第3章XY公司内部控制现状分析
本章中所涉及的“现有”内部控制情况,是指笔者设计或参与设计以前的内控状况,而非本文撰写当前。
3.1 XY公司经营环境概况
XY公司是一家提供网游加速服务的互联网公司。互联网行业属于典型的轻资产行业,人才知识层次较高,从业人员整体年轻化;我国互联网行业起步晚,发展迅速,管理积淀较少;互联网企业市场竞争状况较为透明,寻租空间相对较小,政策监管相对滞后,有较多的发展机会;互联网带来的几何级数增长的商机,让传统行业资本向互联网行业聚集,资本、技术和管理能力的竞争越来越白热化。
如图3-1所示,截至2013年12月底,中国网民规模达到6.18亿。互联网普及率较上年底提升3.7个百分点,达到45.8%。
随着行业的发展和竞争的加剧,以及资本对互联网行业的青睐,互联网创始人往往在创业初期引进天使投资,致使企业股权相对分散,加上互联网行业的创业者往往较为年轻,缺乏管理经验,为后续的管理和经营带来了一定的困难。因此在保持互联网企业的创新优势的前提下,加强内部控制和管理能力成为互联网企业的必修课。因行业发展时间短,从业人员大多缺乏管理经验,因此,建立和实施适应互联网企业的内部控制制度和流程,提升企业管理能力,成为越来越多的互联网企业追求长效发展所必经的步骤。
3.2 XY公司基本情况
XY公司成立于2008年,是一家面向互联网用户,为各种互联网实时交互应用提供云加速服务的企业。公司目前主营业务是向网游玩家提供云加速服务,公司目前主要产品是“XY网游加速器”。"XY网游加速器”是基于公司独立研发的智能加速平台,运用互联网智能路由导航、云加速节点部署智慧算法等多项加速技术,能够有效解决玩家在网游中遇到的延时过高、登录困难、容易掉线等问题。XY加速器启用加速服务后的传输流程如图3-2所示:
随着云计算的飞速发展,我国互联网实时交互应用加速服务市场也快速成长。XY公司所处的网游加速市场从2005年开始出现,经过3年的市场萌芽期,2009-2011年进入市场发展期,市场增长迅速,根据艾瑞咨询的研究资料,2011年度网游加速市场规模约为2.02亿元,付费用户数约为3,000万人,而2011年度网游的市场规模为429.8亿元,网游用户数为3.24亿人,两者差异巨大,因此在庞大的网游市场及用户规模的基础上,随着市场对网游加速提升游戏体验概念的不断认可,网游加速服务市场得到了较快的发展。根据艾瑞咨询对2009—2011年我国网游加速服务市场总量的统计数据为基数计算,公司2009—2011年期间在我国网游加速服务市场的占有率依次为21%、29%、34%。目前在行业中,服务厂商众多,加速服务产品有30多款,与公司构成直接竞争关系的对手主要包括27代理、NETPAS、傲盾、Xrush、迅雷加速器等产品。
XY公司由于高度重视用户体验,灵活的产品策略和先发优势,迅速占领了市场,取得了较快的发展。
截止2013年底,公司员工总人数为160人,其中以技术人员为主,辅以财务、行政人员。平均年龄27岁。本科以上学历人员占比为60%,40%为专科及以下学历人员。
而在2012年,公司本科以上人员比例仅为50%,人数仅60余人,高学历人员的欠缺影响了公司成为高新技术企业,进而也使公司的税收和人才奖励政策受到影响。
3.3 XY公司内部控制总体情况
公司于2010、2011年分别引进了私募股权投资,图3-3为公司股权结构图,由图可见,公司股权相对分散,由于总裁和董事长股份差别不大,且董事长分管财务和行政人事,总裁分管业务,造成了公司在进行经营决策时业务和财务行政人事的脱节,影响了内部决策效率。
