学习目的与要求
本章旨在阐述信息技术环境下的计算机审计发展的概况。内容主要包括信息技术发展对审计的影响、计算机审计的含义、特征与发展历程、计算机辅助审计技术和计算机舞弊。通过本章的学习,要求了解信息技术发展对审计产生影响的同时也为审计创新提供了技术支持;理解计算机审计的含义并掌握计算机审计的特征;了解计算机审计的发展历程;掌握各种计算机审计技术的基本原理及其优缺点;掌握计算机舞弊的要点及其审计应对策略。
第一节 信息技术环境下的审计概述
信息技术(informationkchnology,简称IT),是用于管理和处理信息所采用的各种技术的总称,主要是应用计算机科学和通信技术来设计、开发、安装和实施信息系统及应用软件。信息技术发展使会计工作在信息存储介质和存取方式、信息处理流程等方面发生变化,一方面大大提高了会计信息处理的速度和效率,给审计工作带来了很大的影响;另一方面也为审计工作提供了先进的技术和理念,为审计创新提供了有力支持。
一、信息技术发展对审计的影响
传统审计方法和手段难以适应信息技术环境的变化,信息技术发展对审计产生了更多的影响。
(一)审计范围进一步扩大
在现代信息技术革命之前,企业的经济业务往往局限于一国内部很小的区域,涉及的也只是某一个特定的行业领域。与此相对应的审计范围也局限于很小的区域或特定的行业领域。但是伴随着现代信息技术手段建立起来的许多跨国公司、国际企业,它们大都拥有从多国多地区进行购、产、销的物流系统,企业的经济业务种类日益丰富,像有的大型跨国公司的经济业务就涉及制造、建筑、化工、金融、医疗等多个行业的多种业务,这些大型跨国公司同时也拥有一个横跨几个甚至几十个国家地区的会计信息系统。因此,审计业务也必然进一步扩大,成为跨越多个行业、多种经济类型的多元化审计,并将向全球化转变。
(二)审计对象和内容的变化
传统的审计服务对象都是实实在在的单位,然而随着互联网技术的发展,企业借助网络技术进行联合或分组,开始出现了一些全新的组织与经营活动,如存在于网络上的“虚拟企业”、“虚拟经营”等突破传统思维模式的公司与业务。面对“虚拟化”的审计对象,审计的内容发生了相应的变化。信息系统的特点及其固有的风险决定了审计内容必须包括对信息系统处理和控制功能的审查,以证实其对交易事项的处理是否真实、合法及安全可靠,这是传统审计所没有的。
(三)对审计线索的影响
审计线索对审计来说是极为重要的。在传统商务活动过程中,每笔交易都有一个完整的审计线索,交易的每一环节都有文字记录,审计线索十分清楚》审计人员可以从原始单据开始,对交易或者事项进行追踪,一直到报表为止;也可以从报表开始,追根寻源,一直追溯到原始单据,从而形成了顺查、逆査等审计方法。但是,信息系统环境下传统的单据没有了,纸质记录消失了,代之的是存有数据处理资料的磁盘、磁带、光盘等。这些存储在磁性介质上的信息是机器可读的,它们不再是肉眼所能直接识别得了。审计线索的肉眼不可见性,一方面增加了审计调查取证的难度,另一方面也从心理上给审计人员造成了压力。
(四)审计风险的加大
由于现代信息技术的影响,审计范围的扩大,审计经济业务的多元化,审计中加入了更多的不确定性和多变性。审计线索的无形化,审计证据的隐含化,审计对象的“虚拟化”,使得审计的可验证性受到限制。同时,由于网络技术具有先天的脆弱性,易受到病毒感染和黑客的攻击,使得信息的安全性降低。而且随着计算机技术的大量应用,使得会计信息超出了会计人员的控制范围,外部非会计人员能够对会计信息进行控制,增加了信息被变造、伪造的可能性,降低了信息的可信度。所有这一切无不扩大了审计风险。
(五)对审计准则的影响
信息技术使得审计对象、审计线索、审计方法等各方面都发生了变化,人们以往在审计工作中逐步建立起的审计准则已不完全适用于变化了的情况,需要建立新的审计准则指导审计工作实践。例如,对信息技术审计人员的一般要求、信息系统的事前审计准则、信息系统安全可靠评价标准、信息系统内部控制准则等。现代信息技术将全球各国的经济紧密地联系在一起,使得原先各国制定的适应于个别国家、个别地区的审计准则不再适应时代的潮流,审计准则最终需要实现国际趋同化。
