内部审计师曝光案例

中国联通内部控制的“技与道”美国《萨班斯—奥克斯利法案》（SOX法案）的404条款规定：在美上市企业必须保证公司管理层建立和维护内部控制系统及相应控制程序充分有效的责任体系,同时提供管理层最近财务年度对内部控制体系及控制程序有效性的证明及内控机制评价的报告。如此苛刻和严厉的404条款几乎成了所有在美上市公司的一个“坎”，中国联通作为在美国、中国大陆和香港同时上市的公司也不例外。为此，自2005年年末开始，中国联通着手进行内控建设，财务报告的真实性及完整性更是重中之重。经过一年多的摸索、实践，中国联通结合公司特点和控制重点，逐步建立健全了内部控制体系，并于2007年顺利通过了外部审计师对中国联通的内控审计。 完善制度建设 推进内部控制有效实施 一、梳理业务流程，制定《中国联通内控制度规范》 在诸多繁杂的工作中，流程梳理无疑是第一步。联通公司将各项业务进行了认真研究和梳理，制定了《中国联通内控制度规范》，内容涵盖公司的经营管理、IT系统控制、投融资管理、财务监控、法律法规监督等，涉及资本性支出、收入、成本费用、资金及资产、财务及信息披露、其他共性等6个方面共351个业务流程，并用文字、流程图、风险控制文档等多种形式，将各业务和事项的风险类型、控制目标、关键控制点、控制措施、控制频率加以规定和说明，形成与经营管理制度有机结合的内部控制。《中国联通内控制度规范》使企业员工了解和掌握了内部机构设置及权责分配情况，同时也促进企业各层级员工明确职责分工，正确行使职权，并加强对权责履行的监督。 二、制定《中国联通基本会计制度》，提高会计核算的准确性 为了满足公司内、外部对会计信息的需求，实现各级次会计报表自动统一生成，保证会计核算的准确性,中国联通根据《企业会计准则》以及《企业会计准则—应用指南》制定了《中国联通基本会计制度》。制度明确了中国联通的会计科目及其使用说明，使用范围涉及境内外的联通集团及各分、子公司，并作为中国联通公司会计核算的强制性标准贯彻执行。 制度中对所有科目设置了专业辅助核算，对损益类项目及资产负债项目进行了专业核算的界定，设定了统一的会计科目编码、会计科目名称、会计科目明细级次、辅助核算项目等。对于有明确规定及能够涵盖的经济业务必须使用制度中的会计科目进行核算。制度还规定，核算单位个性化的核算项目可在各科目最后一级明细科目下增设下一级明细科目或增加辅助核算项目，也可增加与现有明细科目同级的明细科目（增加的同级明细科目金额合计不得超过本级科目核算总金额的3%）。核算单位增加明细科目时必须符合制度中增设会计科目说明中的规范，任何核算单位不得增加一级科目，没有核算内容的会计科目，可以停用但不能擅自删除。如由于会计准则、公司经营业务以及公司内、外部对会计信息需求的变化，需对规定的会计科目或会计科目使用说明进行调整时，由中国联通总部财务部统一修订并发布实施。 三、制定《中国联通财务与信息披露关键控制》，防范与控制财务报告风险 为规范和统一各分、子公司财务及信息披露的流程，满足公司内部管理、会计核算和对外信息披露的需求，防范与控制财务报告风险, 中国联通制定了《中国联通财务与信息披露关键控制》，详细列示了财务与信息披露环节必不可少的一些关键控制。对风险的控制频率分为随时、日、周、月度、季度、年度。风险的控制类型分为预防性及发现性。从凭证的录入、往来账的核对、共同费用的分摊、一次性调整和非正常会计事项的调整、业务的计算、财务关账的控制等环节进行关键控制，并采取相应的控制措施。 1、录入凭证的控制。主管会计作为具体流程执行人对录入系统的凭证进行复核，对具体会计凭证的各要素及附件的正确性负责，对红字冲销凭证确定具体流程执行人为主管会计、财务经理。 2、内部往来、关联公司的往来对账的控制。