終結『神鬼會計』談企業舞弊現形及風險管控
管「錢」又管「帳」:N年A上億的低薪簡樸的出納,企業主該做哪些功課?
如何讓舞弊現形?從幾位「神鬼」會計出納,之所以能夠輕鬆拿走上億,一定是使用了非常細膩精巧,又刁鑽難查的自創手法吧?同一人管錢又管帳、內外二套或三套帳成為舞弊的溫床。
偶像劇《我可能不會愛你》拍攝點之一、五星級溫泉會館的泰安觀止,居然上演了「我不可能不A你」的橋段。據報導,張姓出納因投資期貨虧損,覬覦每日經手的大筆現金,從2010年開始侵占部分原本應存入銀行的現金,至2017年累積吞了新台幣1億650萬元左右。
而且,這不是2020年唯一被新聞媒體報導的「會計出納侵吞案」:
華旗飲水機陳姓會計多年來將公款小額、分批匯到自己私人帳戶,最後盜走總金額約1億8400多萬。
北部某砂石廠闕姓會計,則是將付給廠商支票上付款對象改成自己或親友,4年內搬走1億415萬多元、遭開除又到一家科技公司重施故技。
仲恩生醫楊姓財務,除了虛列獎金詐取98萬,跟其他財務勾結還擅自動用公司名下帳戶3億現金炒股,未補的金額尚有6000多萬。
在高雄小港區某補習班擔任月薪25000的會計的張簡姊妹花,小港區這位外型儉樸的阿桑透過浮報老師鐘點費、短報或漏記學費浮報教師鐘點費,以及短存營收的方式,來掏空補習班,17年來放了近億到自己口袋。
双喜電影陳姓會計持續把公司款項轉匯至私人帳戶,或其他完全無業務關係的公司,3年來共計176筆異常款項,轉入24個無關的個人與公司帳戶中,總計金額高達新台幣1億1000多萬。
在財星500大企業稽核師的《舞弊現形課》中也深入討論過「名牌包達人」Vivian的案例。身為亞馳國際的會計,只要客戶匯款到公司帳戶,她就會轉走約一成到自己帳戶,短短4年就A走2.3億。同一時間,發生了第一銀行被國際駭客入侵、自動吐鈔8300萬的大案。相較於一銀案出動了19位車手領款,一星期內就被追回6000萬,Vivian僅憑一人之力就得手2.3億,而且潛伏4年後才被發現。
前述幾位「神鬼」會計出納,之所以能夠輕鬆拿走上億,一定是使用了非常高超的手法吧,沒被發現的又有多少呢?
員工管「錢」又管「帳」!公司分內外帳的企業,是財務高風險的一群!
管「錢」與管「帳」不只要分離,也要避免員工串通
一般來說,公司若得支付廠商貨款,必須把採購單、供應商發票、收貨單、驗收單等可證明交易確實發生的文件,交由會計審核,無誤後會計才會在公司帳上記錄「得付若干元給廠商」。系統再依照付款條件設定自動計算付款日期,財務則依此日期與金額,匯款或透過支票支付給廠商。支付之後,再由會計在公司帳上記錄「某日已支付多少錢給某廠商」。
為了確保出納不會把錢亂轉,大部分公司都會由會計收取銀行每月對帳單,核對是否與公司帳上紀錄的存款金額相符。而內控做得更細緻的公司,還會在網路銀行的操作權限上隔出防火牆,會計可建立付款要求但無法核准,出納反之。
所以,如果會計(管帳)跟出納(管錢)勾結,甚至是同一人,會發生什麼事?那就是前面幾個案例發生過的事。像是該付給廠商的錢被A下來、但卻在公司帳上紀錄已付,或是直接把公司的錢轉到私人戶頭等。更重要的是,「由不同人檢核對帳單」這個事後把關機制,也因此失效。
這就是「裁判、球證、旁證都是我的人」的問題。
雖然判決書沒明寫,但我想泰安觀止的張姓出納應該也兼任會計,否則公司這麼大筆金額憑空消失,認真的會計一定能從銀行對帳單中發現蛛絲馬跡。
連最後防線「會計師」也失手
這個案件最讓我訝異的,並非「管錢又管帳」,而是外部會計師如此輕率的查核。
會計師該如何確定公司帳上的現金沒有虛報?很簡單,直接問銀行某公司帳戶有多少錢。
