宋麗影/中國航空規(guī)劃設(shè)計(jì)研究總院有限公司

隨著以計(jì)算機(jī)技術(shù)和現(xiàn)代網(wǎng)絡(luò)技術(shù)為代表的信息革命向經(jīng)濟(jì)和社會(huì)生活的深度和廣度滲透，尤其是隨著近年來云計(jì)算、大數(shù)據(jù)、移動(dòng)互聯(lián)網(wǎng)等新興技術(shù)的快速發(fā)展，各個(gè)單位越來越重視信息化在企業(yè)管理工作中的推動(dòng)和應(yīng)用，以進(jìn)一步穩(wěn)固企業(yè)在瞬息萬變的市場經(jīng)濟(jì)中的競爭能力。在信息化提升企業(yè)內(nèi)部管理效能的同時(shí)，信息系統(tǒng)中的“內(nèi)控”設(shè)置與運(yùn)行的有效性也應(yīng)該引起審計(jì)人員的關(guān)注。

一、細(xì)小差異，發(fā)現(xiàn)審計(jì)疑點(diǎn)

近幾年，內(nèi)部審計(jì)工作堅(jiān)持以風(fēng)險(xiǎn)和問題為導(dǎo)向，以提高發(fā)展質(zhì)量和效益為中心，以“監(jiān)督促戰(zhàn)略規(guī)劃落地，審計(jì)推經(jīng)營管理提升”為目標(biāo)，以亟待解決的運(yùn)營風(fēng)險(xiǎn)和內(nèi)控缺陷為切入點(diǎn)，聚焦管理重點(diǎn)和運(yùn)營難點(diǎn)，確保將有限的審計(jì)資源配置到管理層最為關(guān)注的業(yè)務(wù)領(lǐng)域和高風(fēng)險(xiǎn)事項(xiàng)。2017 年度，公司研究決定將財(cái)務(wù)收支審計(jì)項(xiàng)目列入年度內(nèi)部審計(jì)工作計(jì)劃。

在此次財(cái)務(wù)收支審計(jì)項(xiàng)目中，鑒于費(fèi)用報(bào)銷信息化流程應(yīng)用時(shí)間較早、涉及人員較廣、影響程度較大，也是以前年度發(fā)現(xiàn)問題的“重災(zāi)區(qū)”。因此，審計(jì)組首先開展費(fèi)用報(bào)銷的合規(guī)性檢查，調(diào)閱了公司2017年上半年的財(cái)務(wù)憑證，按科目分工后便緊鑼密鼓地開始翻閱憑證。新加入審計(jì)組的成員小李非常興奮，抱了一大摞憑證放在自己面前，邊看邊嘟囔著：“這個(gè)部門報(bào)銷的費(fèi)用可真多呀！你看，前面的《費(fèi)用報(bào)銷單》打印還很清楚，后面緊跟著這張《費(fèi)用報(bào)銷單》都模糊了，這部門的打印機(jī)真夠忙的！”在一旁從事審計(jì)工作3年的小劉好奇地湊了過來，眼睛里流露出疑惑的神色，“哦？這兩張報(bào)銷的流水號(hào)是連著的，也是同一部門同一天提交報(bào)銷的，怎么看著不像同一臺(tái)設(shè)備打印的呢？”“是嗎？咱們的《費(fèi)用報(bào)銷單》是財(cái)務(wù)報(bào)銷系統(tǒng)自動(dòng)形成后打印的，一般一個(gè)單位只有一個(gè)打印出口，我看看?！睂徲?jì)組裴組長眨著眼睛、若有所思地放下手里的憑證，邁著一貫的四方步來到了小李身邊。裴組長端詳了一會(huì)兒這兩張《報(bào)銷申請(qǐng)單》，又前前后后翻看了這個(gè)部門報(bào)銷的財(cái)務(wù)憑證附件，眉頭一皺：“小劉，了解一下他們報(bào)銷流程的實(shí)際運(yùn)行情況?！毙⒖吹脚峤M長的神情，就已接收到了工作指令。

