系统控制是监督的第一道防线 美国企业为了检查、确认和防止某些白领或黑客的欺诈、误用、错误等行为,一般都要采用那些具有可以进行全面的、全天候的、可连续的监督特点的财务应用软件来建立健全内控机制。比如加特纳集团公司开发ERP应用软件,明确责任与分工,强化制度建设,把掌握付款权的会计与出纳分开办公。虽然这些控制工作已经细化到了令人难以置信的程度,其结果仍然不容乐观,由于系统的复杂性以及企业管理程序的多样性,在许多情况下,这些控制措施并不能恰当地淋漓尽致地发挥作用。 从会计电算化和网络化的发展历史看,主要威胁来自于那些掌握企业系统程序的核心技术的内部人员,如合同期将要结束并即将离任的员工,企业管理软件开发的二级三级转包商、企业计算机技术顾问等,这些了解和掌握企业商业秘密和核心技术的人比外人更加危险。许多计算机犯罪都涉及到内部人员滥用程序或巧妙避开控制技术和方法,窃取或转移系统内款项的方面。 内审人员经常提出和确认企业内部系统的缺陷和弱点。虽然他们有关加强系统控制的忠告在许多情况下不是被置之不理的,但往往是因为改进系统和维持那种控制措施的成本太大或是效果不显著而不了了之。因此,强化财务系统的控制和管理工作是提高内审工作效率的重要途径,也是有效制止企业资产流失的第一道防线。 有针对性的制度建设 美国企业内部人员利用企业的计算机系统缺陷进行犯罪的情况时有发生,计算机带来的新问题使这方面的立法就显得比较滞后,所以美国在2002年已经通过了《Sarbanes-Oxley法案》?垌,它要求企业重新设计其内控系统,从而使企业与财务软件系统的设计和管理人员形成新的极其严格的委托代理关系,并从组织形式上,能够使内审人员起到行之有效的审计作用和监督作用。《Sarbanes-Oxley法案》的302条明确要求股份公司必须披露所有的内部控制方面的缺陷,以及涉及到本公司雇员的欺诈行为。那些对于内控系统起破坏作用的潜在因素也一定要报告出来,及时揭露矛盾,发现问题,集中研究,统一解决,尽快开发和完善安全快捷的企业财务应用软件,同时,也要求各个单位必须制定行之有效的内控制度。 交易业务的全程监督 信息时代令人眼花缭乱的信息增加了欺诈的机会,也使得居心叵测的员工更加容易掩盖其丑行。所以,在网络财务的条件下,企业需要确保其交易活动的独立性和流动资产的安全性。实质上,企业需要一个自动的、全程控制的审计机制来审查内部人的行为,重点是涉及到支付系统的人和事,而这个审计机制最好是不干扰财务系统的正常运转,不增加管理费用,也不减缓企业的付款速度。 在信息时代和普遍采用计算机管理的现代企业中,交易业务监督可以通过多种途径来实施,企业在评估其需要监督的个人行为方面主要采取四个关键控制点:交易业务监督应具有操作独立性,必须使得系统使用者摸索不出系统的窍门;交易业务监督必须使操作人员不可能接触到复杂的财务系统的关键技术;使用计算机系统的特殊性就在于内审人员必须保持连续性的业务分析,这样通过前因后果的比较才容易发现问题;交易业务监督应该分析所有的交易因素。 为了杜绝和减少关键环节的人员联手舞弊(比如会计与出纳),以防止其相互交换和讨论信息,必须谨慎处理企业系统内的每一笔业务,不间断地对交易过程进行监督,仔细辨认欺诈、错误、笔误等事项,确认交易事项的内容,进行交叉提示外部数据来源。例如,一笔交易业务在付款前,收款人地址已经发生变化,通过在系统中的信息进行比较就能够发现问题,如供应商的数量变化、经办人情况变化等。这样不间断的交易业务监督就可以建立起内审的证据链条。 交易业务的全程监督对于本企业的每个白领、黑客都具有极大的威慑力。历史的经验反复告诉我们,一旦交易业务监督环节减弱,必然会产生欺诈、错误付款、错误使用财务系统的风险,从而导致资产损失。在企业制度的贯彻落实方面,交易业务的全程监督实际上可以减少企业外部审计的时间和成本。对于欺诈、误用、错误等的严厉处罚也有助于建立起一个诚实廉洁的公司文化。在交易业务的全程监督下,内审人员也可帮助管理部门建立起自动纠错机制。