首先說一個親身經歷。記得在多年前瓜瓜在某集團當內審,有一次審核某工廠的工資發放流程時,發覺工資表每月由一位文員負責編製,而她的工資也包括在工資表中。雖然工資表在呈送會計部前由車間主管審批,但工人數目眾多,車間主管只會核對工人數目,以及看一下有沒有工人的工資異常高。文員計算自己的工資,而且審批比較鬆散,當然是一個風險警示。於是,內審同事便重點抽查該文員的工資,結果發現她每月偷偷地給自己多加幾百元加班費。在自己的審計生涯中,旦凡遇見這類情況例必重點關注,因為人容易受誘惑,以為沒有人會察覺,更料不到內審原來會查得這樣仔細。
相同問題似乎發生在本地化妝品連鎖店卓悅控股(653)。根據報章報道,其前人事部經理涉嫌聯同家人,在2004年至2011年間利用支薪系統和虛假員工獲利4,000萬元。由於案件仍在審理階段,在此不便評論被告有罪與否。不過,若果傳媒報道的案情無誤,並假設同樣事情發生在另一間上市公司身上,這就明顯是公司管治出了大問題。
首先,人事部負責招聘員工和處理相關事宜,但又同時負責計算工資和發薪,正如文首提到的例子,明顯是職責缺乏分工(Lack of segregation of duties),是一個頗大的管理漏洞。雖然發薪前需由會計部審批,但好大可能會計部根本不清楚每位員工的工資是多少,所以審批都只是形式上,實際沒有多大意義,因而沒有及時制止問題發生。
此事核數師有沒有責任呢?不是要為他們開脫,核數師比較著重財報上的欺詐,對於這類營運風險未必察覺。不過,倘若公司設有內部審計部門,而審計又採用風險為本(Risk based approach)的話,這麼大的職責分工漏洞肯定會找到出來。
翻查2010年年報,原來卓悅當年並無內部審計部,但每年外聘獨立專業團體,對公司的內部監控系統成效進行年度檢討。實在好奇該專業團體有沒有找到此問題。若果找到,卓悅管理層為何不堵塞漏洞?若果是找不到,是專業團體的審計未有包括發薪流程,還是其他特別原因?
朋友說職責分工只是大公司的玩意,中小企缺乏人手和資源,根本沒有可能做得到。事實的確如此,但不代表甚麼也不做。就以人事部身兼招聘和發薪為例,若資源所限無法分工,其實只要加入適當監督,例如將工資表按部門拆開,然後由各部門主管核對自己部門的工資表,總比會計部來審批為佳。此法既可保護員工薪金私隱,又達到監控效果。又例如採用生物識別考勤系統,可杜絕虛假員工冒領薪金問題。現在的考勤系統價格低廉,效益比成本高,唯一注意是必須遵守個人資料(私隱)條例及相關指引。
風險管理是公司管治重要一環,希望各大小上市公司引以為戒,不要步卓悅後塵。