余孟勳專欄/公益組織的內部控制:避免「財務管理重大錯誤」
近來某個組織人謀不臧發生「財務管理重大錯誤」、負責人與公司之間的資金流程啟人疑竇,引起輿論嘩然,但坦白說類似問題在中小型或新創組織並不少見。這篇文章不打算討論事件中的負責人到底是不是有意為之、公益性組織的代理問題、獨資公司負責人可不可以便宜行事,或是群眾募資平台的可責性等,而是針對這樣的財務管理問題到底組織應該如何預防因應?
把帳管好、把錢管好
簡單來說,財務管理的基本目的只有二個:「把帳管好」、「把錢管好」。對中小型組織來說(不管是營利或公益組織)前者其實不難,因為開發票報營業稅、出具正式會計報表或申報所得稅等事務,通常都會委由會計師或記帳士辦理,成本也不高(小組織大概一個月2000~3000元)。因此對組織而言,真正需要管好的帳目其實是收支的流水帳而不是會計帳,所以有的機構沒有聘用專職財務人員,而是由行政或社工兼任這個角色。更進一步說,「把帳管好」的難度並不在於記帳的技術或專業,而是由收支的複雜程度決定。
收支複不複雜,也就是如何「把錢管好」就是另外一回事了。理論上中小型機構的收入支出型態應該很單純,金額也不大,怎麼會有財務管理的問題呢?有些狀況例如負責人支出公私不分,造成核銷困難或甚至必須有二套帳(也就是交給外部人看的「外帳」,以及實際資金情形的「內帳」),讓整件事變得複雜難解。箇中原因很多,像是中小型組織比較趨向人治、其運作基礎較依賴互信而不是制度;人力不足,便宜行事;有意為之,例如為了節稅或操縱報表結餘;營運初期很多款項需要私人墊付,長期混雜導致公私不分等。先不討論這些狀況背後的動機或責任歸屬,把錢管好的重點就在於SOP(標準作業程序),而且要能預防或偵知錯誤,或稱之為「內部控制制度」。
舉例來說,如果需要支付一筆購買電腦的款項六萬元,首先應該由承辦人填寫支出申請,並依核決權限依次簽核後送到出納。出納確定該支出經核准,準備匯款單,並交給持用印鑑的人用印。用印完畢後,再由出納帶這張匯款單及存摺至銀行辦理匯款。匯款完成後,出納登載於流水帳,並將單據交由會計入會計帳。會計每月底以銀行存摺或對帳單核對存款餘額。在這個過程中會有幾個「控制點」(也就是關卡),如有異常,流程就應該中止。
五個基本的內部控制
一般公開發行公司每年給會計師查帳,都會包含內部控制的抽查以確定沒有重大異常。如同前述,「把帳管好」其實並不難,但關鍵在於「把錢管好」或是有效的內部控制程序。網路上當然可以找到很多範本,去年底發表的「中小型NPO會計實務手冊」也有流程範例及表單,但一來各個組織的營運流程不同需要量身訂做,二來太過複雜也不易推行,美國的公益網站Blue Avocado有一篇「Five Internal Controls for the Very Small Nonprofit(超小型組織的五個內部控制)」做為討論的起點則再合適不過。
1. 建立控制環境
「控制環境」指的是實施內部控制的範圍及場域,而建立這個場域的目的是明訂規則、並確定組織從上到下都明白並遵從既定的遊戲規則,沒有人可以例外。這個「沒有人」當然包括負責人,但其實大多數內部控制問題都與高層有關,因為他們同時也是最高權限的授權人,球員兼裁判之下很容易做出凌駕(override)制度之上的行為。再精美複雜的內部控制制度,遇上不佳的控制環境還是一樣會出問題;相反地,如果能有效地建立控制環境,就算只有很基本的控制措施,也未必會出錯。
2. 權責區分
既然是SOP,就要區分清楚誰負責什麼。小型組織或許沒那麼多流程需要辨認,但至少與金錢有關的流程必須明確。除了責任歸屬外,另外也較容易建立良好的作業習慣,以及人員流動時的交接,錯誤自然會降低。
3. 實體的保全措施:例如現金、存摺、印鑑、空白支票應該上鎖保存。
4. 雙人盤點:跟現金有關的流程,應該至少二個人以上同時在場一起盤點。
5. 與銀行對帳單核對
實體的現金是定期盤點,而銀行存款則是拿銀行的對帳單或存摺與會計記錄核對是否相符。這個動作簡單但很重要,因為是在確認會計記錄與實際現金流是否吻合,如果不同就要釐清差異原因,並判斷這個差異原因是否合理(例如入帳的時間差)。
此外像是印鑑與存摺應分別由不同人保管(因為銀行臨櫃提款同時需要印鑑章及存摺)、印鑑章最好包含二個章以上、避免使用提款卡或只有單一認證的線上轉帳功能、管錢的人不能同時管會計帳(以免監守自盜)等,都是「把錢管好」的基本建議。
公益組織常忽略內部控制
在討論公益組織財務透明及組織治理時,大多會把焦點放在資訊公開或董監事會的監督制衡等。但資訊公開必須有好的資訊品質,而董監事的監督制衡也只是控制環境的一環,因此流程的設計才是組織財務健全的最重要基礎,但這卻也是目前在探討這個議題時較少被討論的部份。
如果以商業組織來看,「公開發行(也就是俗稱的IPO,“Initial Public Offering”)」之前不僅必須備置會計、內部控制及內部稽核制度,甚至必須經過會計師事務所及承銷證券商的實地審查。也就是說,在向不特定對象募股時,商業組織必須先具備一定水準的風險控制機制。但相對來說公益組織並無相關規定,而且中小型組織也大多不清楚這個機制的重要性。
公益組織因為收受公眾捐款,「受託人」角色必須完全承擔財務責信,因此內部控制機制更不能缺少。設計了刹車機制當然就會造成流程上的不便、行政效率會因此降低,也因此有些組織抗拒這種制度化的型式。但也就是這樣的不便,才能事前預防、事後偵知可能的「財務管理重大錯誤」。組織追求效率應當與風險控管取得平衡,最佳解不見得是「要做或不做」,而是「做到什麼程度」-這就需要評估與討論自身的運作流程、可能出錯的地方,以及風險承受的能力了。
延伸閱讀:
