一、计算机舞弊分析
㈠ 计算机舞弊的特点
㈡ 计算机舞弊的主要手法
二、计算机舞弊的审计
㈠ 会计信息化环境下审计的特点
㈡ 会计信息化环境下的审计目标
㈢ 计算机舞弊审计的主要方法
内 容 摘 要
人类进入二十一世纪后,知识经济和信息技术的高速发展,推动全球进入了信息社会时代。在计算机会计信息化环境下,传统的会计核算手段和财务处理程序发生了重大的变化,企业由计算机会计逐渐代替了手工会计。它在给人们带来巨大收益的同时,也存在不可忽视的弊端。如:容易被犯罪活动所侵害,利用该系统实施的财务造假较难防范,造假造成的后果也较为严重,等等。目前我国财会领域的计算机舞弊正呈现抬头和发展之势,过去一些手工核算环境下的造假手法正在由计算机去完成或实现。人们正面临着越来越繁重的防范和查处计算机舞弊的任务,因此,在计算机会计信息化环境下,反计算机舞弊的一道有力防线就是审计。审计人员应该根据自己处理传统舞弊案件的经验,较透彻地分析计算机舞弊手法,努力检查并处理计算机犯罪事件,针对不同的情况,运用相应的审计手段。
计算机舞弊与审计
在我国,近几年来,在计算机会计信息化环境下,传统的会计核算手段和财务处理程序发生了重大的变化,企业由计算机会计逐渐代替了手工会计。它在给人们带来巨大收益的同时,也存在不可忽视的弊端。目前我国财会领域的计算机舞弊正呈现抬头和发展之势,过去一些手工核算环境下的造假手法正在由计算机去完成或实现。因此,在计算机会计信息化环境下,反计算机舞弊的一道有力防线就是审计。审计人员应该根据自己处理传统舞弊案件的经验,较透彻地分析计算机舞弊手法,努力检查并处理计算机犯罪事件,针对不同的情况,运用相应的审计手段。
一、计算机舞弊分析
计算机舞弊是指在计算机会计核算和管理条件下,通过计算机系统实现各种财务造假。这类造假的手法,或者是以计算机技术进行财务造假和有关违法乱纪活动,或者是对核算和管理系统进行恶意攻击和破坏等。与一定的政治经济环境相联系,在计算机运用和普及的不同阶段,计算机舞弊的特点和手法有所不同。
㈠ 计算机舞弊的特点
计算机舞弊的特点是智能性、隐蔽性和严重的危害性。这是因为在计算机会计核算和管理的背景下,财务造假的环境发生了很多变化,主要表现在以下几个方面:
1、数据过分集中于一个地点,容易受到侵害。会计核算的数据经过处理后,集中储存于单位统一设置的数据库中,因此该数据经常成为造假者攻击的目标。
2、信息资料不可直接目视。会计核算资料被保存于计算机内存储器中,与原来纸质的资料不同,人们不能直接和便捷地观察资料数据,而只能通过计算机显示或输出后才能读取。所以对计算机内保存的会计核算资料进行造假、滥用,较难被发现,非专业人员一般较难进入系统对其进行检查,也较难直观地捕捉其蛛丝马迹。
3、造假可以不动声色、不留痕迹,并可以在瞬间完成。手工记录的改动容易留下明显的痕迹,但计算机系统下情形就有所不同。对储存于磁性媒介中的信息数据可以通过重写来做出改动,改变先前的记录或读写错误的数据可以不留任何痕迹,通过仪器检测也不能发现计算机内存或录入数据的变动。同时由于计算机运算速度极快,造假指令在短暂瞬间即可完成。
4、审计线索变得模糊不清。常规审计线索是通过账簿、凭证和报表的异常或者是更改出现的痕迹来发现的。而在计算机环境下,这种异常显得不甚明显,改动痕迹近乎于无,所以审计的线索变得模糊不清。
5、网络更增加了造假给财务核算资料带来的风险性和危害性。由于计算机系统和网络存在着易受攻击的特点,使得在网络系统下比在手工核算和管理条件下存在更大的造假机会和风险。特别是目前我国网络的普及速度迅猛,而对网络风险的防范却相对滞后,网络风险问题更加突出。
6、人们对计算机造假舞弊的认识存在误区和技术阻碍,难以实施全员防御措施。由于计算机的先进性,计算机方面的一些知识变得越来越复杂,一个人需要大量专业知识,才能理解计算机环境下,特别是在计算机程序方面正在发生的情形或者是存在的问题。
