南阳事网 > 南阳新闻 > 财经 > 正文

[专栏丨明公子]实施证据在内部控制体系建设中重要作用的实证分析时间:2017-11-15 21:21:14   来源:   作者:

提到“证据”一词,大家常常会想到公检法机关,因为法律和刑侦机构都是用证据来断案的。但是为何内部控制体系也需要关注“证据”?这两者之间有什么关系?这就要从源头说起了。早在2002年美国布什总统签发了《萨班斯法案》(即SOX法案),该法案的起草人之一就是当年众议院金


提到“证据”一词,大家常常会想到公检法机关,因为法律和刑侦机构都是用证据来断案的。但是为何内部控制体系也需要关注“证据”?这两者之间有什么关系?这就要从源头说起了。



早在2002年美国布什总统签发了《萨班斯法案》(即SOX法案),该法案的起草人之一就是当年众议院金融服务委员会(Committee on Financial Services)主席奥克斯利(Mike Oxley),其早年拥有美国联邦调查局特别探员的从业经历,因此奥克斯利认为白领从事经济、金融犯罪也应认定为刑事犯罪,“安然”和“世通”数十亿美金的财务造假事件更坚定了他的信心,因此他将刑侦办案中的“证据”引入到《萨班斯法案》中以强化公司治理和改革并保护投资者。


而《萨班斯法案》第 404 条款的「最终细则」明确表明 “COSO内部控制框架”可以作为评估企业内部控制的标准。COSO内部控制框架也是美国证券交易委员会唯一推荐使用的内部控制框架,以整合现有内部控制,满足法案的要求。


因此,“证据”就自然成为了COSO内部控制体系实施过程中的重要关注要素。


一、实施证据在内控实务中重视程度不够


自2002年至今,我国引入COSO内部控制框架的这十五年间,无论是从理论界来看,还是从诸多上市公司开展内部控制体系建设的过程和效果来看,关注内控体系的设计、实施、测试、评价等环节比关注实施证据高很多,一般对于“证据”都是一带而过,很少有人重点分析或讨论什么是实施证据、实施证据的作用、内控体系实施过程中对证据有什么要求等。


因此实施证据的关注程度并不高,然而其作为内控各类项目实施过程中信息和数据的重要载体,也是承载业务活动重要的痕迹。实施证据表现形式的随意性,导致信息的真实性、准确性、完整性、有效性均得不到保障,也无法体现内部控制的效果,造成日常的经营活动存在各种缺陷,从而成为内控失效的关键原因之一。


下面我们结合企业实务来分析因实施证据应用不当而造成内控失效的一系列原因及各种缺陷表现,并提出内控系统中对于实施证据的核心要求。


二、实施证据常见的表现形式


实施证据在实务中的表现形式多种多样,诸如Word电子文档、Excel电子表格、PPT文档演示、Access电子表格、PDF格式文件、邮件、内部通讯工具沟通记录、纸质文档、应用系统操作记录、微信聊天记录、语音音频记录、视频记录等等。


虽然种类很多,但符合内部控制标准和要求的,却少之又少。仅有如下几种可以作为参考:纸质文档、应用系统操作记录、邮件、软件聊天记录。


三、实施证据随意应用而造成的内控缺陷


由于实施证据在实务中形式的多样化,以及企业经营中人为主观的因素,即使在实际执行中遵从了内部控制的既定程序、规则、标准,实施证据的随意应用依然会导致各类内控缺陷层出不穷。诸如:


重大事项采取口头沟通和交流的方式;重要文件/决议缺失主要负责人(或参与者)的签字;组织结构的重大变更缺失调整方案及战略依据,只有调整结果的发文;固定资产盘点记录为Excel电子表格;管理制度提供的是WORD电子版本;销售货物时价格折扣或返利政策缺失依据;采购业务中虽有询比价单和最终结果,但缺失询比价的基本原则或标准;采购到货缺失验收及领用单据;缺失合同或其他单据存在涂改现象。


四、基于内部控制体系的实施证据的五个核心要求


笔者结合自身从事内控工作十多年的经验,总结、提炼了基于内部控制体系的实施证据的五个核心要求或判断标准:

①所有管理活动必须留下实施证据;

