童姓女員工侵占哈拉網通逾6千萬,這樣的侵占案例是因為公司有什麼內控缺失呢?
以下節錄並整理自自由時報之新聞內文,以說明事件發生經過:
哈拉網通106年抓出公司內部「大老鼠」!42歲童姓女員工,100年間取得公司會計系統的帳號及密碼,近7年來進入會計系統竄改帳目,蠶食鯨吞手法侵占貨款達6千萬餘元,這幾年手機生意正夯,該公司卻不見利潤,台中地院依業務侵占判8年6月徒刑,不法所得沒入,轉給姐姐的210萬餘元沒入。
台中地院判決書指出,童女是哈拉網通電訊公司員工,負責與各大網路購物網站廠商接洽、處理手機商品出貨事宜,100年間某主管交代她登打資料,而有機會得知進入該公司會計系統之帳號與密碼,沒想到她心懷不軌,暗中記下帳號及密碼。
100年2月起暗中進入竄改會計資料,她手法是,例如每支手機出售單價1萬,改為1000元,而出售數量1000支,改為1萬支,如此一來總數不變,但卻多出9000支手機,這9千支私下轉賣出去謀利。
據了解,這幾年該公司手機生意正夯,卻不見利潤,還一度增資2000萬仍腐蝕殆盡,106年7月董事長決意清查,拿出存檔的交易紙本明細,以人工一一清查核對,查出童女涉嫌從100年至106年間侵占總計6千多萬元。
經該事件後公司已全面更改會計系統,防範再出現類似弊端。
1.系統密碼保密不當
這起案例最起始的原因,就是某主管將系統帳號密碼告知童姓女員工,讓她後續有機會可以進入系統修改資料。
帳號密碼保密在任何公司都應該是明文規定事項,所以公司首重教育員工不可將帳密告知他人,若逼不得已將帳密借予他人代為操作系統,一定要在事後修改密碼,以維護公司既有之內控程序。
在很多公司都會看到未做好帳密管控,舉例來說,很多員工把帳號密碼抄寫在便利貼上,並貼在電腦螢幕下方;又或者是公司給予使用者的預設帳號存在一簡易規則,又未要求使用者變更預設密碼,就可以讓有心人士暗用此規則盜用帳密。
建議您可以巡視一下辦公室,看看有無員工將帳密「公告周知」的情形。
2.未定期變更系統密碼
完善的內控制度通常會要求建立一套密碼原則,例如說密碼要多少種組合以上(特殊符號加英文加數字)、密碼長度要有幾碼,以及「密碼要多久變更一次」
變更頻率視公司要求嚴謹程度而異,但一般會要求至少一年變更一次,再加上不得與前N次密碼重複的條件,以強化密碼管控。
而這個案例中很明顯看到該主管的帳號密碼自100年至106年都沒更改過,才讓童姓女員工有此可趁之機。
3.系統資料修改未經核准即生效
童姓女員工進入系統後,竟然可以任意修改售價及數量,且立即生效,一般而言,修改資料都應該填寫修改表單,像是請購變更單、採購變更單等單據,除了留下變更的軌跡外,也存在一個主管核准後才生效的控制點,避免相關資料可以任意更動。
雖然這個會計系統修改即生效的這個缺失看起來很匪夷所思,但其實很多中小企業在建置系統時,都會想要避開這些管控點來提升工作的效率,短期來說看似合理,但長期來說這些風險讓公司得不償失,這也許也是為什麼哈拉網通後來更換會計系統的原因。
當然以上的評論還太表面了,畢竟每家公司的作業流程不同,存在的內控缺失也會不一樣,但在此還是希望能經由一些簡單的剖析,讓大家了解內控應該注意的地方。
若公司想要做個內控健檢,了解有無潛在的風險,也歡迎與我們聯繫喔!
