一、计算机舞弊概述
二、计算机会计舞弊现状分析
三、抑制计算机会计舞弊的审计手段
四、结束语
内 容 摘 要
计算机网络技术的不断快速发展,引导着会计电算化的普及。利用计算机对会计行为的舞弊与犯罪日趋严重,本文试图分析通过计算机进行舞弊的一些特点,探讨在会计电算过程中,如何对信息舞弊的审计和安全防护的改进,提出一些能对计算机舞弊行为进行抑制的方法。
计算机舞弊与审计
现代计算机技术和网络科技的快速发展,引领会计电算化的不断进步。在此过程中,利用计算机软件工具使得会计工作愈发高效。但是,相应的舞弊行为也在工具的不断革新中得到提升与发展。魔高一尺、道高一丈,审计作为一种重要的风险防控手段,势必要在新形势下对计算机舞弊做出有效抑制。
一、计算机舞弊概述
计算机舞弊,在1966的美国首次被报道。约20年后的1986年,我国发现了首例的计算机舞弊案。随着技术的发展,计算机舞弊这一事物被越来越多的公众所熟知。首先我们来了解一下什么是计算机舞弊和它出现的原因;
(一)计算机舞弊的定义
计算机舞弊,是指利用计算机系统所进行的舞弊行为,或者是针对计算机系统所进行的舞弊行为。
(二)为什么会出现计算机舞弊
1.计算机系统中的工作部件较小,易于窃取。
2.计算机及其存储信息的价值都很高,极易成为舞弊的对象。
3.计算机的大量使用分担了人力,带来工作人员的数量的减少,这样就很难实行职务的分离和对业务处理流程的仔细监控。
4.计算机系统的复杂性和缺乏审计线索,传统的手工监控措施难以实施。
5.输入的数据易于篡改且难以被发现。
6.信息系统的自动化处理中容易出现问题。
7.工作人员对输出结果检查不力或流于形式而不能有效稽核。
8.信息存储介质易于复制(优盘等高速移动媒体方便了信息复制的过程)。
9.系统管理人员因主观(如信息安全意识淡薄)或客观(如未获得系统的详细说明)原因造成对程序的控制不力。
大部分的计算机舞弊行为,发生在会计过程中。下面我们来分析一下计算机会计舞弊的多种行为和特征。
二、计算机会计舞弊现状分析
计算机会计舞弊,按行为特征分为以下几类:
(一) 信息系统处理规则舞弊
处理规则是计算机自动化、高效率处理数据的前提,它规定了信息系统运行的环境,是系统功能发挥的基础和必要条件。就应用属性而言,可以将其分为以下两大类:
1.常规性、公共性及确定性的规则。如会计系统中的“有借必有贷,借贷必相等”、“同级明细科目发生额必须等于其上级科目发生额”等等。这类规则一般在软件设计时已经被“固化”嵌入到系绕的程序中,当系统运行时,这些规则直接发挥作用。
2.与软件系统运行个体背景相关、有明显个性化特征的规则。如信息系统中的账套参数、操作员身份及权限参数、机构人员档案、科目体系档案、折旧方法选择等。这类规则通常在软件设计时预留数据接口,然后由未来的用户自己完成。它属于商品化通用软件在运行前要“初始化”的范畴。按内容而言可将其继续分为以下两类:一是与系统运行环境有关的参数(如企业名称、行业类型、有无外币核算、操作员身份及权限参数、各种对象或元素的档案体系等);二是与系统或其各功能模块运行有关的基础数据(如以前环境下的各种未两清业务、科目余额等等)。这类数据决定了软件系统运行的数据平台。对上述第二类规则的理解,需要把握以下几个方面的要义:分布广,即启用软件的任何一个新的功能模块或系统,通常都会涉及到这些相关规则的设置问题;分层次、由于信息系统数据共享范围不同,使得这些规则具有一定的层次性;可维护性,有些规则即使是在信息系统运行后,仍然可以维护修改。
案例:多账套舞弊。账套是商品化软件开发商基于通用化考虑,为兼顾不同行业、不同企业用户的个性化需要,由购买者在软件功能平台支持下,根据软件预留的参数接口,由企业自己定义和建立的核算与管理体系。它是一个将通用商品品化软件转变为企业专用软仵的过程。
