“锌锭谜团”下的内控危机

　　中国会计报记者高歌

　　先是内外“串通勾结”多发锌锭3.88亿元，再是外部人“串通”“盗出”锌锭990吨……白银有色集团股份有限公司(以下简称白银有色)深陷员工串通舞弊、内外“勾连作案”泥潭。

　　近日，白银有色公布《关于上海证券交易所2024年年度报告的信息披露监管问询函的公告》，指出公司2024年内控审计意见包含强调事项段，主要原因为员工串通舞弊，导致铜产品数量短缺。

　　而这，已是白银有色连续两年因类似原因导致内控审计意见被“划上重点”。早在2023年度报告中，就曾披露过违规发出商品事件。

　　随着此次内控危机背后的隐情浮出水面，上市公司内部控制体系建设中的潜在问题与隐患也暴露在聚光灯下。

　　连续收“函”非偶然

　　梳理近两年内控报告提及事件的来龙去脉，“990吨”系公司员工徐某与河北众帮德耀物流有限公司广川库库管员杜某串通,在没有接到白银有色发货指令的情况下，将990吨锌锭产品盗出。“3.88亿元”则是营销中心个别员工收受贿赂违规发货，且货款审核不严，导致锌锭发货量与实付货款出现3.88亿元差额。

　　连续两年发生同类事件，并非偶然，而是企业内控体系缺陷的爆发。

　　财政部全国高端会计人才邵昂珠表示，该事件表象是内外部人员串通侵占企业资产，根源在于内控制度的设计或执行缺陷，应引起足够重视，不宜用偶发或固有局限来看待。

　　“内部控制包含控制环境、风险评估、控制活动、信息与沟通和内部监督五要素，目标之一就是要合理保证企业资产安全。对第三方仓库的管理不到位、不相容岗位未分离、风险评估与预警机制失效、内部监督缺位、关键岗位轮岗等执行缺失等问题，都是此次内控危机的导火索。”邵昂珠说。

　　针对这些内控缺陷，广东省注册会计师协会惩戒委员会委员钮彦平进一步剖析指出，治理机制虚置是根源性漏洞。白银有色连续两年未整改仓库管理缺陷，导致“所有人虚位”，治理机制“在场”但不“在职”，内控建设流于形式。

　　“治理停留在‘看起来很到位’的状态，就像一座装修豪华的中控室，仪表齐全却没人真正值班。这种‘虚假治理’情况下，董事会、风险委员会、审计委员会等治理主体未能发挥应有的监督、制衡与战略指导功能。”

　　同时，关键业务权限过度集中直接诱发舞弊。钮彦平认为，白银有色的出库指令权与执行权未分离属于重大设计缺陷。徐某能一人操控990吨锌锭盗取，完全违背“不相容岗位分离”原则。

　　在管理上，徐某长期固定负责仓库且未轮岗，反映企业未执行企业文化评估机制，导致底层员工道德风险失控。未能利用思想、行为等监控框架，通过高频次行为评估阻断合谋链条。此外，监督机制双重失效纵容漏洞延续。

　　为避免上述事情再次发生，白银有色虽然上线了SAP信息系统，但尚未开展信息系统的验收测试工作。在钮彦平看来，这种IT控制合规性的坍塌加剧了风险敞口。

　　还原内部控制固有局限性

　　白银有色的内控问题能否归咎于“固有局限”？

　　该公司在回复中指出，2023年度报告披露的违规发出商品事件及本次阴极铜事件，主要是业务人员串通舞弊造成的，属于内部控制存在固有的局限性，即使制度流程设计完善、执行有效，仍可能无法完全避免潜在的缺陷和风险。

　　“应当承认，再完善的制度也无法完全抵御‘内部人凌驾+内外串谋’的风险，但固有局限不是免责‘金牌’，它仅豁免绝对保证的责任，并不意味着企业可以放弃合理保证的义务。”邵昂珠认为，判断企业是否尽到责任，需要考量制度设计是否覆盖“串谋场景”、制度执行是否可验证，以及事后追责是否到位等因素。

