上周,朋友老张在公司做Excel报表汇总时被叫停——财务部说他用的模板没走最新版审批流程,导出的数据不能进审计系统。他一脸懵:不就是改了几个单元格颜色?怎么就‘不合规’了?
案例一:共享文件夹里的“灰色地带”
某电商公司行政部习惯把员工考勤表、报销单都扔进一个叫“日常事务”的共享文件夹,权限设为“所有人可编辑”。去年内审时发现,3个月里有7份报销单被反复覆盖修改,原始附件丢失,连谁删的都查不到。最终补录了200多条手工记录,IT重搭了带操作日志的审批流。
关键点:
• 共享文件夹≠协作工具,缺权限控制和留痕机制;
• 审计看的不是“有没有存”,而是“谁、何时、为何改过”。
案例二:自动化的“假合规”
一家律所上线了合同归档系统,所有新合同必须上传PDF并勾选“已复核”。但审计抽样发现,62%的合同上传后5分钟内就点了提交,且附件命名全是“新建文档(1).pdf”“合同终稿_202403.pdf”——没人改名,也没人填字段。系统只认“勾选动作”,不认实质审核。
真实截图(模拟):
[ ] 已完成法律合规复核
[ ] 已确认客户资质有效期
附件:新建文档(1).pdf(大小:12KB)案例三:离职交接埋下的雷
某制造企业IT主管离职前,把OA系统超级管理员账号密码写在便签上,贴在显示器背面,交给新来的助理。半年后审计调日志,发现该账号在凌晨3点批量导出了近三年全部供应商付款明细——而助理根本不知道这个账号还能干这事。
后来他们做了两件事:
• 把所有高危操作(如导出、删除、权限变更)加了二次短信确认;
• 要求所有账号必须绑定个人手机号,离职当天自动冻结。
合规审计不是等检查才启动的动作,它藏在你每天关掉Excel前有没有保存版本、发邮件前有没有核对收件人、给同事开共享权限时是不是随手点了“可编辑”。