7、实施计算机舞弊的人员一般是计算机专业技术人员和操作人员的个人舞弊,或者是参与管理者的勾结舞弊或集体舞弊。实施舞弊的人员要具有计算机理论和实践知识,而且有时要达到相当高的水平,并具有在造假舞弊中获利的能力;或者要具有条件接近或操作计算机,对本单位会计电算化系统较为熟悉和了解,能够迅速进入系统并能够启动实质性操作程序。
㈡ 计算机舞弊的主要手法
目前我国财会领域的计算机舞弊正呈现抬头和发展之势,过去一些手工核算环境下的造假手法正在由计算机去完成或实现。发现计算机舞弊的主要手法集中于以下几种:
1、篡改数据或业务
这是计算机舞弊中最简单最常用的手法。它通常表现为:
⑴ 添加、减少、更改输入计算机核算系统的数据,或者输入伪造的业务数据,以调节或更改计算机系统输出结果。
⑵ 伪造输出数据,或者人为地调整输出信息,隐瞒、破坏、偷窃、盗用输出数据。
⑶ 对已有业务进行变动,将原本完整的业务人为切割成若干部分,分次录入计算机核算系统;或者将原本无关的经济业务合并于一处,以一笔业务方式录入计算机,使之不能反映经济业务的本来面貌。
⑷ 错误地使用会计分录,人为破坏会计核算原理,以影晌核算结果。
2、窃取财务信息、篡改商业秘密和数据泄密
窃取财务信息、篡改商业秘密和数据泄密是系统非法用户利用不正常手段获取企业重要机密,使其造成具大的经济损失。它通常表现为:
⑴ 窃取、偷听、记忆、盗用、拼凑用户密码,非法进入计算机系统,盗窃会计核算与管理的数据和信息,或为以后进行财务造假和违法乱纪活动做好准备。
⑵ 利用内部控制系统的缺陷访问机密文件,或者利用内部控制的薄弱环节,窃取财务信息和商业机密。
⑶ 对组织的会计核算和管理系统进行非法监视,将有关信息情报外泄或提供给相关竞争对手。
⑷ 违规浏览、探查信息数据库,越权处理有关核算和管理业务。例如通过非法口令执行领导操作程序,冒充领导批准文件或下达指令。
3、篡改程序
篡改程序是指对程序做非法改动,以便达到某种舞弊的目的。它通常表现为:
⑴ 篡改计算机运行程序,使其运行结果偏离既定的轨道和方向,输出的数据包含偏差和错误。如改变计算机运算过程,将应列入成本费用的项目不计入有关成本费用之中,使成本费用虚减或虚增。
⑵ 改动计算机正常走时,使计算机核算的时点和时间产生错误,损坏会计分期核算的基础。如提前结账,将本期收入递延到下一个会计期间,制造虚假盈利或亏损。
二、计算机舞弊的审计
对计算机舞弊的审计除了借鉴传统审计方法,如:分析性复核,审阅与核对法,盘点实物,查询及函证外,最有效的是根据会计信息化环境下审计的特点结合计算机审计有目标、有针对性地进行审计。所谓会计信息化,是指将会计信息作为管理信息资源,全面运用以计算机网络和通讯为主的信息技术对其进行获取、加工、传递、存储、应用等处理,建立计算机技术与会计高度融合的、开放的现代会计信息系统,为企业经营管理、控制决策和经济运行提供充足、实时、全方位的信息。计算机审计是对计算机会计信息系统中的数据进行审计,并利用计算机技术辅助实施审计。
㈠ 会计信息化环境下审计的特点
1、审计的所有领域将全面运用现代信息技术。
这是指在审计的理论研究、实务工作、管理模式、知识结构等方面都将运用现代信息技术,使技术与审计高度融合,大大提高审计的工作质量和效率。
2、明细信息的数据安全性、可靠性是未来审计的重点。
在会计信息化条件下,企业所提供的最主要的会计信息将是各种明细信息,因此,审计的工作重点在于验证企业内部形成的明细信息的真实可靠性,以及审核进入外部网络的明细信息的安全性。
3、计算机专家参与审计工作。
在会计信息化环境下,审计工作所面临的会计系统非常复杂,对审计人员的信息技术掌握程度要求非常高,审计人员必须充分利用计算机专家的专业能力进行审计工作。需要计算机专家参与的工作是深层次的、与技术高度融合的审计工作,如数据仓库的分析评价、网络系统的安全评价、实时监控和实时审计软件的开发、信息系统应用软件的审计等。这些工作,单纯依靠审计人员是难以完成的。
4、审计工作将从原来事后的静态审计与事前和事中动态审计结合进行。