②证据必须是有效的;

③必须形成证据链条;

④证据之间必须具有一定的逻辑关系;

⑤证据中的信息必须符合内控系统的控制方式。


以上五个核心要求严格程度依次递增,其中某项要求一旦缺失,其破坏力也是依次递增,而且每项要求都是后一项要求的前提条件,并且五个核心要求缺一不可,必须同时满足才能达到内部控制的目的和效果。


下面我们来逐一解读并实证分析实施证据的每个核心要求。


五、实施证据的实证分析



1、所有管理活动必须留下实施证据


解读:这一点在国内外的相关法规中均有规定。不仅仅在美国的COSO框架中有所涉及,中国的《企业内部控制基本规范》中也有提到——“第四十七条 企业应当以书面或者其他适当的形式,妥善保存内部控制建立与实施过程中的相关记录或者资料,确保内部控制建立与实施过程的可验证性。” 就连今年6月份刚颁布的《小企业内部控制规范(试行)》中也有规范——“第二十一条 单据控制要求小企业明确各种业务和事项所涉及的表单和票据,并按照规定填制、审核、归档和保管各类单据。”


实证分析:该要求是指企业所有管理活动不能以口头的方式进行;这里的所有管理活动,并非指员工工作的每个动作和每个步骤,而是指以流程为对象的每个环节或节点;这里的“实施证据”是指书面的纸质文档或是应用系统操作记录;虽然刑侦中的证据的表现形式还包含语音、视频等,但是在企业经营活动中,很少以这种形式体现,而且外部监管机构目前也并未接纳。如此以来,所有管理活动的全过程痕迹便可有迹可循,有据可查。



然而企业实务中,大家都喜欢所谓快捷、高效的处理事情和解决问题,表现形式就是电话沟通或是当面口头交流,或是开会讨论但不留会议纪要,导致资产验收缺失单据,交易事项缺失协议/合同。口头交流是最不靠谱的方式,尤其是在国内,这边说了那边就忘了,更有甚者,转身即矢口否认之前说的。你除了对其人品提出质疑外,管理实务中别无他法,尤其是对于一些关键内容或事项,给取证增加了不小的难度,合规性也减弱了不少。


2、证据必须是有效的


解读:上面提到“实施证据”除了书面的纸质文档或是应用系统操作记录,可信度最高;其次是内部邮件;可信度最弱的是内部沟通工具或微信聊天记录。因为以上方式的变造、篡改、盗用、虚假信息和记录的难易程度是依次递减的,所以可信度也是递减的。


关于“有效”,是指对于纸质文档,需要加盖公司各类印章,或是公司各级领导的亲笔签字才可以,如果签字是以WORD电子版本形式存在,则不能认为是有效的。对于应用系统操作记录,必须是各级人员在授予的既定权限内的操作结果记录,并且该结果是不可编辑的状态。


实证分析:在企业实务中,往往会看到一些表单、单据、文档就是通过电脑打印出来的未经任何领导签字的EXCEL表格或WORD文档, 这种文档用于日常的内部沟通还可以,但如果是内部控制的有效性测试及评估,会认定为无效单据。哪怕是应用系统操作记录,若处于可编辑或修改状态,仍认为是无效的。


比如对方提供的某项管理活动的制度文件,缺乏各种有效性审批及发文程序,明显是临时编辑整理形成的或是未正式发布的一个稿件。又比如对方提供的固定资产盘点表就是一个EXCEL表格,这种表格随时随地都可以制作一个,有效性偏弱。


3、必须形成证据链条


解读:证据不是孤立存在的。内部控制是“以流程为对象”,而流程是贯穿于业务活动的始末,那么相应的,证据在流程运行的过程中必然会形成证据链条。一项业务活动是否真实、有效,信息和数据是否准确,依据是否完备,单一的证据通过变造、篡改、插入虚假页的成本很低,也很容易操作,但是流程中所有环节的诸多证据链条要想都弄虚作假,难度可是相当高的。



实证分析:企业实务中我们常常会看到一些业务活动的单据都是片段的、零散的、顾头不顾尾的。要么采购活动中缺失采购申请,要么缺失询比价单,要么缺失物资验收单;资产调拨提出申请,转移过程缺失;产品销售出库后缺失对方签收信息,谁收了,收了多少,产品去向不明。