公司的報(bào)銷流程由經(jīng)辦部門相關(guān)人員在系統(tǒng)上發(fā)起——提出報(bào)銷申請(qǐng)——填寫報(bào)銷的有關(guān)要素（報(bào)銷事項(xiàng)、金額等）——提交部門領(lǐng)導(dǎo)審批——財(cái)務(wù)部門審核并辦理報(bào)銷，該項(xiàng)流程均為系統(tǒng)在線完成，涉及3個(gè)賬號(hào)節(jié)點(diǎn)，分別是報(bào)銷申請(qǐng)人、申請(qǐng)人所在部門領(lǐng)導(dǎo)、財(cái)務(wù)管理部辦理人。在該流程中，實(shí)際的控制人為申請(qǐng)人所在部門的領(lǐng)導(dǎo)，負(fù)責(zé)審查報(bào)銷的相關(guān)事項(xiàng)。經(jīng)梳理，審計(jì)組產(chǎn)生了疑問：如果部門領(lǐng)導(dǎo)出差或不在工位，是否將其賬戶交由其他人員管理，也就是說，有可能該流程中部門領(lǐng)導(dǎo)節(jié)點(diǎn)的審批不是由部門領(lǐng)導(dǎo)本人操作完成的情況。

帶著這樣的疑問，經(jīng)請(qǐng)示審計(jì)部門負(fù)責(zé)人，審計(jì)組將審計(jì)過程中可疑線索“個(gè)別領(lǐng)導(dǎo)人員賬號(hào)可能存在由他人主機(jī)登錄進(jìn)行相關(guān)經(jīng)濟(jì)事項(xiàng)的審批”，及時(shí)向主管審計(jì)工作的公司領(lǐng)導(dǎo)進(jìn)行了專題匯報(bào)，闡明了該事項(xiàng)的風(fēng)險(xiǎn)及產(chǎn)生的后果。公司主管領(lǐng)導(dǎo)當(dāng)即作出指示：查明情況原委，堵塞管理漏洞。審計(jì)組接到指令后立即部署，決定分成兩組同時(shí)行動(dòng)，一組與信息化管理部門負(fù)責(zé)人聯(lián)系協(xié)調(diào)，了解有關(guān)部門（單位）領(lǐng)導(dǎo)日常事務(wù)審批狀況，并發(fā)出“關(guān)于查詢有關(guān)信息的申請(qǐng)”，由信息化管理人員協(xié)助查閱相關(guān)事項(xiàng)，對(duì)使用領(lǐng)導(dǎo)賬號(hào)在非領(lǐng)導(dǎo)本人主機(jī)上登錄情況的信息進(jìn)行篩查，統(tǒng)計(jì)信息包括：登錄時(shí)間、設(shè)備號(hào)、IP 地址、設(shè)備責(zé)任人等；另一組與財(cái)務(wù)管理部門相關(guān)人員訪談費(fèi)用支出的具體流程，現(xiàn)場跟蹤具體操作過程，關(guān)注費(fèi)用支出程序的線上流轉(zhuǎn)與線下實(shí)物的銜接以及財(cái)務(wù)管理部門相關(guān)人員的審核等。

二、調(diào)研比對(duì)，突現(xiàn)問題脈絡(luò)

第一組審計(jì)人員收獲：

經(jīng)信息化管理人員在中心機(jī)房的后臺(tái)協(xié)助查詢，發(fā)現(xiàn)了存在部分領(lǐng)導(dǎo)人員賬號(hào)確實(shí)在非本人名下計(jì)算機(jī)登錄，并進(jìn)行審批相關(guān)經(jīng)濟(jì)事項(xiàng)的情況。經(jīng)對(duì)A、B兩個(gè)部門核查，統(tǒng)計(jì)審批情況如下：

