通过电子媒介,消费者只需凭借银行卡与密码就可在极短的时间内同时完成身份认证、取款与数据输入等工作,其正确性与可靠性甚至比人工处理还要高。在享受便利的同时,新的风险必然会随之出现。采用信息通讯技术进行交易有一项重要的特征,即电子交易可以在任何时间、任何地点进行,这样的特性使得电子交易处于高度的危险之中。只要进入系统中改变几个数字,身在数千里以外的一个素不相识的陌生人,就可以使另一个人一生积蓄一夜之间全部化为乌有。上述现象所反映的就是在处理电子交易程序时内部控管问题,电子交易的风险不止来自于外部,内部监控不善也是一个重要的因素。
2001年冬天,美国的Enron案,早在事发前一年的八月份,即由该公司主管公司发展的副总经理沙伦.华金斯发现问题,并向上级管理部门及外部审计Anderson 公司发出警告却未受到重视。所以如何使内部监管人员和外部审计部门能够客观审核企业的财务状况,并能够让投资者从公开的财务报表中得到信息,对于企业来说是非常重要的。台湾律师事务所员工刘伟杰盗卖事务所客户股票三十亿元,从而让事务所面临前所未有的危机。这个重大事件反映出了一个组织在内部控制上的漏洞,一般企业也需要建立良好的内控制度,才能让企业持续而健康的发展。根据注册舞弊审查师协会所做的2002 年美国职场舞弊报告中显示,职场的舞弊不分企业大小都有可能发生。2002年全美国企业收入约有6%,也就是有六千万美元因为内部监管不善,员工舞弊而损失。单位对于下属员工当然要有信任,但是如果在制度上缺乏有效的内控操作,反而会促成舞弊的动机与行为。在以上这些机构中,如果设立有电子内控系统,可以为公司内部员工提供举报检举机制,快速而方便地将舞弊传达给管理者。本研究利用数字签名技术,设计出电子内控系统,方便组织成员行使举报与监督的权利。该系统可以帮助员工在无压力的情况下检举舞弊,不用担心因身份曝露而受到迫害。二、背景介绍1.企业内控部门美国COSO报告认为,内部控制是一个过程,受企业董事会、管理当局和其他员工的影响,旨在保证财务报告的可靠性、经营的效果和效率以及现行法规的遵循。因此,内部控制是一种管理过程,由管理阶层设计并由董事会(或决策单位)核准,确保达成可靠的财务报道、运营绩效、遵循相关法令三大目的。内部控制分为内部会计控制与内部管理控制两类。前者是对会计业务、会计纪录和财务报表有关的控制,目的是确保会计数据正确和保障财产安全;后者主要与经营效率和经营政策相关,重点在于提高工作效率和贯彻实现既定的管理方针。内部控制可分为结构型控制和作业型控制。前者属于规划设计,包括组织的建立、职责划分、管理授权、分层负责、设定工作标准、制订各种管理办法和作业程序;后者是实际的工作,如工作人员的招聘、培训、管理,资产的安全维护,会计事务的处理,预算的管理控制,以及各种业务活动的执行、监督等。工作人员必须按照规定认真地执行,才能完成内部控制的目的。2.电子内控团队系统利用计算机设备进行企业资源规划,辅助企业各个环节运作是目前的趋势。通过电子系统设计出包含内部控制部门规划和执行权责的客观监察机制。具有低成本、低风险、保密功能的电子内部控制团队,不仅能够帮助公司进行规划设计,而且能够维护组织成员的隐私。电子内控团队是在公司中设立的一个独立部门,其成员由公司合法人员组成。公司最高管理者可利用其职权得知部门人员的身份,其它人员则无法知道虚拟团队成员的身份。利用虚拟团队的特性可以进行隐密、快速的报告非法之事。本文主要探讨电子内控团队系统中监察考核、举报违法事件的功能,利用网络沟通的隐密性,使之成为内控部门中特殊的组织。
企业运用此类系统时希望能够实现以下目标:(1)部门内部人员用匿名身份进行检举,电子内控团队无法计算出其真实身份。同时,如果组织成员以匿名的方式重复检举,电子内控团队也无法由先后检举的文件内容,判断出哪几份文件由同一检举人发出。
(2)电子内控团队受理匿名检举以后,如果调查后发现与事实不符,经组织中最高权责决策人员同意,计算追踪出匿名诬告者的身份,并依相关责任进行处罚,严重者移交司法机关;检举接收中心仍然无法判断匿名文件之前和之后的文件,是否为同一诬告者所为。(3)组织中最高权责决策人员虽然有权检查匿名检举者的身份,但却无法伪造任何一位组织成员的身份进行匿名检举,并于事后诬陷该组织人员。(4)电子内控团队在进行监控时,对于举报文件如果没有传送或者没有及时传送,最高决策者可追踪其真实身分,并予以惩治处罚或者开除出内控团队。董事会成员是制定公司重大决策的核心人员,由于事务众多导致董事授权给管理人员。虚拟团队设立的目的就是协助董事处理公司事务并监控政策的执行状况。本文的目的是使中间管理者能够正常处理事务,避免越权做出决策,防止违法事情的发生。在必要时,也能为最高管理者找出害群之马,避免有心人士利用此类系统恶意中伤,造成管理的困境。
