隨著會(huì)計(jì)電算化的廣泛推廣和應(yīng)用,給會(huì)計(jì)業(yè)務(wù)處理帶來(lái)極大的方便和效益,同時(shí),因會(huì)計(jì)電算化舞弊給企業(yè)造成的損失也與日俱增,而且,在常規(guī)審計(jì)活動(dòng)中,會(huì)計(jì)電算化舞弊行為很難被發(fā)現(xiàn)，

會(huì)計(jì)電算化舞弊的審計(jì)策略

。根據(jù)ARCPA最近的一項(xiàng)統(tǒng)計(jì)發(fā)現(xiàn),在計(jì)算機(jī)數(shù)據(jù)處理環(huán)境下的舞弊金額是手工數(shù)據(jù)處理情況下的3倍,而常規(guī)審計(jì)活動(dòng)只能發(fā)現(xiàn)其中的18%,嚴(yán)重危害企業(yè)乃至地區(qū)的經(jīng)濟(jì)安全。因此,對(duì)會(huì)計(jì)電算化舞弊的審計(jì)策略研究,成為審計(jì)人員必須面對(duì)的新的課題。

    一、會(huì)計(jì)電算化舞弊方法

    會(huì)計(jì)電算化舞弊具有智能性高、隱蔽性強(qiáng)、危害性大等特點(diǎn)。其舞弊的手段是隨著計(jì)算機(jī)技術(shù)的進(jìn)步而不斷變化的,就目前情況而言,主要包括以下幾類:

    (1)篡改輸入。該方法是通過(guò)在會(huì)計(jì)數(shù)據(jù)錄入前或處理過(guò)程中對(duì)數(shù)據(jù)進(jìn)行篡改來(lái)達(dá)到舞弊目的。包括虛構(gòu)、修改、刪除業(yè)務(wù)數(shù)據(jù)行為。會(huì)計(jì)數(shù)據(jù)要經(jīng)過(guò)采集、記錄、傳遞、編碼、檢查、核對(duì)、轉(zhuǎn)換等環(huán)節(jié)進(jìn)入計(jì)算機(jī)系統(tǒng),任何與之相關(guān)的人員都有可能篡改數(shù)據(jù)。

    (2)篡改應(yīng)用程序。該方法通過(guò)對(duì)應(yīng)用程序的非法修改達(dá)到舞弊目的,如通過(guò)對(duì)維護(hù)程序或直接通過(guò)終端來(lái)修改文件中的數(shù)據(jù),或暗中加入隱藏程序。在會(huì)計(jì)電算化信息系統(tǒng)中,從原始憑證錄入到會(huì)計(jì)報(bào)表的生成都由計(jì)算機(jī)系統(tǒng)自動(dòng)完成,如果系統(tǒng)的應(yīng)用程序產(chǎn)生錯(cuò)誤或被修改,計(jì)算機(jī)就會(huì)以錯(cuò)誤的方式處理所有業(yè)務(wù),一旦系統(tǒng)被嵌入非法舞弊程序,則后果不堪設(shè)想。

    (3)篡改輸出。指通過(guò)非法修改、銷毀輸出報(bào)表,將報(bào)表送給競(jìng)爭(zhēng)對(duì)手,利用終端竊取機(jī)密信息等行為,從而達(dá)到作案目的。

    (4)其他舞弊方法。如違法操作,即操作人員或其他人員不按操作規(guī)程或不經(jīng)允許就上機(jī)操作,改變計(jì)算機(jī)的執(zhí)行路徑;或通過(guò)物理接觸、拍照、拷貝、復(fù)印等方法來(lái)舞弊。