一个独立的核算单位只能建立一个账套,而软件通常有能力支持建立多个账套。为共享操作员资源,系统支持超级用户可“统领”以及操作员可同时操作软件中的多个账套。系统提供的数据维护接口,可使多套账之间十分方便地进行数据^^文档相互取舍、传递,以及账套的输出、引入、删除等操作。被输出的账套既可存储在本机硬盘中,也可通过网络存储在其它外部介质中。显然这种机制为舞弊者进行整体、综合的舞弊提供了极大机会,舞弊者可按不同的核算规则分别设置多个套账并同时进行核算。而来源于相同业务事项的原始数据,按不同的目标或不同的信息使用对象依不同的加工规则进行加工,自然会产生差异很大的数据结果。如果没有严格的系统内部控制和外部审计措施,那么这种多账套舞弊在信息化环境下将易如反掌。
(二)系统内控机制舞弊
内部控制又称内部牵制,它是信息系统安全、可靠和正确运行的保证。在手工环境下,人是主要的因素,所以内控出发点几乎都是以人为目标展开的。
具体措施是:通过凭证传递流程来选择控制点,规定每个工作点应完成的任务,然后相互校检与核对以保证数据的正确性。如账证、账账、账实核对法,以及各种签名控制措施等。但在计算机系统中,由于数据处理技术的变化,使系统结构、运行机制等方面都发生了根本性的变化。原来只以人为控制对象的内控机制,要转化为同时以人和计算机系统为对象进行控制。因此产生了以人为控制目标的一般控制和以计算机系统为控制目标的应用控制相结合的全面内部控制机制。具体措施是:根据计算机系统的特点,首先建立完善的、适合计算机特点的岗位责任制和内部控制制度,在此基础上,在系统各运行环节设置有效的密码权限验证机制和数据自动校验机制,以及时发现操作权限及加工数据等方面的真实有效性问题。
在上述内控体系中,属于应用控制的机制一般被“固化”在软件程序中,通常用于检测那些违背规则或违背常规逻辑的问题,如科目不合法、借贷不平衡、金额超预算等等。这些控制机制有一定的“透明度”和一定的执行“刚性”。针对那些貌似“合乎”规则或逻辑的问题,这些控制措施通常会显得束手无策,如伪造合法业务、科目串户、业务冒名操作等等。而这些错误和操作却往往是舞弊最容易被利用的环节。
在信息系统中,对“人”的控制称为一般控制,无论在设计还是在执行时,通常具有很大的“柔性”,它是系统最不容易了解和检测的部分,是系统基础性的控制,也是应用控制发生作用的前提。应当说,一般控制的控制层次和内容级别,应以不相容岗位相分离为原则,然后相互排列组合,以构成计算机信息系统有机的立体交叉内控体系。这种控制体系的执行,最终集中体现在象征各种岗位权限的密码权限上。需要说明的是,在信息化环境中的自然人与系统“操作员”之间,严格意义上并不是一个概念。操作员是系统各岗位权限密码的“人”化,谁拥有了这一密码,谁将就是这一岗位的合法操作员。如果把自然人与“操作员”混为一谈或淡视密码的作用,将会为系统舞弊留下更大的遗患。
案例:利用超级用户身份舞弊。一个系统原则上只能有一个超级用户,但是按照上面的分析,“超级用户”本质上指的是“超级密码”,若十个自然人同时获悉了这一密码,那么系统就将会同时存在十个超级自然用户,这显然对系统内控是十分可怕的。另外,原则上要求超级用户不得从事具体业务岗位操作,但若超级用户虚拟了一个自然人并同时为其任命操作岗位权限和密码,那么超级用户要进行某方面的业务操作岂不易如反掌?事实上,这种密码管理混乱的例子在企业几乎比比皆是,甚至不少企业的许多重要岗位操作密码都是公开互用的。因此信息化环境下企业内部控制的混乱缺的往往不是控制制度,而是对岗位密码的有效管理。
(三) 信息系统簿记机制舞弊
簿记有“记载”和“反映”两项职能,分别由账簿和账户来完成,账户负责“记载”,账簿负责“反映”。由于传统的簿记是被记录在纸介质上的,因此簿记的“记载”和“反映”职能被有机集为一体,记载的同时也实现了簿记的反映职能,有较强的直观性。而且由于纸介质特征,业务事项记载的内容也是固定的,即一经记载其簿记的信息格式和内容都不会再发生变化,若要修改,必然也是有痕迹的。