二、信息技术发展为审计创新提供了技术支持
信息技术发展对传统审计提出更高要求的同时,也为审计发展提供了土壤,为审计方法和手段的创新提供了技术支持。
(一)内部控制得到了进一步加强
将信息技术运用到会计信息系统中较传统的手工会计处理具有明显的优势,它可以改善企业的内部控制。一方面,信息技术下的会计系统,用程序控制替代传统的手工控制,可以减少会计处理过程中人为错误出现的可能性,由于计算机处理信息具有一贯性,因此设计良好的信息技术系统较手工会计处理系统可以更有效地减少随机错报;另一方面,信息技术可以有效处理大量的复杂交易或者事项,相对于手工系统而言,利用现代信息技术的会计信息系统可以较传统的会计信息系统能够为管理层提供更为及时、更多数量、更高质量的信息。
(二)审计技术方法更加先进
信息技术的发展提供了更加先进的审计技术方法。例如,可以运用审计软件对相关网络系统进行实地跟踪;可以利用数据库技术进行分析,利用审计专家系统进行审计推理和判断,并通过数据挖掘、异常项目调查、数据分析与处理等方法进行测试、检查、分析与核对。更加详细的技术方法本章第三节将进一步阐述。
(三)审计效率进一步提高
现代信息技术的一个最主要的特征就是高效率。过去大型企业的财务报表编制往往要进行半个月甚至更长时间,而现在借助于信息技术的发展,往往在几天甚至更快时间内就可以完成。审计相应地也可以并且应该借助现代信息技术手段提高审计效率,这样才能够在尽可能短的时间内满足信息使用者的要求。
(四)更好地满足信息需求者的信息需求
传统审计的目标主要是对被审计单位财务报表的合法性和公允性发表意见,这种意见通常需要在财务报表完成几个月后才能出具,它主要考虑信息的可靠性,对及时性和相关性的关注不够。在信息技术环境下,网络信息传递快速且便利,使实时信息传递成为可能,信息使用者对实时信息的需求增加,审计为核实信息可靠性而牺牲及时性、相关性的做法已经不能为信息使用者所接受。借助现代信息技术手段,审计师可以及时收集评价信息,向信息使用者提供及时、相关的有用信息。
第二节 计算机审计的含义、特征与发展历程
一、计算机审计的含义
计算机审计是信息技术应用在审计实务中产生的一个新概念。我国审计准则中至今尚无计算机审计的定义。根据2006年2月《中国注册会计师审计准则第1633号——电子商务对财务报表审计的影响》的规定,“计箅机信息系统环境,是指注册会计师审计的重要会计信息由计算机处理生成的情形”。该准则同时还指出:“在某些情况下,仅依靠实施实质性程序不足以将审计风险降至可接受的低水平,注册会计师应当实施控制测试,并考虑使用计算机辅助审计技术。这些情况主要包括:(一)电子商务系统高度自动化;(二)交易量过大;(三)未保留包含审计轨迹的电子证据。”
本教材认为,计算机审计可以定义为:被审计对象运用信息技术进行财务工作和经营时,审计人员为了实现其审计目的,收集必要的审计证据,采取必要的审计程序,对企业的信息系统的合规性以及利用信息系统生成的财务信息进行审计的工作。计算机审计主要包括两个方面的内容:一是指审计人员利用信息技术对被审计企业的经济活动进行审计,这与传统的审计内容是基本一致的,只是手段发生了变化,一般称为计算机辅助审计(computer aided auditing,简称CAA);二是针对信息技术环境下产生的风险而产生的信息系统审计(information system auditing,简称ISA),指审计人员对被审计单位的计算机信息系统进行审计并发表意见,包括信息系统的设计和运行两个方面。
二、计算机审计的特征
(一)由结果审计转变为结果审计与过程审计并重
结果审计是指审计人员只对传统的财务报表进行审计,审计人员的主要职责是对财务报表的合法性和公允性做出审计评价。在会计信息系统中,原始数据一经输入,即由计算机按程序自动进行处理、输出所需信息。财务报表的合法性和公允性,不仅取决于输入数据的真实性和正确性、系统工作人员的操作的规范性,还取决于电子数据的“处理过程”,以及计算机的软硬件和内部控制状况。因此,要确定整个会计信息系统的合法性、正确性,就要对数据的“处理过程”进行全面的审查,即“过程审计”。如果会计信息系统的设计不符合审计的要求,那么即使输人了正确的数据,输出的数据也会产生很多问题,因此,在计算机辅助审计中,“结果审计”与“过程审计”同等重要。
