关于企业信息化中审计流程“寻租”现象的探讨

企业信息化，刚开始研究这个方向时，等着导师给出一个清晰概念，岂料导师给了个80年代国内某大型企业开展企业信息化的案例。感觉那段时间就是对着案例生生吃下了一堆关于企业信息化的书上定义。侃侃系统集成；配之以确之凿凿定义；再引用案例中相应点，导师对我看完这个案例后的踌躇满志似乎很是满意，但总觉得好像不是很赞赏，于是寻根究底，导师不语，交给我了某小企业信息化的项目。

对企业推出信息化的内在需求和现状，给出了整体解决方案，从企业网络规划、行业数据标准体系、业务系统及其整套技术方案，导师似乎还只是很满意，而这个时候不断地实践我也感觉到对于实施信息化我心里没底，至于为什么却察觉不出！接着自然就是为了业务系统要深入企业熟悉业务，于是白天就部门、流程、业务等等或访谈或跟踪，晚上就描述业务流程或图形化或文字说明，总之折腾了一段时间下来，明白了为什么心里没底？整体解决方案是给出了，部分可能作调整但不影响整体，但是每一个业务系统如何有效地部署应用到企业实际生产环境中，首先是独立系统发挥的作用，然后是系统集成的协同作用，这都与企业实际生产紧密相联的，深究的是每个功能块该如何实现以及如何与整个系统整套解决方案的关系，数据的流转可能在某个点需要某个部门去增加或处理，而原来是不需要的，这个时候就涉及到流程优化这个概念了。

随着项目的深入，渐渐明白导师刚开始唠叨的一些话，如把细节做好，如少说发现什么问题多做如何解决问题。这些尽管看似不着边际的话，却是在项目实施过程中的一些关键点。比如你和企业说了很多你发现的问题，却没有解决问题的方法和思路，这个时候你可能就没法给出流程优化的最终方案，而企业需要你给出为配合实施信息化对业务流程中应做那些调整。而恰恰就是在寻找解决问题方法中，才发现案例和书中定义离实际可实施的目标是如此地远，才发现要把模式和算法应用到生产环境中是关涉到企业效应的问题。把学到的抬出来就用，可能真的不行，耐心的到企业实际生产中当一名企业员工才能找到真正解决方案的，是可具体应用到企业的，整体解决方案是靠一个个细节构筑起来的，比如需求不要只做部门领导，领导定的需求和实际生产人员想要的是有一定差距，关键领域的员工需求是一定要做的。

什么是企业信息化？引进IT技术高效地完成企业生产管理中的部分或主要工作，包含业务系统和支撑业务系统运行的网络、数据标准和企业生产管理流程。带着IT解决思路作为企业一分子进入生产管理环节中，引入IT系统去完成某部分工作会引起怎样的变化，又该如何作调整，调整后是否具有提高效率等目标。需求无限扩大化的很大一个原因在于一开始没有解决好企业员工与系统之间的配合或是流程问题。重要的是如何综合考虑引入业务系统后企业生产管理环境的变化，从而给定出新的生产管理流程，新的流程协调生产和管理人员与业务系统共同完成工作并是有效的。要把自己当作是企业的一名不断变换岗位的员工才能找出生产管理人员与业务系统的平衡点，从而把业务系统部署应用上去。

流程自然就成了核心点，当然数据标准也是很重要一个部分。用一个例子说明企业信息化。OA系统是任何企业都需要的，而作为例子最典型的当然是报销流程。假设没有业务系统的请假流程是这样的，报销人员发起报销申请，然后提交给部门领导批准，再由财务部门领导批准，然后交给财务人员办理，到这里都是报销人员自己跑上跑下，财务人员办理好同时银行也处理了则通知报销人员已完成。按照这样的流程，业务系统可以完成那些工作呢？

首先整个流程只要报销人员发起后，申请数据会由业务系统流转到部门领导和财务部门领导再到财务人员，如果和银行有业务系统往来，财务人员可以直接把数据提交给银行办理，完成后通知财务人员，而财务人员通知报销人员。引入业务系统，报销人员对于自己发起后的报销申请几乎是透明的，不需要了解报销过程，只需要等到系统返回一个办理好了通知，如果自己确认收到报销则归档本次申请。很明显，OA系统和生产管理人员在请假这个事务性工作的配合就像流水线，相关人员等到数据流转到自己这里才处理，而OA系统则负责数据流转的工作。现在不考虑流程优化等问题，这里表明了系统和人之间的分工和配合，以及谁该完成什么样的工作。为了支持OA系统运转，首先要建设好内部网络，如果要外部访问则更需要通过VPN等途径实现远程办公，同时在数据标准上要规范好报销申请的要素，还需要考虑和其他系统集成的问题，比如要考虑不同员工可以报销的数目等级，这个时候需要从人事信息系统中调出该员工现在可以报销的数目，同时如果和银行存在业务系统接口，也需要进行系统架构上的设计。