當然,這種「問」必須正式一點,一般透過所謂「函證」(紙本信件)的形式,由會計師事務所寄送給銀行,銀行直接回覆金額,中間完全不應有公司任何人員介入(特別是會計或出納)。
在泰安觀止的案例中,簽證會計師居然將空白的函證,直接交給張姓出納,讓張姓出納有了塗改函證上帳戶金額、蓋上銀行偽章的機會,根本是「請鬼拿藥單」。
內部控制不能只想CostDown,更不能以鴕鳥心態來面對
台灣企業非常擅長降低成本,但在重要的內部控制上千萬不能省,因為通常短期省下來的小錢,絕對補不上長期的重大損失。
從一篇招募實習生的公告可以發現,張姓出納不僅兼會計,居然還兼管人事。從老闆角度,一員工分飾三角,一份薪水做三份工作真是賺到。但這種「貪小便宜」的經營邏輯,最後傷的永遠是自己。假設泰安觀止多請一位會計,一年不需50萬(全台薪資中位數),10年來不到500萬的薪資,就能減少一億元的損失,何樂而不為呢?
前面提到的亞馳國際案例,Vivan除了得坐牢4年8個月,還得賠償1億7724萬多元。試問,Vivan這輩子有可能還得完這麼多錢嗎?亞馳當初多聘一個人、多一點心思把內控做好,成本可能連500萬都不到,現在這麼大的窟窿,要向誰求償?
一家公司如果員工很多、每天的交易量龐大、營運地點的分布又很廣時,該從哪裡開始揭弊呢?
各種「異常」,正是揭弊的起點,它包含人的異常「行為」,以及企業營運的異常「交易」。
人的異常行為
一旦涉入舞弊,犯者會開始擔心是否會露餡、同事或新主管會不會察覺,這種提心吊膽的防備勢必會對心理造成極大的壓力,加上經濟上多了額外之財,他們的行為模式絕對會變得與先前截然不同。以下是舞弊犯會出現的異常行為:
生活方式忽然變得豪奢
曾經有一位中部的傳產老闆,很得意的和我們分享他是如何發現服務20年的資深會計媽媽侵占公款。原來是,這位媽媽向來非常節省,去美容院都只會剪短髮,或是燙個捲髮,所以老闆已經習慣她的花媽頭。有一天,會計媽媽居然燙了個最時尚的大波浪,還把那些日益明顯的白髮也染黑了,在其他同事簇擁著她和七嘴八舌稱讚的時候,老闆直覺有點不對勁,就順手查了一下幾年來的帳務,赫然發現這位會計的舞弊事證。
「突然」豪奢,絕對是一個起點。當然,也不是所有的「突然」豪奢,都一定是舞弊,比方說,調查完突然豪奢的情況後,你可能會發現,某個員工的老家因為劃入都市計畫區,必須被強拆,政府給了一大筆搬遷補償,他變成「拆二代」,所以改開賓士上班;也有可能某個小資女手上忽然拿了正版愛馬仕,只不過是嫁入豪門前,婆婆給的一個小小見面禮而已。
財務困難
照理說,多拿了不義之財,舞弊犯的財務狀況應該會好轉才對,怎麼還會出現財務困難呢?財務困難是「因」沒錯,也是重要的舞弊動機,但能不能因為額外之財的注入而解決,得看那個「洞」有多大。我經手過的幾件女性犯下的案子,多半是因為先生經商失敗,身為太太實在於心不忍,於是開始挖東牆補西牆,希望幫先生度過這次的難關。先生看到源源不絕的資金流入後,更有恃無恐,做了更多大膽的投資,資金需求越來越大,最後缺口大到掩蓋不住而爆發。
與供應商或客戶過從甚密
常常聽到舞弊調查人員抱怨:「這個採購人員怎麼處處幫供應商講話、替他們求情、該處罰的也輕輕放過,到底誰付他們薪水呀?」、「這個業務怎麼可以把產品賣得這麼便宜,對方又不是超級大客戶,被大客戶知道還得了?」。沒錯,世界上沒有無緣無故的愛,也沒有無緣無故的恨,如果你發現公司內部人員,與供應商或客戶交情好得不可思議,如果不是有正在交往的曖昧關係,就是存在不正當的利益關係。
異常負責
如果有一位負責每月薪水計算的人資,最近懷孕準備請產假,但是因為薪水計算非常複雜,一時之間很難交接完全,她又不想增加同事的額外負擔,所以要求公司給她一台筆電,這樣她請產假的兩個月還可以在家幫忙算薪水,那麼老闆是否會痛哭流涕,然後頒個模範員工給她?
