了解内部控制原理——控制活动

内部控制小案例
某局在日常征收管理中未严格按照相关规定要求企业申报缴纳税款，部分企业按照税务机关自制纳税申报表进行日常纳税申报，未按专用申报表金额入库税款形成欠税，这部分欠税在征管资料中以欠税清册表或欠税情况表等台帐形式反映，未按制度规定将欠税登录入中软系统和社会公告。
问：这是真实“有效”的欠税吗？
--文 改自审计案例
 
我们在前面已经了解了内控原理的控制环境和风险评估两个组成部分，从这期开始讨论内控机制中控制活动部分。本期主题是选择和发展控制活动——选择和发展控制活动，将风险降低到可以接受的程度。控制活动通过政策制度和程序应对风险，减轻风险对组织目标实现的负面影响。控制活动贯穿每个组织层级，组织活动。
控制活动与风险评估密不可分，通常情况下，组织会选择某种控制活动作为风险响应措施，以此将风险控制到可以接受的程度内。

一 信息处理过程
组织通过业务活动来实现目标，这是一个将输入变成输出的过程。在这个过程中，存在一系列的活动，风险伴随着这些活动出现，控制活动因为减轻了这些风险也可以被称为业务控制，由此可见控制活动贯穿整个组织的每个业务活动。
每个组织的业务活动可能差异很大，风险的具体形式也就差异很大了，找到通用方式分类组织这些风险有助于进行风险管理。从内控原理的角度，抓住业务活动的信息处理要求来分类是较科学的方法。信息处理要达到这样一些要求：
完整性——发生的业务应当被记录。
准确性——以适合的计量单位及时正确的记录下业务数据。
有效性——业务记录应当是反映了真实的业务活动。这就需要通过控制活动中制定的政策制度和系列程序来保证。
这三个信息处理的要求通常是会计信息处理的目标，可以推广到其它任何活动。运用这几个特征看税收征管中的情况，如完整性问题，欠税不进入征管系统就是典型的业务不完整情况。如果主观故意将部分税款以欠税形式处理，则这种欠税不是“有效”的欠税，是非真实的欠税，就产生了有效性问题。准确性问题也存在，有时候不信任纳税人的财务报表数据，不采纳其数据，但又无其它数据支撑纳税人的申报税款数据，这个申报准确性如何？在这个申报期应该是这个税款金额吗？调节税款进度是否就是在破坏税款的准确性？如果纳税人申报什么就采用什么，从风险响应策略角度，实质上就是采取了承受风险的策略。
在总局的下发的《内部控制指引》中，对于其中的风险点，我们可以试着用这种思路去分析和思考，把握住其中的主要问题，以利选择合适的控制方法。对于《内部控制指引》中没有谈到的风险事项，这也是一种很好的分析方法。