现在考虑这个流程的优化问题，如单位部门领导提出需求认为过多的报销理由经过自己去审核存在一定工作量，同时还提出达到一定金额的报销才经过其审核报销理由。针对这个需求，流程就必须优化。明显必须有人审核报销理由，报销发票这里不讨论，可以作为附件流转给财务人员。既然部门领导不承担这一环节工作，那只有让下面主管负责，于是这个流程便多了一个环节，就是集报销理由审核和批准签字的部门领导工作，把报销理由审核交给主管了。这个时候就需要对主管进行需求调研了，对这个流程多增的环节工作主管显然必须承担，考虑的是主管对这样流程变化是否有其他需求，假设也是希望尽量让系统完成工作减少其工作量。那么既然流程已经变化成多增一个环节，而且主管和领导的需求都建立上让系统多做工作减轻他们的工作，那么如何实现变化的流程就需要思量了！而流程优化最终还是要体现到如何实现上？

首先减轻主管工作量——审核报销理由，假设可以把常规性的报销和特殊性报销进行区分，那么对于常规性报销可以由系统作审核而特殊性报销则由主管审核，这个时候就要对该部门报销存在的可能性进行需求调研了，把常规性和特殊性进行区分。显然这样就能最大可能减少了主管工作，但常规性审核也应该进行事后审核，可以由系统集中起来等主管空出时间审核下。减轻领导工作量——审核报销已经增加一个环节处理现在就是批准签字了，如果领导充分信任主管对审批理由的审核或在一定金额内的，可由系统自动批准签字，而超过一定金额则有领导批准签字，这里就要增加安全认证等技术了。

这里就流程作了调整，至于是否优化，应该看是否满足了流程中相关人员的需求？如果流程只是部门调整还好处理，涉及到跨部门则往往是很难调整。从这个例子中，业务系统所完成的工作是建立上企业人员需求基础上，同时也要起到协调作用，有些业务系统是不能完成的。把软件当作万能的客户不是没有，而为了减轻一点工作对软件系统提出的需求有时候会让信息化人员发狂，因为可能一个点的改变可能对流程造成翻天覆地的改变，这个时候流程就要按照IT技术原则去衡量是否对企业是有效的，优化后由企业领导通过，这也是为什么企业信息化经常提到需要领导重视的原因？

人性的需求总会出现对软件提出“过分”的地方，这个时候需要信息化人员一体考虑企业情况给出优化的流程并由企业领导同意来强制执行，这个时候也更需要信息化人员是企业的一员才能从企业实际情况给出最合理最优化的流程。人性使我们总要在民主和专制之间寻找平衡点，对于企业信息化的需求而言民主是基本的，没有民主而只是有领导提出需求肯定行不通，对企业实际情况弃而不见也是不明智的，但如果民主陷入无休止的个人利益争夺时就需要专制，领导是民主的产物但更应该是民主的良药，用专制和强制的方式贯彻流程，打破惯性利益，民主的代价有时是极其高昂的。心中再次想起导师的话：企业信息化，不仅要求你是IT技术领域的集大成者，更要求你是企业管理方面的领导，还需要你是企业生产方面的人员。企业信息化是要讲企业政治的，打破现有均衡和平衡新的利益是流程必须考虑的。

刚开始重视IT技术应用的理论和案例是正确的，但远远还没达到可以解决问题的时候，还需要让自己置身管理与生产中在业务系统与人员中，发现细节问题，用IT技术（算法、模式等）和企业政治手段解决问题，才能真的把信息系统部署到企业中并且是有效地辅助企业生产和管理。谈到这里似乎还没有到文章的核心点：流程与审计。流程是企业信息化中的核心点，一切围绕其而展开，数据也是如此。前面重点说明实施企业信息化与实际结合而进行流程改造的重要性，下面要提出流程要求事中可追踪，也应当事后可审计。前面说了企业信息化人员应当是企业生产管理人员，下面则要求还应当是一名审计人员或是用IT技术让业务系统能够审计流程。