(二)审计线索从"可视性”向“不可视性”转化
在计算机信息系统中,可视审计线索逐渐消失了。审计需要跟踪的审计线索,以电磁信号的形式分散在磁性介质上,即“可视性”向“不可视性”转化。这些线索极容易被更改、隐匿和消失,也容易被转移、销毁和伪造。在计算机审计中,如果处理不当,很可能破坏会计信息系统中的数据文件和程序,从而销毁了重要的审计线索,甚至干扰会计信息系统的工作。因此,在会计信息系统的运行中,如何保留并按需要能及时、准确地获得审计线索是能否完成审计任务的关键。
(三)审计取证的实时性
实时性是指反映某事件的时刻与该事件发生的时刻几乎是同时的,即审计证据在产生的同时就能被审计人员记录下来。对于实时审计和网络审计来说,要做到远程审计和现场审计相结合,静态审计和动态审计相结合,事后审计与事中审计相结合,就必须在被审会计信息系统日常运行过程中实时和动态的取证。这就需要精心审计和安排取证点,既不影响被审计单位的信息系统的正常运行,又要能按质按时地完成审计的取证任务。
(四)审计技术的复杂性和审计数据的差异性
首先,不同客户所用的计算机设备并不相同,各种机器的功能也各有差异,所配备的系统软件也不相同,审计人员在审计过程中,必然要和众多的计算机硬件和系统软件打交道,这必然增加了审计技术的复杂性。其次,不同客户业务规模和性质不同,所采用的数据处理及存储方式也不同。对于不同的数据处理、存储方式、数据结构,审计所采用的方法、技术也不相同。为了解决这一难题,重要的是如何设计通用数据接口,能与不同客户的数据库无缝连接,实现数据转换。
三、计算机审计的发展历程
计算机审计的发展经历了绕过计算机审计(auditing around the computer)、穿过计算机审计(auditing through the computer)、利用计算机审计(auditingwiththecompiler)和网络审计(internetauditing)四个阶段。
(一)绕过计算机审计
这种方式的实质是计算机数据处理系统,将计算机处理系统看作是一个“黑箱”,根据被审计对象计算机数据处理系统输入的原始数据,通过手工操作,将处理结果与.计算机处理系统的输出进行对比,检验其是否一致,这是一种在数据处理的初级阶段,审计人员对计算机知识了解甚少的条件下才用的方法。这种审计方式不牵涉被审计单位数据处理系统的设计及其内部控制,本质上还不能算作为计算机审计。它与传统的人工审计没什么差异,反而还徒增了输人、打印的工作量。这种审计方法是一个“黑箱”方法,如果给定系统的输入、系统的产出是正确的,那么可以认为系统的内部执行是正确的,该方法并不直接关注出现的内部程序。“绕过计算机审计”对审计师熟悉系统有帮助,容易执行,它不要求审计师具有很多技术知识,但要经常和其他方法结合起来使用。
(二)穿过计算机审计
与绕过计算机审计不同的是,穿过计算机审计不仅不避开计算机数据处理系统,而且主要是对计算机数据处理系统进行审计,首先是对其系统设计和内部控制进行审计,审计的重点不在于核对每次计算机数据处理的结果,因为只要数据处理系统的设计是正确的、合理合规的,系统的环境没有发生重大变化,那么只要一次处理正确,以后每次重复的运箅也是正确的。这就省去了大量手工审计下的重复查账和对账的工作。穿过计算机审计比绕过计算机审计方式要进步得多,因为它能发现计算机数据处理系统设计中的错误,消除了隐患,从根本上保障系统的品质,同时结合对内部控制的审计,能够使计算机系统功能得以完善,而且在一般情况下,它不需要停止计算机系统操作,也就不会干扰系统的正常运行。
(三)利用计算机审计