3.群体数字签名系统群体数字签名是指组织内部的任何成员,都能够以该组织的名义对外发文,接收者只知道是该组织的正式文件,但不知道是该组织中哪一位成员所为。群体签名的核心部分是密码的产生过程以及如何控制密码,企业营运时利用密码强化管理功能。但在分析应用时,该系统是否经过缜密的思维与严格的测试。在系统设计方面,一个好的密码系统,除了必须拥有秘密性、可鉴别性、完整性与不可否认性外,还需具备不可推测性等特点。在企业内部管理中,运用群体签名系统加以辅助及应用,有助于客观评估绩效和内部沟通。
三、公司内部引入电子内控系统的步骤利用学者提出的数学模型,将系统引入到公司的网络中,它的运行模式是以具有公正的验证机构(FCA, FairCertification Authority)为系统中心,担任组织与检举人之间的仲裁,整体模式分为五个阶段,即︰
第一阶段︰系统注册阶段对于公司管理阶层而言,掌握所有成员数据是第一要务。为符合系统模式设定的需要,给公司最高管理者设置公开及秘密密钥。第二阶段︰内部员工向FCA注册系统使用者必须是公司内部的合法员工,因此首先用公司内部的账号和密码向FCA注册,以此证明自己身份的合法性。内部员工注册申请匿名身份以后,如果认证机构确认其身份条件符合要求以后,将核发匿名身份给予申请者,如图1所示。
图1. 内部员工注册第三阶段:内部员工以匿名方式检举假设该内部成员欲使用匿名身份向虚拟团队发出检举信息,经由认证机构审核身份后,确认其为合法的内部员工以后,将检举内容交给虚拟团队,以达到维持公司内部控制通道的功能,如图2所示。
图2. 匿名检举审核阶段第四阶段:虚拟团队接受检举并调查阶段当认证机构将合法检举者文件传给虚拟团队时,团队成员首先对检举内容进行审核,如果情况属实,立即传达给最高管理者进行裁决。用这种方式进行举报,可以使违法人员在不知道其行为已经败露的情况下,给予依法处置。任何工作人员不分职务大小都能拥有正当的反映渠道,在行使匿名检举时,具有匿名即不泄露检举者隐私的特性。
图3. 接受并传达阶段第五阶段:追踪处理检举不实的员工反之,如果虚拟团队发现检举的内容并非真实情况,经认证机构查证之下,确实是公司内部员工所举报。虚拟团队应当禀报给最高管理者,由管理者通过其密码找出污陷毁谤之人,并严加处理。四、系统分析与讨论系统设计的第三阶段成员以匿名方式进行检举,根据密码学理论,除非设定的密码能因子分解,否则是无法得知检举人员身份的。同时,第五阶段提出检举者的密码验证,使得高级主管在有必要时可追踪是何人所举报。由上述五个阶段的推导过程,并结合群体签名理论,设计出基于虚拟团队的内部控管部门整体结构图,如图4所示。图4. 企业组织引入电子内控团队模式结构图当企业在正常营运时,董事会成员下达决策给予经理级管理部门,要求管理部门能够传达给公司内部员工以了解决策内容。现实中董事会成员日理万机,在人员、时间都有限的情况下,为了防止管理级为私人利益而忽视企业整体的发展,公司内部员工可以利用电子内控团队进行有效监督以及检举工作。本研究所提出的方案,能够为合法的内部员工提供对于本身工作,或是管理人员行为不当时合法的反映渠道,使高级决策者能够对目前政策执行的情况有完整的了解,并能很好地了解民意。
五、结论在当今电子商务飞速发展,科技引领经济发展的情况下,以往的人事内部审核已不再是黑箱作业。利用群体签名系统,使网络检举更加透明化,使组织管理人员不再因为个人私利,损害公司的正常营运。同时,可以避免审计或政策部门因涉及共犯而采取选择性接受,也能避免组织内部因管理阶层的压制而引发的不满。本研究提出在内控部门设置电子化团队的构架,可以为检举员工提供保障,使员工不用担心因揭发舞弊后曝露身分而遭到报复。本系统不仅能够让组织成员勇敢检举不法之事,并加以保护避免其曝光;而且在必要时,经组织决策者同意,可以追踪原始电子举报者的身份,防止诬告者蓄意制造事端,诬陷他人;同时能对中间管理者和基层员工进行监控管理。
基金项目:福建省教育厅中青年项目,项目编号:JA15571。参考文献:[1]丁华明.信用卡交易风险新趋势及支付安全应对策略[J].金融电子化, 2014, 9: 79-80.[2]徐岩.从台湾理律员工舞弊案看企业内部控制[J].合作经济与科技,2004,12:13-14.[3]柯承恩.内控与经营[J].商业周刊.2044:182-183.(作者单位:福建师范大学福清分校)