为什么提出流程要可审计这个概念呢？审计必然和透明这个概念联系起来，透明在IT领域与在审计领域是不同概念的。IT领域的透明是指某一个过程对不知细节的人员来说是不需要了解的；而审计领域的透明是指一个过程对有知情权的人来说必须是清晰展现的。对企业信息化中的流程而言，如报销人员提出报销后到其确认报销，中间过程对报销人员而言是IT领域的透明。审计本身就是了解细节，让一切符合情理符合法定，对流程的审计就要求业务系统保证审计的透明，好比如软件中日志功能。如何让流程可审计，审计流程最终的目标是什么，有这个必要吗？

先回答审计流程最终的目标，纯粹审计流程是毫无意义的，从审计的角度而言，审计的存在在于一切皆有违规的可能，而这更是基于人性的弱点，也就是说审计说到底是审计人。前面已经说了企业信息化就是研究如何让软件和生产管理人员分工配合，那么这里就是把软件把系统当作一个会违规的“人”，把软件当作企业的一名员工。企业领导决定开始企业信息化，应该像人力资源部一样建立岗位责任制，有这个岗位存在才会去招聘新人，不同的是这个岗位需要软件这个“人”来完成。于是企业信息化就是企业战略环节的一个重点，人或“人”，而成功的企业信息化就是要协调好人和“人”。既然企业信息化中软件是企业引进的“人”，那么对这个“人”就必须和人力资源管理一样，有考核的必要性，考核软件的结果就是不断维护和更新。而如同审计企业经营活动产生效益一样，也需要审计软件中流程的执行。审计企业经营活动的源头在于人性的弱点，因为人会从采取不正当的方式从企业经营活动获取利益，而审计软件流程的源头则在于软件这个“人”是不完善的，会有机会让人“寻租”。这里我们就有几个必要的基点：企业信息化引进怎样的软件系统要求领导如同人力资源考虑那样设置岗位责任制，要让软件做什么；把软件系统当作“人”，把软件看作是工程化机械思维走流程的“人”；必须承认，软件，任何软件在实际生产应用中都是不完善，这是假设的前提，也是立论的前提，因为不完善的软件这个“人”才会被人所利用去“寻租”；对企业经营活动的审计说到底是对人的审计，而对软件中流程的审计，就是审计流程所产生的活动是否在既定规则下完成，而不是被人用来“寻租”，而归根结底还是审计人。人是具有人性弱点的，人是感性的；软件这个“人”是不完善的，“人”是机械的；审计人就是审计其从事的活动，而其活动也包括与软件这个“人”配合完成工作，于是就需要审计软件中的流程，因为流程的执行涉及“人”与人，“人”只是具有工程化思维的机械体是不完善不会主动去进行“寻租”，只有人才会主动利用流程设计中的不完善去“寻租”。审计流程的最终目标就是审计流程的不完善点，这些不完善点会导致人去“寻租”。这里把流程的范围扩大了，任何生产的业务流程，不单是软件流程都需要审计，尽管这最终还是审计人，为了人而审计，但审计的对象却由经营活动，而集中到流程，审计流程中的不完善和缺陷避免为人所“寻租”。

犯罪一般是由诱惑而引起的，把人心中潜在的欲望放大而走向犯罪。同样，流程无论是业务还是软件，都不可避免地诱惑人去利用其缺陷点“寻租”。有审计流程漏洞的必要性吗？下面两个流程例子说明了流程的缺陷或漏洞所产生的问题。

某中心绩效考核案例：某中心，下分各部，为进行全面绩效考核，先以其网络部门作为试验点。对每个工作岗位设定若干考核指标，把中心每月其他用途的部分奖金和该网络部门的奖金统一起来作为考核后分配的总数，某员工在自己岗位上达到指标所设定值则可以享受一定的奖金。这很正常，比如原来每个月每人在自己岗位上有固定奖金，现在奖金总数增加了，多了每月其他用途的部分奖金，如果谁在自己岗位上指标值越大显然奖金越大，这个被认为是提高员工积极性的方法，所谓的绩效考核。但这个时候这个奖金总数尽管是增加了，但也还是有指标限制的，对整个部门有指标考核，也就是说在给定的奖金总数上，部门指标达到了才发，没达到就拿少了。采取所有部门奖金和中心其他用途奖金构成一个考核奖金总数，各部门在这个总数中争取属于自己部门的那份，然后下面不同工作岗位上的员工又根据自己的每月完成指标情况决定从部门奖金数中分取多少，笔者估计这是该中心的思路。至于对每个岗位给出怎样指标就不在讨论范围了，主要一个流程是：每月员工完成的工作都有记录，记录方式就不考究了，假设是非常合理的，下月初汇总起来，也就是完成指标情况的统计，这个时候只确定了个人在部门奖金中占有的比例，接着就要等领导对部门指标进行考核了，考核后确定部门总数，然后下到财务部发送奖金。