先別急著點頭,這個劇情不是我虛構的,而是台灣某上市櫃公司的人資舞弊案,該名人資7年內詐領了近7千萬元。她並不是責任感爆棚,而是怕交接後,那些用來詐取薪資的幽靈員工被接手的人發現而已。
當一個人忽然常常犯錯(因為露出馬腳,所以辯解為粗心做錯)、上下班時間異常(因為要提早來或晚點走,才能趁沒有人在的時候盜用印章或湮滅證據),這都是常見的警訊。只要主管有心觀察,一定可以發現不少舞弊的蛛絲馬跡。有位前輩曾分享一個小技巧,沒事可以到員工停車場晃晃,看一下掌握採購大權同事開的車是不是突然變成租賃車(車牌R開頭),而且是豪華的ABB(奧迪、賓士、寶馬),因為這極可能是供應商租來拉攏關係的。
有效管理風險的五大要素
並不能說,嚴刑峻法沒有用,而是「僅」靠它並無法根治問題。你可能會說:「你行你上啊!」
「舞弊」只是眾多干擾企業達成營運目標的風險之一,對於「風險」這個歷史悠久的難題來說,「良好的內部控制」是一個頗受歡迎、也經過實際驗證的答案。以下我們就從銀行的角度,用「貸款給企業客戶」這個簡單的例子,來闡述為什麼「良好的內部控制」是防弊的可行解。
1.設立「控制活動」
銀行放貸給企業時,一定需要足夠的擔保品,這樣在企業還不出錢的時候,至少還有擔保品可拿去賣掉,不無小補。如果發現這個企業與銀行負責人有利害關係(如配偶、三等血親或二等姻親),企業還必須提供「十足擔保品」(擔保品金額必須高於貸款金額)才行,這避免銀行負責人利用職務之便刻意貸給自己的親友,最後惡意倒帳,掏空銀行。
以上對於企業貸款的「嚴格要求」,就是所謂的「控制活動」(controlactivity),目的就是設立機制來預防、發現或是改善各種問題的發生。
2.進行「風險評估」
不過,在大多數的情況之下,如果控制活動是魚的話,那麼作業效率就是熊掌;在沒有科技的輔助下,兩者是很難兼得的。每個作業流程都想要完美控制的下場,就是作業效率非常低落(可想想某些政府單位)。因此,把控制活動「有限度且精準」部署在企業流程之內,也是很自然的想法。問題是,要部署在哪些作業流程?