公司尚未建立法人治理内控制度,公司虽有公司章程作为治理结构的基础,但是并无实际意义上的治理结构,经营层和股东层以及监督层重叠。如图3-4,由于公司组织结构简单,董事长分管行政人事财务,总裁分管业务,且人员管理及分工有重合,管理粗放,缺乏部门之间的相互制约机制,在企业初创期如此的组织机构尚可保证企业正常运行,但随着企业的不断发展,光靠简单且无相互制约的组织架构已无法满足公司的发展需求。财务人事和业务管理的脱节也影响了公司的正常运营决策效率。公司没有独立的人力资源部,人力资源职能放在行政部内,且专业人员欠缺,公司人力资源工作仅仅停留在简单的招聘和薪酬核算基础上,人员流失率高,员工归属感差,吃大锅饭现象明显,缺乏考核机制。由此造成的企业文化感知力弱,组织凝聚力不强。
缺乏系统的风险评估制度和体系,在对外投资、关联交易、重大合同等方面均缺乏系统的控制制度,经营决策拍脑袋情况时有发生,知识产权保护意识差。没有内部审计部门或相应岗位,采购、资产管理、网络和营销资源管理等方面均缺乏有效监督和岗位制衡。
公司利用互联网工具,充分利用OA、QQ> EMAL、内部营运平台等方式进行沟通,但是在业务和财务、法务的沟通及时性上存在诸多问题;同时高级管理层在日常决策上与财务部门的沟通也较少,造成了经营决策与财务信息脱节等情况。总体而言,公司的内控尚未形成体系,虽然有一定的控制点,但是漏洞较多,在采购、资产管理、研究幵发、预算控制等诸多方面存在缺失和问题。
3.4 XY公司现有关键业务内部控制情况
根据COSO框架理论关于内部控制的五个方面对XY公司的现行内部控制情况进行总体分析评估,XY公司的整个内部控制体系都需要重新梳理和设计并详细阐述,但出于抓住企业所在行业特点和普及性参考方面的考虑,根据XY公司的业务特点,笔者选取了 XY公司比较能代表互联网行业特点且相对薄弱的几个业务方面进行更为细致的分析,指出其在内部控制上存在的不足和需要改进的地方,并以此作为内控改进的依据3.4.1采购管理现状及存在问题.
1、采购业务概述
公司由于总体规模较小,未成立专门的采购部,带宽等大额采购主要由总裁负责,普通行政物资和礼品采购由行政人员负责,IT用品由公司网管负责。活动奖品由活动发起部门采购。一些小额物资由需求人直接凭票购买后报销,缺乏釆购制度和资产管理制度的规范。由下表可看出,XY公司采购占比最大的项目为带宽采购,2013年占全公司采购总额的59.01%,其次为活动奖品和电子设备采购。公司釆购与出库人员未分离,未形成起码的监督机制。表3-1为XY公司历年采购数据情况。
2、岗位责任制和不相容职务分离
未形成采购问责制,物资采购较为随意。采购和领用未分离,未分离采购岗和资产管理岗,缺乏采购监督。未形成考核体系,采购人员无论浪费或节约均无相应的绩效考核机制。
3、关键控制环节和内控制度
公司缺乏釆购制度规范采购业务,仅有有限的流程和口头规章,约束力差。
1)采购预算:公司无采购预算,也无临时预算,因此釆购商品无价格控制,随意性较大,不易控制成本。
2)采购前置审批:公司采购前置审批与支付流程合并,因此常出现先采购使用后再付款的情形。财务审批被采购绑架,无法起到监督和控制的作用。
3)比质议价:日常采购价格审核依赖于财务人员和总裁对釆购价格的大致理解,缺乏系统的比质议价过程和书面资料,未建立供应商档案,容易造成采购价格虚高,提高公司运营成本。
4)支付审核:由于缺乏岗位分离和监督,支付审核控制力弱。
5)采购与验收:公司采购与验收人员未分离。
6)采购付款控制:公司采购请购流程与付款流程重合,一般情况下为收到发票和货物后付款。遇特殊情况则先行付款(如网络采购等)。但是公司无此类业务的具体规定。
7)采购时效性:因相关规范的缺失,常常出现紧急采购,紧急采购缺乏充分对比,缺乏财务部门的有效监督,造成采购失控。同时,由于OA系统无法满足移动办公的需求,在线审批时效慢,员工的正常采购申请常常因领导未审批而被拖延。
基于以上的漏洞和缺失,且无规范的采购和资产管理制度,公司的采购确实出现了一些问题。经笔者暗中了解,采购人员私人占用公司资产,高价购买并私拿回扣,严重影响了公司正常采购和资产管理业务的进行,增加了公司成本。规范采购和资产管理控制亟待解决。
