小细节大发现 揭风险堵漏洞
2020-03-26宋丽影中国航空规划设计研究总院有限公司
宋丽影/中国航空规划设计研究总院有限公司
随着以计算机技术和现代网络技术为代表的信息革命向经济和社会生活的深度和广度渗透,尤其是随着近年来云计算、大数据、移动互联网等新兴技术的快速发展,各个单位越来越重视信息化在企业管理工作中的推动和应用,以进一步稳固企业在瞬息万变的市场经济中的竞争能力。在信息化提升企业内部管理效能的同时,信息系统中的“内控”设置与运行的有效性也应该引起审计人员的关注。
一、细小差异,发现审计疑点
近几年,内部审计工作坚持以风险和问题为导向,以提高发展质量和效益为中心,以“监督促战略规划落地,审计推经营管理提升”为目标,以亟待解决的运营风险和内控缺陷为切入点,聚焦管理重点和运营难点,确保将有限的审计资源配置到管理层最为关注的业务领域和高风险事项。2017 年度,公司研究决定将财务收支审计项目列入年度内部审计工作计划。
在此次财务收支审计项目中,鉴于费用报销信息化流程应用时间较早、涉及人员较广、影响程度较大,也是以前年度发现问题的“重灾区”。因此,审计组首先开展费用报销的合规性检查,调阅了公司2017年上半年的财务凭证,按科目分工后便紧锣密鼓地开始翻阅凭证。新加入审计组的成员小李非常兴奋,抱了一大摞凭证放在自己面前,边看边嘟囔着:“这个部门报销的费用可真多呀!你看,前面的《费用报销单》打印还很清楚,后面紧跟着这张《费用报销单》都模糊了,这部门的打印机真够忙的!”在一旁从事审计工作3年的小刘好奇地凑了过来,眼睛里流露出疑惑的神色,“哦?这两张报销的流水号是连着的,也是同一部门同一天提交报销的,怎么看着不像同一台设备打印的呢?”“是吗?咱们的《费用报销单》是财务报销系统自动形成后打印的,一般一个单位只有一个打印出口,我看看。”审计组裴组长眨着眼睛、若有所思地放下手里的凭证,迈着一贯的四方步来到了小李身边。裴组长端详了一会儿这两张《报销申请单》,又前前后后翻看了这个部门报销的财务凭证附件,眉头一皱:“小刘,了解一下他们报销流程的实际运行情况。”小刘看到裴组长的神情,就已接收到了工作指令。
公司的报销流程由经办部门相关人员在系统上发起——提出报销申请——填写报销的有关要素(报销事项、金额等)——提交部门领导审批——财务部门审核并办理报销,该项流程均为系统在线完成,涉及3个账号节点,分别是报销申请人、申请人所在部门领导、财务管理部办理人。在该流程中,实际的控制人为申请人所在部门的领导,负责审查报销的相关事项。经梳理,审计组产生了疑问:如果部门领导出差或不在工位,是否将其账户交由其他人员管理,也就是说,有可能该流程中部门领导节点的审批不是由部门领导本人操作完成的情况。
带着这样的疑问,经请示审计部门负责人,审计组将审计过程中可疑线索“个别领导人员账号可能存在由他人主机登录进行相关经济事项的审批”,及时向主管审计工作的公司领导进行了专题汇报,阐明了该事项的风险及产生的后果。公司主管领导当即作出指示:查明情况原委,堵塞管理漏洞。审计组接到指令后立即部署,决定分成两组同时行动,一组与信息化管理部门负责人联系协调,了解有关部门(单位)领导日常事务审批状况,并发出“关于查询有关信息的申请”,由信息化管理人员协助查阅相关事项,对使用领导账号在非领导本人主机上登录情况的信息进行筛查,统计信息包括:登录时间、设备号、IP 地址、设备责任人等;另一组与财务管理部门相关人员访谈费用支出的具体流程,现场跟踪具体操作过程,关注费用支出程序的线上流转与线下实物的衔接以及财务管理部门相关人员的审核等。
二、调研比对,突现问题脉络
第一组审计人员收获:
经信息化管理人员在中心机房的后台协助查询,发现了存在部分领导人员账号确实在非本人名下计算机登录,并进行审批相关经济事项的情况。经对A、B两个部门核查,统计审批情况如下:
1.A部门领导的账号在近20个月内登录使用的设备横跨4个部门、涉及14个IP地址,具体登录情况如上表所示。
2.B部门领导的账号在近20个月内登录使用的设备横跨6个部门、涉及22个IP地址,具体登录情况如下表所示。
上述部门领导账户在非本人机器上登录进行的审批事项主要包括合同评审流程、合同付款管理流程、借投标保证金以及日常费用报销等相关经济事项。
第二组审计人员收获:
审计人员向财务管理部门了解了费用支出的操作流程,由报销人员线上发起申请,在管理平台中选择《费用报销单》并填写与之相关信息,其中申请报销人员的个人信息(所属部门、姓名、工号等)及日期由系统自动提取形成,报销事由、预算编码、费用类型及金额等由报销人手工输入,完成《费用报销单》填制后提交部门领导审批,待部门领导在线完成审批,打印签署完整的《费用报销单》,附上与报销事项相关的原始凭证一并送达财务管理部门。由财务管理部门相关人员进行复核确认,按报销事项支付相应金额。按照财务人员的介绍,审计人员决定随机抽取一个费用支出报销事项以测试该流程的执行过程。