每月月末，省级及地市级公司的内部往来会计根据上级下发的电子对账文件进行核对，确保金额与科目的一致性，内部往来会计将审核无误的对账文件签字后提交计财部经理复核签字盖章。对账文件一式两份，一份签字盖章后发至总部，一份存档保留，完成月度末的对账业务。季度末与关联公司进行往来与交易的对账，核对无误后应由相关主管人员签名或盖章确认。 3、专业间费用分摊的控制。主管会计审核所有共同费用是否已按照专业核算办法在各专业间分摊，分摊依据及分摊金额是否计算正确如正确，在共同费用分摊计算表及共同费用分摊凭证上签字。 4、一次性调整和非正常调整的会计凭证的控制。检查本月所做的一次性调整和非正常调整的会计凭证的审批手续是否符合总部制定的凭证分类标准中的规定，并由财务经理在一次性调整和非正常调整的凭证上审核签字。 5、有价卡综合折扣率计算的控制。每月月末，会计根据有价卡预收账款面值余额和折扣余额计算综合折扣率，根据本期出账收入计算本期应摊销的有价卡折扣，并记录收入减少。主管会计对有价卡折扣摊销的计算进行复核，并对期末剩余折扣和剩余面值的合理性进行分析，审核无误后在折扣摊销凭证上签字确认。 6、营业税计算的控制。财务经理根据收入类会计科目账户信息及适用税率复核营业税计算表的金额和会计科目使用是否正确，是否符合会计准则要求，对复核无误的记账凭证在复核栏签字确认；对不正确的记账凭证要求税务会计进行修正。财务经理根据营业税计算表、适用税率表对营业税纳税申报表进行审核，并在经审核无误的纳税申报表上签字或盖章。对审核错误的报表要求税务会计重新计算并提交。 7、所得税计算的控制。地市级公司税务会计、核算会计依据所得税年度汇算数据检查清单进行审核，财务经理依据清单复核所得税计算表，确认无误后，在所得税计算表（纸质）签字，通知税务会计将检查清单及所得税计算表上报省分公司。省分公司税务会计、核算会计依据所得税年度汇算数据检查清单进行审核，财务经理依据清单复核所得税计算表，确认无误后，在所得税计算表（纸质）签字，通知税务会计将检查清单及所得税计算表上报总部。 8、财务关账的控制。根据总部制定的地市层次的财务报告披露检查清单中的资产负债表、损益表及总账关账部分，对关账前应检查事项逐一检查并由相关责任人在清单上签字确认。如月末结账后发现错误，需经财务经理授权后取消结账增加或修改凭证，从而保证已关闭会计期间的会计信息与财务报告一致。 9、财务报表及财务分析报告的控制。省分公司财务经理或经其授权的报表审核人全面审核汇总的会计报表，包括报表数据的正确性、合理性以及是否存在异常波动。如审核通过，则在汇总的会计报表上签字；否则，通知省分公司报表会计查明原因并进行更正。财务分析岗对最终报表进行分析性复核，根据总部下发的财务分析模板及指标体系分别与以前年度和月份的报表，月度及年度预算进行比较，对异常变动予以关注，形成财务分析报告，并将其作为公司经营分析报告的一部分。 10、财务报告中各项需披露的或有事项、承诺事项、日后事项的控制。省分公司财务经理根据总部下发的或有事项及承诺事项披露检查表，审查有关承诺事项披露的合理性，包括资本性承诺是否与总部批复的资本性支出预算相匹配，经营租赁承诺是否与租赁合同相一致，手机采购合同是否与采购计划相匹配，在资产负债表日至总部财务报告发布日发生的重要会计事项是否及时上报总部等。 四、制定《财务报告编制规范实施细则》，强化财务报表分析 1、按月报送财务分析报告。 月度财务分析报告以集团口径合并损益表项目分析为主。为规范月度财务分析，联通总部制定了月度财务分析报告模板，对损益表项目分别设置了重要性水平，对波动超过重要性水平的项目，按其程度自动提示为“需重点说明”、“必须说明”和“需要关注”的项目。