所在位置:首页 > 文库 > 案例交流
企业内控管理存漏洞 员工铤而走险谋私利
2023年08月10日

案例背景

       甲公司是B 集团下属子公司,拥有正式员工一千余人,设有人力资源部负责员工薪酬核算、记账、发放工作,并由该部门负责在人力资源系统、财务系统进行相关操作。由于系统及管理存在一些漏洞,导致出现了重要岗位员工利用漏洞谋取私利的事件,为公司管理敲响警钟。

审计过程及方法

(一)数据分析,发现漏洞

       在企业中,通常不同职级对应不同的薪酬水平,且同一人短期内的薪酬水平差距不会太大。如果薪酬管理部门内部控制机制缺乏或执行不到位,便存在关键岗位私自对薪酬发放违规操作的风险,体现为员工实际收到的薪酬波动较大且与其职级水平不匹配。审计人员据此构思并编制模型,首先将“员工个人信息表”与“薪酬发放表”进行匹配,其次筛选出工资收入短期内有较大波动且与岗位、职级明显不匹配的线索,最后分析疑点员工的收入是否合理。通过疑点分析,审计人员发现甲公司人力资源部薪酬岗员工A 收入异常的特殊疑点。


(二)疑点重重,访谈坐实

       审计人员通过调阅相关资料,发现员工A 毕业于国内某知名高校,通过校园招聘进入甲公司人力资源部,虽然职级为初级,但实际到手工资远高于同部门其他员工工资。审计人员直接向其部门负责人进行核实,得到员工A 薪酬确实存在异常的答复。审计人员产生疑问:发放工资要经过层层审核、审批,该员工是如何做到突破重重约束非法牟利的?审计人员直接对员工A 开展访谈,在确凿的证据面前,该员工交待了利用系统漏洞非法获取不当利益的事实。

 


(三)拨云见日,还原真相

1、“钻洞觅缝”,寻找可乘之机

       甲公司薪酬核算及发放的流程为:第一个环节,薪酬岗在人力资源系统中对各条线上报的员工薪酬数据进行核算,形成“薪酬明细表”,打印交由复核岗复核并报甲公司负责人审批,审批通过后在财务系统进行薪酬记账和发放。第二个环节,薪酬岗在财务系统导入Excel 版的“薪酬明细表”并提交报账单至复核岗,复核岗复核后提交B 集团财务中心审批完成记账。第三个环节,进入薪酬发放阶段,薪酬岗根据上述“薪酬明细表”制订“薪酬发放表”,提交复核岗复核后报B 集团财务中心审批,审批通过后财务中心根据该表进行薪酬发放。第四个环节,薪酬岗将“薪酬明细表”导入人力资源系统,生成每位员工的“工资条”,每位员工均可在人力资源系统查询自己的“工资条”。但该薪酬岗员工A 在工作中发现公司财务系统缺少明细校验功能, 即财务系统未能将记账环节的“薪酬明细表”数据与发放环节的“薪酬发放表”数据进行一一对应校验,此漏洞让该员工觉得有了可乘之机。

2、“移花接木”,非法获利

       审计人员发现, 该薪酬岗员工A 主要通过两种方式操纵薪酬发放并获取不当利益。第一种方式是“瞒天过海”,对按月发放的绩效薪酬做手脚。在进入记账环节前的“薪酬明细表”核算阶段,该员工从人力资源系统中调增“薪酬明细表”中其他员工的绩效以将薪酬总额做大,“薪酬明细表”在线下获得审批后便在账务系统进入记账环节提交审批,审批通过后进入薪酬发放环节,此时该薪酬岗员工A 对Excel 版的“薪酬明细表”进行篡改,将表中其他员工调增的部分转调至本人名下,形成“薪酬发放表”,并在财务系统提交至复核岗进行复核,复核岗在核对发放总额与记账总额一致的情况下便复核通过并提交B 集团财务中心审批,而B 集团财务中心审批时在核对发放总额与记账总额一致、“薪酬发放表”中的员工名单与记账时的“薪酬明细表”中的员工名单一致的情况下便给予审批通过。最后薪酬岗员工A 将记账时的“薪酬明细表”导入人力资源系统生成工资条。第二种方式是胆大妄为,对年终奖做手脚。该员工A 直接在发放环节将“薪酬发放表”中100 名员工中每名员工年终奖金额调减2000元,调减合计20 万元,同时将自己名下发放金额调增20 万元。