3.4.2资产管理现状及存在问题
1、资产管理状况概述
由于公司采购量较大(本文中将带宽也视同资产),由表3-1可看出,公司的釆购人员和资产管理人员未分离,并且缺乏规范的盘点政策,账务资产和实物资产使用情况脱节,物资管理流于形式,公司资产存在被私人占用的情况。同时,由于验收不规范,笔者发现存在资产管理人员用发票报销,直接私吞礼品款项的情况。
2、岗位责任制和不相容职务分离
公司未设立独立的资产管理岗,采购岗位与资产管理岗位分离,财务部未承担起资产核查和盘点的工作,账面资产与实物资产无法对应,资产调配无相关手续,给资产的管理带来了一定的难度。
3、关键控制环节和内控制度
公司缺乏资产管理制度,流程不完善,在以下关键环节中,或多或少存在一些问题。
1)存货
公司无产品存货,低值易耗品存货按照简易原则直接一次性进入费用,缺乏对低值易耗品的入库、领用管理。
2)固定资产
a)会计处理:资产折旧未严格按照资产购买时间和会计政策进行折旧,主要原因为会计出纳人员以支付款项的时间为节点计算折旧时间,而不是按发票和实物到货时间进行折旧,违反了会计原则。
b)盘点:公司未形成资产定期盘点制度,实物资产与账面存在对应不上的情况,部分外地IT资产因盘点成本太高无法进行实地盘点。大量已账面折旧完的资产无人管理甚至丢失。
C)管理:资产未进行逐一编号,无固定的资产管理员,造成资产管理困难,资产磨损、使用情况及可能的更新情况公司均难以掌握。
d)验收与入库:新购资产未执行先入库后领用的流程,采购人员与出库人员职责重合,存在关键岗位未分离的问题。
e)请购:固定资产请购流程缺失,常常存在先买后报销的情况。
f)领用:无领用纸质记录,难以追朔资产使用情况。
g)转移:固定资产转移无流程和手续。存在一人占用多个资源的情况。
h)维修:固定资产维修较为规范,由资产使用人提出维修申请,专业维修人员进行必备材料采购并维修,财务人员考虑到重要性原则,简易处理——根据采购材料的费用报销单进行费用的一次性核销,而不再纳入固定资产原值核算。
i)报废与处置:缺乏流程和控制点。
j)改造:XY公司的固定资产改造主要涉及服务器、电脑设备升级或服务器改装办公电脑。财务人员在进行帐务处理时因公司画定资产管理不规范,无法将改造使用的配件按照会计准则进行固定资产核算,只能按照配件原值进行核算和折旧,但是造成了今后的管理困难。
3)无形资产
XY公司无形资产主要为软件着作权、商标权、专利及外购的无形资产。着作权、商标权、专利由法务人员负责管理其内容及到期时间。外购的无形资产由使用部门负责保管。无专门的盘点制度。公司己有无形资产也未全部在帐务上体现,原因在于釆购人员购买时有些是以需求部门员工报销形式出现,且未告知财务人员和其他部门其用途。
存在财务和业务的脱节。以至于跨部门使用无形资产时,因信息不对称,造成公司自身知识产权保护不到位。
综上,由于公司业务的不断发展,人员的不断增多,公司异地办公地点增加,已有的粗放式资产管理方式已对公司的继续发展壮大造成了一定的影响,因此,对公司资产管理的规范和水平提出了新的要求。
3.4.3市场业务管理现状及存在问题
1、市场业务概述
由于公司产品的互联网属性,公司没有单独的销售部门,销售职能隶属于市场部。市场部门负责产品的运营谈判、广告投放、厂家关系维护等。公司市场业务分为两块,一块是以市场部门为主体的厂商合作、广告投放等;一块是以技术部门为依托的官方网站运营团队。官方网站运营团队的市场活动依赖于官网活动和用户粘性开发,注重产品质量和用户体验,针对的目标客户群体为个人,市场部门针对的目标客户群则主要是厂商,合作方式为联合运营。图3-5为XY公司的收入和服务模式。
近两年,竞争对手通过向市场人员给予回扣、私下购买公司业务信息、盗取公司核心代码等情况时有发生,公司仅淘宝上低价倒卖公司产品一项,就给公司造成了每年至少200万元以上的潜在损失。因此提高市场人员收入、提高市场人员工作积极性、降低市场业务中的道德风险提上了公司管理改革的议程。
