论内部控制痕迹
时间: 2024-02-01 16:01:23 | 作者: 半岛体育
内部控制痕迹在企业或行政事业单位内部控制建设中具备极其重大价值。《企业内部控制基本规范》第四十七条指出,“企业应当以书面或者其他适当的形式,妥善保存内部控制建立与实施过程中的相关记录或者资料,确保内部控制建立与实施过程的可验证性”[1]。李若山等[2]认为,企业在《内部控制手册》建设中,应当明确内部控制的主要留痕,尤其需要重视表单和书面证据,以达到内部控制的可复核性。王蕾等[3]认为,内部控制建设过程中“痕迹化”的最大的目的是为了留下控制证据,一方面表明企业实施了相应的控制措施,另一方面便于监督检查时追溯责任。高建航[4]认为,控制过程没有留下可审查的痕迹、证据,很难保证内部控制执行到位;不利于内部控制的监督和评价;不利于信息传递和沟通;不利于责任清晰界定。虽然内部控制痕迹在内部控制设计和实施中具备极其重大价值,但是,鲜见研究者详细论述内部控制痕迹的概念、详细的细节内容、作用、设计和保留内部控制痕迹时的注意事项。
关于内部控制痕迹的概念尚未统一,刘宏灿[5]认为,控制痕迹是记录控制的载体。一些学者从控制单据、业务表单、佐证材料等角度来诠释内部控制痕迹[6-8];孙俊娜[9]从文字、图片、实物、电子文档角度诠释内部控制痕迹。借鉴以上研究者的观点,作者觉得,内部控制痕迹是内部控制设计和实施过程中,企业董事会、监事会、经理层和全体员工行为的记录,包括书面文档、电子文档、口头交流记录、实物资产和非货币性资产等形式。
财政部会计司编写的《企业内部控制规范讲解2010》[10]并没有提出内部控制痕迹的概念,仅提出了内部控制痕迹的部分内容,指出内部控制文档是内部控制建立和实施过程中的痕迹,按照内部控制要素分类,相关文档记录包括:
1.内部环境文档,一般来说包括组织结构图、权限体系表、岗位工作职责说明、员工守则、董事会和监事会成员履历、发展的策略规划、企业文化手册、人力资源政策等。
2.风险评估文档,一般来说包括风险评估流程、风险评估过程记录、风险评估报告、风险矩阵等。
3.控制活动文档,一般来说包括内部控制系列应用指引中的各项流程控制文档,具体由企业经营活动真实的情况确定。
4.信息与沟通文档,一般来说包括客户调查问卷、财务报告、经营分析报告、董事会及专业委员会会议、经理办公会议、财务例会等重要会议纪要、举报投诉记录等。
5.内部监督文档,一般来说包括往来款项询证函、资产盘点报告、审计计划、审计项目计划、年度内部审计工作总结、审计报告、审计意见书、审计决定书、整改情况说明材料、员工合理化建议记录、专项监督实施方案和过程记录、专项监督报告、内部控制自我监督检查及测试记录、内部控制自我评价报告等。
但是,上述文档并没有具体说明来自于企业外部的书面文档和电子文档,而且,“文档”只是内部控制痕迹的一个组成部分,内部控制痕迹还应当包括口头交流记录、实物资产和非货币性资产等内容。
