企业内部控制(internal control)和风险管理中有一个重要原则: segregation of duties(SoD),直译为责任分离或岗位分离。具体的含义是指:不相容的岗位或职能必须拆分给不同的部门或人员担任,形成一定的权力制约和平衡,以防止内部腐败、欺诈和挪用资产等风险。许多监管标准和合规框架,如《萨班斯-奥克斯利法案》(SOX),都要求实施有效的责任分离(SoD)控制。遵守这些标准能有效避免法律和经济处罚。在与采购相关的业务中,执行适度的责任分离,能保证任何一个人不能完全控制所有的采购活动。01 采购申请 公司内部的使用部门提出采购申请,详细说明所需物品或服务的规格、数量、预算等信息。这个申请不能由采购部门发起,必须是实际使用部门,然后由采购部门进行审核,检查申请是否符合公司的采购政策、预算安排等。
不是任何人都可以提交采购申请/请购单,而是获得授权的个人才能提请购单。请购单需要获得审批,不同金额的请购单需要不同级别的授权,即金额越高的请购应设立越高的审批级别。
内控在采购申请环节重点关注的是不同采购金额的请购单应获得获得不同级别的授权审批人的批准。维护物料主数据的人不能同时也是请购人。潜在风险:修改物料主数据,创建和更改物料请购单。创建采购申请的人不能同时也是采购申请的审批人,即不能自己提申请,自己审批。
创建采购申请的人不能同时也是采购订单的创建人,即请购人不能直接执行采购行为,而是需要通过采购部门获取所需物品和服务,包括供应商寻源、签署合同或下达订单,确保以尽可能低的价格采购到所要求数量的货物。
02 采购订单 采购部是代表企业与外部供应商达成交易的部门,所有寻源、谈判、签约都需要通过采购部门执行。维护物料主数据的人不能同时也是创建采购订单的人,也不能是审批采购订单的人。潜在风险:创建包含无效材料的采购订单。创建采购订单的人不能同时也是采购订单的审批人,即不能自己建订单,又自己审批订单。如果某人员既具有创建采购订单的权限,也具有审批订单的权限,在创建订单时,须由上一级领导进行审批。
03 收货单 采购人员负责与供应商签订合同、下单采购商品或服务,而验收人员负责检查收到的货物或服务是否符合订单/合同规定的质量、数量等要求。严格意义上,请购职能、采购职能和收货职能必须分开,由三个不同的人员担任。
在直接采购业务中,通常是库房根据采购订单上的记录,负责接收、清点和检查供应商提供的货物,检查完毕后上架存放。而间接采购业务中请购人往往也是货物或服务的接收人。
如果请购人和验收人由同一人负责,或者采购员与验收人为同一人,则可能会出现请购人或者采购员收受供应商贿赂,降低验收标准,让不符合要求的产品进入公司的情况。
与收货相关的责任分离:
生成采购订单的人,以及采购订单的审批人不能同时也是收货人。风险:购买未经授权的物品,并以未完全收到货物为由进行隐瞒。维护物料主数据的人不能同时也是采购订单的收货人。风险:可能会输入错误的收货信息并据此修改库存水平,因而可能导致资产被挪用。04 付款 财务部通过匹配采购申请单、采购订单、收货单与发票上的货品描述、数量、价格后执行付款。付款申请应由具体业务部门即使用部门,或者采购部门根据采购订单/合同上的付款条款、金额、供应商发票等内容填写并提交到财务部。如果是使用部门提付款申请,需要由采购部门审批后提交到财务部;如果是采购人员提付款申请,需要由采购部负责人审批后提交财务部。
在系统中处理供应商发票的人不能同时也是创建采购订单的人。风险是购买未经授权的产品或服务,并凭发票支付款项。在系统中维护供应商发票的人不能同时也是维护供应商主数据的人。风险是创建虚构的供应商,并凭发票支付款项。05 供应商 在系统中创建供应商主数据时,输入及维护供应商基础信息和采购信息的执行人应该是采购部,包括联系人和联系方式、采购币种、税率等;而输入及维护供应商财务信息的执行人应该是财务部,包括银行开户名、账号等。采购人员维护的供应商信息需要采购部负责人审核批准,而财务人员维护的供应商银行账号等信息需要由财务主管审核批准。维护供应商主数据的人不能同时也是创建采购订单的人,也不能是采购订单的审批人。风险:维护一个虚构的供应商并向该供应商下达采购订单。确保采购合规是一项具有挑战性的工作,尤其是在采用人工采购流程的情况下。数字化采购能大大降低采购合规的风险。责任分离的关键要素包括:清楚地了解角色和职责、适当的等级制度和岗位分离、定期监控和审查控制措施、岗位轮换以及有效的沟通和培训。