原因分析

(一)系统漏洞

       甲公司系统内部、系统之间均存在较为明显的漏洞。一是财务系统中发放环节的明细表与记账环节的明细表无校验关系,B 集团财务中心审批时只核对发放总额与记账总额是否一致、“薪酬发放表” 中的员工名单与“薪酬明细表”中的员工名单是否一致,在系统未校验每名员工发放的金额与记账时的金额是否一致的情况下就给予审批通过。二是财务系统中的“薪酬发放表”明细与人力资源系统中核算时的“薪酬明细表”无数据校验关系,复核岗难以将“薪酬发放表”中上千人的明细与“薪酬明细表”进行一一核对。


(二)管理漏洞

       一是对员工行为管理不严,员工A 向朋友、金融机构借钱用于炒股并出现亏损,面临偿还借款的压力,公司未能及时排查出其异常行为,对重要岗位选人用人考察失职。二是以信任代替监督,复核岗基于对薪酬岗的信任而未进行实质审核,导致薪酬岗能够进行舞弊操作。三是岗位设置存在缺陷, 该公司薪酬核算岗与发放岗由同一人担任, 不符合《企业内部控制基本规范》要求。


(三)流程漏洞

       一是在线下与线上审批环节中,舞弊人员可在多个环节篡改数据,在薪酬表结构复杂、数据量庞大、系统不完善、信息不对称的情况下,复核岗难以做到逐一核对。比如,在核算阶段之所以能够调增成功而未被发现,一方面,由于薪酬总额为数千万元,调增两三万元并不会引起注意;另一方面,为避免本人被怀疑,员工A 在该表中不直接调增其本人的绩效,而是调增当月离职人员的绩效,原因是当月离职人员在人力系统的账号已经被注销,看不到工资条,不会发现实际发放薪酬与工资条上的应发薪酬存在差异的情况。另外,由于该公司年终奖的发放没有工资条,所以,该薪酬岗无需顾忌员工会发现年终奖实际收到金额与应发金额不相等的问题。二是在线下审批环节,汇总各业务条线数据提交公司负责人审批签字后,未要求将“薪酬明细表”再发送至各条线进一步确认,导致未发现薪酬总额被人为调增的情况。

审计建议

(一)加强员工日常行为管理和重要岗位员工考察力度,防范道德风险

       一是加强合规教育,定期开展员工行为排查,全面了解员工工作、生活情况,全面掌握员工家庭经济状况、外部借贷情况。二是要严把选人用人关口,员工A 智商较高,利用系统、管理、流程上的漏洞和员工辞职造成的信息不对称进行操作,所以要守好用人管理的第一道防线。


(二)弥补系统、管理、流程漏洞,防范操作风险

        一是加强系统内部及系统间的校验功能,一笔记账金额要对应一笔发放金额,降低人为干扰的可能性。二是弥补流程缺陷,在薪酬核算审批后要与业务条线进行数据核对确认。三是修复管理漏洞, 全程随机由双人进行账务系统数据上传操作,并将人力资源部员工工资入账金额与核算数据进行二次比对,以确保上传系统数据与核算数据一致。

 

文章摘自《中国内部审计》杂志2022年第12期

作者:韩兵 杨宇平

单位:四川大学  西北工业大学

来源:中内协 ,版权归原作者所有,如涉侵权,请联系我们删除,谢谢!
分享到 :
63.2K