书面文档类的内部控制痕迹既包括来自于企业内部的书面文档,也包括来自于企业外部的书面文档。《企业内部控制应用指引》[11]所规范的采购、销售、合同、预算、组织架构、社会责任、人力资源、发展的策略等十八项业务中,每一项业务都涉及风险评估、控制活动,例如,人力资源虽然属于内部控制五要素中的控制环境的内容,《企业内部控制规范讲解2010》[10]详细说明了人力资源管理中存在的风险和管控措施;与此类似,发展的策略属于内部控制五要素中的控制环境的内容,也同样涉及发展的策略制订和执行中的风险和管控措施;发展的策略的制订和变更,需要收集企业外部的政治、经济、技术、社会等各种信息,这一些信息收集过程属于信息与沟通;对发展的策略执行情况的日常监督或专项监督则涉及到内部控制五要素中的内部监督。因此,作者觉得,应当按照十八项内部控制应用指引的详细的细节内容,逐个说明每一项业务涉及的内部控制书面文档。
①合同分级授权管理制度,明确说明股东大会、董事会、经理层、监事会在合同分级授权中的具体权限的文档。
②不同业务部门的合同文档。不同业务部门负责本部门的合同文档,例如,采购部门负责所采购的各类物资的采购合同和运输合同;销售部门负责管理销售业务产生的销售合同、运输合同、仓储合同等。
③合同归口管理制度。法务部门负责各类合同涉及的法律问题,保留法律事务涉及的各类文档。
④合同考核制度。对于合同订立、执行过程中存在重大漏洞,给企业或行政事业单位带来重大损失的责任人予以处罚的相关文档。
合同调查、合同谈判、合同文本拟定、合同审核、合同签署、合同履行、合同改变、合同结算、合同登记等合同业务全流程的风险评估过程记录、风险评估结果报告、风险矩阵图等。
针对合同调查、合同谈判、合同文本拟定、合同审核、合同签署、合同履行、合同改变、合同结算、合同登记等合同业务全流程的风险所采取的管控措施的记录。
合同谈判小组的谈判过程、谈判意见的记录;为避免合同泄密而签署的保密协议;客户的真实需求调查问卷;合同签署过程中涉嫌舞弊的投诉举报记录等。
法务部门对合同业务全流程涉及的法律问题的监督文档;内部审计部门对本单位合同管理内部控制进行专项审计的工作底稿和审计报告等。
如果本单位的合同业务涉嫌舞弊行为,则涉及企业外部的原始凭证作为内部控制痕迹,这些原始凭证虽然不计入企业的会计信息系统,但是,纪检监察人员、公安人员、税务稽查人员、内部审计人员在识别舞弊、偷漏税或者刑事犯罪时,对于形成完整的证据链条至关重要,例如,旅游区的门票、护照记录的海关对于某人出国和回国的时间和地点的签字或盖章、国外住宿和餐饮发票等;上述记录可以核查涉嫌舞弊人员是否接受了客户的宴请、旅游接待服务等可能影响业务公正履行的行为。此外,与合同管理相关的第三方检验测试报告、供应商提供的业务文档、客户提供的业务文档等也可当作合同业务内部控制痕迹。
除了《企业内部控制应用指引》中指出的十八项业务之外,企业或行政事业单位涉及的别的业务,确定内部控制痕迹也同样涉及上述五类内部控制要素的文档,当然,除了企业内部的文档之外,也包括企业外部的文档。
①录像、电子照片类。企业工程招标过程的录像或照片、人力资源招聘过程的录像或照片、企业监控录像等。录像或电子照片有助于识别公司人员是否公正地处理业务,是否偷窃公司资产、投毒、违反操作流程等行为。
②语音、邮件、即时通信类。例如,《基金管理公司投资管理人员管理指导意见》(证监会公告〔2009〕3号)第二十六条规定,“公司应当建立完整通信管理制度,加强对各类通信工具的管理,公司固定电话应进行录音,交易时间投资管理人员的移动电话、掌上电脑等移动通讯工具应集中保管,MSN、QQ等各类即时通信工具和电子邮件应实施全程监控并留痕,录音、即时通信、电子邮件等资料应当保存五年以上”。