这是为了实施审计业务而专门开发电子计箅机程序,对被审计单位的电子计算机程序的可靠性进行试验的方法。在审计用的电子计算机程序中,为适应较多单位的电子数据处理系统,而且能在较大范围内实施审计业务而开发的程序,称为通用审计程序(generalized computer audit program)。通用审计程序,从本质上讲,具有同被审计单位程序处理相同的功能,使用被审计单位程序使用的相同文件。通用审计程序的最大优点,就在于审计人员能够独自处理被审计单位的“活数据”(livedata)。而在手工检验被审计单位的输出时,许多繁重的计算是人工无法做到的。通用审计程序则可以将其输出与被审计单位原先的输出全面、完整地加以比较,编制差异一览表对其原因进行调査,并要求被审计单位做出调整。
(四)网络审计
随着网络技术的广泛使用,尤其是电子商务的兴起,审计开始进入了“网络审计”阶段。网络审计的功能有:①利用计算机和网络技术进行审计管理,即利用计算机和网络技术完善审计质量控制,包括编制年度审计计划,记录审计计划的执行情况,安排审计任务、资金分配和对审计档案进行电子化管理。②建立审计数据库,并可以通过网络使用这些数据,从而更有效地利用审计资料,完成审计任务。③审计测试和审计验证。对企业计算机会计系统,审计人员可以使用各种计算机辅助审计技术(computer aided auditing technique,简称CAAT)进行控制测试和实质性程序。
第三节 计算机审计技术
计算机审计发展经历的每个阶段都发展了相应的计算机辅助审计技术。目前,审计界广泛使用的计算机辅助审计技术有综合测试工具(integrated test facilities,简称ITF)、平行模拟法(parallelsimulation)以及内嵌审计模块(embedded audit modules,简称EAM)。这些技术都可以在交易或者事项发生时审计。
一、综合测试工具
(一)基本原理
使用测试数据对系统进行评价的持续审计技术中,比较具有代表性的是综合测试工具技术,它是一种自动化技术,能够使审计人员在应用程序中正常操作测试程序的内部逻辑和控制。使用综合测试工具时,这种方法要在应用系统数据库中建立一个虚拟实体。例如,应用系统是工资系统,可在其数据库中建立一个虚拟的职员;应用系统是一个存货系统,可在其数据库中建立一个虚拟的存货项目。在正常的操作中,测试数据和正常产生的业务数据一同输入应用系统进行处理,综合测试工具将应用系统对测试数据处理的结果同预期结果进行比较,可确定应用系统的处理和控制功能是否恰当、可靠。综合测试工具的要点如图23-1所示。
(二)优缺点分析
与一般的计算机辅助工具相比,综合测试工具有两大优点:①综合测试工具能够对控制进行持续监督。②让虚拟数据与实际数据分开,以免审计师设置的虚拟事务干扰或者破坏了客户的操作。因此,综合测试工具改进了审计的效率,提高了所收集审计证据的可靠性。综合测试工具的主要缺点是可能会破坏公司的正常数据文件。如果测试数据消除不及时或不完全,可能影响被审计单位数据文件的正确性。解决这个问题有两种方法:①编制调整分录以消除综合测试工具对总分类账户余额的影响。②使用特殊的软件来扫描数据文件以删除综合测试工具交易。
二、平行模拟法
(一)基本原理
平行模拟法是指审计人员自己或请计算机专业人员编写具有和被审程序相同处理控制功能的模拟程序。用这种程序重新处理以前已经由被审程序处理过的各种交易,并将处理结果与被审程序处理的结果进行比较,为推断程序处理和控制的质量提供一个基础。实施平行模拟测试的路径和步骤如下:
(1)根据审计的目的和要求确定被审程序。
(2)了解该程序所涉及数据文件的文件类型、数据处理步骤、计算规则、输入输出的格式和内容、程序相应的控制措施等。
(3)编制审计模拟程序。
(4)运行模拟程序处理被审计程序处理过的实际业务数据。
(5)将测试结果与原始程序产生的结果进行对比评估,并对被审程序的处理和控制的质量做出评价。
平行模拟法的原理可用图23-2表示。
(二)优缺点分析
平行模拟法的优点是:能够独立地处理数据,不依赖被审计单位的人力和设备;能客观地进行审计评价。其缺点则在于:如果开发复杂的模拟系统,成本将会比较高。
三、内嵌审计模块
(一)基本原理
在被审计信息系统开发设计阶段,审计人员在该系统程序中内嵌专门设计的程序,对该系统进行监控。其目标是在重要交易被处理时能够识别它们,并且实时地提取其副本,作为相关的审计证据。
