复旦大学管理学博士，理论经济学博士后，高级会计师。咨询公司合伙人，北京财税研究院研究员
　　2014年1月28日，酒鬼酒发布公告称，其杭州子公司活期结算账户1亿元资金于2013年12月被分三次盗取。公告发布后，就有市场观点质疑，为何案发一个多月后公司才出相关公告，其内控管理制度也遭到投资者质疑。公司还因此事信息披露违规被湖南证监局出具警示函。
　　近年来，内控漏洞导致资金被挪用或其他重大损失的案例，可谓屡见不鲜：东北高速巨额银行存款不翼而飞、外高桥2亿多资金被挪用、仪征化纤销售会计6年期间挪用公款5000多万、光大证券“乌龙指”事件……作为上市公司，通常来说，已基本建立起一套相对完善的内控管理制度，但一些内控“低级错误”为何还会频频发生？在事后分析原因时，人们经常听到的一种解释是，公司有明确制度规定，但相关人员未能严格执行，将风险或危机的发生归咎于执行有效性，认为是由于员工未按章办事才导致问题，今后需加强规章制度教育，提高员工责任心和敬业精神来保证制度执行。但果真仅仅是执行有效性问题？并非如此。
　　一个企业在建设风险控制体系时，如果寄希望于员工都能按照既定制度办事，并以此来设定相关控制措施，那将是一件非常危险的事。这就好比打仗，假定敌人仅会正面进攻，不会攻击侧翼、迂回包抄或内部策反，那一定会留下致命空门，给敌人可趁之机。
　　很多企业建立风控体系时，却仍然在重蹈类似覆辙。以货币资金内部控制为例，资金支付通常需经过支付申请、支付审批、支付复核和办理支付几道程序，企业内控制度一般也是按照这个流程严控相关节点，尤其审批和复核环节往往是很多企业的控制重点，对于正常走流程的付款，这样层层控制确实可以防控风险。但从大量已曝光资金舞弊案例来看，绝大多数恰恰都是绕过正常审批、伪造签字或越权审批，直接从支付环节入手，轻易挪用资金。巴林银行倒闭就是个典型例子，里森当时既是前台的首席交易员，又是后台的结算主管，这两个至关重要的岗位，都是由里森一人把持，为其越权违规交易提供了方便，他开立了“88888”账户（误差账户）来掩盖交易亏损，直到给巴林银行带来超过10亿美元损失。
　　企业构建风控体系时，不仅要正向考虑，同时要反向考虑是否存在漏洞。对于内部或外部舞弊人员，在实施舞弊时，通常并不按常理出牌。而是会从各个角度来寻找潜在漏洞。为此，企业对风控体系有必要进行适当的“压力测试”，即假设某岗位员工存在蓄意舞弊动机时，是否仍有机会绕过现有各项控制实施舞弊且不会被发现，如果有，说明公司风控体系存在薄弱环节。譬如某公司虽然规定所有资金支付要经总经理审批，但所有银行预留印章却由出纳一人保管，则即使总经理未批准付款，出纳也能调动资金，这样的话，资金可能就有被不当挪用风险。因此，建立风控体系时，应具备一定逆向思维，从舞弊防范视角考虑，一是通过物理隔离或职责分离从源头防止舞弊发生；二是对重要风险应建立多道防控线，除直接控制措施，还应有补偿性控制；三是定期检查监督，保障防控措施有效执行。
　　马其诺防线已成为历史，成为“看似表面坚固、实际毫无价值的东西”的代名词，企业构建风控体系时，应避免再犯类似错误，从正反两方面考虑整个风控体系有效性，莫让风控制度沦为摆设。