■ 汪永蘭
--------------------------------------------------------------------------------
《審計與理財》 2006年第12期
隨著會計電算化的廣泛推廣和應(yīng)用,給會計業(yè)務(wù)處理帶來極大的方便和效益,同時,因會計電算化舞弊給企業(yè)造成的損失也與日俱增,而且,在常規(guī)審計活動中,會計電算化舞弊行為很難被發(fā)現(xiàn)。根據(jù)ARCPA最近的一項(xiàng)統(tǒng)計發(fā)現(xiàn),在計算機(jī)數(shù)據(jù)處理環(huán)境下的舞弊金額是手工數(shù)據(jù)處理情況下的3倍,而常規(guī)審計活動只能發(fā)現(xiàn)其中的18%,嚴(yán)重危害企業(yè)乃至地區(qū)的經(jīng)濟(jì)安全。因此,對會計電算化舞弊的審計策略研究,成為審計人員必須面對的新的課題。
一、會計電算化舞弊方法
會計電算化舞弊具有智能性高、隱蔽性強(qiáng)、危害性大等特點(diǎn)。其舞弊的手段是隨著計算機(jī)技術(shù)的進(jìn)步而不斷變化的,就目前情況而言,主要包括以下幾類:
(1)篡改輸入。該方法是通過在會計數(shù)據(jù)錄入前或處理過程中對數(shù)據(jù)進(jìn)行篡改來達(dá)到舞弊目的。包括虛構(gòu)、修改、刪除業(yè)務(wù)數(shù)據(jù)行為。會計數(shù)據(jù)要經(jīng)過采集、記錄、傳遞、編碼、檢查、核對、轉(zhuǎn)換等環(huán)節(jié)進(jìn)入計算機(jī)系統(tǒng),任何與之相關(guān)的人員都有可能篡改數(shù)據(jù)。
(2)篡改應(yīng)用程序。該方法通過對應(yīng)用程序的非法修改達(dá)到舞弊目的,如通過對維護(hù)程序或直接通過終端來修改文件中的數(shù)據(jù),或暗中加入隱藏程序。在會計電算化信息系統(tǒng)中,從原始憑證錄入到會計報表的生成都由計算機(jī)系統(tǒng)自動完成,如果系統(tǒng)的應(yīng)用程序產(chǎn)生錯誤或被修改,計算機(jī)就會以錯誤的方式處理所有業(yè)務(wù),一旦系統(tǒng)被嵌入非法舞弊程序,則后果不堪設(shè)想。
(3)篡改輸出。指通過非法修改、銷毀輸出報表,將報表送給競爭對手,利用終端竊取機(jī)密信息等行為,從而達(dá)到作案目的。
(4)其他舞弊方法。如違法操作,即操作人員或其他人員不按操作規(guī)程或不經(jīng)允許就上機(jī)操作,改變計算機(jī)的執(zhí)行路徑;或通過物理接觸、拍照、拷貝、復(fù)印等方法來舞弊。
對于會計電算化舞弊的審計,審計人員首先應(yīng)評價內(nèi)控制度,關(guān)注舞弊環(huán)境。內(nèi)控制度是控制舞弊的有效措施。審計人員在審計過程中,需要對會計電算化內(nèi)控制度進(jìn)行評估,并進(jìn)行內(nèi)部控制是否有效執(zhí)行的測試,通過測試發(fā)現(xiàn)內(nèi)部控制的薄弱點(diǎn),確定被審單位可能使用的會計電算化舞弊手段,有針對性地實(shí)施技術(shù)性審查和取證。其次,審計人員應(yīng)關(guān)注容易引發(fā)舞弊的途徑,確定審計重點(diǎn)。由于會計電算化舞弊者主要通過輸入、輸出、程序等途徑入侵系統(tǒng)的,審計人員應(yīng)針對電算化會計系統(tǒng)的業(yè)務(wù)特點(diǎn),采用專門的審計技術(shù)方法及策略對舞弊的高發(fā)地帶進(jìn)行重點(diǎn)審計。