由表3-2可看出,市场部创造的收入占比逐年增大,市场投入逐年增加,截至2013年,市场部的市场投入占其创造收入的16.67%。由于市场投入逐年增大,且B2B业务在公司收入中占比越来越高,因此规范市场业务管理中不规范之处越来越必要。
2、岗位责任制和不相容职务分离
市场部门有较为明确的岗位分工,但是缺乏系统合理的岗位绩效考核,但是内部缺乏市场投入和销售结果的相互印证和考核牵制机制,分成定价无标准制度规范、较为随意,人为操纵的空间较大,厂商分成比例和广告投入金额的审核依赖于市场总监和总裁的个人感觉。
存在风险:因为缺少监督,易发生操作风险,市场投入缺乏效果印证,成本难以控制;销售人员易从松散的分成比例管理体系中取得回扣,影响公司业绩。
技术部门分为5个专业的业务小组,岗位有明确分工,有较为严格的月度绩效考核。
月度绩效考核以员工工作实际成果为基础,参考部门经理意见,由分管副总裁打分。
3、关键控制环节和内控制度
市场相关部门仅有《厂商分成规定》、《产品上线规定》等笼统的规章制度,缺乏执行细则。笔者认为在市场业务上,以下两个方面需要关注内控:
1)销售审批与定价:公司销售审批流程松散,官方促销活动无纸质留痕资料,但在公司内部技术系统能够查阅到,市场部门销售审批均有书面合同,相对较为正规,但与不同客户的分成比例公司对产品的基础价格的制定缺乏专业审核,相关价格的核准多为邮件沟通和电话口头确认,对于价格管理缺乏纸质方面的留痕记录,对于价格调整缺乏相关调研方面的资料。存在风险:价格管理松散,不便于分析产品毛利率变化的原因,不利于公司价格体系管理和利润管理,给财务结算造成了一定困难。
2)发货与收款:公司发货均为自动验证发货。即公司自行开发的收入系统收到第三方支付公司或合作厂商到款的接口信息后在半分钟内自动发货。公司收款分为两类,一类为个人用户,即先充值后使用,即使到账发货;一类是厂商客户,先通过厂商的接口信息确认厂商传来的用户的使用情况,并在收入系统中即时统计应收金额,待此月初财务人员对收入系统数据与厂商提供数据进行核对确认后,由合作厂商按双方确定后的金额进行付款。公司应收账款管理较为随意,一是由于公司在产业链里所处的弱势地位、缺乏谈判主动权;二是回款责任未落实到销售人员身上,仅靠财务人员催款收效甚微。
存在风险:公司收款靠财务人员催收,效率极低,而且因为未与销售人员回款率和绩效考核挂钩,以至于销售人员一味铺业务摊子而不顾回款质量,造成公司坏账增多。
2013年公司发生一起恶性事件,短短一天造成50余万元的恶性互联网黑客盗用事件,就是由于销售人员不关注回款,导致收款延误以至黑客盗取。
3.4.4研究开发内控现状及存在问题
1、研究开发概况
公司的研宄开发由需求部门提出需求后,根据要求由技术人员进行开发、测试、投入使用后反馈修改,并进行日常维护。公司研宄开发工作由总工程师负责管理,相关部门根据项目情况配合。公司研发团队相对较为稳定,但是研发团队人员整体学历层次不高,授权不足,底层员工积极性较差,研发项目管理较为随意,缺乏验收文档和关键节点留痕,相关业务部门提出需求后研发进程缓慢,节点不清晰。员工知识产权意识和风险意识较差。2010年,公司研发人员因缺乏知识产权意识,使用方正字体作图作为XY公司的LOGO标志,后遭方正集团诉讼XY公司侵权。后经私下调解,XY公司以高价购买了方正字体的知识产权,此事才得以平息。
1)研究开发的岗位责任制及不相容岗位分离
XY公司研发职能由技术部承担,技术部下设网站组、数据组、测试组、技术运营组、品牌维护组,承担的工作为公司产品旳研究开发、测试、维护和官方运营。技术部门由副总裁(总工程师)分管。有较为细致的考核体系,但是无具体的量化指标。
2)研发项目立项管理