1.A部門領(lǐng)導(dǎo)的賬號(hào)在近20個(gè)月內(nèi)登錄使用的設(shè)備橫跨4個(gè)部門、涉及14個(gè)IP地址，具體登錄情況如上表所示。

2.B部門領(lǐng)導(dǎo)的賬號(hào)在近20個(gè)月內(nèi)登錄使用的設(shè)備橫跨6個(gè)部門、涉及22個(gè)IP地址，具體登錄情況如下表所示。

上述部門領(lǐng)導(dǎo)賬戶在非本人機(jī)器上登錄進(jìn)行的審批事項(xiàng)主要包括合同評(píng)審流程、合同付款管理流程、借投標(biāo)保證金以及日常費(fèi)用報(bào)銷等相關(guān)經(jīng)濟(jì)事項(xiàng)。

第二組審計(jì)人員收獲：

審計(jì)人員向財(cái)務(wù)管理部門了解了費(fèi)用支出的操作流程，由報(bào)銷人員線上發(fā)起申請(qǐng)，在管理平臺(tái)中選擇《費(fèi)用報(bào)銷單》并填寫與之相關(guān)信息，其中申請(qǐng)報(bào)銷人員的個(gè)人信息（所屬部門、姓名、工號(hào)等）及日期由系統(tǒng)自動(dòng)提取形成，報(bào)銷事由、預(yù)算編碼、費(fèi)用類型及金額等由報(bào)銷人手工輸入，完成《費(fèi)用報(bào)銷單》填制后提交部門領(lǐng)導(dǎo)審批，待部門領(lǐng)導(dǎo)在線完成審批，打印簽署完整的《費(fèi)用報(bào)銷單》，附上與報(bào)銷事項(xiàng)相關(guān)的原始憑證一并送達(dá)財(cái)務(wù)管理部門。由財(cái)務(wù)管理部門相關(guān)人員進(jìn)行復(fù)核確認(rèn)，按報(bào)銷事項(xiàng)支付相應(yīng)金額。按照財(cái)務(wù)人員的介紹，審計(jì)人員決定隨機(jī)抽取一個(gè)費(fèi)用支出報(bào)銷事項(xiàng)以測試該流程的執(zhí)行過程。

在財(cái)務(wù)管理部門的報(bào)銷柜臺(tái)前，碰巧看到了財(cái)務(wù)人員正在審核A 部門人員提交的費(fèi)用報(bào)銷資料。在A部門人員提交的資料中，財(cái)務(wù)人員發(fā)現(xiàn)了打印的《費(fèi)用報(bào)銷單》中部門領(lǐng)導(dǎo)審批處為空白（說明A 部門領(lǐng)導(dǎo)尚未在線上完成該事項(xiàng)的審批），于是將資料退給了柜臺(tái)前等候的A部門人員。A部門人員面露焦急的神情，“我沒看清，以為領(lǐng)導(dǎo)已經(jīng)批完就打印了，還有好多事等著辦呢，我可沒時(shí)間再跑一趟”，他抬頭求助地看著財(cái)務(wù)人員，“要不我用您電腦重新打印一下？”，財(cái)務(wù)人員笑著看了看A部門人員，露出熟人間相互理解的神態(tài)，默默地從工位上站起來，A部門人員很自然地繞過柜臺(tái)，在財(cái)務(wù)人員的工位上坐下來。審計(jì)人員也正在疑惑他是如何打印帶有領(lǐng)導(dǎo)審批的表單，于是湊近來看，只見A部門人員在財(cái)務(wù)人員的電腦上輸入了一組賬號(hào)和密碼，屏幕顯示的用戶為A部門領(lǐng)導(dǎo)，他直接在費(fèi)用報(bào)銷平臺(tái)上完成了審批操作，然后關(guān)掉界面，重新輸入了另一組賬號(hào)和密碼，屏幕顯示用戶為A部門人員本人，他對(duì)完成審批的表單進(jìn)行了打印。整個(gè)操作過程僅僅用時(shí)兩分鐘，還沒等審計(jì)人員回過神來，一份帶有A 部門領(lǐng)導(dǎo)審批的《費(fèi)用報(bào)銷單》就出現(xiàn)在財(cái)務(wù)人員面前了，在對(duì)原有的《費(fèi)用報(bào)銷單》進(jìn)行替換后，通過了財(cái)務(wù)部門的審核。