    對(duì)于會(huì)計(jì)電算化舞弊的審計(jì),審計(jì)人員首先應(yīng)評(píng)價(jià)內(nèi)控制度,關(guān)注舞弊環(huán)境。內(nèi)控制度是控制舞弊的有效措施。審計(jì)人員在審計(jì)過(guò)程中,需要對(duì)會(huì)計(jì)電算化內(nèi)控制度進(jìn)行評(píng)估,并進(jìn)行內(nèi)部控制是否有效執(zhí)行的測(cè)試,通過(guò)測(cè)試發(fā)現(xiàn)內(nèi)部控制的薄弱點(diǎn),確定被審單位可能使用的會(huì)計(jì)電算化舞弊手段,有針對(duì)性地實(shí)施技術(shù)性審查和取證。其次,審計(jì)人員應(yīng)關(guān)注容易引發(fā)舞弊的途徑,確定審計(jì)重點(diǎn)。由于會(huì)計(jì)電算化舞弊者主要通過(guò)輸入、輸出、程序等途徑入侵系統(tǒng)的,審計(jì)人員應(yīng)針對(duì)電算化會(huì)計(jì)系統(tǒng)的業(yè)務(wù)特點(diǎn),采用專門的審計(jì)技術(shù)方法及策略對(duì)舞弊的高發(fā)地帶進(jìn)行重點(diǎn)審計(jì)。

    二、系統(tǒng)輸入類舞弊的審計(jì)

    會(huì)計(jì)電算化輸入環(huán)節(jié)是會(huì)計(jì)信息系統(tǒng)業(yè)務(wù)處理的入口,也是舞弊發(fā)生頻率最高的環(huán)節(jié),當(dāng)被審單位系統(tǒng)內(nèi)部控制的弱點(diǎn)比較明顯時(shí),比如,職責(zé)分工不明確、接觸控制不完善、無(wú)嚴(yán)格的操作權(quán)限以及系統(tǒng)自身缺乏核對(duì)控制等環(huán)節(jié),就可能出現(xiàn)下列舞弊行為:舞弊人員將假的存款輸入銀行系統(tǒng),增加作案者的存款數(shù)額;將企業(yè)賬號(hào)改為個(gè)人賬號(hào)以實(shí)現(xiàn)存款的轉(zhuǎn)移;消除購(gòu)貨業(yè)務(wù)憑證,將貨款占為已有等等。

    審計(jì)人員應(yīng)重點(diǎn)收集輸入環(huán)節(jié)的審計(jì)證據(jù),以捕捉舞弊跡象。如原始數(shù)據(jù)文件和業(yè)務(wù)中有疑問(wèn)的數(shù)據(jù)記錄;記錄有關(guān)數(shù)據(jù)的介質(zhì),如磁盤、光盤和磁帶等;系統(tǒng)運(yùn)行記錄,如修改的審計(jì)線索記錄、日志記錄、異常報(bào)告以及錯(cuò)誤運(yùn)行記錄等等,并采取以下實(shí)質(zhì)性檢查方法:

    第一,應(yīng)用傳統(tǒng)方式審查手工記賬憑證與原始憑證的合法性。首先,審計(jì)人員應(yīng)抽查部分原始單據(jù),重點(diǎn)使用審閱法確定業(yè)務(wù)發(fā)生的真實(shí)性,判斷原始單據(jù)的來(lái)源是否合法,其數(shù)據(jù)有無(wú)被篡改,金額是否公允等，

管理資料

《會(huì)計(jì)電算化舞弊的審計(jì)策略》(http://m.stanzs.com)。其次,采用核對(duì)法,將記賬憑證的內(nèi)容和數(shù)據(jù)與其原始單據(jù)的內(nèi)容和數(shù)據(jù)進(jìn)行核對(duì),審查計(jì)算機(jī)處理的起點(diǎn)是否正確。

    第二,將人工控制審查和計(jì)算機(jī)自動(dòng)校驗(yàn)審查相結(jié)合,測(cè)試數(shù)據(jù)的完整性。審計(jì)人員模擬一組被審單位的計(jì)算機(jī)數(shù)據(jù)處理系統(tǒng)的數(shù)據(jù)輸入,使該系統(tǒng)在審計(jì)人員的親自操作或者控制下,根據(jù)數(shù)據(jù)處理系統(tǒng)所能達(dá)到的功能要求,完成處理過(guò)程,得到的數(shù)據(jù)與事先計(jì)算得到的結(jié)果相比較,檢驗(yàn)原來(lái)數(shù)據(jù)與現(xiàn)有數(shù)據(jù)之間有無(wú)差異,并且輸出差異報(bào)告。