XY公司研发项目立项均为口头及电子邮件传达,无书面规范文件,无会议纪要,且研发安排较为松散,只有大致的分工,靠部门经理口头约束,无明确的岗位分工和考核机制。无立项报告和项目进度、时间控制的相关制度。
3)研究开发的过程管理
XY公司项目的研究开发有较为清晰的流程,整个流程中公司总工程师起到全局管理的作用,部门经理和业务负责人自发起到骨干作用。但是由于分工不够明确、缺乏项目管理的系统工具,项目研发过程中多靠口头和即使通信工具沟通,缺乏制度和流程管理,缺乏纸质留痕材料,导致项目研发过程中常出现信息不对程和信息缺漏的情况。
图3-6为XY公司的项目研发流程图,一般由需求人发起项目研发,交由研发部进行研发,研发部门安排其内部的技术运营、数组釆集、网站组进行产品开发,交由测试部门测试,并由运维部、公司内部员工、客服部内测反馈。
4)核心人员管理制度
公司与员工均签署了保密协议,未专门针对核心员工签署特殊协议。公司总工程师(副总裁)持有公司一定比例的股份,但是其他员工均无股份,且薪酬福利在业内比较处于中低水平,核心程序员存在离职的情况。
5)研发成果验收制度
公司无成文的研发成果验收制度,且产品更新或升级未在数据库记录详细日志。公司技术人员对研发成果的知识产权保护意识不足,很多研发成果没有及时申请知识产权保护,可能会给公司造成灭顶之灾。另外,技术人员因对法律知识不清楚,法律人员又对技术不甚了解,容易造成技术人员的开发成果涉及侵权,给公司正常运营带来灾难。
3.4.5财务管理现状及存在问题
1、公司财务管理概况
公司财务由董事长分管,业务由总裁分管。因业务和财务分管领导不一致,造成财务和业务信息常常脱节。公司财务管理基本上能做到费用合理控制,但是因缺乏预算控制,长效发展难以有效维继。财务审批流程缺乏关键控制点和分级授权,缺乏重大投资等相关的制度和流程管理。公司存在大股东占用公司资金的情况,却无制度约束,给中小股东带来了风险。
2、关键控制环节和内控制度
公司现有《财务管理制度》、《现金管理制度》以及财务报销、支付、借款等相关的审批、签字流程。但是财务管理制度己是几年前的版本,且与现行的企业会计准则和拟上市公司的财务管理制度有非常大的差距,缺少会计核算制度、关联方管理制度和会计出纳的工作手册等。
1)财务人员结构
如图3-7所示,董事长分管财务部,银行U盾由银行出纳和董事长分别持有。资金支付终端被董事长控制,极不合理。由于历史原因,公司原本可由一个出纳人员完成的工作,现分为了银行出纳和现金出纳,造成了工作量并不饱满,员工吃大锅饭的心态。
2)资金管理
a)筹资业务的内部控制
公司因前期规模很小,且无资产抵押,没有发生过银行贷款。也未进行过筹资活动。股利发放由董事长总裁根据当年业绩情况商议后发放,无正规书面资料。缺乏内部控制点。而引进私募投资等均由几个大股东口头商议后,签署合同,与公司财务脱节,甚至账面上都未反应增资情况。
b)投资业务的内部控制
公司未进行过专业的投资业务,出现目标投资项目后,一般由总裁亲自考察并咨询圈内人士,无投资案例发生。闲置资金投资仅限于银行理财产品,无专门的制度规范,风险控制依赖于财务负责人和董事长对风险的理解。
C)担保业务的内部控制
公司未进行过担保,无相关制度和控制点。
d)资金营运控制
资金支付:XY公司资金支付较为谨慎,支付流程不论金额大小均需会计审核,财务经理、总裁和董事长审批,但是大额资金流向缺乏董事会审核;且缺乏授权和预算,各审核节点权责不明确,财务人员常常以总裁和董事长都会看的心态、事不关己地进行审核;小额报销支出因审批流程太长,员工抱怨也较多。
资金授权审批:公司无授权审批制度,无分级授权,造成审批环节中的人相互推脱,不承担责任。