③计算机操作日志。计算机系统的操作日志可以记录哪些人在什么时点、在哪台计算机上进行了操作,操作的内容是什么?上述内部控制痕迹是识别员工利用计算机舞弊的重要依据。反之,如果有关人员的业务活动在操作日志上没有留下内部控制痕迹,将带来舞弊隐患。
④企业或行政事业单位工作人员的公务卡刷卡记录。该刷卡记录能够记录单位工作人员的支出金额,能配合其他内部控制痕迹,形成证据链条时使用。
①企业外部的各类录像。机场录像、高铁站录像,上述两种录像可以核查公司涉嫌舞弊人员是否乘坐了该时间段的交通工具。酒店录像,可以核查公司涉嫌舞弊人员是否在某一时间入住该酒店。旅游区的录像,可以核查公司涉嫌舞弊人员是否接受客户提供的旅游服务。
②银行卡交易记录、微信或支付宝转款记录。该记录可以核查公司涉嫌舞弊人员在何时、何银行或者微信或者支付宝,收取何人或何单位具体的金额数量。
内部控制痕迹分布于内部控制活动的全流程,口头交流记录包括对企业外部人员和企业内部人员的询问和沟通交流记录。口头交流获得的内部控制痕迹,不仅能发现重要线索,也可当作证据直接用。例如,企业销售人员在没有招待客户的情况下,将私人消费的餐饮发票拿到企业财务部门报销,并声称招待某个公司的某几位客户。此时,通过询问该员工声称的客户是否在某一时间、某一饭店就餐,就能够得到相应的证据。通过询问企业内部员工,能了解相应的内部控制流程是否得到执行。
公司各类实物资产和非货币性资产是由过去的交易或事项形成,实物资产包括采购的原材料、库存产品、固定资产等。非货币性资产包括专利、商标、土地使用权等。若公司采购的资产与合同要求不一致,通过复核该资产采购全流程的内部控制痕迹,就可以追溯到责任单位和责任人。例如,某石化公司拟采购德国产疏水阀,但是,实际采购到的疏水阀是江苏某阀门厂生产的产品,阀体上有明显的江苏某阀门厂的标记;公司库存的疏水阀的压力等级铭牌标识被人为改动[12]。该公司疏水阀的请购单、采购合同、订货单、验收单、卖方发票、付款单据、现金支出日记账、应该支付的账款明细账、库存的疏水阀、已经安装的疏水阀、第三方对疏水阀的质量检验报告等,构成了疏水阀采购业务内部控制流程完整的痕迹链条,因此,资产作为内部控制痕迹链条的一个组成部分,是切实存在的证据,不可或缺。
完整的内部控制痕迹能形成证据链条,作用广泛,现从以下九个方面做说明。
企业或者行政事业单位规定了考勤时间,如果员工违反规定,则通过内部控制痕迹可以识别。例如,某企业的考勤制度规定,行政坐班员工的上班时间是上午8:30—12:00,下午1:30—4:30,该企业绩效考核小组调取职工食堂的刷卡记录,发现某几位行政坐班员工连续多个工作日在11:30之前刷卡就餐,刷卡记录所构成的内部控制痕迹为奖惩员工提供了依据。
不同岗位的人员通过复核内部控制痕迹,能够更好的降低公司损失。例如,某客户在某水果店购买价格较为昂贵的进口水果,销售人员错把价格昂贵的进口水果按照价格较为廉价的国内水果进行计量,并且把计价结果的小票粘贴在水果袋上面。当客户去收银员处买单时,收银员通过检查粘贴在水果袋上面的价格标签中含有的水果品种、单价、重量等信息,并且与实际货品对比,发现销售人员计价错误,要求销售人员重新按照进口水果价格进行计量。因此,收银员并不是单纯地履行收款职责的人员,也具有内部牵制的职责,其内部牵制的着眼点就是作为内部控制痕迹的计价小票和实际货品。前述的销售员可能是有意识地给熟人故意打错价格,也可能是无意识地给陌生人打错价格。企业若使用无人值守的自助收银系统,一定要保证顾客拿到收银台商品的计价标签是准确无误的,否则将给公司能够带来损失。
