会计电算化舞弊的审计策略
会计电算化舞弊的审计策略
2011年4月
随着会计电算化的广泛推广和应用,给会计业务处理带来极大的方便和效益,同时,因会计电算化舞弊给企业造成的损失也与日俱增,而且,在常规审计活动中,会计电算化舞弊行为很难被发现。根据ARCPA最近的一项统计发现,在计算机数据处理环境下的舞弊金额是手工数据处理情况下的3倍,而常规审计活动只能发现其中的18%,严重危害企业乃至地区的经济安全。因此,对会计电算化舞弊的审计策略研究,成为审计人员必须面对的新的课题。
一、会计电算化舞弊方法
会计电算化舞弊具有智能性高、隐蔽性强、危害性大等特点。其舞弊的手段是随着计算机技术的进步而不断变化的,就目前情况而言,主要包括以下几类:
(1)篡改输入。该方法是通过在会计数据录入前或处理过程中对数据进行篡改来达到舞弊目的。包括虚构、修改、删除业务数据行为。会计数据要经过采集、记录、传递、编码、检查、核对、转换等环节进入计算机系统,任何与之相关的人员都有可能篡改数据。
(2)篡改应用程序。该方法通过对应用程序的非法修改达到舞弊目的,如通过对维护程序或直接通过终端来修改文件中的数据,或暗中加入隐藏程序。在会计电算化信息系统中,从原始凭证录入到会计报表的生成都由计算机系统自动完成,如果系统的应用程序产生错误或被修改,计算机就会以错误的方式处理所有业务,一旦系统被嵌入非法舞弊程序,则后果不堪设想。
(3)篡改输出。指通过非法修改、销毁输出报表,将报表送给竞争对手,利用终端窃取机密信息等行为,从而达到作案目的。
(4)其他舞弊方法。如违法操作,即操作人员或其他人员不按操作规程或不经允许就上机操作,改变计算机的执行路径;或通过物理接触、拍照、拷贝、复印等方法来舞弊。
对于会计电算化舞弊的审计,审计人员首先应评价内控制度,关注舞弊环境。内控制度是控制舞弊的有效措施。审计人员在审计过程中,需要对会计电算化内控制度进行评估,并进行内部控制是否有效执行的测试,通过测试发现内部控制的薄弱点,确定被审单位可能使用的会计电算化舞弊手段,有针对性地实施技术性审查和取证。其次,审计人员应关注容易引发舞弊的途径,确定审计重点。由于会计电算化舞弊者主要通过输入、输出、程序等途径入侵系统的,审计人员应针对电算化会计系统的业务特点,采用专门的审计技术方法及策略对舞弊的高发地带进行重点审计。
二、系统输入类舞弊的审计
会计电算化输入环节是会计信息系统业务处理的入口,也是舞弊发生频率最高的环节,当被审单位系统内部控制的弱点比较明显时,比如,职责分工不明确、接触控制不完善、无严格的操作权限以及系统自身缺乏核对控制等环节,就可能出现下列舞弊行为:舞弊人员将假的存款输入银行系统,增加作案者的存款数额;将企业账号改为个人账号以实现存款的转移;消除购货业务凭证,将货款占为已有等等。
审计人员应重点收集输入环节的审计证据,以捕捉舞弊迹象。如原始数据文件和业务中有疑问的数据记录;记录有关数据的介质,如磁盘、光盘和磁带等;系统运行记录,如修改的审计线索记录、日志记录、异常报告以及错误运行记录等等,并采取以下实质性检查方法:
第一,应用传统方式审查手工记账凭证与原始凭证的合法性。首先,审计人员应抽查部分原始单据,重点使用审阅法确定业务发生的真实性,判断原始单据的来源是否合法,其数据有无被篡改,金额是否公允等。其次,采用核对法,将记账凭证的内容和数据与其原始单据的内容和数据进行核对,审查计算机处理的起点是否正确。
第二,将人工控制审查和计算机自动校验审查相结合,测试数据的完整性。审计人员模拟一组被审单位的计算机数据处理系统的数据输入,使该系统在审计人员的亲自操作或者控制下,根据数据处理系统所能达到的功能要求,完成处理过程,得到的数据与事先计算得到的结果相比较,检验原来数据与现有数据之间有无差异,并且输出差异报告。
第三,对输出的差异报告进行分析,核实例外情况,检查有无异常情况或涂改行为。
三、程序舞弊类的审计
程序审计是电算化信息系统审计的重要内容,此环节舞弊的隐匿性极强,舞弊人员通常具有一定的计算机知识,有的甚至精通计算机。常用的手法是采用截尾术、隐藏逻辑炸弹、活动天窗等,对系统的破坏性也极大。当被审单位电算部门与用户部门的职责分离不恰当,如程序员兼任操作员;系统开发控制不严,如用户单位没有对开发过程进行监督,没有详细检查系统开发过程中产生的文档,被留下“活动天窗”或埋下“逻辑炸弹”,系统维护控制不严,如程序员可随时调用机内程序进行修改;接触控制不完善,如操作员可以接触系统的源程序及系统的设计文档等,表明被审单位内部控制存在弱点,极有可能为舞弊者提供便利,审计人员应采取以下策略:
第一,审查程序编码;核对源程序基本功能,测试可疑程序,如果是非法的源程序,就是被埋下了“逻辑炸弹”和“活动天窗”。除此之外,还应注意程序的设计逻辑和处理功能是否恰当、正确,以检查是否存在“截尾术”舞弊。
第二,进行程序的比较。将实际运行中的应用软件的目标代码或源程序代码与经过审计的相应的备份软件相比较,以确定是否有未经授权的程序改动。
第三,使用特殊数据进行测试。审计人员应采用模拟数据或真实数据测试被审系统,通过系统的处理来检查系统对实际业务中同类数据处理的正确性以及对错误数据的鉴别能力。审计人员要根据测试目的确定系统中必须包括的控制措施,检查其处理结果与预期结果是否一致。
第四,追踪非法编码段。使用审计程序或者审计软件包,对系统处理过程进行全方位或某一范围内的跟踪处理,得出的结果与系统处理结果相比较,以判断系统是否安全可靠。并追踪那些潜在的可能成为其他目的所利用的编码段,追查由此可能获取的收入。
四、系统输出类舞弊的审计
该类舞弊的主体除了内部用户外,大多为外来者。他们主要通过拾遗、破译密钥、篡改输出报告、盗窃可截取的机密文件等手段作案。当被审单位内部控制存在以下弱点:(1)输出控制不健全,如对废弃的打印输出信息没有及时送到指定的人员手中。(2)接触控制不完善,如无关人员可随便进入机房,无专人保管系统输出的数据磁盘,或虽有专人保管但无借用手续。(3)传输控制不完善,如网络系统的远程传输数据没有经过加密传输,容易被截取。此时应该引起审计人员的高度警惕,并采取以下对策审查输出类舞弊:
第一,检查无关或作废的打印资料是否及时销毁,暂时不用的磁盘、磁带是否还残留数据。
第二,审查计算机运行的记录日记和拷贝传送数据的时间和内容,了解访问会计数据处理人员,分析数据失窃的可能性,追踪审计线索。
第三,向计算机重要数据的管理人员了解原始备份文件和拷贝的内容,分析特殊的舞弊线索。
综上所述,通过将传统审计技术与信息技术相结合以及对会计电算化舞弊的入侵环节实施重点审查的审计策略,可以有效防范会计信息系统中的隐患,揭露犯罪行为,保障计算机系统的安全,维护企业、国家、社会的经济利益。
作者:方自强
文章来源:财务审计