各级分、子公司完成月报编制后，将月报损益表数据导入月度财务分析模板，对上述三类超过重要性水平的项目进行合理性分析，并说明变动原因。合理性分析从会计处理的完整性、准确性和生产经营对财务数据产生的影响等角度进行，目的在于防范由于会计处理的不正确、不及时而导致的财务报告错报和漏报风险。月度财务分析报告与当期的会计报表一同报送上级公司。 2、定期报送公司发生的重大财务事项，或非常规、复杂交易及特殊重大事项。 （1）重大财务事项包括：重大对外投资和资产处置情况；经营业务和营销政策发生重大变化对财务报告产生的影响；重大的会计政策和会计估计变更；重大会计差错；接受各项审计、检查和稽查出现的问题；发生自然灾害、意外事故、质量事故、责任事故等重大的自然或人为事故；因经济纠纷涉及的仲裁或诉讼；其他对经营成果产生重大影响的事项。 （2）非常规交易包括：固定资产盘盈；处置固定资产净收益；非货币性交易收益；出售无形资产收益；罚款违约赔偿收入；教育费附加返还。 （3）非常规支出包括：固定资产盘亏；固定资产报废损失；处置固定资产净损失；出售无形资产净损失；计提固定资产减值准备；计提无形资产减值准备；计提在建工程减值准备；债务重组损失；出售公有住房净损失；工商税务等行政罚款支出；罚款违约赔偿支出；公益救济性捐赠；非公益性捐赠支出；非常损失。 （4）非常规调整事项包括：会计核对调整；非按照计费中心报告出具的收入调整；赠送话费冲减收入；非按照系统调整的CDMA手机摊销（如CDMA一次性摊销调整及CDMA盈利性分析导致的减值调整）；特殊工资及奖金的预提；非按照总部要求调整的资本性事项；因固定资产的竣工决算以及相关折旧费用计提带来的调整；积分预提的重大调整及冲销；代理费预提的重大调整；其他重大非常规调整。 重大财务事项或非常规、复杂交易、特殊重大事项，如果金额超过呈报单位营业收入的万分之的，应上报总部财务部批准。 3、报表编制完成后，对报表数据的准确性、数据之间逻辑关系的合理性、报表的完整性等内容进行审查。 （1）利用财务软件、ERP和企业绩效管理系统软件的功能，设置了会计报表逻辑性、合理性校验公式。总部根据不同时期需审核的重点，不定期地修订会计报表校验公式。各级分、子公司对校验公式审核出现问题的报表项目，记录分析并查找原因，通过更正会计处理错误、查找和解释报表数据异常原因等方式，解决会计报表审核中出现的问题。在季度会计报表审核完成后，上报《会计报表审核说明书》。 （2）季度、中期和年度财务报告初稿完成后，组织相关财务人员对财务报告进行会审，并形成相应的会审记录。 （3）年度财务报告是公司一年经营活动成果的综合反映，涉及到公司生产经营的各个环节，各级公司应在年度财务报告初稿完成后，组织市场、信息化、人力资源、运行维护、网络建设等部门，对年度决算进行会审，并形成相应的会审记录。 （4）上报季度财务报表时，同时报送其他相关的说明材料，包括《会计报表审核说明书》、《业绩分析报告》、《试算平衡表》、《会计报表审核清单》、《中国/香港/美国准则差异核查表》、《重大会计政策/会计估计核查表》、《关联交易核查清单》、公司负责人签署的《声明函》、公司财务负责人签署的《声明函》等。 多方面入手 完善内部控制系统 一、强化职责分工，不相容职务相互分离 中国联通在确定职责分工过程中，充分考虑不相容职务相互分离的制衡要求，参照财政部颁发的《内部会计控制规范》制定了适合本企业的《不相容职务相互分离暂行规定》，涉及的内容有货币资金、营业与收款、成本费用、采购与付款、存货、固定资产、工程项目、筹资、对外投资、担保、信息系统业务处理等11个方面。不相容职务包括：授权、批准、业务经办、会计记录、财产保管、稽核检查等。根据《不相容职务相互分离暂行规定》，一人不得办理某项业务的全过程。