而在计算机系统中,信息存储实现了电子化,簿记的两项职能分别要由两个过程来完成:首先它把相关分类信息以电子数据库的形式记载在磁介质上,信息在数据库中的存储格式不同于传统会计账簿格式,人不可以赢接识别,因此这只完成了簿记的“记载”职能。为满足人们以“账簿”形式进行信息查询的需要,系统设计了人们所熟悉的“账簿格式显示程序”,在需要时由系统在瞬间从相关数据库中进行检索、查询和信息组织,再以“账簿”格式显示出来,从而完成簿记的“反映”职能。从这个意义上说,手工环境下的账簿是实物,它的“记载”与“反映”职能被有机统一在一起且不可分割。而在计算机环境下,本质上只有“账户”(以数据库形式存在)而没有“账簿”,簿记的“记载”职能由数据库来实现,而“反映”职能可采用多种形式来完成(不一定仍采用传统的“账簿”格式)。从创新视角看,只要是能提供信息需求者所关心的信息“元”内容(包括如总账中的余额和累计发生额、明细账中的科目对应关系、业务发生额等信息,甚至从数据库中挖掘组织出的其它有价值信息),那么无论采用何种格式和组织形式,本质上讲,它都实现了“账簿”意义上的反映职能。基于此,就不难理解在计算机信息系统中所出现的账簿格式可变、信息内容可变,甚至可以反映未记账凭证信息等诸多“怪”现象,也不难理解发生在信息化环境下,账簿的“无痕迹修改”和“反复核、反记账、反结账”等功能。
按照上述分析,下面来剖析一下利用信息系统簿记机制进行舞弊的典型手法。
案例:无痕迹修改舞弊。信息化环境中的“凭证无痕迹修改”功能,通常与“反复核、反记账、反结账”功能相件而生,它们均是事务数据电子数据库化的特定产物。“反复核”是指在信息化环境下,可以将已审核过的凭证取消审核标记,以便对其进行无痕迹修改或增删;“反记账”又称“倒记账”,是指把一批已经登账的凭证当月的发生额从其各自账簿中予以扣除,使账簿恢复到该批凭证登账前状态;“反结账”又称“倒结账”或“环境恢复”,就是将已审核记账并已结转至下月的账簿恢复到以前月份各账簿的发生额和余额状态。有些软件不仅提供了当年各月的“反结账”功能,甚至还可以跨年度“反结账”,即直接将账簿恢复至指定年份、月份各账簿未审核、未登账前的发生额和余额的状态。
应当说,在信息的加工过程中,无论是手工还是计算机环境,出错都是难免的。会计法规要求,对于差错应当及时予以甄别和更正,由于手工操作的特点,显然它对凭证的修改都是“有痕迹”的。但在计算机环境下,除常规意义上的“有痕迹”修改外,还存在着一类独特的“无痕迹”修改方法。
这些修改方法通常都是以信息化环境下的“反复核、反记账、反结账”功能为作业前提的,具体可分为似下几种情况:
1.凭证保存前进行“无痕迹”修改。
严格讲,由于此时凭证并没有保存,所以它不是真正意义上的凭证修改而是填制。
2.凭证保存后且在审核前进行“无痕迹”修改。此时系统通常只允许修改除凭证编号以外的其它项目内容。
3.凭证审核后且在记账前进行“无痕迹”修改,此时系统规定只有在执行了“反复核”操作后才能进行“无痕迹“修改。为明确责任,系统要求“反复核”操作通常要由审核人自己来完成。
4.凭证已记账但未结账之前进行的“无痕迹”修改。此时系统要求只有当主管人员执行了“反记账”操作后,才能继续仿照前面的各级修改。5.系统结账后对凭证进行“无痕迹”修改。此时系统要求由超级用户执行“反结账”操作后,才能继续仿照前面的各级修改。
不难看出,如果把软件中的这种“凭证无痕迹修改”和“反审核、反记账、反结账”功能进行有效配合,那么将会为舞弊者提供相当多的舞弊机会。而实际上,从近年来的信息化实务看,利用上述功能配合进行舞弊的例子屡见不鲜。
(四) 信息系统数据接口舞弊
数据接口就流向而雷可分为录入口和输出口,就范围而雷可分为系统(或模块)内部接口和外部接口。为方便对录入或输出数据的核对和修改,这些接口通常都设计有人工的“干预”机制,正是这种机制,为信息化环境下舞弊提供了机会。
案例:账务与业务系统接口舞弊。对外报途的信息,最终都要在账务系统集中汇总处理后,传至报表系统生成报表。这些信息一部分由账务系统内部产生,而另一部分则来源于其他业务子系统,如工资、固定资产、应收、应付等。这些来源于其他业务系统的业务数据,一般通过数据接口程序被实时或分批地制作成业务转账凭证输入账务系统(属外部机制凭证),而这种制作、输入的时间以及内容通常是人工可控的。一般来说,由业务系统自动产生的原始转账数据应是相关业务的真实反应,但是由于人工“干预”机制的存在,便使这一转账接口成了极易舞弊的环节。