银行账户管理:公司缺乏完善的资金管理制度和账户管理制度,资金管理依靠会计人员和董事长相互制约。存在以员工个人名义开具的银行卡进行收支。虽然出纳和会计能够查询个人卡收支情况并纳入公司内帐管理,但是设立个人卡的行为也违反了公司法,有可能会给中小股东造成损失。公司账户间的存款调用无审批流程,仅为出纳与董事长的口头约定。总经理缺乏对资金的直接管理,出纳受命于董事长,董事长基本控制了资金支付和账户。收款和支出账户没有分离,财务人员和总经理无法按照市场利息规律调动资金,资金调配存在极大风险。
现金管理:由出纳利用个人银行卡进行支付,但未形成现金盘点记录,且个人收支也存在于此卡上,无法提供银行流水进行对账,存在可能的操作风险隐患。
银行存款管理:上未编制余额调节表,未形成对账记录。
票据领用管理:XY公司有《票据领用管理规定》,且执行较好。空白票据均由专人保管,财务印鉴也由专人保管,使用过程中需要多人审批。保证了公司资金的安全性。
用章审批登记:公司用章基本无书面登记,靠印章保管人根据事项的审批结果进行盖章。有一定的随意性,不规范。
3)预算管理
无资金预算和相关控制,采购、费用报销、市场经费等的花费长期存在先试用后支付的情况,财务被业务绑架,起不到应有的监督效果,管理基本是靠自觉。
4)财务规范性
XY公司无系统的会计规范手册,会计核算未完全遵循企业会计准则。笔者发现了财务人员在实际操作中除以上各要点里涉及的财务处理问题外,还有以下问题:
a)坏账及费用计提:未按谨慎性原则对应收账款计提坏账,未每月计提所得税、公会经费及教育经费等。造成财务数据不准确。
b)审批程序执行:费用报销单、费用支付单存在关键节点审批人未签字的情况,且事后也未补签
C)收款与收入确认:公司收款按照公司自行研发的销售对账系统数据为依据,收款程序松散,除个人用户收款依靠第三方支付渠道到账即时发货外,对公业务收款基本靠合作客户自觉履行,应收账款管理和催款执行很差,第三方支付渠道(如支付宝)佘额提取不及时,造成公司回款时间较长,利息损失较大。公司收入确认原则采用按实收到客户充值款后确认收入,收入确认按照收付实现制,有违会计准则的权责发生制,收入将部分对用户的负债计入,存在高估情况,且有用户申请退款的风险。
d)资产核算:会计人员未按照企业会计准则严格进行帐务处理,固定资产记录非常粗略,实物盘点与账面无法一一对应;固定资产折旧以支付款项作为基点,而非货物验收且收到发票,不严谨。
e)财务报告:公司财务部会定期编制财务报表,但未形成财务报告,未定期与总裁沟通财务情况。财务与管理脱节,财务数据无法指导公司日常经营。
f)期末结账:期间费用核算存在跨期,造成财务数据波动较大,不利于财务数据的分析和经营指导。
由于以上问题的存在,公司曾出现过一些较为严重的财务问题:诸如关联方占用公司大额资金、出纳挪用备用金、账务处理严重错误、审批环节失效等。
3.4.6信息系统管理现状及存在问题
1、信息系统管理概况
由于XY公司是以信息技术为主业的高新技术企业,信息系统在企业日常运营中所起的作用举足轻重。因此信息系统管理更加凸显其重要性。
XY公司的信息系统主要分为自行研发与外购两类。自行研发的为XY公司营运系统,涵盖用户管理、产品及用户信息统计、产品管理、财务管理、推广管理、第三方合作管理、资产管理、运维数据管理、带宽数据监控计费管理等几大功能,每一模块下又附带各细分功能,基本能达到公司内部数据统计分析和信息传递的作用。外购的系统主要有:金蝶K3财务系统(用于财务部门账务处理)、客服系统(用于客服部门为用户提供咨询服务)、数据库系统、微软操作系统等、邮件系统。但是,由于公司的总部管理模式和市场人员分散模式,对移动办公,尤其是手机APP办公提出了需求,外购的泛微OA系统以无法满足公司的办公及时性和统计及管理需求。
公司现有的信息系统和管理方式基本能够支撑公司的正常营运,但是其凸显的问题,诸如授权缺失、密码管理不善、统计数据不精确、流程不规范等问题,都造成了公司一定程度的损失。例如,2013年公司由于自营系统中的收入系统缺乏专人实时跟踪,造成合作运营产品被大量盗取后无系统预警也无人员提醒,造成了高达一百万元的账面亏损.
