企業銀行業務係統的軟件通常不是在服務器上，而是通過相關財務人員的個人電腦進入，此外因為是資金的直接處理，所以大多並沒有信息係統部門的參與，因此，很多情況下都沒有充分地實施使用計算機時一般需要的內部控製。例如，密碼長度下限、定期變更、業務必要權限的分配，以及權限的定期更新等。

實踐中，筆者發現多家公司存在有以下一些情況：

企業銀行業務係統的用戶名和密碼由多人共享，人員離職時不適時變更；

密碼隻有4位，而且還有相同的英文字母或數字；

安裝有企業銀行業務係統的電腦設在辦公室出入口附近，而且辦公室進入沒有門卡的限製；

負責確認到賬的人員擁有與其業務不相關的付款權限；

負責支付的人員在實際操作中可以不經管理者的批準實施沒有上限的付款。

最後的事例可以在很多公司看到，負責支付的人員如果受到誘惑決定去南美歡度餘生的話那就糟糕了。所以說，支票的簽字和票據的蓋章這類相當於管理者“批準”的行為，在企業銀行業務係統也是不可或缺的。

具體而言，可以考慮如下控製：

在係統中批準支付。企業銀行業務係統的一個功能是設置隻有以管理者用戶名登錄批準才可以完成支付處理。而且，管理者用戶名沒有輸入金額的權限，隻有負責支付的員工的用戶名才可以實施金額的輸入；

傳真確認。將有管理者簽字的傳真確認件（付款委托書）送交銀行，由銀行工作人員對企業銀行業務係統中輸入的金額與傳真確認件核對；

賬戶餘額限製：（補充控製）在企業銀行業務係統中設定賬戶以及/或者單筆轉賬的金額上限。

生成，送交的支付數據無法篡改

美國SOX法和日本版SOX中，針對業務流程和信息係統的內控評價，因為評價者必備技能的不同，而由不同人員負責的情況很多。如前所述，企業銀行業務係統往往不由信息係統部門直接管理，所以相關控製活動很容易被從信息係統部門管理的範圍中遺漏。相反，從業務流程相關工作人員的角度來看，企業銀行業務係統也是“不怎麼搞得明白”的係統之一，應該由係統方麵的專職人員來負責，或者認為因為是係統處理所以無論如何應該是安全的（當然並不是這樣）。

如果是從基礎係統中生成磁帶或支付文件，“確保應付賬款/其他應付款無法篡改”就成了問題的關鍵。筆者曾看到過這樣的例子，生成支付文件後，可在企業銀行業務係統中處理，“支付文件隻是單純的文本文件，包括金額都是可以自由改動的”。發生這種情況時，當然就必須與在企業銀行業務係統中人工輸入時一樣，實施先前所舉的控製活動。

輪崗和長期休假：

內部控製還是植根於文化中的事物

到現在為止都在講述會引起舞弊行為的灰暗一麵，最後想以稍微輕鬆的話題結尾。

輪崗和長期休假製度作為內部控製最早出現在文獻資料上是在20世紀20年代，是曆史上最為古老的內部控製行為之一。

設置輪崗使得人員或部門發生變更，在長期休假期間由別的人員負責該職務，是旨在發現平時很難發現的舞弊行為的強有力的控製，包括與外部的串通、外部憑證（餘額對賬單、寄存證明）的篡改等。

但是在美國SOX法或日本版SOX中，輪崗和長期休假通常不被認為是必需的內部控製行為（關鍵控製）。其他控製，例如“批準”是“內容的檢查和斟酌”，“職責分工”是“業務的分擔”等，這些都是與提高業務效率目標一致的控製。相反，例如輪崗，可能被認為是違背業務習慣性和專業性的。長期休假多在金融機構會實施，在一般的企業並不多見。這一控製在歐洲等有長期度假習慣的國家可能更能被接受。

在中國，輪崗和強製休假製度的實施作為內部控製的一環得到提倡，《企業內部控製應用指引》中也記載了希望資金管理、采購、衍生產品的相關負責人員以及銷售領域的管理者實施輪崗，資金管理和衍生產品負責人員等實施強製休假製度。

注：本文已發表於《中美日企業內部控製實務》（複旦大學出版社，2009）一書中，但對其內容進行了些許調整。