办理各项业务应当配备合格的人员，并结合岗位特点和重要程度，明确财会等关键岗位员工轮岗的期限和有关要求，建立规范的岗位轮换制度。对关键岗位的员工，可以实行强制休假制度，并确保在最长不超过5年的时间内进行岗位轮换，防范并及时发现岗位职责履行过程中可能存在的重要风险，以强化职责分工控制的有效性。 二、建立反舞弊控制及监督机制，确保财务信息真实 反舞弊工作是公司内控建设的一项重要内容，也是确保财务信息真实准确的一项重要举措。中国联通制定了《反舞弊暂行规定》，建立反舞弊举报机制和控制程序。中国联通总部监察室为公司反舞弊举报受理中心，负责受理公司范围内舞弊行为的举报投诉和来访接待，并组织相关的舞弊调查。各省分公司同时要建立反舞弊机制，明确省公司的举报渠道和受理程序，并报总部监察室备案。 1、明确舞弊的定义和主要表现形式。 舞弊是指采用欺骗、欺诈等违法违规手段，损害公司利益，可能为个人带来不正当利益的行为。其主要表现形式有： （1）虚假财务报告，即导致财务报告不实的故意行为。主要包括：故意改变计费出账原则、修改计费数据，多计、少计收入；故意少计或多计成本，多计或少计存货、在建工程、固定资产等；虚构、隐瞒、删除交易或事项，编造虚假业务合同、虚开发票等；蓄意使用不当的会计政策及会计估计或利用关联方交易调节利润；伪造、变造会计凭证、会计账簿，隐匿或者故意销毁依法应当保存的会计凭证、会计账簿、财务报告；违反国家税法及相关法规的规定，故意偷逃税款；违反国家统一的会计制度和公司相关规定，严重影响公司会计报表公允表达的其他会计舞弊行为。 （2）收受贿赂、回扣，挪用、侵占资产等行为。主要包括：收受贿赂、回扣，贪污、挪用、侵占、盗窃公司资金资产等；以虚假交易，套取资金；私设“小金库”、设置“账外资产”；开办“三产企业”，侵占公司利益。 （3）违反规定或未正确履行职责，给公司造成重大经济损失，且故意隐瞒损失事实的行为。 2、明确反舞弊的职责。 （1）公司各级人员对防范、控制和监督舞弊行为负有责任。各级主要领导是反舞弊工作第一“责任人”，应严格履行职责，以建立有效的反舞弊责任体系。 （2）按照“统一领导、归口管理、分级负责”的原则，公司成立风险评估委员会，负责组织识别、评估风险（包括舞弊风险评估）及有效地监控公司的各种风险，以最大限度地降低风险。 3、实行责任追究制。 公司对发生舞弊事件的责任人员进行责任追究，包括领导责任和直接责任。领导责任是指负有相应领导职权的管理人员在其主管或分管工作范围内因失职、失察导致发生舞弊事件，造成会计信息失真、隐瞒损失等应承担的责任。直接责任是指公司管理人员及其相关人员在其职责范围内，因直接操作或参与相关决策，或授意、指使、强令、纵容、包庇他人等舞弊以及未履行、未正确履行职责等过失行为,造成会计信息失真、隐瞒损失等应承担的责任。对发生的舞弊行为，将依据国家有关法律法规及公司的处罚规定，对相关责任人进行处理，包括行政处分、免职、解聘、解除劳动合同等纪律处理，触犯法律的，将移送司法机关。 三、加强风险评估，预防财务报告失真 中国联通公司的风险主要有财务报告失真风险、资产安全受到威胁风险、营私舞弊风险、经营决策风险、违反法律法规风险等。为此公司制定了《中国联通风险评估管理办法》。办法规定了评估风险管理的工作内容、风险控制责任。 1、评估和防范的主要风险。 （1）经营效益和效率性风险。既由于投资决策或经营决策失误以及运营效率不高可能导致公司运营效益及效率低下的风险。 （2）财务报告失真风险。既由于各项经营管理不到位，可能造成经营数据不准确，导致会计核算的依据不真实；或未完全按会计准则、会计制度等规定进行会计核算和信息披露，反映的财务状况和经营成果不符合实际情况而造成财务报告失真的风险。 （3）法律法规遵循性风险。