2、信息系统开发控制
XY公司信息系统开发一般由公司领导提出需求,责成技术部门开发。由总工程师负责牵头,与研发流程一致。缺乏规范的立项进度和分工安排。
存在问题:《信息系统开发、变更管理制度》中没有对系统开发和变更的流程进行规定,没有审批和签发;部分项目没有经过公司负责人的同意,系统设计报告、测试报告,上线计划没有经过技术部门负责人的审批;部分自行研发系统项目缺少需求文档、立项审批报告、系统设计报告、测试报告、上线计划、用户操作手册等关键控制文档;部分项目没有实现开发环境、测试环境、生产环境的分离。
潜在风险:应用系统的需求文档、立项审批报告未进过管理层的审批,有可能导致项目的开发不满足管理层的需要;应用系统的幵发与变更如果不经过业务部门的测试,可能导致系统功能不符合用户需求,不能满足业务的需要;开发、测试和生产环境不能有效分离容易导致在生产环境中程序变更失败时,影响生产环境中数据的正确性。
3、信息系统运行与维护控制
XY公司在硬件设备更新修复方面,复均由技术运营部的网络管理员负责,由于缺乏监督和管理随意,公司存在临时性硬件故障影响主营业务的风险;在会计信息管理及营运数据管理方面,公司使用金蝶K3财务软件进行财务数据处理,公司设置网络权限,规定财务人员只能在公司内网且固定物理地址的电脑上进行账务处理和财务数据的査阅,财务数据的使用由公司授权的K3系统管理员进行权限分配,公司因与员工签署了保密协议,因而也从劳动合同上约束了财务人员对财务数据的保密义务,但是仍存在密码管理薄弱等问题。营运数据均能在公司自主研发的营运系统上查到,营运系统管理员为总工程师,按照公司工作职能进行了权限分配,并绑定了使用电脑的物理地址。同样,公司因与员工签署了保密协议,因而也从劳动合同上约束了业务人员对营运数据的保密义务。
XY公司信息系统在运行与维护过程中,笔者发现了以下存在的问题:
1)操作系统和数据库的审计策略和密码策略
金蝶KIS系统目前未开启审计策略、未幵启密码策略、未对密码复杂度进行限制、未对密码历史(使用重复次数)进行设置和系统长时间未操作不能自动登出等参数进行合理设置。系统审计策略未开启,系统将无法对数据操作进行适当的记录和管理;系统密码策略未开启,安全设置薄弱,将导致公司信息系统及数据发生未经授权访问的可仓巨。
2)用户账号(包括系统管理员)管理
尚未建立《用户账号管理制度》,用户账号的授权没有正式的申请表格,以头方式通知系统管理员在系统内创建用户账号;存在系统管理员多人使用同一账号的问题。
没有正式的用户账号申请文档,并进行有效的管理,容易导致未经授权的用户账号在系统内创建的风险,而且对于用户账号的创建难于追溯;多人共享应用层面的超级用户,可能导致系统出现问题时无法确定相关责任人;操作系统、数据库及应用系统层面特权账号没有合理分离,将削弱职责分离对流程风险的控制,增加未授权操作的风险;同时也可能损害信息系统中数据的完整性和真实性,从而给业务的正常运行带来影响。
3)权限管理
未建立《用户账号权限管理制度》和《用户账号权限申请表》;缺少权限审批记录,缺少权限定期审阅记录。应用系统在授权或者收回权限时,如果没有记录来进行严格的管理,可能会导致授权程序的混乱,进而导致越权行为的发生,对财务数据产生影响;业务部门负责人未对用户账号的登录和操作进行定期审阅,不能及时发现系统中非授权的访问和操作。