这个流程有没问题还是要看实际的反应，现在遇到的问题是：因为部门员工不知道对部门考核的指标以及构成指标的工作内容和指标值，所以每个月奖金下来发现波动很大，甚至出现这个月指标完成非常出色的员工奖金比原来没有进行绩效考核前还少，原本因为起到激励作用的，变成了打击积极性。出现这个问题，很明显在于部门考核指标的不透明性，这就导致了部门奖金总数的“寻租”可能。每月每个员工知道自己考核的工作内容和指标，公布出来无话可说，但部门考核的指标不知道，只有部门领导和中心领导知道，这样的考核方式间接又回到了原来那样，领导说了算的考核。首先无法保证每月部门考核指标的连续性，因为部门考核出来后也没有公布，只有部门领导知道该月部门奖金总数；其次，无法保证考核的公平，因为指标的不公开导致指标统计时可能出现倾向性的评定。在这个流程中，我们暂且不讨论部门指标采用不公开而仅仅限于领导间知道的原因，暂且就这个流程本身而言，如何规避出现上述情况呢？在软件中限定了部门考核指标的内容和值，尽管不公开，但修改指标需要授权；二就是事后流程审计。很肯定的是现在出现的问题，领导完全可以从奖金总数中“寻租”的，前面提到奖金总数是由其他用途的奖金和部门原来奖金合起来的，那么可支配的奖金总数变大了，怎么分蛋糕？对部门指标考核的不透明性显然可以让领导们为所欲为地分配奖金，无法从绩效考核本身的流程上起到原先想要的目的。事后流程审计把每月的指标值和构成还原，如果指标构成有变化则需要查清变化原因，如指标值存在大的浮动，则需要就指标构成各项进行详细统计。样本审计在这个流程中就可以。当然还需要的一个前提是有权利去审计，如果领导不允许或是其他因素，那么流程审计就失去作用了。实际上这个流程中只要部门考核指标公开，则不会出现问题，但有时候设计流程或多或少会出现类似问题，那么审计流程就成了事后保证其有效性的手段了！

广东电信人力招聘流程案例：广东电信下各中心、各地市分公司，在07年时不再由各地市公司独立招聘，而由广东电信省公司统一招聘。具体的流程和一般招聘一样，发通知，收简历，审简历，数面，体检，发offer，报到。这样的流程有什么问题吗？大家都按照这个流程来的，没什么问题？流程没问题，但具体实现这个流程的人会利用流程本身的漏洞来“寻租”。总结有几个问题：一是通知上说非重点院校不考虑，后来发现一同进来的同事很多同样走这个流程并不是重点院校毕业的，这说明什么呢？非重点院校学生比重点院校学生优秀的是，首先限制非重点院校在招聘来说就是歧视，这个不作讨论，为什么个别非重点院校的同事可以进来呢？种种流言是有的，某领导亲戚等等，总之据说是一路开绿灯，比重点院校还顺利就拿了offer。二是体检不告知你究竟被录取到哪个分公司工作，很明显广东不同地市有不同的情况，于是在发offer前根本不知道自己会被分到那？这里面就有可操作的空间，尤其是人力资源部的人们。比如面试时面试官要了某人到了某单位，可事后谁有去查证这个人确实去了某单位，夸张的是笔者所接触到的大多数同事均表示在给广东电信三方协议后都被重新分配，比如原来是广州的后来接到电话说要重新分配到江门，是咨询的语气却有着不得不答应的情景。劳资双方在招聘上处于信息不对称的情况在这里就充分体现出来。可操作和脱节严重的就是在面试后到发offer甚至到报到前都有操作空间。比如是面试广州的，那么通过面试和体检，显然就应该分到广州，我相信在招聘前人力资源部对各分公司要招聘多少人是肯定，如果不是肯定那就无语了！可是体检到发offer前都很难知道自己被分到了广州，发offer也是说了一个句话你被广东电信录取了请交三方协议书。然后大家把三方协议书交给了广东电信，都不知道自己确切被分到那了？该签约几年，薪酬是多少，反正所有一切只有一个信息广东电信录取你了！如果你要问为什么会被重新分配呢？理由很简单你是电信的人了要怎么分配就取决于领导了，这是潜台词，表面是说我们根据你的面试情况和你的个人简历觉得新分配的单位有一个职位更符合你，结果发现到了新分配的地市公司发现根本就不是那么回事。在这里，被招聘人员、面试官、人力资源部三方中，被招聘人员绝对处于劣势而且是被怎么分配就怎么分配的境地，表面上公开竞争，背后暗箱操作极度夸张。首先被招聘人员从面试官那了解到地市分公司情况和面试官对被招聘人员的能力肯定促成了被录取这样一个事实；接着奇怪的是面试官不再过问自己要录取的人是否如实被分配到哪个岗位，而被招聘人员也不知道自己究竟被分配到那了？人力资源部在这里显然可以做很多很多的“寻租”，不好的分公司肯定人不愿意去，于是要调配，这个时候怎么办？保持模糊的录取政策是对的！有人托关系说要到比较好的分公司，可是这个岗位已经有人了，怎么办？把这个人调走吧，编个理由说有更好职位了，反正面试官也不会追究而上面估计也不会花这心思！这个流程在广东电信招聘这里是严重脱节的，面试官不知道自己要招的人最后有没有去相应的岗位，被招聘人员在到工作地方之前不知道自己会到那里做怎么样工作？除了知道在广东这个地方！而这一切最可以“寻租”就是人力资源部了！如何保证招聘流程的合理呢？这个流程没问题，关键是操作过程有问题。具体到广东电信这种集团式招聘就更有问题。将不知兵，兵不知将，正常不过！审计流程具有很大必要性。脱节的地方很好连接，比如面试官招聘了某人，入职后找到这个人，看是否在当初招聘的岗位上，如果不是则继续审计下去！也可以由专门人员，根据面试官最后确定的名单去审计，有问题很快就浮出水面。广东电信07年的招聘绝对是失败，而责任就在于人力资源部的暗箱操作。出现这样流程在现实中也是很正常，主要是流程各环节在一定情况下是严重脱节，可以让某个环节的操作人员任意“寻租”，审计是非常必要的。