三、警示提醒，揭示控制風(fēng)險(xiǎn)

兩組審計(jì)人員在完成各自調(diào)查任務(wù)后迅速會(huì)合，將了解到的情況向?qū)徲?jì)部門和公司主管領(lǐng)導(dǎo)進(jìn)行了專題匯報(bào)，兩組的調(diào)查情況相互印證了“個(gè)別領(lǐng)導(dǎo)人員賬號(hào)在他人主機(jī)登錄進(jìn)行相關(guān)經(jīng)濟(jì)事項(xiàng)的審批”的事實(shí)。公司主管領(lǐng)導(dǎo)高度重視，緊急約談了A、B 等部門的負(fù)責(zé)人。在約談過程中，這幾位部門負(fù)責(zé)人都表示確實(shí)存在讓他人代為行使審批權(quán)限的情況，大多是因?yàn)樽陨沓霾钤谕?，而?nèi)部相關(guān)事項(xiàng)審批急需完成，于是便將自己的賬戶名稱和密碼告知了相關(guān)人員，但當(dāng)看到擺在面前自身賬號(hào)的登錄明細(xì)表，各部門負(fù)責(zé)人都非常震驚，一是賬號(hào)登錄的IP地址所屬用戶遠(yuǎn)遠(yuǎn)超出了自身所告知的范圍，二是賬號(hào)登錄頻次遠(yuǎn)遠(yuǎn)大于自己預(yù)計(jì)的程度。

目前，公司所有經(jīng)濟(jì)業(yè)務(wù)審批事項(xiàng)均通過信息系統(tǒng)完成，系統(tǒng)安全性應(yīng)重點(diǎn)關(guān)注。上述事項(xiàng)違反了系統(tǒng)上線培訓(xùn)明確要求的“賬號(hào)所有人為自己賬號(hào)的第一責(zé)任人，要妥善保管自己的賬號(hào)密碼，并對(duì)自己的賬號(hào)審批權(quán)限負(fù)責(zé)”，存在重大內(nèi)部控制風(fēng)險(xiǎn)。同時(shí)，內(nèi)部計(jì)算機(jī)登錄時(shí)輸入的開機(jī)密碼、系統(tǒng)密碼未設(shè)置定期更換程序，也未建立待機(jī)操作超過一定時(shí)間須重新進(jìn)行身份鑒別機(jī)制，用戶賬號(hào)的安全性較低。

各部門負(fù)責(zé)人紛紛表示，今后一定加強(qiáng)自身賬號(hào)管理，盡快更換賬號(hào)密碼，并與賬號(hào)使用人員進(jìn)行提醒談話，嚴(yán)肅內(nèi)部管理紀(jì)律，同時(shí)希望公司信息化管理部門在信息化管理上給予支持，實(shí)時(shí)進(jìn)行在線監(jiān)控，設(shè)置賬號(hào)與IP地址綁定，出現(xiàn)非正常登錄時(shí)發(fā)出報(bào)警提示，并將相關(guān)信息及時(shí)反饋給賬號(hào)所有人，及時(shí)核實(shí)登錄授權(quán)的有效性，以杜絕上述事項(xiàng)的發(fā)生。

