企业内部控制“越权风险”解析

一、越权风险的定义

越权风险是指在企业内部控制体系中，员工或管理层超越其被授予的权限范围，擅自进行决策、操作或执行相关业务活动所引发的风险。根据我国《企业内部控制基本规范》，企业应通过明确各岗位的权限范围、审批程序和相应责任来实施授权审批控制。然而，当特定人员完成了不在其权限范围之内的经济事务时，越权行为便会发生。

二、越权风险的类型

• 无意越权：指特定人员在未察觉自己行为越权的情况下，超越权限范围进行操作。例如，子公司总经理因不理解集团权限，超越集团赋予的权限对外签订商业合同。

• 恶意越权：指特定人员为了谋取私利，故意超越权限范围进行操作，且可能损害企业利益。例如，金融机构工作人员收受贿赂后，超越权限为行贿方办理业务。

三、越权风险产生的原因

• 授权设计缺陷：授权设计不合理，导致权限设置不清晰或不满足业务需求。例如，经授权人不具备完成特定经济事务所需资质、决策及执行能力，或者配套程序不完备。

• 内部控制失效：内部控制制度未得到有效执行，缺乏必要的监督和制衡机制。例如，管理层凌驾于内部控制之上，或者员工之间相互串通，破坏内部牵制。

• 信息系统漏洞：信息系统权限管理不完善，存在越权访问或操作的可能。例如，员工岗位调整后，系统权限未及时更新，或者系统访问控制不严格。

四、越权风险的后果

• 合规风险：越权行为可能导致企业违反法律法规或监管要求，面临处罚。例如，上市公司未经董事会决议实施重大关联交易，可能受到监管机构的处罚。

• 决策失误风险：未经授权的决策可能导致错误的业务方向或投资决策，给企业带来损失。

• 操作失误风险：越权操作可能因缺乏必要的专业能力和程序控制，导致操作失误。

• 舞弊风险：恶意越权行为可能导致企业资产被侵占或挪用，严重损害企业利益。

五、案例分析

• 巴林银行倒闭案：巴林银行的尼克·里森超越其交易权限，从事未经授权的金融衍生品交易，最终导致银行倒闭。

• 华为信息系统漏洞案：华为员工易某利用系统权限管理漏洞，获取并泄露公司机密信息，给公司带来损失。

• K公司存货管理失控案：K公司仓库保管员越权处理存货盘盈盘亏，导致财务数据不准确，内部控制失效。

六、防范越权风险的措施

• 提高权限清晰度：采用量化、易于理解的权限描述方式，正式发布权限要求，并通过宣贯工作提升员工的权限意识。

• 建立越权防范机制：在业务执行中，利用程序环节及组织架构上的相互牵制，以及技术手段（如信息系统权限控制、身份验证等）来防止越权。

• 加强监督与监控：通过内部审计、信息系统监控等方式，对权限使用情况进行监督，并及时纠偏。

• 建立惩罚机制：对越权行为进行有效惩罚，提高越权行为的成本。

• 完善信息系统管理：合理配置信息系统访问权限，设置严格的登录控制手段，加强第三方程序管控，防止信息泄露。

七、总结

越权风险是企业内部控制中需要重点关注的问题。通过明确权限范围、完善授权设计、加强监督与监控、建立惩罚机制以及完善信息系统管理等措施，可以有效降低越权风险，保障企业内部控制的有效性和合规性。企业应持续关注内部控制体系的运行情况，及时发现并纠正越权行为，以实现可持续发展。