在财务管理部门的报销柜台前,碰巧看到了财务人员正在审核A 部门人员提交的费用报销资料。在A部门人员提交的资料中,财务人员发现了打印的《费用报销单》中部门领导审批处为空白(说明A 部门领导尚未在线上完成该事项的审批),于是将资料退给了柜台前等候的A部门人员。A部门人员面露焦急的神情,“我没看清,以为领导已经批完就打印了,还有好多事等着办呢,我可没时间再跑一趟”,他抬头求助地看着财务人员,“要不我用您电脑重新打印一下?”,财务人员笑着看了看A部门人员,露出熟人间相互理解的神态,默默地从工位上站起来,A部门人员很自然地绕过柜台,在财务人员的工位上坐下来。审计人员也正在疑惑他是如何打印带有领导审批的表单,于是凑近来看,只见A部门人员在财务人员的电脑上输入了一组账号和密码,屏幕显示的用户为A部门领导,他直接在费用报销平台上完成了审批操作,然后关掉界面,重新输入了另一组账号和密码,屏幕显示用户为A部门人员本人,他对完成审批的表单进行了打印。整个操作过程仅仅用时两分钟,还没等审计人员回过神来,一份带有A 部门领导审批的《费用报销单》就出现在财务人员面前了,在对原有的《费用报销单》进行替换后,通过了财务部门的审核。
三、警示提醒,揭示控制风险
两组审计人员在完成各自调查任务后迅速会合,将了解到的情况向审计部门和公司主管领导进行了专题汇报,两组的调查情况相互印证了“个别领导人员账号在他人主机登录进行相关经济事项的审批”的事实。公司主管领导高度重视,紧急约谈了A、B 等部门的负责人。在约谈过程中,这几位部门负责人都表示确实存在让他人代为行使审批权限的情况,大多是因为自身出差在外,而内部相关事项审批急需完成,于是便将自己的账户名称和密码告知了相关人员,但当看到摆在面前自身账号的登录明细表,各部门负责人都非常震惊,一是账号登录的IP地址所属用户远远超出了自身所告知的范围,二是账号登录频次远远大于自己预计的程度。
目前,公司所有经济业务审批事项均通过信息系统完成,系统安全性应重点关注。上述事项违反了系统上线培训明确要求的“账号所有人为自己账号的第一责任人,要妥善保管自己的账号密码,并对自己的账号审批权限负责”,存在重大内部控制风险。同时,内部计算机登录时输入的开机密码、系统密码未设置定期更换程序,也未建立待机操作超过一定时间须重新进行身份鉴别机制,用户账号的安全性较低。
各部门负责人纷纷表示,今后一定加强自身账号管理,尽快更换账号密码,并与账号使用人员进行提醒谈话,严肃内部管理纪律,同时希望公司信息化管理部门在信息化管理上给予支持,实时进行在线监控,设置账号与IP地址绑定,出现非正常登录时发出报警提示,并将相关信息及时反馈给账号所有人,及时核实登录授权的有效性,以杜绝上述事项的发生。
四、多措并举,堵塞管理漏洞
公司主管审计工作领导就上述事项及时在公司生产例会上进行了情况通报,并责成公司信息化管理部门对综合管理系统的适应性、有效性进行评估,完善信息系统各类数据使用与管理;通过技术手段固化单位、部门负责人审批事项在综合管理平台上的操作;在尚未实现异地可采取移动设备进行审批的情况下,对系统上授权转移等流程向各单位、部门领导进行宣讲,使制度规定的风险控制点真正发生效用,杜绝相关风险。
公司信息化管理部门立即部署实施,强化了公司信息化审批授权归口管理部门职能,完善了信息化审批流程,细化了审批节点的要求,在审批授权、账号绑定、外携办公等方面做了大量工作,在未影响工作效率的同时降低了信息系统运行风险。
目前公司已经采取了多种措施控制报销审批:一是各级管理人员在综合管理平台中的审批权限,均能够通过授权的形式转移至公司其他人员,相关授权记录、被授权人发生的审批记录通过软件供应商帮助从后台提取数据;二是通过开通外网VPN 形式,使审批人员的账户与外网笔记本电脑绑定,实现了移动办公审批;三是建立对关键岗位的控制机制,保护用户账号安全;四是定期对应用系统的登录访问进行审计、监控及考核,防范用户账号盗用风险。
五、汲取经验,服务企业管理
在审计工作规范化、程序化的同时,审计人员应勤于思考、善于观察,保持职业敏感性和刨根问底的韧性,发挥专业判断力,捕捉蛛丝马迹,不放过任何疑点。在本次审计中,审计组以发现的两张《费用报销单》之间的微小差异为突破口,通过调研比对、深挖细查,最终发现了审批环节存在失控的风险,小小的管理漏洞可能带来不可预估的损失。这个案例告诫我们应重点关注内部控制的有效性,提醒相关职能管理部门主动作为,将管理流程策划周全,在制度体系和操作执行上杜绝产生“分枝”;更是提示内部审计部门,在日常的内部审计监督工作中,如何采取有效的审计手段发现存在的问题,防微杜渐,保证公司内部控制真正发挥效能,从而减少此类事件发生的可能性,更好地服务公司的运营管理,为公司健康运行保驾护航。