审计人员应用这些审计程序就能自动记载所要收集的审计证据,还可随时调阅这些证据文件,并且利用这些审计证据可适时判断系统运行情况,提出审计建议。因此,除了主要作为一个实质性测试技术,EAM也可以用来监督“正在进行”的程序控制,完成控制测试。审计人员可以通过对交易数据与重新执行计算获得的数据之间的差异进行分析报告,确定被审应用系统的相关程序的处理和控制功能的可靠性。同时模型本身具有隐蔽性、安全性和稳定性等特点,非审计人员不能看到这些审计程序和自动形成的审计数据。
(二)主要技术
目前国外应用比较广泛的EAM技术有快照法(snapshot)、连续与间歇模拟法(continuousand intermittent simulation,简称CIS)、审计钩(audithooks)、系统控制审计评审文件(system control audit revie wfile,简称SCARF)。
1.快照法
快照法是指当交易通过应用系统时,让软件给交易拍“照片”。通常是在应用系统的重要处理发生点嵌人软件,当交易通过不同处理点时,嵌入软件可捕捉交易的映像。为证实不同快照点的处理,审计人员使用软件捕捉交易的前映像和后映像,通过检验前映像、后映象及其变换,评价交易处理的真实性、准确性和完整性。
快照法的工作原理如图23-3所示。
2.连续与间歇模拟法
连续与间歇模拟法是Koch(1981)提出的,采用计算机系统模拟事务/交易的执行,当事务/交易满足预定的标准,对该事务/交易进行检査,否则等待下一个满足标准事务/交易的输入。该法适用于在已确定满足某种条件的数据需要被检查的情况。
(1)当数据库管理系统读取应用系统事务/交易时,它将向CIS提交请求,并将事务/交易传给CIS。CIS确定是否进一步检查该事务/交易,如果事务/交易被选择则转人下面三个环节,否则CIS将等待下一个新的事务/交易。
(2)数据库管理系统将应用系统请求处理的所有数据提交给CIS,CIS处理所选的事务/交易。
(3)由于处理所选事务/交易对数据库产生的更新都要由CIS进行检查,确定CIS所产生的结果和应用系统产生的结果是否存在差异。如果存在差异,则CIS将阻止数据库管理系统执行应用系统所求的更新。CIS对例外进行提示,应用系统处理再继续进行。
(4)CIS标识的例外写入异常日志文件,CSI要求日志文件报告系统及时报告例外。
连续和间歇模拟法的工作原理如图23-4所示。
3.审计钩
审计钩是置于系统中的出口点,允许审计师进行特别处理的命令。这种技术的基本原理是:通过在被审计应用系统中嵌人审计钩,以便在错误或不规范问题失控之前引导审计人员采取相应行动。Simnett和Gay(2000)认为审计钩在审计常规事项时对审计活动进行程序处理有帮助,但对调试这个潜在的更新差错并没有帮助。实践中单独使用这种技术的情况还比较少。
4.系统控制审计评审文件
将内嵌审计模块置于事先确定的点,用以采集审计人员认为重要的交易或事件信息,采集到的信息存放在一个专门的审计文件——SCARF主文件中,审计人员通过审査该文件的信息,可以确定应用系统的哪些方面需要追査。
该方法的操作步骤是:首先要确定由模块嵌人应用程序采集什么信息;其次要确定与EAM—同使用的报告系统。图23-5以一个主文件更新程序为例说明SCARF技术。
(三)优缺点分析
EAMS的优点有:①审计师集中于实时基础上获取的控制缺陷和实质性项目错报,在被审计单位处理业务数据的同时获取了审计证据,弥补了在数据处理过后进行审计难以确认被审会计信息系统程序与实际运行程序一致性的缺陷。②内嵌审计模块与系统程序同时运行,因而所进行的测试是经常性的。只要会计信息系统程序开始运行,程序就处在被监督状态中。③它是一种例外导向的审计程序,是一种捕捉错误的高级方法,提供了基于重大事件的例外测试能力。
EAMS的缺点也是很明显的,包括:①要求真实的信息系统专家进行设计和执行。②在客户的信息系统中内嵌审计模块首先需要客户合作,但是EAM往往会降低系统的运行性能,并且可能需要大量的系统开销,因此,被审计单位会对EAM的潜在威胁性有抵触。③审计人员必须事先确定对何种程序进行审计,需要获取何种审计资料,并要据此设计相应的内嵌审计模块。如果会计信息系统程序发生改变,内嵌审计模块也要发生改变。④审计人员聘请相关专家参与被审计单位的会计信息系统分析与设计,有可能将审计的重点泄漏给被审计单位。