既公司经营管理活动没有全面执行国家法律、法规和政策规定；或国家法律法规及政策的改变可能对公司业务发展和经济利益产生较大影响的风险。 2、定期组织风险评估，落实风险控制责任。 （1）通过公司或部门办公例会的形式及组织专项调查和抽查有关合同、协议、控制流程等方式组织风险评估。围绕确定的公司发展目标，揭示风险和控制缺陷，并分析判断其对公司经营发展以及财务报告的影响程度。对存在的主要风险，明确风险控制目标，明确具体的风险控制措施，包括业务流程控制及有关管理制度规定等，将风险控制在可接受范围内。 （2）落实风险控制的责任，提出控制措施实施及整改的责任部门，将风险控制的责任和控制目标落实到具体的处室、工作岗位和人员。同时加大监督检查的力度，确保各项经营活动能够严格按照内控措施规范执行。 利用信息技术 辅助内部控制的有效实施 目前越来越多的业务运作依靠信息系统的支撑，特别是中国联通这样一家经营综合电信服务的运营商，其各项业务收入报告，各项资费套餐的计费及分析，代理佣金的计提、稽核和支付，有价卡、手机终端等资产的进销存管理，这些复杂的数据都必须依靠IT系统的支撑才能完成。因此，IT系统的控制在建立与保持有效的内部控制方面也发挥着重要的作用，事实上，信息化本身的目的之一，就是促使企业将好的管理做法固化为信息化中的规则与流程，并进而形成公司的管理习惯，以提升公司的管理水平。 中国联通依靠IT系统将公司经营活动过程中形成的有关收入、成本、资产负债等交易事项的记录进行了统一和规范, 明确了信息生成、传递、使用、维护等规则, 明确了收入、成本、资产负债的指标口径、核算内容和文档格式, 根据详细交易记录和业务核算结果进行汇总加工，保留业务核算详细记录，形成了收入类、成本类、资产负债类的经济业务核算信息表单，经济业务核算信息表单作为会计核算的原始凭证，确保了经营活动过程中产生的业务核算信息能够满足公司内部管理、会计核算和对外信息披露的需求。 由于中国联通采用了统一的会计核算方法，规范的会计核算行为，从而保证了会计基础信息表从账务系统中自动取数的便捷和准确，实现了各级次会计报表自动统一生成。同时压缩会计报表加工周期，使各级分、子公司在会计报表编制完成后有足够的时间进行财务分析。为提高财务部门对经济业务核算表单的处理效率和质量，公司统一组织开发了中国联通财务系统业务数据集成转换工具，经济信息文档通过该转换工具自动转换生成财务核算系统的记账凭证，从而避免手工录入凭证可能出现的错误，确保会计核算的准确性。对通过转换工具自动生成记账凭证的经济业务核算表单，纳入公司电子表格的管理范围，确保经济业务核算电子表单的数据真实、准确、完整，以及业务数据转换为财务数据的准确性。

人力资源审计引发大麻烦 2009年内部审计版面开篇情景案例由水落提供，本案例引发的讨论超过了以往各类案例， 网友投注了空前关注，并在个别观点上出现了针锋相对的争论。 【案例背景/BACKGOUND】 某公司审计总监李由现在一筹莫展，桌子上醒目的文件是人力资源总监送来的关于公司工资信息泄密情况通报，李由翻来覆去看了几遍，几次抓成一团，又几次摊开，眉宇一直未能展开。半月前，公司薪酬委员会兼审计委员会主席，提请审计部做一份审计调查，了解公司中层人员薪资政策及其调整情况，供薪酬委员会讨论公司薪酬政策参考，同时指示，对薪资调整流程实施专项审计。由于公司实行薪酬保密制度，审计部门从未做过薪酬福利方面的审计，原来人力资源审计仅限于人力资源招募、录用、晋升、考核和培训方面审计，且考核结果运用于薪酬发放都不列入审计范围，人员晋升流程中涉及晋升后薪资调整文件也不向审计部门提供。因此接到这个任务，李由立即想到了授权，审计通知书由董事长亲自签发，总经理也专门找了人力资源总监面谈。 