对又一起银行舞弊案的一点思考

 

2006年2月7日，又一起数亿元级别的银行票据舞弊案在黑龙江双鸭山败露了。（相信对于多数人而言，不需要解释这里为什么用了一个“又”字）。诚如3月6日出版的《财经》专题报道所指，该舞弊案“在技术手段上并无任何新奇之处，几乎是上个世纪90年代前期银行信贷账外经营的翻版”（详情不赘述，可参见《财经》报道）。然而，值得思考的问题是：“为什么如此不具备技术含量的盗窃行为可以在十多年间连续重复”。

 

对于舞弊不能被及时制止和发现，一个很简单，也是很标准的回答就是“内部控制制度存在缺陷”(internal control deficiencies)。可是我们还可以再深入一点：“内控究竟存在怎样的缺陷，应该怎样解决呢？”我们也可以再尖锐一点：“各大国有银行改组上市的筹划已有数年，在此期间，国际先进水平的咨询机构和中介机构也曾数度派出庞大的专业人员队伍研究评价，或者协助设计这些国有银行的内部控制制度体系，为什么这许多年下来还是一而再、再而三地被“一点儿技术含量都没有”的舞弊轻易击破呢？”

 

一部分具备一定专业水平的体制内人士，通过多年来跟这些咨询、中介机构打交道、已不再会轻易因对方的“国际化”招牌而眩晕。这些人士当中，相当一部人可能都会这样说：所谓国际化中介咨询机构，也是林子大了什么“牛”都有（我们的一位香港同事觉得内地的这一则俗语十分有趣，也学着说，于是就讲成了这样），人员素质本身就良莠不齐。在基层分支行从事具体工作的中介咨询机构的专业人员，多数也就是刚毕业两三年的学生。以他们的经验和水平，加上两三个星期的现场工作，能对实际操作层面可能出现的问题有多少了解呢？指望他们岂不是笑话？

 

这样的话当然会让中介咨询机构很不受用，可在一定程度上也不能说不是实情。然而，站在这些中介机构的立场上，它们当然也有为自己辩护的理由。

 

下面这一段是COSO Executive Summary 里面的原话

 

“任何内控系统，无论其设计运行多么完善，对实现管理层和董事会的控制目标都只能提供‘合理的’、而非‘绝对的’保证。这些目标的达成受限于内控系统的固有局限性。这些局限性包括：决策过程中的错误判断、执行过程中的错误过失。此外，内部控制还会由于两个或两个以上的人员勾结串通，或管理层越权而失效。另一个限制因素在于内部控制的设计必须考虑资源限制，以及内部控制制度的收益与执行控制的成本之间的权衡。”

 

上面这段是我自己的翻译，为避免歧义，现将原文也列示如下：

 

An internal control system, no matter how well conceived and operated, can provide only reasonable--not absolute--assurance to management and the board regarding achievement of an entity’s objectives. The likelihood of achievement is affected by limitations inherent in all internal control systems. These include the realities that judgments in decision-making can be faulty, and that breakdowns can occur because of simple error or mistake. Additionally, controls can be circumvented by the collusion of two or more people, and management has the ability to override the system. Another limiting factor is that the design of an internal control system must reflect the fact that there are resource constraints, and the benefits of controls must be considered relative to their costs.

 

以上面所提到的双鸭山市四马路支行一案为例，除与民营企业主朱德全的内外勾结，支行内部涉及舞弊而被捕的人员即包括：行长胡伟东、副行长王林、业务员沈洪泽、杨晓平、赵伟泽等五人。这里面既有“collusion”（至少五人勾结） , 又有 “management override”（行长和副行长都下水了）。代表”国际先进水平”的COSO都说了，内部控制制度“no matter how well conceived and operated”, 都有个固有限制。您整个管理当局的班子全烂了，还想设计出什么样的内控来控制呢？就算我搞出一个可以防止五个人联合舞弊的制度来，也不能制止第六个人参与串通啊，您说是不是。

 

这说法看起来也颇有道理，可还是经不起琢磨：“噢，原来是因为有实在太多的人参与串通，而且行长副行长也都下水，这才导致内控失效。照这么说，咱们的内部控制制度，至少在设计层面上，就是没问题的了？可是您怎么解释为什么在中国大陆地区，这种特例就能接二连三地发生，而咱们咋就没听说HSBC, 或者 Citibank, 或者 BOA, 或者 Charter Bank, 也时不时地来上几段儿类似故事的翻版呢？一次两次是偶然，所有的偶然都发生在某一个特定的范围内，就是必然了”

 

所以，看来还是什么地方出了问题。既然COSO说，内控制度总是有局限的，collusion 和 management override 不是内控制度自身能够左右的，这一事实无论中外都是适用的。那么唯一合理的解释是，某种因素，某种中国大陆地区所特有的因素（也就是“中国特色”，更确切地说，是“中国大陆特色”），使这种“局限”得到了扩大和发扬。

 

那么什么是“中国特色”，或曰“中国大陆特色”呢？对这个问题，革命老前辈任仲夷先生曾给出过一个非常简单、概括、而又经典的答案。不过这个答案我不能说。任老前辈德高望重，说这样的话的时候也年届九旬了，说了也没有什么，换是我，重复一遍也会惹祸。反正现在网络信息昌明，大家尽可以自己去找。

 