四、计算机辅助审计技术的比较
每一种审计技术都有它的优点和缺点。综合测试工具、平行模拟法、内嵌审计模块等都需要审计人员的精心设计,因为它们都对被审计信息系统的运行有一定影响。为了进一步理解这些技术的运作,本教材对这些技术的特点进行归纳比较,如表23-1。
|
表23-1 计算机辅助审计技术的比较 |
||||||
|
比较 |
综合测试工具 |
平行模拟法 |
内嵌审计模块 |
|||
|
快照法 |
连续与间歇模拟法 |
审计钩 |
系统控制审计评审文件 |
|||
|
复杂性 |
高 |
中 |
中 |
中 |
低 |
十分高 |
|
适用场合 |
动态检测数据,而不局限于某一时点 |
检验原程序处理结果的正确性 |
需要审计轨迹时 |
满足某种条件的数据需要检查时 |
只有所选的业务或过程需要被检查时 |
正常处理不能被中断时 |
|
局限 |
虚拟的实体类型有限 |
如果审计人员设计的程序复杂,成本将会很高 |
关注异常交易而不提供正常交易的信息 |
|||
|
审计目标 |
系统控制和处理的正确性 |
程序处理和控制的质量 |
系统控制的异常情况 |
|||
|
静态或动态审计 |
动态,在信息系统开发时就已经被设计出来 |
动态或静态,可以使用虚拟数据检验,也可以采用被审计单位的动态实际数据 |
动态,随时获取需要的审计信息 |
|||
|
客户数据被破坏的风险 |
大,必须有严密内部控制,以分辨实际业务和ITF事务 |
小,平行模拟不影响客户的实际业务 |
较小,客户的业务必须经过审计模块的检验,因此会影响客户的业务处理速度 |
|||
|
信息专家的参与程度 |
高'信息专家必须设计程序区分实际业务和ITF业务 |
取决于被审计信息系统的复杂程度 |
高,需要信息专家设计内嵌模块 |
|||
|
对客户的依赖程度 |
低,信息获取不需要依靠客户 |
低,审计师直接获取模拟程序得到的数据,不受客户的干扰 |
较低,审计模块需要维护和升级,需要客户的配合和支持 |
|||
计算机舞弊是指以计算机及相应设备、程序或数据为对象,通过故意掩盖真相、制造假象或以其他方式欺骗他人、掠取他人财物或为其他不正当目的而施行的任何不诚实、欺诈的故意行为。审查计算机舞弊的总体思路是:首先了解测试被审计单位信息系统内部控制,找出系统内部的突破口,根据计算机舞弊各种手段的特征及其与有关内部控制的关系,确定可能的舞弊手段;然后针对可能的舞弊手段,实施深入的调査取证;最后写出审计报告及建议。
一、计算机舞弊行为的类型
(一)流行的计算机舞弊
绝大多数流行的计算机舞弊犯罪是资金分配方面的欺诈,这些舞弊行为包括:①虚假的卖主、供货商或承包商的发票(虚假的增值税发票、退税发票)。②虚假的政府福利津贴和不正当要求。③虚假的赔款(保险索赔)。④虚假的信贷要求(伪造贷款资料)。⑤虚假的工资支出。⑥虚假的费用支出。
(二)其他舞弊
其他舞弊,如:①保险公司的虚假索赔。这种索赔对某项支出来说是一种虚假的借方,其相应的贷方可以被过账到“库存现金”账户以便兑现现金。这种资金分配舞弊主要是低层职员舞弊。②较高管理层的舞弊行为。较高管理层典型的舞弊行为是通过伪造销售收入数据来夸大利润。③上市公司经营舞弊。经营者为了自己的利益,就会虚报业绩,编撰虚假的财务报表。
二、计算机舞弊的实现手法
(一)输入类计算机舞弊
输入类计算机舞弊主要是发生在系统的输人环节上,通过伪造、篡改数据,冒充他人身份或输入虚假数据达到非法目的。我国目前发生的计算机犯罪大多属于此类型。它主要是利用下列内部控制的弱点:
(1)职责分工。如果不相容的职责没有适当的分工,如数据的准备或输入与批准由一人担任,那么输人数据的真实性、正确性就无法保障。
(2)接触控制。这包括机房上锁或设置门卫、计算机终端加锁或设置口令、身份鉴别、网络系统各个用户终端的联结控制等。
