
■ 汪永蘭
--------------------------------------------------------------------------------
《審計與理財》 2006年第12期
隨著會計電算化的廣泛推廣和應(yīng)用,給會計業(yè)務(wù)處理帶來極大的方便和效益,同時,因會計電算化舞弊給企業(yè)造成的損失也與日俱增,而且,在常規(guī)審計活動中,會計電算化舞弊行為很難被發(fā)現(xiàn)。根據(jù)ARCPA最近的一項統(tǒng)計發(fā)現(xiàn),在計算機數(shù)據(jù)處理環(huán)境下的舞弊金額是手工數(shù)據(jù)處理情況下的3倍,而常規(guī)審計活動只能發(fā)現(xiàn)其中的18%,嚴重危害企業(yè)乃至地區(qū)的經(jīng)濟安全。因此,對會計電算化舞弊的審計策略研究,成為審計人員必須面對的新的課題。
一、會計電算化舞弊方法
會計電算化舞弊具有智能性高、隱蔽性強、危害性大等特點。其舞弊的手段是隨著計算機技術(shù)的進步而不斷變化的,就目前情況而言,主要包括以下幾類:
(1)篡改輸入。該方法是通過在會計數(shù)據(jù)錄入前或處理過程中對數(shù)據(jù)進行篡改來達到舞弊目的。包括虛構(gòu)、修改、刪除業(yè)務(wù)數(shù)據(jù)行為。會計數(shù)據(jù)要經(jīng)過采集、記錄、傳遞、編碼、檢查、核對、轉(zhuǎn)換等環(huán)節(jié)進入計算機系統(tǒng),任何與之相關(guān)的人員都有可能篡改數(shù)據(jù)。
(2)篡改應(yīng)用程序。該方法通過對應(yīng)用程序的非法修改達到舞弊目的,如通過對維護程序或直接通過終端來修改文件中的數(shù)據(jù),或暗中加入隱藏程序。在會計電算化信息系統(tǒng)中,從原始憑證錄入到會計報表的生成都由計算機系統(tǒng)自動完成,如果系統(tǒng)的應(yīng)用程序產(chǎn)生錯誤或被修改,計算機就會以錯誤的方式處理所有業(yè)務(wù),一旦系統(tǒng)被嵌入非法舞弊程序,則后果不堪設(shè)想。
(3)篡改輸出。指通過非法修改、銷毀輸出報表,將報表送給競爭對手,利用終端竊取機密信息等行為,從而達到作案目的。
(4)其他舞弊方法。如違法操作,即操作人員或其他人員不按操作規(guī)程或不經(jīng)允許就上機操作,改變計算機的執(zhí)行路徑;或通過物理接觸、拍照、拷貝、復印等方法來舞弊。
對于會計電算化舞弊的審計,審計人員首先應(yīng)評價內(nèi)控制度,關(guān)注舞弊環(huán)境。內(nèi)控制度是控制舞弊的有效措施。審計人員在審計過程中,需要對會計電算化內(nèi)控制度進行評估,并進行內(nèi)部控制是否有效執(zhí)行的測試,通過測試發(fā)現(xiàn)內(nèi)部控制的薄弱點,確定被審單位可能使用的會計電算化舞弊手段,有針對性地實施技術(shù)性審查和取證。其次,審計人員應(yīng)關(guān)注容易引發(fā)舞弊的途徑,確定審計重點。由于會計電算化舞弊者主要通過輸入、輸出、程序等途徑入侵系統(tǒng)的,審計人員應(yīng)針對電算化會計系統(tǒng)的業(yè)務(wù)特點,采用專門的審計技術(shù)方法及策略對舞弊的高發(fā)地帶進行重點審計。
二、系統(tǒng)輸入類舞弊的審計
會計電算化輸入環(huán)節(jié)是會計信息系統(tǒng)業(yè)務(wù)處理的入口,也是舞弊發(fā)生頻率最高的環(huán)節(jié),當被審單位系統(tǒng)內(nèi)部控制的弱點比較明顯時,比如,職責分工不明確、接觸控制不完善、無嚴格的操作權(quán)限以及系統(tǒng)自身缺乏核對控制等環(huán)節(jié),就可能出現(xiàn)下列舞弊行為:舞弊人員將假的存款輸入銀行系統(tǒng),增加作案者的存款數(shù)額;將企業(yè)賬號改為個人賬號以實現(xiàn)存款的轉(zhuǎn)移;消除購貨業(yè)務(wù)憑證,將貨款占為已有等等。
審計人員應(yīng)重點收集輸入環(huán)節(jié)的審計證據(jù),以捕捉舞弊跡象。如原始數(shù)據(jù)文件和業(yè)務(wù)中有疑問的數(shù)據(jù)記錄;記錄有關(guān)數(shù)據(jù)的介質(zhì),如磁盤、光盤和磁帶等;系統(tǒng)運行記錄,如修改的審計線索記錄、日志記錄、異常報告以及錯誤運行記錄等等,并采取以下實質(zhì)性檢查方法:
第一,應(yīng)用傳統(tǒng)方式審查手工記賬憑證與原始憑證的合法性。首先,審計人員應(yīng)抽查部分原始單據(jù),重點使用審閱法確定業(yè)務(wù)發(fā)生的真實性,判斷原始單據(jù)的來源是否合法,其數(shù)據(jù)有無被篡改,金額是否公允等。其次,采用核對法,將記賬憑證的內(nèi)容和數(shù)據(jù)與其原始單據(jù)的內(nèi)容和數(shù)據(jù)進行核對,審查計算機處理的起點是否正確。
