摘要:信息系统在企业的使用大大提升了工作效率,但同时也给企业的内部控制提出了新的挑战,如自助报销系统,存在账户秘钥管理的内控风险,而传统的审计方法对此类风险束手无策,本案例通过信息系统审计方法揭示了风险。
关键词:案例背景;审计过程;审计发现;发现与处理
一、案例背景
XX公司一直使用自助报销系统来对公司员工的差旅费等发生费用进行管理。但是在自助报销系统的使用过程中,可能存在一些账号秘钥管理的内控风险,例如多个账号在同一台电脑上短时间内登陆快速通过审批,造成不相容岗位未实质分离的风险。而最可能发生这类风险的环节是在业务部门经办和业务部门领导之间,特别是业务部门经办为实际收款人的业务。若业务部门经办和部门领导的账号由同一个人进行操作,将很容易发生舞弊。而传统的审计方法对这样的风险束手无策,本案例通过信息系统审计的方法来揭示这一风险,取得了不错的效果。
二、审计过程
在XX公司开展的非现场审计中,财务管控系统、自助报销系统的并不具备批量导出业务经办人、审批人的IP信息和通过时间等信息的功能。审计组通过数据爬取技术,获取了业务系统2013至2017年XX公司资金流水和操作管理日志。
对资金流水分类进行分析,对未进行补款、退款,金额在10000元以上(以10000元为阈值),简化数据字段列表,去除无关字段,从而得到了对私转账表。
通过对比XX公司提供的部门二级核算员清单台账,对资金分析表中对私转账金额较大(大于10000)的二级核算员进行筛选。
从自助报销系统操作日志入手,通过与财务管控系统的资金流水数据进行比对,对照被审计单位的二级核算员名册,通过数据过滤分析,定位了同时具备以下三个特征的业务数据:①业务收款人和业务发起的二级核算员为同一人;②业务发起的IP地址和业务审批的IP地址相同;③同一业务发起的账号退出系统时间和业务审批的账号登录系统时间间隔很短,存在异常(样本量设定为5分钟)。
将得到的业务数据,同自助报销系统中的发起/审批业务时间信息进行匹配。经过核查,有24例在业务在发起后5分钟内通过审批的情况,其中审批间隔时间最短的是11秒,存在明显异常。存在同一部电脑登陆使用多个系统账号通过审批流程的现象。
期刊文章分类查询,尽在期刊图书馆
对疑点业务的审批人当天的行程进行跟踪核查。通过对比绩效管理系统查看审批人的考勤情况、车辆调度管理系统查看审批人是否有派出外出以及会议签到记录等方法,来印证审批账号管理人不在审批现场。
统计系统中2016-2017年满足以下条件的业务凭证:①由该业务经办人发起,并由该审批人完成审批的业务;②业务收款人和业务发起的经办为同一人;③业务发起的IP地址和业务审批的IP地址相同;④在业务审批操作完成时,业务审批人处于外出申请期间。统计结果共有31例,说明该部门报销业务长期经由经办人操作两个账号进行审批。
三、审计发现
经核实,证实被审计单位的业务系统账号管理存在漏洞,存在二级核算员一条龙办理虚假报销业务的风险,揭示了该单位内控存在严重的薄弱环节和资金管理的重大风险。
四、问题处理
审计组针对该公司信息系统账号管理的问题提出了整改建议:1.定期对业务系统的管理权限进行梳理,严禁同一个账号具备不相容岗位的系统权限,以及业务系统账号由非本人使用;2.加强业务系统账号秘钥授权管理,授权期结束后应及时更换秘钥。
五、思考
对于被审计单位可能存在审批岗人员不负责任将账号交给二级核算员、或者二级核算员盗用审批人账号的情况,一旦同一个人掌握了不同岗位的操作权限账号的秘钥,就很容易发生舞弊,给组织带来不可预测的损失,但这种操作手法具有一定的隐蔽性,常规的审计手段很难发现。
六、结语
本案例表面上看只是财务收支案例,但其实审计手法是从业务系统操作日志中的IP地址入手,通过查证不相容岗位未实质分离来发现内控缺失,更是信息系统审计(IT审计)的典型做法。笔者希望后续通过固化本案例的审计方法模型,将整体的审计思路移植到更多的信息系统中去。
参考文献:
[1]《浅谈信息化环境下如何加强企业内部控制》
作者简介:
姓名:吕雅曲,身份证号码:35058319741003XXXX.
姓名:梁昕,身份证号码:35050219820809XXXX.
论文作者:吕雅曲,梁昕
论文发表刊物:《基层建设》2018年第32期
论文发表时间:2018/12/19
标签:业务论文; 账号论文; 系统论文; 信息系统论文; 风险论文; 操作论文; 案例论文; 《基层建设》2018年第32期论文;