4、证据之间必须具有一定的逻辑关系


解读:虽然前面对实施证据提出了3个要求,可是依然满足不了内部控制的效果。在端到端的流程运行过程的证据链条中,各项表单、单据、文档或许是完整的,但其中记载的信息和数据在勾稽关系上、逻辑关系上仍会存在瑕疵。我们常说的物流、票据流、信息流、资金流的一致性就是对此最好的阐释。这也进一步说明了证据链条即使完整,内控的有效性依然存疑。


实证分析:以大家常见的出差过程中的费用报销为例。出差审批单、报销审批单、原始发票(车票、住宿发票、餐票)都是完整的,可发现张三出差A地,却含有B地餐票和C地住宿发票;或是出差审批单为5天,住宿也是5天的;或是出差去A地,但车票显示返回时出发地点为B地。


再以采购中供应商选择为例。虽然采购申请、采购订单、询比价单、送货单、运费单、验收单、出库单、发票等均完备,但仔细查验会发现,询比价单中的结果直接选择为价格最低的供应商,价格最低质量未必好,缺失询比价的原则和判断标准;或每次采购活动中,参与询比价的均为固定的那3家供应商,而且每次都是A供应商中标。


还有采购付款环节,虽然货到并验收入库了,也按期付款,但支付路径存疑。如与A公司合作,但付款的银行回单显示为B公司;或是A公司发生的采购业务,但付款主体为B公司。


5、证据中的信息必须符合内控系统的控制方式


解读:内控系统中的控制方式涉及多个维度,而且国际国内内控框架中也均有涉及,如美国COSO框架提到岗位互斥、授权与批准、校验、核对/对账、盘点、资产保护控制等;而中国《企业内部控制基本规范》中第二十八条规定控制措施一般包括:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。


以上方式均被认为是内部控制中控制环境的根基和土壤,只有上述方式设计并执行有效,植入公司经营活动的内控体系才会得以有效运行。


之前对“证据”已经提出了4项要求,看似一个比一个严苛,一个比一个约束力强,但如果忽视了本条提出的控制方式,内控的大厦依然会坍塌。因此对于此项要求,应该受到高度关注且重视。


实证分析:在企业中,各级领导审批自己的费用,有的领导变通为让自己的助理或秘书提交报销单,自己审批后交由财务支付,其实际单据都显示审批人和领款人为同一人,这两种现象都是换汤不换药,本质不变。又比如,有的领导授权后,造成了费用的发生、申请提交、审核审批、账务处理、支付等所有环节在一个部门完成流转,你会发现该部门所有费用开支都是部门几个人变换各种角色轮流坐庄。以上现象说明在互斥岗位未分离的情况下,任凭公司费用报销标准、程序、要求多么严格,证据资料多么的完备、齐全、有效,这样的漏洞同样会让公司的资金潜移默化的悄悄流逝。


六、小结


实施证据,在内部控制体系建设过程中具有举足轻重的作用,也是内控测试与评价的重要依据。因此,要熟知本文中总结的关于实施证据的五大核心要求,并在实务中需要结合业务实际进行灵活应用,才可以发挥一定效用。然而,实施证据并非绝对的可靠,因为其仅是内控有效性的必要条件。



本文仅为笔者多年内控工作经验的一个小结,只希望对内控从业人员在内控建设过程中有些许启示和帮助。


作者介绍

作者:郗晓明

邮箱:xixiaomingde@163.com(如需转载,请联系作者)

本文作者郗晓明,国际注册内控师,现就职汉能薄膜发电集团全球总部,曾任职天职国际会计师事务所有限公司、和君咨询集团,曾参与财政部《企业内部控制基本规范》的研讨,具有N股/H股/A股上市公司数十年内控经验。



作者:郗晓明

授权转载自公众号:节点金融

尊重原创!未经原作者授权,请勿擅自转载

文章来源网络,除我们确实无法确认作者外,我们都会注明作者和来源。如果您认为我们有问题,请告知我们,我们会立即修改或删除。谢谢!

相关阅读
今日推荐

精彩推荐

更多