「审计月刊」企业内部控制 “越权风险”解析

发布时间：2022-08-26发布部门：

一、何为越权？

按照主观意图，越权行为可以划分为：

1）无意越权，即特定人员“并未察觉自己的行为已经越权”。如子公司总经理由于不理解集团权限，超越集团赋予的权限对外签订了商业合同。

2）故意越权，即特定人员“明知自己行为越权”。故意越权又可以进一步划分为以下两类：

善意越权：即特定人员越权行为的目的是从企业利益出发、并未谋取私利。例如某企业销售人员，出于挽留客户的目的，对客户做出了超出其权限范围的服务承诺。
恶意越权：即特定人员越权行为的目的是为谋取私利、且可能损害企业利益。例如金融机构工作人员，在收受贿赂后，超越其权限范围为行贿方办理业务。

二、越权风险后果的产生

从某种意义上讲，越权本身只是对于某经营事项由未经授权人完成而已，为什么会产生风险？

究其本质，权限设置早于经济行为，而“越权”体现了一种内控“设计落空”。

因此，对于越权的风险分析，应围绕授权设计初衷展开。因此，授权本身如果不满足质量要求，或者经授权人未做到勤勉尽责，那么即使没有出现越权，也可能导致风险。如经授权人并不具备所需专业技能，经授权人在工作中出现疏忽大意，等等。

一般而言，企业在进行授权设计时，需要考虑的重点因素包括：

1．确保经授权人具备完成特定经济事务所需资质

在设计授权时，企业应保证经授权人资质符合企业内部规范（如在《公司章程》中明确的授权要求）及外部规范（如在《公司法》、证券市场规范中明确的授权要求）。

从这个角度出发，如果出现越权行为，即可能导致合规风险。如一些上市公司因实施了未经过公司董事会专门决议的重大关联交易，而受到监管机构处罚。

2．确保经授权人具备完成特定经济事务所需的决策及执行能力

在设计授权时，企业应保证经授权人具备所需的决策及执行能力，这些能力可以进一步细化为经授权人具备所需信息、专业能力及参照依据。

例如企业对特种设备操作员要求持证上岗，通常是因为持证人员经过有针对性的培训和考核，因而具备操作特种设备所需专业能力。又例如企业赋予其财务总监资金计划审批权，通常是因为财务总监具备所需资金相关信息、财务专业能力，以及能从公司宏观全局出发进行决策的能力。

从这个角度出发，如果出现越权行为，即可能导致决策失误风险或操作失误风险。如某集团下属子公司，超越集团授权范围对外进行大额投资，由于该子公司投资尽调能力严重不足，最终造成重大投资损失。

3. 确保经授权人完成特定经济事务配套程序完备

在设计授权时，企业应保证经授权人在完成经济事务时，所需配套程序已经得到履行。与前几点相联系，配套程序的完备性一方面可以提高经济活动的决策和执行质量（如经授权人在完成特定经济事务时，可以参考前置程序人员的专业意见），另一方面也能够满足适用合规要求。比如，对于一些高风险活动（如银行柜台大额资金划转），授权会遵循 “四眼原则”，即采取双人同步完成的程序设计，来降低操作风险。又比如，对于我国国有企业中的“三重一大”事项，会设置充分的前置程序并采取集体决策程序。

从这个角度出发，如果出现越权行为，即可能导致决策失误风险、操作失误风险或合规风险。如某国有企业的资产归口管理部门，跳过必要内外部程序进行了重大国有资产处置，被认定为导致国有资产流失而被严厉追责。

4. 确保经授权人完成特定经济事务受到监督

在设计授权时，企业应保证经授权人在完成经济事务时受到必要的监督。例如：门店收银人员完成收银操作，必须在视频监控区域内完成。

从这个角度出发，如果出现越权行为，即可能导致谋取私利风险甚至构成舞弊。如某企业财务总监，通过盗取会计、出纳人员银行U盾和密码，侵占企业巨额资金。

综上，越权行为可能会导致企业既定控制措施落空，进而导致合规、决策、操作甚至舞弊风险。需要说明的是，在具体实践中，上述几种情况可能会出现重合。例如在企业业务人员越权对外签署合同时，可能会同时出现业务人员专业度不足、程序缺失（如合同文本未经法务部门审核）、缺乏监督以及出现资质瑕疵（如出现表见代理纠纷）的情况。

三、越权风险的防范

基于前文分析，不同类型越权行为的特点可以归纳为下表：

越权行为类型	常见情况
无意越权	权限不清晰，且缺乏越权纠偏机制。
善意越权	当事人认为权限本身“不合情理”，且缺乏越权纠偏及惩罚机制。
恶意越权	存在权力寻租空间，缺乏有效的越权纠偏、监督及惩罚机制。

企业如何防止越权？一般而言，发生越权通常会满足如下几个条件：

有越权机会，即从技术上可以实现越权；

越权行为存在不被发现的可能性，或即使被发现后果也在可接受范围之内，即越权后果不严重。

围绕上述条件，企业应采取的措施包括：

1.提高权限的清晰度

·提高权限的清晰度，可以降低无意越权的可能性。通常的手段包括：

·采用量化的、易于理解的权限描述方式；

·正式发布权限要求，如下发企业正式《权限表》；

·通过宣贯工作，帮助企业全员理解权限并提升权限意识。

2.建立整合于业务中的越权防范机制

在业务执行中，将越权防范纳入考虑。

利用程序环节及组织架构上的相互牵制

如：在工程合同中约定项目现场负责人在项目执行中的具体权限，财务部门在付款前对付款前置程序中的权限执行情况进行检查，等等。

利用技术手段

如：通过岗位/用户设定将权限固化于信息系统中，同时在信息系统中配置经授权人身份验证手段（账号密码、指纹/人脸识别等），利用智能“印控仪”设备管理用印，等等。

3.建立越权行为监控及纠偏机制

对企业各类权限使用情况进行监督，并及时进行纠偏。

如：在内部审计过程中，对各类权限的执行情况进行检查，利用信息系统对权限行为进行在线监控，等等。

4.建立越权惩罚机制

对越权行为进行有效惩罚，提高越权行为成本。其中，针对善意越权，在充分提示相关人员越权行为违规、强化其权限意识的同时，应对权限设置本身的合理性进行客观评价。

综上，企业应通过建立上述机制，让企业全体人员有效理解权限设计要求，做到事前不愿越权、事中难以越权、事后越权行为得到及时识别与处置，进而从整体上降低越权风险。

转自：冯博内控正经谈

上一条：「好文分享」开学第一课：这个夏天教会了我们什么？
下一条：「好文推荐」人民日报-金句摘抄