李由派出了审计部最强的两员干将，并专门就此项审计单独签署了保密协议，明确要求对薪酬等敏感信息保密。审计见面会和结束沟通会议上，人力资源总监一直没有好脸色，尤其在结束沟通会议上对审计发现很是反感，将很多问题推说为出于保密要求。现在审计报告和调查报告初稿已出，在人力资源部征求意见多日，人力资源部没有按期回复，却整来一份泄密情况通报。通报指出：公司一直实行薪酬保密制度，对工资信息实行不公开、不询问、不讨论的三不政策多年，员工对于薪酬从未有过攀比等。疑：最近进行的审计泄露了薪酬机密。公司在这几天收到数份加薪申请，加薪申请人将自己的薪酬与多个自认为同岗、同档次应该同酬的员工进行了详细比较，所提数据相当准确，这可是从未有过的事情。人力资源部正在安抚加薪申请人，对其提供的其它员工薪酬信息不予承认，并要求其提供信息源，相关员工讳莫如深。通报还指出某加薪申请人入职时就是审计师王亮推荐的。 让李由更头痛的是，通报提到的那位审计师王亮向他提出了离职申请，原因也来自于这次审计。 王亮在审计中发现，公司薪资调整制度就是会哭的孩子有奶吃，审计部门的员工普遍低于公司其它部门，而且审计部每年加薪申请均被调减为按最低增资额调整，而其它部门还出现申请少，批得多的情况，而那些人往往是审计出问题被处罚的人，审计处罚后获得了更多的补偿。王亮心灰意冷，将此审计发现也写入了审计报告，却被李由在初稿中就删掉了。 李由深知王亮的为人，他从来不会透露审计中的任何信息，但这次审计对他的冲击会否让他失了方寸，况且他口头提出不满，并要离职。李由陷入了沉思，我们都来帮帮李由吧。 【专家视点/EXPERT VIEWS】 本案例的核心看点在于：企业高度机密事项如何组织审计；征求意见不获被审计单位有效回馈，反受干扰；审计师不当利用审计获得信息；一定程度上，公司政治也考验着审计部门。我们看到很多网友的讨论已经关注到这些核心问题，并提出了他们的建议。比如就审计机密事项就有如下比较系统的观点，甚至明确提出了操作技巧：审计前与被审计单位讨论保密信息的接触问题；提前开特别会议。对可能出现的问题要提前预计和拟定应对方案；将薪资审计竖向进行，使每个人尽可能少接触单个人的全部薪资信息；人力资源部门先将涉密数据调整，用不让审计人员看到具体部门和人员的名字用代号代替进行处理。由于审计总监已经删除报告中情绪化内容，对于其它审计发现和报告，审计总监应当有信心。审计总监可按原计划如期签署分发正式报告，尽管人力资源部门抛出了通报并迟迟不予回复，审计总监应不受此干扰，在审计报告中增加人力资源部门不予回复及出现泄密通报的事实，不作任何评述，但同时明确要求获得泄密事件的调查权。 王亮不当利用审计中获得的信息，要求离职，审计总监应先安抚，至少应当等泄密事件调查清楚。这里面其实也看出薪酬审计时内部审计师的独立性和客观性是存在瑕疵的，如果内部审计师可以获得本部门及其他部门人员薪酬信息的话。我们发现有网友提出了这样的担忧，并建议外包这种业务或者审计范围里要予以限制接触。 王亮作为审计部的得力干将，但在薪酬审计后心态失衡，甚至在审计报告中出现不当措辞审计总监删除掉了，这已经是他难以立足于该公司审计部，审计总监在泄密事件调查结束后，不管泄密是否与其有关，均可批准其离职。 不管调查结果如何，审计部门必须全面审视高度机密事项审计流程、人员安排、保密规定等方面存在问题并相应加强管理。 关于公司政治，内部审计不能不关心，也不能太关心，太过关心，将失去独立性和客观性；不关心，或许就是整个部门沦为炮灰。在这一点上，网友的热烈讨论足以让我们深刻认识这一点。 本案例引发的讨论还有很多亮点，如审计总监与内部人员沟通不足问题，内部审计部门利益维护问题，审计前沟通问题等等，李由都可能做得不到位，尽管这不是案例的核心，但我们相信阅读本案例的网友也可从其中得到有益的启示。