原来事后的静态审计是指传统的财务报表审计。由于社会公众对信息质量要求将不断提高,企业经营成败很大程度上取决于信息的及时取得和应用,所以对于未来的财务非财务信息的审核和披露,将比传统的报表审计更重要。未来的审计人员在执行业务时,将更注重对这些信息的审核和披露。对企业进行事前和事中的动态审计,是指审计人员结合企业及时取得的信息可经常性提供管理审计建议书和其他监控必要的信息,从而为企业提供管理决策所需的信息。若会计师事务所与被审计单位建立了一定期间的合作关系,审计工作可以把原来事后的静态审计与事前和事中动态审计结合进行。
5、审计的覆盖面将扩大
在会计信息化环境下,审计的对象是以计算机为处理手段的信息处理系统。这是信息技术下的审计区别其他审计的标志,同时这也表明不仅会计信息化的会计信息系统是审计的对象,其他计算机信息处理系统(像销售与分发管理子系统、物料管理子系统、生产计划子系统、质量管理子系统等)也是审计的对象,因为这些管理信息将会影响企业管理者的决策。
6、对审计人员的素质要求提高了。
在会计信息化条件下,由于审计线索的变化、内部控制的变化、审计对象和内容的扩大及审计方法的变化,决定了对审计人员要求的提高。具体表现为审计人员进行审计时不再局限于传统纸张上的书面数据,也不局限于会计系统,而是部分或全部依赖于电子数据。同时,审计人员除了掌握传统审计的基本知识外,还应掌握计算机知识及其应用技术,掌握数据处理和管理技术,掌握现代信息技术的应用;不仅要会操作审计软件,而且要能根据需要编写出各种测试审查程序模块。
㈡ 会计信息化环境下的审计目标
目标是行动的指南。审计目标是指在特定的环境下,人们通过审计实践活动所期望达到的根本目的和要求。审计目标是由社会需求决定的,它随审计的对象和内容不同而变化。我国独立审计的目标为被审计单位会计报表的合法性、公允性。会计信息化环境下的审计目标可以概括为:通过收集证据和评价证据,以此来确定一个计算机会计信息系统是否安全、合法、可靠,是否能维护数据的真实性、可靠性和完整性,是否能以最低的成本费用和最少的时间达到企业目的。审计目标决定了审计程序和审计方法。对于计算机舞弊的审计,针对不同的情况,运用相应的审计手段。
㈢ 计算机舞弊审计的主要方法
1、篡改数据或业务的审计
⑴ 应用传统方法审查手工记账凭证与原始凭证的合法性。首先,审计人员应抽查部分原始单据,重点使用审阅法确定业务发生的真实性,判断原始单据的来源是否合法,其数据有无被篡改,金额是否公允等。其次,采用核对法,将记账凭证的内容和数据与其原始单据的内容和数据进行核对,审查计算机处理的起点是否正确。最后再进行账账核对。
⑵ 应用抽样审计技术,将机内部分记账凭证与手工记账凭证进行核对,审查输入凭证的真实性。根据被审对象所输入的凭证,通过手工操作,将处理的结果与计算机处理系统的输出结果进行对比,检验其是否一致。
⑶ 测试数据的完整性。审计人员模拟一组被审单位的计算机数据处理系统的数据输入,使该系统在审计人员的亲自操作或控制下,根据数据处理系统所能达到的功能要求,完成处理过程,得到的数据与事先计算得到的结果相比较,检验原来数据与现有数据之间是否保持完全一致。
⑷ 对输出报告进行分析,检查有无异常情况或涂改情况。如与审计相关的账册、报表、操作日志、上机记录等要打印备查。
⑸ 数据的安全性审查。检查数据在输入前后是否接受了各种验证。包括:①责任分工:网络电子数据处理部门与用户部门是否职责分离,如果有一个人既负责业务交易,又有权接触电子数据处理,企业就存在舞弊和过失的双重风险;网络电子数据处理部门内部是否有职责分工,在电子数据处理部门内部进行职责划分,其目的是保证不相容职责由不同的人担任,以及保证一个人能对其他人的工作进行检查。②经办人员分别负责制作、检查、签字工作,或者实行双重负责制。
⑹ 总量计算,建立输入批控制核算。在这种方法中,审计人员首先根据控制要点选择数据,建立批处理总数,然后将数据输入,将输出结果与批处理总数相核对。采用这一方法,数据被分为小组,加总得到的合计数,即为控制总数。数据可以是正常的,也可以是非正常的。对于非正常数据,可以检查程序对输入错误的更正以及校验的过程,以确认输入校验措施的可靠性。