(3)操作权限控制。信息系统处理和储存着本单位全部或大部分业务数据,一般根据数据的重要程度、操作员的权限和职责分工的考虑设置不同等级的权限,使得每个操作员只能从事其权限范围内的操作。
(4)控制日志。控制日志能对所有接触信息系统的企图及操作进行监督记录,从而确保所有经授权的和未经授权的接触、使用、修改程序或数据的活动都留下痕迹。如果这类控制手段不健全,舞弊分子会因为没有留下舞弊证据而为所欲为。
(5)其他输入控制。这种类型的舞弊者主要是系统的内部用户和计算机操作员,他们比较了解系统的运行状态和内部控制的薄弱环节,从而利用工作上的便利实施舞弊。
(二)软件类计算机舞弊
这类计算机舞弊主要是通过非法改动计算机程序,或在程序开发阶段预先留下非法指令,使得系统运行时处理功能出现差错,或程序控制功能失效,从而达到破坏系统或谋取私利的目的。该类活动主要利用下列内部控制的弱点:
(1)程序设计维护部门与用户部门的职责不分离。
(2)系统维护控制。所有现有系统的改进、新系统的应用都应由受益部门发起并经高级主管人员的授权包括现有应用程序的改动,未经有关部门的批准,相关部门和人员无权擅自修改程序。
(3)系统的开发控制。新开发的应用系统在投入使用前应对程序的源编码和处理功能进行严格审查,检查是否有多余的非正当用途的程序段。
(4)接触控制。这主要指严格控制系统的开发员、程序员等计算机专家再接触已投人运行的系统,防止擅自修改程序;同时,也包括控制系统的内部用户或计算机操作员接触系统的设计文档或源程序代码。
(三)输出类计算机舞弊
输出类计算机舞弊主要是通过涂改报告、盗窃或截取机密文件或商业秘密来实施的。输出类舞弊多是进行政治、军事或商业间谍活动,其危害性也非常严重。其舞弊手段包括数据利用、数据泄露、数据截收等。如果下列内部控制措施不健全,那么很可能会出现输出类计算机舞弊:
(1)接触控制。包括机房上锁或设置门卫,防止无关人员人内;严格管理系统程序和数据磁盘防止丢失。
(2)输出控制。对无关的打印输出要及时销毁,对那些机密的数据应设置口令或加密保护,防止无关人员阅读。
(3)传输控制。对于网络系统的远程传输数据要经过加密后再传输,防止犯罪分子通过通讯线路截收。
(4)操作员的身份和权限控制。
(四)接触类计算机舞弊
严格地讲,大多数计算机舞弊都与接触信息系统有关,然而这里所指的接触类计算机舞弊则是指只要有机会接触计算机,即使其他控制措施非常严格,也能实施舞弊。常见的舞弊手段是超级冲杀与计算机病毒。
(1)超级冲杀。超级冲杀程序可以越过应用系统及其控制改动任何数据文件或计算机程序,而且不留下任何线索,要通过技术方法检查此类舞弊几乎是不可能的。但这类舞弊主体范围比较小,可从舞弊的主体入手进行调查。其舞弊主体可能有两类:一类是能使用超级冲杀程序并能接触其他文件或程序的程序员;另一类是具有相应知识的系统操作员。
(2)计算机病毒。计算机病毒是一组隐藏于计算机系统的人为蓄意编制的寄生性的计算机程序,具有破坏性、隐蔽性、传染性、潜伏性,不仅能够破坏计算机系统的正常运行和所储存的数据资料,甚至能破坏计算机主板。在财务软件已发展到网络系统的今天,计算机病毒更是无孔不人,一旦入侵,就可以通过网络从一个计算机系统传染到另一个计算机系统,甚至导致整个网络的瘫痪。
三、计算机舞弊发生的原因
(一)人为方面的原因
(1)舞弊者自身的心态和目的。如果舞弊者有着贪财、报复、制造混乱、自我满足、解决经济困难等心态和目的,就有可能诱发舞弊行为。
(2)财务操作人员和审计人员计算机应用能力还较低。当前,财务操作人员的计算机应用能力普遍较差,有的甚至不会操作,更谈不上对计算机舞弊行为的辨识;同时,大量的审计人员也不懂或不精通计算机技术,面对当前电算化程度日益提高的审计实务,往往显得力不从心。
(3)内部控制制度不完善。原来手工操作中一些有效的内部控制制度已不起作用,原有的办法和制度更加不适应新形势的发展需要。
(4)相关法律不健全。目前,我国在计算机方面特别是财务电算化方面的法律可操作性不强,对财务电算化违法行为缺乏有效的约束力。
(二)计算机自身方面的原因