二、系統(tǒng)輸入類舞弊的審計
會計電算化輸入環(huán)節(jié)是會計信息系統(tǒng)業(yè)務(wù)處理的入口,也是舞弊發(fā)生頻率最高的環(huán)節(jié),當(dāng)被審單位系統(tǒng)內(nèi)部控制的弱點(diǎn)比較明顯時,比如,職責(zé)分工不明確、接觸控制不完善、無嚴(yán)格的操作權(quán)限以及系統(tǒng)自身缺乏核對控制等環(huán)節(jié),就可能出現(xiàn)下列舞弊行為:舞弊人員將假的存款輸入銀行系統(tǒng),增加作案者的存款數(shù)額;將企業(yè)賬號改為個人賬號以實(shí)現(xiàn)存款的轉(zhuǎn)移;消除購貨業(yè)務(wù)憑證,將貨款占為已有等等。
審計人員應(yīng)重點(diǎn)收集輸入環(huán)節(jié)的審計證據(jù),以捕捉舞弊跡象。如原始數(shù)據(jù)文件和業(yè)務(wù)中有疑問的數(shù)據(jù)記錄;記錄有關(guān)數(shù)據(jù)的介質(zhì),如磁盤、光盤和磁帶等;系統(tǒng)運(yùn)行記錄,如修改的審計線索記錄、日志記錄、異常報告以及錯誤運(yùn)行記錄等等,并采取以下實(shí)質(zhì)性檢查方法:
第一,應(yīng)用傳統(tǒng)方式審查手工記賬憑證與原始憑證的合法性。首先,審計人員應(yīng)抽查部分原始單據(jù),重點(diǎn)使用審閱法確定業(yè)務(wù)發(fā)生的真實(shí)性,判斷原始單據(jù)的來源是否合法,其數(shù)據(jù)有無被篡改,金額是否公允等。其次,采用核對法,將記賬憑證的內(nèi)容和數(shù)據(jù)與其原始單據(jù)的內(nèi)容和數(shù)據(jù)進(jìn)行核對,審查計算機(jī)處理的起點(diǎn)是否正確。
第二,將人工控制審查和計算機(jī)自動校驗(yàn)審查相結(jié)合,測試數(shù)據(jù)的完整性。審計人員模擬一組被審單位的計算機(jī)數(shù)據(jù)處理系統(tǒng)的數(shù)據(jù)輸入,使該系統(tǒng)在審計人員的親自操作或者控制下,根據(jù)數(shù)據(jù)處理系統(tǒng)所能達(dá)到的功能要求,完成處理過程,得到的數(shù)據(jù)與事先計算得到的結(jié)果相比較,檢驗(yàn)原來數(shù)據(jù)與現(xiàn)有數(shù)據(jù)之間有無差異,并且輸出差異報告。
第三,對輸出的差異報告進(jìn)行分析,核實(shí)例外情況,檢查有無異常情況或涂改行為。
三、程序舞弊類的審計
程序?qū)徲嬍请娝慊畔⑾到y(tǒng)審計的重要內(nèi)容,此環(huán)節(jié)舞弊的隱匿性極強(qiáng),舞弊人員通常具有一定的計算機(jī)知識,有的甚至精通計算機(jī)。常用的手法是采用截尾術(shù)、隱藏邏輯炸彈、活動天窗等,對系統(tǒng)的破壞性也極大。當(dāng)被審單位電算部門與用戶部門的職責(zé)分離不恰當(dāng),如程序員兼任操作員;系統(tǒng)開發(fā)控制不嚴(yán),如用戶單位沒有對開發(fā)過程進(jìn)行監(jiān)督,沒有詳細(xì)檢查系統(tǒng)開發(fā)過程中產(chǎn)生的文檔,被留下“活動天窗”或埋下“邏輯炸彈”,系統(tǒng)維護(hù)控制不嚴(yán),如程序員可隨時調(diào)用機(jī)內(nèi)程序進(jìn)行修改;接觸控制不完善,如操作員可以接觸系統(tǒng)的源程序及系統(tǒng)的設(shè)計文檔等,表明被審單位內(nèi)部控制存在弱點(diǎn),極有可能為舞弊者提供便利,審計人員應(yīng)采取以下策略:
第一,審查程序編碼;核對源程序基本功能,測試可疑程序,如果是非法的源程序,就是被埋下了“邏輯炸彈”和“活動天窗”。除此之外,還應(yīng)注意程序的設(shè)計邏輯和處理功能是否恰當(dāng)、正確,以檢查是否存在“截尾術(shù)”舞弊。
第二,進(jìn)行程序的比較。將實(shí)際運(yùn)行中的應(yīng)用軟件的目標(biāo)代碼或源程序代碼與經(jīng)過審計的相應(yīng)的備份軟件相比較,以確定是否有未經(jīng)授權(quán)的程序改動。
第三,使用特殊數(shù)據(jù)進(jìn)行測試。審計人員應(yīng)采用模擬數(shù)據(jù)或真實(shí)數(shù)據(jù)測試被審系統(tǒng),通過系統(tǒng)的處理來檢查系統(tǒng)對實(shí)際業(yè)務(wù)中同類數(shù)據(jù)處理的正確性以及對錯誤數(shù)據(jù)的鑒別能力。審計人員要根據(jù)測試目的確定系統(tǒng)中必須包括的控制措施,檢查其處理結(jié)果與預(yù)期結(jié)果是否一致。
第四,追蹤非法編碼段。使用審計程序或者審計軟件包,對系統(tǒng)處理過程進(jìn)行全方位或某一范圍內(nèi)的跟蹤處理,得出的結(jié)果與系統(tǒng)處理結(jié)果相比較,以判斷系統(tǒng)是否安全可靠。并追蹤那些潛在的可能成為其他目的所利用的編碼段,追查由此可能獲取的收入。
四、系統(tǒng)輸出類舞弊的審計
該類舞弊的主體除了內(nèi)部用戶外,大多為外來者。他們主要通過拾遺、破譯密鑰、篡改輸出報告、盜竊可截取的機(jī)密文件等手段作案。當(dāng)被審單位內(nèi)部控制存在以下弱點(diǎn):(1)輸出控制不健全,如對廢棄的打印輸出信息沒有及時送到指定的人員手中。(2)接觸控制不完善,如無關(guān)人員可隨便進(jìn)入機(jī)房,無專人保管系統(tǒng)輸出的數(shù)據(jù)磁盤,或雖有專人保管但無借用手續(xù)。(3)傳輸控制不完善,如網(wǎng)絡(luò)系統(tǒng)的遠(yuǎn)程傳輸數(shù)據(jù)沒有經(jīng)過加密傳輸,容易被截取。此時應(yīng)該引起審計人員的高度警惕,并采取以下對策審查輸出類舞弊:
第一,檢查無關(guān)或作廢的打印資料是否及時銷毀,暫時不用的磁盤、磁帶是否還殘留數(shù)據(jù)。
第二,審查計算機(jī)運(yùn)行的記錄日記和拷貝傳送數(shù)據(jù)的時間和內(nèi)容,了解訪問會計數(shù)據(jù)處理人員,分析數(shù)據(jù)失竊的可能性,追蹤審計線索。
第三,向計算機(jī)重要數(shù)據(jù)的管理人員了解原始備份文件和拷貝的內(nèi)容,分析特殊的舞弊線索。
綜上所述,通過將傳統(tǒng)審計技術(shù)與信息技術(shù)相結(jié)合以及對會計電算化舞弊的入侵環(huán)節(jié)實(shí)施重點(diǎn)審查的審計策略,可以有效防范會計信息系統(tǒng)中的隱患,揭露犯罪行為,保障計算機(jī)系統(tǒng)的安全,維護(hù)企業(yè)、國家、社會的經(jīng)濟(jì)利益。
(作者單位:淮海工學(xué)院東港學(xué)院)