审计流程“寻租”现象还是人在操作，如何审计还是要针对流程设计可能性（这种可能性需要遐想，能想多大就想多大），另外还要结合业务，与传统审计并无区别，只不过审计的对象不再是经营活动而是流程。针对流程设计审计，还是要从流程结果开始，验证结果的一致性、合理性等等。

谈到了流程，谈到了审计，那么如何审计流程是可以继续深入研究的话题，可以总结出一套经验，形成规则供参考的。审计流程不存在具体执行难度，而存在是否有审计权限，这和传统审计是一样。在流程中的审计技术主要着眼于：

1．              企业信息化中在各业务流程或整体解决方案设计好，有利于审计，如在广东招聘这个案例中面试官最后确定的名单不具有可修改性，同样的道理就是在业务流程中设置若干一定用户权限工作成果的不可修改性，如果要修改则要备份，备份的由最后审计人员才有权限查看和核对。再比如某中心绩效考核案例中，领导对部门的审核指标及其指标值确定后就不具有可修改性，如此审计人员就可以清晰观察每个月部门指标的情况，当然这个需要有这个权限，就是领导允许流程中的设计是事后可审计的。现在所谈到的这点就是流程设计中要充分考虑到在一些关键点设置可审计的不具有可修改性的数据，这些数据可以作为终极核对依据，而且这些数据就如同软件项目管理中的基线。

2．              根据业务流程运行结果，逆向执行流程来审计。根据审计结果，可以判断出结果是如何来的，这个如何来是按照规矩和特定方法来的，比如指标值的计算公式或计算规则等，然后找出执行流程某个环节对应的人，如果逆向流程，发现流程的执行与根据结果得到的流程是不同的或存在差异性，那么很明显在某个环节被“寻租”了，这个时候对相应环节的操作人就可以进行进一步审计。

3．              审计过程上应作到不动流程只动数据，如果审计结果存在不合理性而要修改流程则属于审计事后评估的结果。这个审计技术简单来说就是审计中不能先入为主或想当然地认为流程应当这样应当那样，而是要还原实际流程，这好比如企业信息化中去进行需求调研，很容易想当然或带着IT技术的视角去看待流程而不注重实际经营和管理流程。同样的道理，避免带着审计思维的流程去审核实际运行的流程，而只是还原实际流程来输入数据验证数据获得结果。

系统的审计流程技术是如何审计流程系统中的一个关键点，而如何审计流程作为企业信息化中的一个新命题提出来，需要在实践中进一步总结再进行理论阐述。本文核心点在论述了流程与审计的关联性，以及审计流程的必要性，而对于如何审计则有待于下深入的实践和理论研究。对于审计流程的实施，采取流程执行后结果的回溯本身是具有可行性的，也是可以立即采取行动的方法，关注这方面的专业人员可以就某些流程进行审计。

本文仅作为笔者在实际项目中的一个思考点，有兴趣者可以一起讨论！

Email:sharpsword@163.com

2008.06.16