在内部控制设计和运行过程中,内部控制痕迹有助于界定不同人员的责任。内部控制痕迹除了能应用于企业,在行政事业单位也能应用。2012年,财政部制定印发了《行政事业单位内部控制规范(试行)》(财会〔2012〕21号)[13],在《行政事业单位内部控制规范(试行)》实施之前,内部控制痕迹就已经在界定不同人员的法律责任中发挥了作用。例如,2006年,浙江理工大学工程设计研究所原所长沈丁挪用公款65万元用于个人购房,如果浙江理工大学工程设计研究所是个人承包,则涉及的问题是偷漏税;如果该研究所是浙江理工大学的下属单位,则涉及职务犯罪。浙江理工大学原党委书记白同平和原副校长夏金荣两人共同出具了浙江理工大学工程设计研究所是沈丁个人承包的书面证明,但是,按照“三重一大”规定,个人承包需要学校党委会或者校长办公会集体讨论决定,因此,白同平和夏金荣出具的证明,并没有被办案人员采用,办案人员调阅了2000年以来的浙江理工大学党委会会议记录、校长办公会会议记录,都未曾发现“个人承包”的定论。随着调查的深入,办案人员发现白同平和夏金荣也是涉案人员[14]。因此,党委会会议记录、校长办公会会议记录作为内部控制痕迹,对于界定法律责任发挥了重要作用。
在企业中,有的员工打企业招待费的主意,存在“低消费高报销”“无消费也报销”现象,涉及金额较大,这些员工在企业正常的招待工作中,与个别饭店熟识,通过与饭店负责人协商,要求饭店负责人在没有业务招待的情况下,也开具高额发票,并且伪造与发票金额相同的点菜单,一些饭店负责人为了留住客户,采取了迎合客户的行为。
对于企业来说,能要求员工和接受招待的客户在发票背面签名;调取酒店的监控,查看是不是有有关人员就餐;查看就餐包间监控,了解真实的消费情况。此外,在企业指定的酒店或者企业自办的饭店用餐,这类饭店正常情况下不会配合企业员工的造假行为。
上述的发票签名、酒店监控、指定就餐酒店的会议记录等构成的内部控制痕迹增加了员工舞弊的难度。
内部控制痕迹记录了有关人员的行为,在识别舞弊过程中发挥着及其重要的作用。例如,A企业的出纳员去B银行办理取款5万元的业务,B银行的前台柜员通过银行计算机系统记录了A企业出纳员取款5万元,B银行的计算机系统管理员与A企业的出纳员串通,企图删掉银行计算机系统取款记录,进而达到侵吞A企业公款5万元的目的。该系统管理员首先通过私人感情获取了另一位计算机系统管理员掌管的密码,突破了内部牵制,然后,进入到银行计算机主机业务系统,删除了B银行前台柜员刚才记录的A企业出纳员取款5万元的交易记录,然后,这名系统管理员把A企业存款记录里面的存款余额改为取款5万元之前的金额。该系统管理员自认为做得天衣无缝,但是,他只是手动修改了A企业存款金额里面的存款余额,并没有手动修改A企业在银行计算机系统其他位置的存款金额,这就造成了A企业在银行计算机系统不同位置的存款余额不一致的情况。而且,该系统管理员的操作行为也被计算机操作日志记录下来,内部控制痕迹为识别舞弊提供了有力的证据。
《第2201号内部审计具体准则——内部控制审计》[15]、《企业内部控制评价指引》[11]要求对本企业或行政事业单位的内部控制进行审计或评价。企业或行政事业单位的内部审计小组、内部控制自我评价小组依据相应的内部控制痕迹,获得完整的证据链条,提出内部控制审计或评价意见,将有利于提升公司内部控制设计和运行的有效性。反之,缺乏某一环节的内部控制痕迹;人为故意损毁内部控制痕迹;伪造内部控制痕迹所涉及的凭证、会议记录、表单等,就可能形成内部控制缺陷;甚至构成内部控制重大缺陷,以此来降低内部控制设计和运行的效率和效果,导致内部控制无效。