舞弊者在业务转账凭证生成与传递前,可对原始业务数据汇总表并进行有目的的修改,使生成以及被传递的凭证与业务系统的业务背景不一致。如修改工资系统的人工费用分配表,修改固定资产系统的折旧费用分配表,修改应收或应付系统的往来业务汇总表等等。尽管许多软仵在账务系统仍然保留账账、账证、账表等核对功能,但由于这些功能通常只负责账务系统内部勾稽关系的检查,并不涵盖系统之间的勾稽关系,所以,这种利用账务与业务系统之间接口的舞弊,有一定的隐蔽陛。
有矛必有盾,面对日益泛滥的计算机会计舞弊行为,我们如何有效地运用审计的手段去抑制它呢?试看下述。
三、抑制计算机会计舞弊的审计手段
审计现实中的计算机会计舞弊,根据策略的不同有以下手段:
(一)综合评价策略
审计计算机信息系统,由专业的审计人员对目标信息系统首先作综合的考察与衡量,这将有效提高审计工作的效率,能更为充分地运用审计的重要性原则。
考量一套信息系统,首先要查阅该系统的软件鉴定的可信的证书或机构认证。然后,需要了解系统的模块和功能、初始内容及业务事务流。审计人员在此过程中,可以运用软件分析技术,将企业信息系统的业务流程图提取出来,从多角度的分析评价,发现其中是否存在不合理或特殊的数据处理流程和环节。还可以将一组测试数据输入目标系统,比较输出结果与实际正确的结果是否差异;也可以从不同角度列举各种代表性数据录入系统,考察软件的数据流程是否合法有效,是否存在非法可篡改的数据路径,数据的计算过程是否合乎事务逻辑等。
经过对比,系统的数据可靠性一目了然,然后在此基础上对系统有针对性的审计。
(二)宏观对比策略
审计人员利用这种综合性的审计策略,在对信息系统及其数据记过进行审计评价。
常用的方法是,将企业档期重要经营指标数据与企业所在行业以及企业历年的同类数据进行对比分析,在宏观层面上发现异常情况,从而进行重点审查。这种策略的运用,往往能使审计人员对被审计的企业的系统和数据有一个宏观的认识和判断,然后有针对性的使用具体的审计技术和方法,能大大提高审计效率。
(三)系统规则审计策略
计算机自动化高效的数据处理行为,是依靠预先建立的规则为基础。因此,在审计实务中,审计人员应关注信息系统的数据处理规则,看其制定得是否合理、合法,是否前后一致,是否存在二次维护修改的痕迹,这样往往能抓住问题的根源。
(四)人工干预的审计策略
为了方便地对信息系统进行即时有效的监督和控制,系统常常为操作者预设了许多可干预的环节或接口,在软件设计行业中被称为“后门”。这些环节或接口通常会被舞弊行为者巧妙而有目的地利用而成为舞弊的“重灾区”。广义上说,能被人操纵的环节与接口,都应该是审计人员重点关注的“突破口”。
(五)不轻信自动处理结果的策略
前文已略微提及,是指审计人员不能轻易相信系统自动处理的结果,特别是敏感项目和数据,英爱亲自打卡系统进行核对分析。有必要时,还要亲自查看处理背景、处理规则和处理业务流等,甚至于要演示数据进行测试。
(六)巧用超级管理权策略
审计人员可以要求企业提供系统的超级管理员密码,然后利用该权限对信息系统进行访问审查。这样,一方面利用系统管理员身份,可以进行核心级别的访问审查,绕开干扰,真实了解到系统底层情况;另一方面,可以使用管理员权限对相关操作员的身份、密码、行为日志,对可疑行为进行高效的审计分析。
四、结束语
计算机技术与网络技术,为信息处理工作提供了高效便利的同时,也为舞弊者提供了高效的舞弊手段。审计人员要改变思维、提高认识,在技术与方法上勇于探索和创新,和舞弊者斗智斗勇。魔高一尺、道高一丈,战略上藐视舞弊、战术上重视方式方法,利用新思想、新手段让舞弊行为无所遁形。
参 考 文 献
1、张金城,《信息系统审计》,清华大学出版社,2009
2、许宝强,《谈计算机舞弊的主要手段》,中国内部审计,2004
3、丰树成,《计算机舞弊审计》,河北审计,2001-10
4、申丽芬,《商业银行计算机审计的思路》,中国审计,2005-9