4)密码管理
尚未制定《用户账号密码管理制度》;公司营运系统没有进行密码复杂度设置;公司的个人用户没有进行密码复杂度设置。
潜在的风险:没有建立《用户账号密码管理制度》,用户安全意识淡薄,容易导致密码泄漏而对系统未经授权访问发生的可能,从而造成数据的泄密(最近爆发了一系列密码泄漏事件,对我们IT工作者敲响了警钟,一个小小的失误,可能带来一场灾难。);没有进行密码复杂度设置,用户容易使用易猜的密码,容易导致对系统未经授权访问发生的可能。
5)机房(数据中心)管理
尚未建立《机房管理规定》;财务系统的数据库服务器目前存放在财务室,没有存放到机房,没有UPS供电;系统管理员应该每日对系统的运行情况进行检查记录,填写《机房出入记录》及《数据中心日常巡检表》;机房UPS不间断电源没有定期保养维护记录。
潜在的业务风险:对机房不做日常检查,不能及时发现系统运行异常;对机房非授权的访问,有可能造成对系统的物理破坏,如设备丢失,进而对数据的完整性及有效性造成影响;未记录和存档机房设备检查记录,一旦设备出现问题,无法追溯设备的运行情况。
6)数据备份与恢复策略、应急演练
公司未进行过应急演练(包括演练计划、执行人、监督人、验收结果);信息中心没有离线备份和备份检查记录;没有做定期恢复性测试。
潜在的风险:应急演练计划如果未经公司相关领导的审批,应急演练可能会无法认真落实,如遇到地震、停电、火灾等灾难发生时,无法适当的按照恢复计划进行应急处理;数据备份策略设置不适当将导致在出现正式运行数据丢失的情况下,没有准确的备份数据可以替代使用,对企业的业务发展造成直接的、重大的影响;未对备份数据进行恢复测试,将无法确保备份数据完整性及可用性;未对备份数据恢复测试过程进行记录,数据恢复测试过程中出现的问题及解决方法无法追溯。
7)设备报废处理
公司尚未制定《电子设备管理制度》,对于设备报废处理流程没做规定。潜在风险:在报废设备工作时,如果对数据清除工作不够重视,清除工作不记录,记录不审查,将可能造成报废设备里的数据不清除,存在公司财务信息、商业机密和技术机密泄漏风险。
8)员工机器病毒软件安装、更新及检查记录
公司尚未制定有关防病毒防黒客攻击的《安全管理制度》;公司虽己要求所有PC机统一安装的360杀毒软件,但是公司没有检查员工的病毒软件安装、更新情况。
潜在的风险:PC机不安装杀毒软件或者病毒库没有及时更新,系统容易受到病毒的攻击,造成系统的拥痪或者数据的泄漏,甚至导致公司发布带有病毒的软件。
9)应用控制
官网:财付通、支付宝、易宝因对方时间不同步原因,造成每天充值金额和充值笔数与对方数据的不一致;出现充值笔数多,金额反而变少的情况。会造成漏记或多记收入,进而使财务数据不准确。
合作厂商充值系统:目前无法查询对方实际收款的明细账;易造成坏账金额过大且无法分析原因。用户实际充值金额与合作方实收金额不一致,进而导致公司收入的不准确(尤其是手机充值渠道)。
10)数据加密
部分系统数据未加密,容易导致文件遭更改或密码泄露,给公司造成损失。公司主营产品在淘宝存在廉价出售的破解版,说明公司的产品加密策略也不仅完善。