　　而多数所谓“局限性”是由人为因素造成的，实为可控风险。

　　邵昂珠举例说，锌锭等属于高价值、易变现资产，本应纳入重点管控清单，执行特殊管理措施。这类通过制度设计与严格执行即可规避的风险，不应被简单归类为固有局限性。

　　钮彦平进一步表示，内控本质是概率性防御工具，其设计基于“理性人遵守规则”的前提，无法完全规避蓄意串通舞弊与第三方恶意突破这两类系统性风险，也无法防范突破法律底线的犯罪行为。

　　白银有色事件中，仓库管理员与物流人员合谋盗取锌锭，正是“非程序性突破”——当多个岗位人员联合规避控制流程时，依赖权限分离的传统内控将失效。“此时，企业的‘所有权虚位’特性会放大此类风险。”钮彦平说。

　　尽管固有局限客观存在，但实证表明，通过治理重构、技术升级与行为监控三轨并进，可显著压缩舞弊空间。

　　钮彦平阐述道，在治理层植入制衡机制，如董事入驻审计委员会、通过月度突击检查仓库日志破解“内部人控制”等，避免企业监督虚置问题。运用IT控制刚性标准改造SAP系统，实现“物流单—出库指令—第三方数据”的实时区块链比对，使合谋者无法篡改数据痕迹。此外，嵌入行为干预模型，通过高频次企业文化评估与轮岗制度，可一定程度上瓦解串通土壤。

　　将概率性防范升维至“立体免疫”

　　为避免类似事件，白银有色已采取相关行动。

　　对此，钮彦平表示，白银有色当前推行的异地仓库盘点制度虽体现基础控制意识，但未能触及连续舞弊事件的本质矛盾——企业治理虚置与权限集中问题，使该措施仅停留在业务补救层面，而仓促上线未验收的SAP系统，违反IT控制刚性标准“关键系统需100%测试”的要求，更可能衍生新风险。

　　邵昂珠认为，已采取的措施从设计上看有了很大改进，但在执行层面仍依赖自觉，缺乏有效的监督和约束机制。例如，若仅停留在“定期核对数量”层面，未与采购合同、物流记录、财务台账进行“四方对账”，则难以发现“虚假入库、空单出库”等隐蔽舞弊行为。

　　当然，因类似原因曝出内控缺陷的公司不在少数。

　　针对上市公司内控建设和舞弊防范，邵昂珠认为，企业要精准定位业务链条职责，明确一线仓储物流、二线风险管理、三线内审的职责边界。其中，三线内审直接向审计委员会汇报，切断管理层的干预链条，保证监督独立性。在此基础上，要明确董事会、管理层、业务部门的内控责任边界，对连续发生的同类事件实施问责制，并畅通信息沟通渠道。

　　同时，高度重视大宗商品贸易风险，根据不同品类的特性，制定“分级管控清单”。例如，对高价值金属实施“物联网监控+每日库存对账+客户确认”制度，强化高风险资产管控。对与主业无关的大宗商品业务应谨慎介入，坚决避免“冲流量”的贸易行为。

　　此外，要借助技术工具构建“人机协同”监控体系，打通信息系统与仓库智能设备，实现全链条数据闭环，以机器自动校验替代人工核对，减少人为干预空间，提高管控效率。

　　回到白银有色事件本身，其内控缺陷的警示是深刻的：当企业把资产交给外部仓库、把流程交给系统、把监督交给制度，却唯独没有对“人”进行有效的约束和管理时，内控风险爆发只是时间问题。

　　“完善的内控体系不是‘防君子’的摆设，而是要通过全方位的制度设计和技术手段，让‘小人干不了坏事、不敢干坏事、不想干坏事’，如此保障内控目标合理实现。”邵昂珠说。

　　来源：《中国会计报》7月25日1、2版