⑺ 对操作权限进行审查。检查是否有非法越权行为或泄密行为。包括:①身份验证。验证访问者的身份是否与赋权者的身份一致。②存取控制权限的控制情况。密级——绝密、机密、秘密、内部、敏感。分工——系统开发人员、系统管理员、操作员、用户。
⑻ 检查上机日志。操作系统的日志文件中包含了详细的用户信息和系统调用数据的信息。在网络会计中,由于用户可随机从不同的客户机上登录,主机间也经常需要交换信息,对留下的记录进行分析判断的难度是很大的。做这项工作需要正确的职业敏感和职业判断。
⑼ 通过数据接口直接向计算机会计信息系统获取审计证据,利用EXCEL等进行辅助审计。这是计算机审计的一项重要的工作。数据接口就是两个不同系统间进行对话的桥梁,它通常是已知格式或结构的数据文件。如:①利用财务软件的数据接口功能获取审计证据。②利用审计软件的数据接口功能获取审计证据。通过数据接口使获取的审计证据变为已用。可利用EXCEL进行审计复核、查找审计线索等。做这项工作要求审计人员熟悉计算机会计信息系统的结构和运行原理,并掌握审计软件的使用方法。
2、窃取财务信息、篡改商业秘密和数据泄密的审记
⑴ 检查计算机系统的使用记录,看数据文件是否被存取过或什么时间存取过,是否属于正常工作。通常有IBM公司的SMF法与CCA软件公司的TopSecret程序工具。其主要功能有:记录使用者名、每个程序段的CPU使用时占用的存储容量、使用的机器名、作业终了状态等;数据文件使用记录功能,如所使用的数据文件名、使用者名、数据文件的改变情况等;容量记录功能,记录每个数据文件的数据量等。
⑵ 检查打印资料是否及时处理,暂时不用的磁盘、磁带上是否还残留有数据。
⑶ 检查是否有非法用户登录过此系统。这可以通过系统访问记录或上机日志来找出线索。例如:系统记录记录某一个操作员的访问时间通常是8点至17点,可是忽然出现了23点的访问记录,这就可以怀疑有非法用户登录此系统。
⑷ 调查及函证怀疑对象的个人交往,以便发现线索。
3、篡改程序的审查
⑴ 程序代码检查法。检查全部或可疑部分源程序,分析是否有非法的源程序,这种方法的具体步骤如下:①审计人员应根据自身的经验,编写测试程序必要的控制措施。②分析源程序码,检查是否有必要的控制措施。③对源程序调用的子程序进行测试,由于一些程序设计人员会在源程序中暗藏子程序,而这些子程序往往用作不合规的会计业务。
⑵ 程序代码比较法。将实际应用中应用软件的目标代码或源代码与经过审计的相应备份软件相比较,以确定是否有未经授权的程序改动。具体实施时,可以借助一些系统工具。
⑶ 测试数据法。它是一种模拟某些业务数据,并将测试数据输入系统,通过系统的处理来检查系统对实际业务中同类数据处理的正确性以及对错误数据的鉴别能力的方法。它主要是对各种共同的细节处理的有效性的测试,例如合理性检查、溢位检查、负号检查、校验法检查记录顺序等。审计人员要根据测试的目的确定系统中必须包括的控制措施,应用模拟数据或真实数据测试被审系统,检查处理结果是否正确。
⑷ 程序追踪法。使用审计程序或审计软件包,对系统处理过程进行全方位或某一范围内的跟踪处理,得出的结果与系统处理的结果相比较,以判断系统是否安全可靠。运用该方法可以方便地找到那些潜在的可能被不法分子利用的编码段。
计算机舞弊的基本原理并没有超越传统的会计信息舞弊原理范围,但是加进复杂的信息技术手段无疑对审计人员提出了更高的要求。因此,在计算机会计信息化环境下,对被审计单位, 审计人员面临着越来越繁重的防范和查处计算机舞弊的任务,如何提高审计质量,如何降低审计风险,应使传统的审计方法和对计算机会计信息系统中的电子数据进行审计的技术与方法即计算机审计相结合,揭示计算机舞弊的任务将任重而道远。
参 考 文 献
1、苏运法等,《计算机审计》,北京:首都经济贸易大学出版社,2005年。
2、尹平,《财务造假监控与检测》,北京:中国财政经济出版社,2004年。
3、刘雪晶、李丹,《会计网络化的计算机舞弊与审查》,《财务与会计导刊》2003年第4期。
4、胡玲,《试论在会计信息化环境下审计的特点》,《财务与会计导刊》2003年第5期。