好了，前面这些由银行票据舞弊牵出来的话题暂且告一段落。下面，再聊聊内部控制制度。

 

下文在整体思路和探讨内容上从金融体系跳转到了常规商务交易活动。逻辑上稍微有点“跳跃”。不过这没关系，过一会儿会回来的。之所以这样写，主要是因为我个人在自己的审计实务中很少接触金融业，所以为了更有效地说明自己想要表达的“一个完整的内控体系的不可或缺的两个方面”（见下文），只好用自己见得比较多的传统行业的企业的内控系统举例子说事儿。不过，不管什么行业，建立健全内部控制的基本道理都是一样的，内部控制的“两个方向”（见下文）也都是缺一不可的。

 

内部控制制度并不高深，它只是每一个普通业务员每天面临的普通工作罢了。一个公司的业务员，出差借钱或报销，要部门经理或公司领导批准，而不能自己跑到财务部去跟出纳员说，我明天出差，需要借两万块钱，这就是控制。对于仓库管理员，定期的盘点是控制；对于出纳员，每月的现金盘点和会计编制的银行余额调节表是控制，对于采购员，供应商评价体系、采购部门经理或公司领导的批准是控制。

 

诸如此类的“由上而下”的监督，相信只要去想，总能想出很多。不过，还有另外一种方向的内部控制，也是内部控制中很重要的一个方面，却常常被忽略。在一定程度上，这可以说是一种“由下而上”的监督。

 

大家都知道自己想干件什么事情，比如花公司的钱，是需要领导批准的，可是好像从来没听说过哪个领导花钱需要员工批准。其实，“监督”不一定要通过签字来实现，各司其职本身就是一种监督。比如一个公司的老总不满公司的真实业绩，难以满足投资者预期，于是指示财务总监虚构一笔销售。如果这比交易硬生生地记在总账里：贷记销售收入，这样的总账记录就和发票开票员那里的invoice register 出现了差异，一做reconciliation, 这样的reconciliation item就必然是见光死的。

 

如果财务总监不想要这笔记录见光，他怎么办呢？他就需要把这笔虚构的交易塞到明细账里来。这样，第一步，他要买通一个级别 很低的记录员（比如，invoicing clerk）。单是迈出这一步，他恐怕就要掂量掂量了。一般来说，一个级别很高的人，你让他去找一个级别很低的人去商量一些见不得光的事情，这其中的也是有压力的。倘若他只买通这个记录员还不够，还要买通那个能够在系统里面create Delivery Order的人 （有了delivery order, invoicing clerk才能在系统里面issue invoice），甚至还要买通Logistic Staff create 一张GDN, 并且买通库管员在系统里confirm一张GDN （这样Delivery Order 的Status 才能由 “Not delivered”变成 “Delivered”, invoicing clerk才能够在系统里开发票）,也许这还不够，他还要买通可以create sales order的那个人……, 算了，不必再说下去了。说到这里，这样的“自下而上”的内控的精神实质应该已经传达清楚了。

 

因为“各司其职”的缘故，作为下属，想要绕过控制，需要买通领导，做这样的事情显然是有压力的，而作为领导，想要绕过控制，需要买通下属，甚至不止一个下属，做这样的事情，正常而言，也是有压力的。

 

由上而下的监督，加上由下而上的监督，构成一个完整的内控体系的不可或缺的两个方面。

 

当然，如果这位总经理具备黑社会或/和党政背景，可以通过威逼利诱买通所有人，去override 所有的internal control，那就真的什么办法也没有了。毕竟，就像COSO Executive Summary里面说的，任何内部控制都是有 inherent limitation的。

 

好了，回到初始话题上来。

 

前面提到过，“一个级别很高的人，你让他去找一个级别很低的人去商量一些见不得光的事情，这其中的也是有压力的”。但是，所处社会环境不同，这压力的大小也会有很大的差异。制度的移植是相对简单的，执行制度的文化背景和社会环境就不那么容易移植了。在威权体制社会里，个人与他所在的单位，和他的单位领导之间的关系，依赖性色彩要强于世俗宪政体制下的个人。尽管这种局面随着经济开放水平的增加而在不断改善中，但长期以来的威权体制及与之相配套的社会秩序和社会思维模式使得在很多场合，自下而上的控制仍然形同虚设。尤其是在类似中行双鸭山市四马路支行那些“土生土长、举止粗豪的银行基层支行负责人”（2006年第5期《财经》第42页）那里。可以想象，胡伟东行长指示下属业务员出具这些“账外承兑汇票”的时候，恐怕是不会有很大的压力的。在一个连宪法都可以被公然调戏的社会，你能指望它的成员对其它的什么书面条文有多少尊重呢。毕竟，对于一个生活在相对闭塞的小城市，对“单位”这一社会组织具有高度依赖性的基层业务员而言，支行行长的命令是优先于其它任何规章制度的。民间流传一则“构建和谐社会的四项基本原则”是这样讲的：“在国际上不能跟美国作对；在中国不能跟GCD作对；在单位不能跟领导作对；在家里不能跟老婆作对。”可以算是这一心态的绝妙注脚。至于这个问题怎样才能解决，对不起，我也没有办法。国际上很多企业都有一个“内部舞弊举报热线”。这个制度移植一下倒也不妨，只是如同其它所有制度的移植一样，其效果怎样也很难说。看过小说《沧浪之水》第二篇第46节的读者，会明白的。