《中国注册会计师审计准则第1211号——重大错报风险的识别和评估》第三节要求注册会计师了解被审计单位内部控制体系各要素[16]。企业拥有各类业务完整的内部控制痕迹链条,对于注册会计师评估企业内部控制设计和运行的有效性具备极其重大意义,不仅能节约投入的审计人员的数量,也能够大大减少审计时间,企业高质量的内部控制痕迹也代表着高质量的内部控制。因此,外部审计的成本也会相应降低。
中国第二十次全国代表大会报告提出“惩治新型腐败和隐性腐败”“坚持不敢腐、不能腐、不想腐一体推进”[17],新型腐败和隐性腐败的特点是取证难度大,内部控制痕迹中的旅游区门票和录像、护照记录的海关对于某人出国和回国的时间和地点的签字或盖章、酒店住宿发票、餐饮发票、银行卡交易记录、微信或支付宝转款记录、行贿企业支付干股的账目记录或出售原始股的账目记录、行贿企业支付高利转贷本金和利息的会计记录、官员退休后到曾经主管的企业担任职务时的工资打款记录、官员及其特定关系人利用内幕信息炒股的交易记录、官员及其特定关系人以显著低于市场行情报价购买房地产的交易记录等信息,可以追溯涉嫌腐败人员及其特定关系人的受贿情况,为识别腐败提供了证据支持,有利于提高腐败治理工作的效率和效果。
与偷漏税相关的内部控制痕迹包括与“税”直接相关的各类发票和凭证,例如,增值税专用发票、企业所得税纳税申报表、税收缴款书、税收完税凭证、税收减免凭证等,但是,查处偷漏税也要关注企业各类原始凭证、记账凭证、会计账簿、会计报表、存货、会议记录等内部控制痕迹,尤其是原始凭证、存货、会议记录值得重点关注。
(1)自制原始凭证:企业生成的交易小票、资产盘点记录、资产台账、材料验收单、产品入库验收单、销售发货票、发出材料汇总表、领料单、员工工资单等。
(2)外来原始凭证:采购原材料和各类物资的发票及其所附的明细单据、企业用电量发票、铁路或公路等运输部门收发货物的发票等。
根据企业购入的原材料数量、企业用电数量、企业发给工人的计件工资,可以匡算公司制作的产品数量,若企业账面记载的产品数量与匡算数量差距较大,则涉嫌两套账。
企业采购、生产经营、销售的会议记录,往往是偷漏税企业真实的采购、生产经营、销售情况的讨论和记载,对识别账外账、发现偷漏税线索具备极其重大价值。
企业对于各类业务,都应当形成完整的内部控制痕迹链条,保证所有环节的可追溯性。例如,某酒店为了控制餐饮服务的质量,通过招标的方式定点采购食材;在厨房、餐厅安装监控设备;保留食材和成品的样本,经过以上步骤,从食材采购、加工、食用就形成了完整的内部控制痕迹链条。
伪造的内部控制痕迹资料将误导舞弊调查人员、税务稽查人员、纪检监察人员、公安人员的决策。例如,原巴林银行前交易员尼克·里森伪造花旗银行巨额存单骗过了巴林银行总部的内部审计人员[18];贵州省毕节市织金经济技术开发区财政局原出纳员王红梅通过抠图技术伪造银行对账单,模仿领导签字,私刻单位公章等行为伪造虚假的内部控制痕迹资料,盗取单位大额款项[19]。因此,真实的内部控制痕迹资料才具有证明效力。
