聚焦法务会计:IT采购管理中的潜在舞弊风险及应对措施探讨
在数字化转型的热潮下,许多企业正积极探索前沿技术与系统重构,不断引入新技术和优化流程,以重塑业务方式并挖掘新的收入来源。根据Gartner的最新预测1,全球IT支出预计将在2025年达到5.74万亿美元,较2024年增长9.3%。由于IT项目的高度专业性和特殊性,IT相关采购日益复杂。面对庞大的IT项目支出,如何有效管理IT相关采购并及时识别潜在的舞弊问题,已成为众多企业关注的焦点。本文将从《聚焦法务会计:重新审视采购舞弊》出发,探讨IT采购领域常见问题与应对建议。
IT采购及项目支出分类
传统的IT采购通常分为有形资产(如计算机、服务器等硬件)和无形资产(如软件、软件服务)采购。然而,随着企业数字化转型的全面推进,IT采购的范围也逐步扩展到定制化软件、软硬件结合的整体解决方案、云平台的各类资源应用(如云存储、云服务),以及针对特定业务需求的专业数字化服务,如大数据分析和算法优化等。在一些企业内部,从IT项目的立项背景及年度财务预算来看,IT项目可分为资本支出(CapEx)和运营支出(OpEx)项目。CapEx IT项目通常是一次性项目,目标在于业务创收、流程优化和技术创新探索,这些项目往往是企业的首次尝试,具有较高的不确定性,并可能占用大量IT资源,最终形成特定的交付成果;而OpEx IT项目主要是IT部门管理和保障日常业务运作的持续性运维项目。这两类IT项目在采购和管理过程中既有共性也有其独特性。
IT采购管理中的潜在问题
IT相关采购在流程上与其他类型的采购没有本质区别,通常包括采购需求申请、预算审批、供应商寻源、招投标、合同签订、项目管理、验收及付款等主要步骤。
对于型号、规格、版本明确的硬件和软件采购,采购事项相对简单,但在前期确定采购需求和批准预算时,相关部门应当与IT部门讨论采购需求的合理性与必要性,关注所需采买产品的版本和参数要求是否恰当,并评估是否存在过度采购的潜在问题。验收和后续的维保工作也需要确保妥善进行,同时相关部门需关注旧设备的处置情况。
对于软件定制开发、解决方案实施以及IT人员外包等非标准化的IT项目,由于项目需求复杂且涉及金额庞大,采购人员可能因缺乏技术背景和经验而对项目需求、技术类供应商的实施能力以及市场报价等的认知存在一定不足与偏差。因此,相较于单纯的软硬件采购,在这类项目的采购过程中采购部门往往高度依赖IT部门的意见,这可能导致其未能在前期独立地执行供应商寻源、评估供应商资质及履约能力等问题。在这种情况下,IT采购的潜在问题与风险显得更为隐蔽、复杂且难以识别。
综上,鉴于IT部门在IT项目中的重要作用,第三方供应商可能试图与IT部门员工建立超过普通商业关系的密切关系,进而通过不当利益输送影响IT部门员工的决策。此外,也存在一些IT部门员工利用职务便利,使用技术手段侵占公司资产为自身谋取利益的情况。
具体而言,在IT部门涉及的整个采购及管理过程中,以下环节均可能存在舞弊风险:
IT采购潜在舞弊风险的应对
尽管企业不断加强对员工与外部第三方利益冲突的核查,但是员工与特定第三方的关系未主动披露或申报,往往难以通过公开信息被发现。同时,IT部门人员滥用企业IT资产、通过技术手段进行非法获利的行为,也往往藏匿较深,一旦发生必然会给企业造成直接经济损失。在判定员工是否存在上述违规行为时,企业面临的最大的困难是如何获取确凿的证据。在大多数情况下,虽然企业无法在第一时间发现这些违规行为的直接证据,但可以通过一些其他手段发现蛛丝马迹,并展开调查。
除了《聚焦法务会计:重新审视采购舞弊》一文中提到的改进建议,如,增强跨部门协作、认可基于风险的第三方管理方法等,针对IT采购的潜在舞弊问题,普华永道还建议可以考虑尝试从以下几个方面建立日常的管理监控,以及时发现可疑事项或潜在异常信号。
数据分析及文件审阅
监控采购交易,利用数据分析技术可及时识别可疑活动和模式。通过数据分析和可视化仪表盘,快速了解历史期间IT部门采购订单的一般规律与特征,并对比发现异常采购订单,锁定高风险订单进行进一步审阅。梳理采购订单流程的每个环节,审阅对应的支持性文件,包括需求记录、预算审批、外询方案、招投标的组织与执行、合同的签署与执行、履约管理以及交付物验收与付款等。基于初步审阅的信息,与相关人员进行访谈。对于内部审阅初步认定较严重且利益牵涉复杂的事项,可寻求外部专业团队开展独立调查,还原事实全貌。
审视云平台资源订阅与使用情况
在企业数字化转型过程中,越来越多的企业将自身的业务数据、应用服务等相关资源迁移到云平台。一般来说,云平台可以按需使用并灵活扩展,从而降低企业的IT成本。然而,由于云平台资源的虚拟属性,可能被别有用心的员工夸大支出并违规用于个人获利。建议采购、内审、合规等相关部门加强与IT部门的沟通,定期审阅云平台门户或控制台中的成本管理和计费模块,检查支出账单、付款记录和资源使用报表。通过识别云平台设施部署、资源订阅和使用量等的异常情况,及时发现异常或意外的IT成本支出和使用模式,助力企业实现降本增效。
鼓励使用企业版本即时通讯软件
即时通讯软件被企业内部员工、外部人员越来越频繁地用于工作及非工作的交流沟通,甚至用于传递重要文件。然而,非企业版即时通讯软件的使用使企业难以统一管理账号和群组权限,也无法监控聊天内容,难以及早发现不当行为。因此,企业应优先考虑部署企业版即时通讯软件,鼓励员工通过该软件与外部人员进行工作交流,并利用技术手段持续监控关键部门或潜在高风险部门员工与外部人员的对话,防止敏感信息泄露,及时发现潜在员工违规或不当行为,并保留相关证据。
定期对关键岗位员工执行必要的电子取证
在合法合规的前提下,企业可定期对公司邮箱服务器和关键岗位员工电脑进行电子取证,识别可疑的文件下载、复制、删除和外发操作,以及内部员工与外部人员的邮件往来中是否存在信息泄露或其他不当行为。在高管离任时,也可在相关检查程序中执行电子取证,为企业规避重大风险。
