1)决策判断。例如:判断是否通过一项申请,判断是否放行一个产品,判断是否批准引入一个新的供应商,等等。
2)执行操作。例如:完成一份合同的用印盖章,完成一笔款项的支付,等等。
在企业既定权限设置条件下,越权通常是指特定人员完成了不在其权限范围之内的经济事务。越权是一个典型的内控问题,在实践中伴随着越权行为业已产生了大量风险事件。例如在巴林银行倒闭案、法国兴业银行衍生品巨亏案、中航油衍生品巨亏案、深圳机场总经理银行贷款诈骗案、光大证券暴风音影海外收购担保案中,关键岗位人员的越权行为给涉事企业造成惨重损失。
按照主观意图,越权行为可以划分为:
1)无意越权,即特定人员“并未察觉自己的行为已经越权”。如子公司总经理由于不理解集团权限,超越集团赋予的权限对外签订了商业合同。
2)故意越权,即特定人员“明知自己行为越权”。故意越权又可以进一步划分为以下两类:
善意越权:即特定人员越权行为的目的是从企业利益出发、并未谋取私利。例如某企业销售人员,出于挽留客户的目的,对客户做出了超出其权限范围的服务承诺。
恶意越权:即特定人员越权行为的目的是为谋取私利、且可能损害企业利益。例如金融机构工作人员,在收受贿赂后,超越其权限范围为行贿方办理业务。
二、越权风险后果的产生
从这个角度出发,如果出现越权行为,即可能导致合规风险。如一些上市公司因实施了未经过公司董事会专门决议的重大关联交易,而受到监管机构处罚。
从这个角度出发,如果出现越权行为,即可能导致决策失误风险、操作失误风险或合规风险。如某国有企业的资产归口管理部门,跳过必要内外部程序进行了重大国有资产处置,被认定为导致国有资产流失而被严厉追责。
从这个角度出发,如果出现越权行为,即可能导致谋取私利风险甚至构成舞弊。如某企业财务总监,通过盗取会计、出纳人员银行U盾和密码,侵占企业巨额资金。
综上,越权行为可能会导致企业既定控制措施落空,进而导致合规、决策、操作甚至舞弊风险。需要说明的是,在具体实践中,上述几种情况可能会出现重合。例如在企业业务人员越权对外签署合同时,可能会同时出现业务人员专业度不足、程序缺失(如合同文本未经法务部门审核)、缺乏监督以及出现资质瑕疵(如出现表见代理纠纷)的情况。
三、越权风险的防范
基于前文分析,不同类型越权行为的特点可以归纳为下表:
企业如何防止越权?一般而言,发生越权通常会满足如下几个条件:
有越权机会,即从技术上可以实现越权;
越权行为存在不被发现的可能性,或即使被发现后果也在可接受范围之内,即越权后果不严重。
围绕上述条件,企业应采取的措施包括:
1.提高权限的清晰度
提高权限的清晰度,可以降低无意越权的可能性。通常的手段包括:
采用量化的、易于理解的权限描述方式;
正式发布权限要求,如下发企业正式《权限表》;
通过宣贯工作,帮助企业全员理解权限并提升权限意识。
2.建立整合于业务中的越权防范机制
在业务执行中,将越权防范纳入考虑。
利用程序环节及组织架构上的相互牵制
如:在工程合同中约定项目现场负责人在项目执行中的具体权限,财务部门在付款前对付款前置程序中的权限执行情况进行检查,等等。
利用技术手段
3.建立越权行为监控及纠偏机制
对企业各类权限使用情况进行监督,并及时进行纠偏。
如:在内部审计过程中,对各类权限的执行情况进行检查,利用信息系统对权限行为进行在线监控,等等。
4.建立越权惩罚机制
综上,企业应通过建立上述机制,让企业全体人员有效理解权限设计要求,做到事前不愿越权、事中难以越权、事后越权行为得到及时识别与处置,进而从整体上降低越权风险。