(1)财务软件自身存在缺陷。目前市场上可供购买的财务软件多达几十种,但是有的财务软件操作过程缺乏科学性,数据安全保密性较差,密码容易被破解。同时,一些别有用心的程序员在进行软件开发时可能私下会对程序做出不法行为,如留下后门、设置逻辑炸弹等。
(2)计算机病毒的攻击。计算机病毒能够破坏计算机系统的正常运行和所储存的数据资料,甚至能破坏计箅机主板。尤其是财务电算化现在已由单机系统发展到网络系统,病毒一旦入侵,就可能导致整个网络的瘫痪。
(3)计算机网络系统增加了风险。一方面,数据在传输过程中由于使用的是开放式的TCP/IP协议,电算化系统的信息数据有可能在局域网或互联网上遭到非法栏截、修改;另一方面,通过破解密码和利用操作系统本身的漏洞,计算机系统也可能遭到“黑客”的非法人侵和攻击,导致信息泄漏或系统瘫痪。
四、计算机舞弊的预防与检查
(一)完善和实施相应的法律法规
目前,虽然我国制定了一些相关方面的法律法规,如《计算机信息系统安全保护条例》,但在预防、惩治财务电算化舞弊方面相关规定还较为欠缺。如:没有明确规定哪些行为属于财务电算化舞弊行为和具体惩处办法,没有明确计算机系统中哪些东西或哪些方面受法律保护及受何种保护,使得执法部门在惩治财务电算化舞弊时有法可依,违法必究,同时对舞弊者起到震慑的作用。
(二)进一步完善和健全内部控制系统
在电箅化条件下,内部控制转变为对人和计算机两方面的控制,大量数据都由计算机处理,职能部门只负责数据的生成、审核、编码及分析处理输出结果,人工处理并掌握的信息越来越少。因此,内部控制的实现还得依靠对计算机系统的控制,同时决定着能否有效地预防计算机舞弊。
(三)针对不同的舞弊手法应用审计
(1)对输入类计算机舞弊活动应采用下列审计方法:①应用审计抽样技术,将部分机内记账凭证与手工的原始凭证相核对审査输入数据的真实性。②应用传统方法审査原始凭证的真实性、合法性。③对数据的完整性进行测试。④对例外情况进行核实。⑤对输出报告进行分析,看有无异常情况或涂改行为。
(2)对软件类计算机舞弊活动,应采用以下审计方法:①程序源编码检查法,检査全部或可疑的部分源程序编码,看是否有非法目的的源程序,同时也应注意程序的设计逻辑和处理功能是否恰当、正确。②程序比较法,将实际运行中的应用软件的目标代码或源代码与经过审计的相应备份软件相比较以确定是否有未经授权的程序改动。③测试数据法,应用模拟数据或真实数据测试被审系统,检査其处理结果是否正确。④计算机辅助追踪,应用该技术可以方便地找到那些潜在的可能成为其他非法目的所利用的编码段。⑤平行模拟法。⑥借助计算机专家的工作。⑦对违法行为的可能受益者进行调査,审査其个人收入。
(3)对输出类计算机舞弊的审计,应采用以下审计方法:①询问能观察到敏感数据运动的数据处理人员。②检查计算机硬件设施附近是否有窃听或无线电发射装置。③检査计算机系统的使用日志査看数据文件是否被存取过,是否属于正常工作。④通过调査怀疑对象的个人交往以发现线索。⑤检查无关或作废的打印资料是否及时销毁,暂时不用的磁盘、磁带上是否还残留有数据。
(4)接触类计算机舞弊的审计。首先,超级冲杀舞弊活动的审查方法有:①检査对超级冲杀程序的管理、控制和使用情况,是否有私自动用情况。②把数据文件或应用程序与其拷贝进行比较,有无异常变动情况。③调査输出报告的接受者,看报告中是否有不同寻常的差异。④检査是否有无凭证的活动发生。⑤检査系统操作日志,看计算机系统是否被非法中断过。
对待计算机病毒要以预防为主,其控制措施主要有:①不要使用来路不明的新软件。②对磁盘加以写保护。③在使用新软件之前,要对其进行必要的检査,以防其中含有病毒。④不要将数据或应用程序存在系统盘上。⑤应使用较新的防病毒软件,定期对系统进行检查。
(四)提高审计人员计算机应用能力
就目前现状而言,审计人员直接査出计算机舞弊的作用比完善和健全内部控制系统的作用要小,审计人员计算机应用能力较低是这种现象存在的根源之一。因此,为预防计算机舞弊,更大限度地发挥审计的功能作用,就必须要求审计人员掌握电算化的理论知识,不断地提高计算机应用能力素质,才能给计算机舞弊者以更有力的直接打击,将审计人员在查获和预防计算机舞弊的作用提高到一个新的水平。