规范的内部控制痕迹资料才具有证明效力,例如,企业或行政事业单位的原始凭证表单没有编号,导致原始凭证表单可能被舞弊人员撤换;企业或行政事业单位的各类单据的有关人员签字使用个性化十足的艺术签名,无法准确辨认签字人;或者存在涂改签字等现象;上述不规范的行为都将削弱内部控制痕迹资料的证明效力。
如前所述的银行案例,银行的计算机业务系统中,不但在企业存款的位置设置了企业的存款余额,而且在企业贷款的位置,也设置了企业的存款余额,这一种原因是为增加计算机系统操作员手工修改存款余额的难度,另一方面银行在给企业贷款时方便了解该企业在本银行的存款余额现状,以免盲目放贷。此外,银行的计算机业务系统还可以在其他位置设置企业的存款余额,但是,具体在哪里设计了“内部控制痕迹”,银行计算机系统管理员是不知道的,只有高层管理者或者内部审计人员才能了解,增加了计算机系统操作人员舞弊的难度。上述案例简述了计算机系统的内部控制痕迹设置技巧,在手工控制活动中,也能够使用在多个位置设置内部控制痕迹的做法,达到增加舞弊难度的效果。
董事会负责内部控制的建立健全和有效实施。因此,董事会需要营造良好的内部控制痕迹建设的管理氛围。
1.董事会应当要求内部控制设计小组明确每一个内部控制痕迹的责任人,大力宣传并要求各职能部门、子公司、附属单位重视内部控制痕迹的建设和保存工作,强化对内部控制痕迹的监督工作,董事会审计委员会派出内部审计机构对下属单位检查时,监控录像、实验设备、文件记录等内部控制痕迹应当按照内部控制流程有序列示、真实完整。如果内部审计机构监督检查时,发现内部控制痕迹是真实完整的,但是,案件发生时,某一内部控制痕迹缺失,例如,案发时点的监控录像损坏了,在这种情况下,无论责任人是无意识的错误造成还是有意识的舞弊造成监控录像损坏,都应当对该内部控制痕迹环节的负责人立案侦查,以查明背后的原因,防止类似事件再次发生。
2.加重内部控制痕迹缺失单位负责人的处罚和奖励。董事会依据本单位各个层级内部控制痕迹的监督检查结果,对于内部控制痕迹长期缺失或者不足,督促整改仍然不见效果的,应当对相关层级负责人采取警告、通报批评、罚款、撤职等处罚措施;对于内部控制痕迹建设情况良好的相关层级负责人给予恰当的物质奖励和精神奖励。惩罚和奖励措施可以促使各个层级的负责人重视内部控制痕迹的建设工作。
在不同行业之间,公司层面的内部控制和业务层面的内部控制存在某些特定的程度的差异,控制环境、风险评估、控制活动、信息与沟通、监督五个要素的内部控制痕迹都不一样。例如,医院的内部控制痕迹、石化行业的内部控制痕迹、高校的内部控制痕迹、监狱的内部控制痕迹都是不同的,即使是同一个行业,内部控制痕迹也不一样。因此,内部控制痕迹建设应当具有针对性,体现行业和不同单位的个体差异,才能使内部控制痕迹具有针对性。
内部控制痕迹是“舞弊人员与反舞弊人员”“偷漏税企业与税务稽查人员”“刑事犯罪人员与刑事犯罪侦查人员”角逐力量的重要领域,“舞弊人员”“偷漏税企业”“刑事犯罪人员”致力于灭失内部控制痕迹、伪造内部控制痕迹,使审计人员、公安人员、税务稽查人员、纪检监察人员无从下手或没办法形成完整的证据链条;而“反舞弊人员”“税务稽查人员”“刑事犯罪侦查人员”则致力于恢复业务流程完整的内部控制痕迹链条、识别内部控制痕迹的真伪。因此,内部控制痕迹对公司或行政事业单位完善自身的内部控制设计和运行,对于注册会计师、政府审计机关、公安机关、税务机关、纪检监察机关发掘被审计单位、偷漏税企业、刑事涉案人员的完整的证据链条具备极其重大价值,应当大力提倡并加以优化完善。