第二,將人工控制審查和計算機自動校驗審查相結(jié)合,測試數(shù)據(jù)的完整性。審計人員模擬一組被審單位的計算機數(shù)據(jù)處理系統(tǒng)的數(shù)據(jù)輸入,使該系統(tǒng)在審計人員的親自操作或者控制下,根據(jù)數(shù)據(jù)處理系統(tǒng)所能達到的功能要求,完成處理過程,得到的數(shù)據(jù)與事先計算得到的結(jié)果相比較,檢驗原來數(shù)據(jù)與現(xiàn)有數(shù)據(jù)之間有無差異,并且輸出差異報告。
第三,對輸出的差異報告進行分析,核實例外情況,檢查有無異常情況或涂改行為。
三、程序舞弊類的審計
程序?qū)徲嬍请娝慊畔⑾到y(tǒng)審計的重要內(nèi)容,此環(huán)節(jié)舞弊的隱匿性極強,舞弊人員通常具有一定的計算機知識,有的甚至精通計算機。常用的手法是采用截尾術(shù)、隱藏邏輯炸彈、活動天窗等,對系統(tǒng)的破壞性也極大。當被審單位電算部門與用戶部門的職責分離不恰當,如程序員兼任操作員;系統(tǒng)開發(fā)控制不嚴,如用戶單位沒有對開發(fā)過程進行監(jiān)督,沒有詳細檢查系統(tǒng)開發(fā)過程中產(chǎn)生的文檔,被留下“活動天窗”或埋下“邏輯炸彈”,系統(tǒng)維護控制不嚴,如程序員可隨時調(diào)用機內(nèi)程序進行修改;接觸控制不完善,如操作員可以接觸系統(tǒng)的源程序及系統(tǒng)的設(shè)計文檔等,表明被審單位內(nèi)部控制存在弱點,極有可能為舞弊者提供便利,審計人員應(yīng)采取以下策略:
第一,審查程序編碼;核對源程序基本功能,測試可疑程序,如果是非法的源程序,就是被埋下了“邏輯炸彈”和“活動天窗”。除此之外,還應(yīng)注意程序的設(shè)計邏輯和處理功能是否恰當、正確,以檢查是否存在“截尾術(shù)”舞弊。
第二,進行程序的比較。將實際運行中的應(yīng)用軟件的目標代碼或源程序代碼與經(jīng)過審計的相應(yīng)的備份軟件相比較,以確定是否有未經(jīng)授權(quán)的程序改動。
第三,使用特殊數(shù)據(jù)進行測試。審計人員應(yīng)采用模擬數(shù)據(jù)或真實數(shù)據(jù)測試被審系統(tǒng),通過系統(tǒng)的處理來檢查系統(tǒng)對實際業(yè)務(wù)中同類數(shù)據(jù)處理的正確性以及對錯誤數(shù)據(jù)的鑒別能力。審計人員要根據(jù)測試目的確定系統(tǒng)中必須包括的控制措施,檢查其處理結(jié)果與預(yù)期結(jié)果是否一致。
第四,追蹤非法編碼段。使用審計程序或者審計軟件包,對系統(tǒng)處理過程進行全方位或某一范圍內(nèi)的跟蹤處理,得出的結(jié)果與系統(tǒng)處理結(jié)果相比較,以判斷系統(tǒng)是否安全可靠。并追蹤那些潛在的可能成為其他目的所利用的編碼段,追查由此可能獲取的收入。
四、系統(tǒng)輸出類舞弊的審計
該類舞弊的主體除了內(nèi)部用戶外,大多為外來者。他們主要通過拾遺、破譯密鑰、篡改輸出報告、盜竊可截取的機密文件等手段作案。當被審單位內(nèi)部控制存在以下弱點:(1)輸出控制不健全,如對廢棄的打印輸出信息沒有及時送到指定的人員手中。(2)接觸控制不完善,如無關(guān)人員可隨便進入機房,無專人保管系統(tǒng)輸出的數(shù)據(jù)磁盤,或雖有專人保管但無借用手續(xù)。(3)傳輸控制不完善,如網(wǎng)絡(luò)系統(tǒng)的遠程傳輸數(shù)據(jù)沒有經(jīng)過加密傳輸,容易被截取。此時應(yīng)該引起審計人員的高度警惕,并采取以下對策審查輸出類舞弊:
第一,檢查無關(guān)或作廢的打印資料是否及時銷毀,暫時不用的磁盤、磁帶是否還殘留數(shù)據(jù)。
第二,審查計算機運行的記錄日記和拷貝傳送數(shù)據(jù)的時間和內(nèi)容,了解訪問會計數(shù)據(jù)處理人員,分析數(shù)據(jù)失竊的可能性,追蹤審計線索。
第三,向計算機重要數(shù)據(jù)的管理人員了解原始備份文件和拷貝的內(nèi)容,分析特殊的舞弊線索。
綜上所述,通過將傳統(tǒng)審計技術(shù)與信息技術(shù)相結(jié)合以及對會計電算化舞弊的入侵環(huán)節(jié)實施重點審查的審計策略,可以有效防范會計信息系統(tǒng)中的隱患,揭露犯罪行為,保障計算機系統(tǒng)的安全,維護企業(yè)、國家、社會的經(jīng)濟利益。
(作者單位:淮海工學院東港學院)