二 控制活动类型
有很多可供选择的控制活动类型，与很多组织常采用的控制方法类似，总局在《内部控制基本制度》中具体明确了八种制约方法。如下：
职责分工控制。优化内设机构设置，合理划分、科学配置内设机构职能，明确不同岗位之间的权限和职责，构建权责一致、边界清晰、协调配合、运转高效的职能体系，强化责任落实。
不相容岗位（职责）分离控制。对一人履职可能发生错误或舞弊风险，并可能自我掩盖的岗位（职责），采取相应岗位（职责）分离措施，明确细化责任，形成横向、纵向相互制约监督的工作机制。
授权审批控制。建立与税务工作相适应的内部授权管理体系，明确权限范围、审批程序和相关责任，确保各单位及关键岗位人员在授权范围内行使职权、办理业务。
流程控制。将内部控制嵌入工作流程，对各环节实行模块化管理，对流程进行持续的监督、评价和优化，使风险点在流程中得到控制和解决，形成顺向相互支撑、有效制衡，逆向真实反馈、有效监督的完整体系。
过程预警控制。根据工作规程和业务运转的内在逻辑，在重要节点预设监控指标进行检索、比对，对应办事项及时提醒，对错办事项及时干预、强制阻断。
集体决策控制。建立重大事项集体决策和重要事项会签制度，明确集体决策和会签事项范围，规范集体决策和会签程序，加强对重大事项和重要事项风险的事前控制。
公开运行控制。根据国家有关规定和本单位的实际情况，建立健全信息公开、公示制度，明确公开、公示的内容、范围、方式和程序，为外部监督和内部监督提供保障。
痕迹记录控制。利用有效手段保留完整的工作记录、台账、表单、票据和文书等，通过运行痕迹记录对工作事项处理进行过程控制，确保工作过程可查询、可追溯、可比较。
另外还有一些常用的控制方法，如：
财产保护控制。要求建立财产日常管理制度和定期清查制度，采取财产记录、实物保管、定期盘点、账实核对等措施，确保财产安全。应当严格限制未经授权的人员接触和处置财产。
预算控制。实施全面预算管理制度，明确各责任单位在预算管理中的职责权限，规范预算的编制、审定、下达和执行程序，强化预算约束。
绩效考评控制。要求建立和实施绩效考评制度，科学设置考核指标体系，对内部各责任单位和全体员工的业绩进行定期考核和客观评价。
控制的方法可以是预防性、发现性，或者两者的综合，根据控制运用的时点进行区分。预防性的控制是要在风险事件启动时刻即采用的控制，如上期谈到了“真票据假业务”行为，授权访问控制在业务开票活动发生的同时即发挥作用，就要发挥防止假业务行为的作用，这种企图根本无权进入到试验系统。发现性控制则是在活动开始但活动目标还没有达到之前采取的控制，比如“三公”经费的预算控制，在决算时点没有到之前，都可以通过比较执行数据与预算数据判断出“三公”经费的支出情况，再通过具体的业务活动将“三公”支出控制在预算数之内。
在总局《内部控制指引》中，对于控制方法也区分了预防性和发现性，如《税务人事管理风险内部控制指引》在 “干部监督”的“职数使用审核审批”风险事项上采取的就是预防性控制，设计通过职责分离、授权审批等具体控制方法，以人工控制的方式将“对不符合职数使用条件的申请”进行控制。这个预防性控制的特点还可以增强，如果空缺职数已经信息化，通过自动控制的方式，则不符合条件的申请根本就没有机会发起，体现预防性控制的威力。再比如两处以上工资薪金的申报问题，试想同一税款所属期的申报，第二次以上申报就已经构成了触发条件，数据库可以根据第一次的情况自动判断出，并自动采取预防性控制，这样可以降低人工控制的工作量，多发挥信息系统的作用。

三 控制的精度和效度
控制的精度实质上指工作目标对于风险的容忍度。我们经常碰到这个问题，比如征管风险点的处理中，对于金额较小的事项如何对待，受管理人员精力限制，将金额较小的事项放到较轻的位置。税务系统里，税政人员努力研究政策，做到政策上分清楚不少收不多收，一直算到小数点后两位。征管人员则致力于把政策上算出的税款变成现金流，风险控制精度的重要性可见一斑。政策上是每分必争，如果风险控制的精度放宽了，其实就意味着税政人员的工作成果没有被充分运用。控制的效度则涉及到前面谈到的控制应当实现的完整、准确和有效三个方面，可以综合运用多种控制方法，控制住重点问题。
控制活动可以通过技术方式实现，如计算机控制。设计良好的控制系统能减少人工控制的判断错误，稳定的发挥功能，也更为有效。总局下发的《全国税务系统应用软件内控功能内生化管理办法（试行）》就是旨在规范税务系统应用软件内控功能内生化工作，促进内部控制与业务管理的融合，实现内部控制信息化、自动化，提升税务系统内部控制与风险防控的效率和水平。

四 不同层级的控制
前面我们谈到的业务控制，主要指在操作层面的控制活动，包括总局《内部控制指引》中的很多控制也是属于业务控制类型，这些控制活动多由具体业务的操作人员实施。那么更高层级的管理人员，以及领导和决策层是否开展控制活动呢？答案是肯定的，领导也要开展控制活动，而且这种控制活动与后面要谈到的监督活动有关联。领导层的控制活动会基于更为宽广的数据分析面，与更宏观的指标进行比对，判断趋势与总体走向，判断出对组织目标的影响情况，因此更多属于发现性的控制，并指导业务控制一起形成宽严相济的控制网。
比如业务操作层面在征收每一笔税款的时候都按照相关规范在开展控制活动，看上去似乎单笔业务的风险都得到了控制，实际上呢？以驾培行业为例，在总体层面，有检查就发现某市驾校根据公开信息测算的收入与其实际申报收入差异率很大，对收入差异涉及的税负归宿问题提出疑问。进一步分析数据，可以看出技能培训行业中的很多驾校税负差异较大，有较多需要解释的地方，见下表。在一个总体范围内发现和对异常进行控制，这是高层次管理人员及领导要做的事情，但具体是什么原因，如何具体应对则又是业务控制的范围