进员工对内部控制理念、风险文化的理解和认同,强化全员风险意识、案防意识,持续保持对风险的警惕性、责任心和控制力,营造良好的内部控制氛围,树立把好风险每一关、过好风险每一天的观念。其次,通过倡导和培育员工的制度观、风险观,促使员工养成“指示服从制度、信任不忘制度、习惯让位制度”的良好习惯,使制度的“硬约束”,演化为员工对规则的自觉服从、对风险主动防范的“软约束”,并对制度执行到位的员工实施考核激励,并通过树立典型做好宣传与示范。
第二,加强规章制度建设以构建完善的内部控制制度体系。规章制度的建立对企业规范管理至关重要。强化“制度先行”、“内控先行”,明确岗位职责、操作流程和管理要求。应由专门部门牵头,组织制度所涉及的部门进行商讨,并协调相关部门意见,最终达成一致,可以提高规章制度的操作性与执行力。同时,还应建立持续的规章制度清理机制,及时处理过时作废和已经被更改的规章制度,避免可能出现的新旧并存或新情况下还执行旧制度,造成与企业经营管理现状的脱节与混乱的情况,以提高制度体系建设的鲜活度、一致性与适应性。为了便于更新与替换过时的各项制度,还可以采用制度流程手册的方式,使新老制度的更替标准化、流程化,并及时传达到企业的每一个员工。
第三,强化制度的贯彻与落实以提升内部控制的执行力。强化制度的贯彻和落实永远离不开“人”的因素。全员参与是近些年各类管理实践都普遍强调的要点之一,它对于增强员工主动性、提高经营管理效益等都有着积极的意义。所以将制度文件及时、准确传达至员工,使员工能够清楚认识、准确理解并掌握制度内容、岗位职责和管理要求,以使其能够正确操作,并明确违反规定的后果。在制度的传达与学习方面,可以采取员工集中学习与讨论的方式,以尽快形成对新制度精神的统一认积,便于新制度的贯彻与落实。另外,要加强员工业务操作技能和管理技能的培训,因为只有“想做好事的愿望”是不能达到目标的,企业目标的最终实现还要依靠员工准确执行制度规定的能力和水平。特别是企业中的许多重要部与岗位,是不能出现差错与失误的,如财会部门、印章保管部门、合同签订部门与对外宣传部门等,所以必须对关键部门的业务环节与具体管理流程进行不定期的培训与有针对性的考核,以加强关键流程与环节的内控建设。
第四,实施科学合理的岗责分配与授权机制。对于企业的特殊部门应建立双人、双职、双责为基础的第一道防线,要强化岗位职责配置和岗位人员配备的科学性,严格不兼容岗位职责和岗位人员的分离操作、独立配备,通过相互制衡,防范单人业务包办可能出现的差错、舞弊等风险。并要发挥管理部门实施业务检查的第二道防线作用,加强外审监督、内审检查、内控评价的第三道防线力量。另外,实行有效的业务授权管理也是内部控制的重要内容。根据不同业务流程给予不同的授权权限,受权机构或个人应严格按权限操作,努力避免授权不当或越权操作风险。
第五,实施“内、外相结合”的内部控制评价体系。企业的外部环境总是在发生变化,企业自身也在发展壮大,而内部控制必须随着企业的变化而变化。定期组织规章制度执行情况评估,及时修改、完善制度缺陷和漏洞,是内部控制有效性得以保征的必要手段。内部控制评价体系是通过为控制行为设定具体的标准、选择适当的评价方法并严格执行可以实现对行为的有效规范和引导。采用外部评价和自部评价相结合的评价方式是使这种评价行为更为有效。外部评价具有强制力,效率较高,对于重大问题很具敏感性,但评价者因为时间和精力限制容易忽略一些较隐蔽的问题。内部评价是企业自主进行的,评价深度和范围可根据实际需要设立,便于引发对工作的总结与思考,针对存在的问题,实施改进,但它也存在自我隐藏缺陷的可能。所以,将外部评价和内部评价结合运用,既可以实现必要的压力和主动性的有效结合,又能提高评价的全面性和质量,更加重要的是能够引导被评价者选择和实施符合企业目标的控制行为。
在此需要明确的是实施“内、外相结合”的内部控制评价体系,还必须强调全员参与。因为,作为评价对象的内部控制系统包含多重目标,涉及企业多个层面和各项业务,仅仅依靠个别部门实施评价工作显然是力所不及。员工参与的方式包括参与评价体系的构建过程以及运用内控评价体系实施自我评估。通过员工的广泛参与,一方面可以对企业各业务层面的各类风险进行更透彻的分析和评估,并进一步对控制政策和程序的完善性实施有效评价,另一方面可以增强员工的风险管理和内部控制意识。此外,健全规章制度执行监督机制,加强对制度执行情况检查的广度、深度和频率,督促提升规章制度的执行效果。还有要强化对违反制度行为的责任追究机制,对违反制度的行为落实问责、从严追究,强调制度的刚性与权威性。
第六,全面提升风险应急处置能力。面对纷繁复杂的外部环境,“应急处置”已成为企业管理理念、管理能力、管理有效性的集中体现。而内部控制是企业管理的基石,所以应急处置始终贯穿于内部控制之中。全面梳理各项业务与部门的管理流程、操作要求和风险特征,建立、健全风险应急预案体系已成为企业生存的必然举措,并且还要加强对风险应急预案的定期测试和评估,不断优化、完善应急方案,提高应急措施的针对性、操作性和可执行性。适时加强应急预案演练,提高快速反映能力,提升应急处置效果。
[1]俞雪花:《基于企业文化视角的内部控制》,人民出版社2011年版。