四、多措并舉，堵塞管理漏洞

公司主管審計(jì)工作領(lǐng)導(dǎo)就上述事項(xiàng)及時(shí)在公司生產(chǎn)例會(huì)上進(jìn)行了情況通報(bào)，并責(zé)成公司信息化管理部門對(duì)綜合管理系統(tǒng)的適應(yīng)性、有效性進(jìn)行評(píng)估，完善信息系統(tǒng)各類數(shù)據(jù)使用與管理；通過技術(shù)手段固化單位、部門負(fù)責(zé)人審批事項(xiàng)在綜合管理平臺(tái)上的操作；在尚未實(shí)現(xiàn)異地可采取移動(dòng)設(shè)備進(jìn)行審批的情況下，對(duì)系統(tǒng)上授權(quán)轉(zhuǎn)移等流程向各單位、部門領(lǐng)導(dǎo)進(jìn)行宣講，使制度規(guī)定的風(fēng)險(xiǎn)控制點(diǎn)真正發(fā)生效用，杜絕相關(guān)風(fēng)險(xiǎn)。

公司信息化管理部門立即部署實(shí)施，強(qiáng)化了公司信息化審批授權(quán)歸口管理部門職能，完善了信息化審批流程，細(xì)化了審批節(jié)點(diǎn)的要求，在審批授權(quán)、賬號(hào)綁定、外攜辦公等方面做了大量工作，在未影響工作效率的同時(shí)降低了信息系統(tǒng)運(yùn)行風(fēng)險(xiǎn)。

目前公司已經(jīng)采取了多種措施控制報(bào)銷審批：一是各級(jí)管理人員在綜合管理平臺(tái)中的審批權(quán)限，均能夠通過授權(quán)的形式轉(zhuǎn)移至公司其他人員，相關(guān)授權(quán)記錄、被授權(quán)人發(fā)生的審批記錄通過軟件供應(yīng)商幫助從后臺(tái)提取數(shù)據(jù)；二是通過開通外網(wǎng)VPN 形式，使審批人員的賬戶與外網(wǎng)筆記本電腦綁定，實(shí)現(xiàn)了移動(dòng)辦公審批；三是建立對(duì)關(guān)鍵崗位的控制機(jī)制，保護(hù)用戶賬號(hào)安全；四是定期對(duì)應(yīng)用系統(tǒng)的登錄訪問進(jìn)行審計(jì)、監(jiān)控及考核，防范用戶賬號(hào)盜用風(fēng)險(xiǎn)。

五、汲取經(jīng)驗(yàn)，服務(wù)企業(yè)管理

在審計(jì)工作規(guī)范化、程序化的同時(shí)，審計(jì)人員應(yīng)勤于思考、善于觀察，保持職業(yè)敏感性和刨根問底的韌性，發(fā)揮專業(yè)判斷力，捕捉蛛絲馬跡，不放過任何疑點(diǎn)。在本次審計(jì)中，審計(jì)組以發(fā)現(xiàn)的兩張《費(fèi)用報(bào)銷單》之間的微小差異為突破口，通過調(diào)研比對(duì)、深挖細(xì)查，最終發(fā)現(xiàn)了審批環(huán)節(jié)存在失控的風(fēng)險(xiǎn)，小小的管理漏洞可能帶來不可預(yù)估的損失。這個(gè)案例告誡我們應(yīng)重點(diǎn)關(guān)注內(nèi)部控制的有效性，提醒相關(guān)職能管理部門主動(dòng)作為，將管理流程策劃周全，在制度體系和操作執(zhí)行上杜絕產(chǎn)生“分枝”；更是提示內(nèi)部審計(jì)部門，在日常的內(nèi)部審計(jì)監(jiān)督工作中，如何采取有效的審計(jì)手段發(fā)現(xiàn)存在的問題，防微杜漸，保證公司內(nèi)部控制真正發(fā)揮效能，從而減少此類事件發(fā)生的可能性，更好地服務(wù)公司的運(yùn)營管理，為公司健康運(yùn)行保駕護(hù)航。