內部控制的方法（3）：Documentation

把Transactions記錄下來是重要的內控方法之一，它能證實Transaction的發生，也能證實資產的確存在或曾存在過。例如存放現金的夾萬，即使它如何堅實，若沒有記錄說明夾萬內藏有多少現金的話，也不能保證內裡的現金是安全。

Documentation看似很簡單，所以很多時都被忽略，但其實要設計和採用它時，要顧及和考慮的東西有很多，當中包括：

1）獨立記錄

負責記錄的人不應同時負責執行和保管資產。例如負責保管現金的出納，若果同時也負責編製現金賬，因出納可以纂改記錄，現金被盜取也不能及時被發現。

2）記錄範圍和內容

在設計記錄時，必須預早決定記錄的範圍和內容。例如現金賬，除了記錄現金收入和支出的金額、日期和摘要外，還有甚麼東西是需要的？比如管理層想知道每個月各部門的現金支出若干，那麼我們可以為每宗支出加個部門編號，方便每月編製支出分析。若果沒有預先定好部門編號，入了現金賬後才去做，花費的時間肯定會多。

3）準確和及時性

一個良好的Documentation，必須具備足夠的內控去確保記錄準確。例如Accounting vouchers，在入賬前應經過覆核和審批。又例如Operational manual，需要定期審視和更新，以確保manual仍能有效。

及時性也是記錄重要的部分，不過，不同的記錄對及時性都有不同的要求。例如銀行對存戶戶口的存款和支出記錄就必須做到實時，而一般公司的賬目，就未必有這個需要了。有些公司可以於1-2天內入賬，有些1個星期內，甚至見過1個月甚至1季的也有。一般來說，及時性愈短，所需要的資源愈多，宜因應自身的需要來決定，否則只會浪費資源。

4）記錄的媒介

記錄的媒介各式各樣，現今企業普遍以文字來做記錄，而文字又可以再分手寫和電子。當今科技發達，電子記錄當然是最普遍的，而且也易於分享和讀取。不過，如果處理得不好，這些好處便會變成壞處。

在設計以何種媒介來做記錄時，應先認定要求。因為由一種轉成另一種是很麻煩和頭痛的事。

5）閱讀和修改權限

一套良好的記錄系統，應將內容為成不同的保密級別，方便控制閱讀和修改的權限。例如員工通告，只要是該企業的員工就能閱讀；又例員工的個人敏感資料如身份證號碼，出生日期等等，就應列為保密級別，只容許獲得授權的人才能查看。

另外，很多時記錄都需要修改和更新，為免錯誤使用了舊有的記錄，版本控制就很重要了。

以ISO用於Manual的版本控制方法為例，所有更新的過的Manual都要注明版本編號，而且Manual內也注明那些內容更新過。另外，所有舊的Manual都會注銷，以免用了舊版本也沒有察覺。

6）備份

不論是何種Documentation方法，備份都是很重要的。見過很多企業都不太重視備份，不幸發生意外而令記錄無法復原。備份方法有很多方法和級數，宜因應自身需要去制定。例如股票交易所，他們會對每宗股票交易做即時的備份，但一般企業的銷售記錄能做到每日備份就應該可以了。

7）保存時限

所有記錄都應設一個保存時限。過了時限的就應將記錄銷毀。例如香港，因稅例要求企業要保存財務記錄七年，所以香港的企業一般都以此為財務記錄的保存時限。

銷毀記錄的方法也要注意，從前就有大型企業因銷毀記錄不當而將機密資料外涉。

&&&&&&&&