企業應該要思考,對於自己所在市場、產業、政治、經濟、法規、資訊科技等會遇到什麼樣的風險,以及萬一不幸發生問題時的嚴重性。針對各種風險進行評估與排序後才能清楚知道,關鍵資源與控制活動應該部署在哪些最需要的流程之上。
回到前例,假設銀行檢視了自己的放款組合,發現多半都是貸給個人,金額小且不用擔保品(俗稱信貸),那麼前述「銀行負責人貸給自己人而惡意倒帳」的風險就相對低了很多,自然就不太需要部署太多控制活動在這個流程上。這就是「風險評估」(riskassessment)存在的意義。
3.重視「資訊與溝通」
依據風險評估的結果,設計了對應的控制活動後,工作還不算完成,畢竟控制有沒有被落實、效果如何,也是應該關心的重點。想知道控制做得好不好,一定要透過數字說話,並且將這樣的資訊與利害關係人(關心控制成效的人)溝通。
延續前例,假設銀行下載了放貸系統的歷史資料進行分析,發現居然仍有貸款給利害關係人,而且未提供十足擔保品的狀況。詳細分析與追蹤後發現,原來現行資訊系統的運作邏輯是:利害關係人的資料庫就算更新了,也不會去檢查之前已放貸的資料,自然也不會要求補提擔保品了。
當銀行內負責查核的單位發現這樣的問題,就必須和各部門討論該怎麼避免類似的事件再發生,甚至還必須與審計委員會、外部會計師或主管機關說明整個經過與處理情形。因此,知道該在什麼流程上部署什麼控制後,「該怎麼知道這些控制的執行究竟有沒有效」、「該讓哪些人知道」,就是「資訊與溝通」(informationandcommunication)所著力的重點。
4.強化「控制環境」
有上述措施就完善了,對吧?還沒。
在著名的永豐三寶超貸案中,企業客戶StarCity來申請貸款時,永豐銀行員工隨即發現這是董娘擔任董事的公司,屬於利害關係人,需十足擔保品。不過,山不轉路轉,永豐金控董事長何壽川找到金控中規範最鬆的永豐金租賃,指示家臣游國治與經理人配合,錢就順利借給StarCity了。
更誇張的是,雖然提供了三寶大樓與停車塔作為副擔保品,永豐金租賃居然還是第三順位抵押權,這表示假使StarCity還不出錢,副擔保品拿去賣掉後,還得先償還前面二順位的債務人後,如果有剩下的錢才開始償還永豐金租賃。有這樣的董事長,建置再完善的控制活動,也等同虛設;再有操守、有責任感的員工,也很難幹得下去,勇敢站出來吹哨而遭到解職的總經理張晉源與副總王幗英,至今仍未得到應有的補償。
董事長的道德操守與一言一行,就是所謂「控制環境」(controlenvironment)中的一環。你可以把控制環境想成是主事者對於內部控制的「真正想法」、公司內部對於誠信正直行為的「認同程度」、組織運作與員工素質的「水準」等(夠抽象吧)。
另外,是否有道德行為準則(抄證交所公版就沒意義了)、董事會是否夠獨立(裁判、球證、旁證,不能都是你的人呀)、企業組織架構如何設計(很多內部稽核其實都被迫聽命於財務長……)、權責是否清楚定義、是否持續招攬正直優秀的人才、賞罰是否分明等等,都是控制環境所注重的項目,範圍很廣,所以抽象難免,但絕對是重中之重。
5.持續的「監督活動」
最後,上述的四個重點,難保沒有失效的一天,畢竟主事者可能換人、放貸組合可能變動,如何能夠讓機制持續進化並順利運作呢?這就需要建立良好的監控機制來確保上述四個重點的有效性,也就是「監督活動」(monitoringactivities)。比如說,假設公司的獨董能真正負起監督之責,審計委員會的議程涵蓋詳細了解公司控制環境的成熟度、確認風險評估的過程、控制活動部署狀況,以及如何分析內部控制的成效,這就是十分標準的監督活動。可惜的是,不少獨董都是「對外獨立、對內懂事」,要發揮該有的效果並不容易。
最後面對數位科技、財務轉型浪潮,財務長必須掌握三項趨勢能力:
1、商業創新視野(BusinessVision):看出企業發展的風險與未來,透過數位工具讓績效管理圖像化,快速回應管理階層需要的決策資訊,掌握數據變動的影響趨勢,彈性敏捷應變組織需求。
2、財務績效(Efficiency):透過ERP與RPA降低財務人員的操作,制定流程標準化、自動化,了解資金如何運用,保持應收應付的平衡、財務數據分析。
3、法遵與內控(Law&Control):透過ERP、BigData與AI的應用,將績效管理與內控做好,讓數位財務力獲得改善,滿足當前或未來法規要求。