    第三,對(duì)輸出的差異報(bào)告進(jìn)行分析,核實(shí)例外情況,檢查有無(wú)異常情況或涂改行為。

    三、程序舞弊類的審計(jì)

    程序?qū)徲?jì)是電算化信息系統(tǒng)審計(jì)的重要內(nèi)容,此環(huán)節(jié)舞弊的隱匿性極強(qiáng),舞弊人員通常具有一定的計(jì)算機(jī)知識(shí),有的甚至精通計(jì)算機(jī)。常用的手法是采用截尾術(shù)、隱藏邏輯炸彈、活動(dòng)天窗等,對(duì)系統(tǒng)的破壞性也極大。當(dāng)被審單位電算部門與用戶部門的職責(zé)分離不恰當(dāng),如程序員兼任操作員;系統(tǒng)開(kāi)發(fā)控制不嚴(yán),如用戶單位沒(méi)有對(duì)開(kāi)發(fā)過(guò)程進(jìn)行監(jiān)督,沒(méi)有詳細(xì)檢查系統(tǒng)開(kāi)發(fā)過(guò)程中產(chǎn)生的文檔,被留下“活動(dòng)天窗”或埋下“邏輯炸彈”,系統(tǒng)維護(hù)控制不嚴(yán),如程序員可隨時(shí)調(diào)用機(jī)內(nèi)程序進(jìn)行修改;接觸控制不完善,如操作員可以接觸系統(tǒng)的源程序及系統(tǒng)的設(shè)計(jì)文檔等,表明被審單位內(nèi)部控制存在弱點(diǎn),極有可能為舞弊者提供便利,審計(jì)人員應(yīng)采取以下策略:

    第一,審查程序編碼;核對(duì)源程序基本功能,測(cè)試可疑程序,如果是非法的源程序,就是被埋下了“邏輯炸彈”和“活動(dòng)天窗”。除此之外,還應(yīng)注意程序的設(shè)計(jì)邏輯和處理功能是否恰當(dāng)、正確,以檢查是否存在“截尾術(shù)”舞弊。

    第二,進(jìn)行程序的比較。將實(shí)際運(yùn)行中的應(yīng)用軟件的目標(biāo)代碼或源程序代碼與經(jīng)過(guò)審計(jì)的相應(yīng)的備份軟件相比較,以確定是否有未經(jīng)授權(quán)的程序改動(dòng)。

    第三,使用特殊數(shù)據(jù)進(jìn)行測(cè)試。審計(jì)人員應(yīng)采用模擬數(shù)據(jù)或真實(shí)數(shù)據(jù)測(cè)試被審系統(tǒng),通過(guò)系統(tǒng)的處理來(lái)檢查系統(tǒng)對(duì)實(shí)際業(yè)務(wù)中同類數(shù)據(jù)處理的正確性以及對(duì)錯(cuò)誤數(shù)據(jù)的鑒別能力。審計(jì)人員要根據(jù)測(cè)試目的確定系統(tǒng)中必須包括的控制措施,檢查其處理結(jié)果與預(yù)期結(jié)果是否一致。

    第四,追蹤非法編碼段。使用審計(jì)程序或者審計(jì)軟件包,對(duì)系統(tǒng)處理過(guò)程進(jìn)行全方位或某一范圍內(nèi)的跟蹤處理,得出的結(jié)果與系統(tǒng)處理結(jié)果相比較,以判斷系統(tǒng)是否安全可靠。并追蹤那些潛在的可能成為其他目的所利用的編碼段,追查由此可能獲取的收入。

    四、系統(tǒng)輸出類舞弊的審計(jì)

    該類舞弊的主體除了內(nèi)部用戶外,大多為外來(lái)者。他們主要通過(guò)拾遺、破譯密鑰、篡改輸出報(bào)告、盜竊可截取的機(jī)密文件等手段作案。當(dāng)被審單位內(nèi)部控制存在以下弱點(diǎn):(1)輸出控制不健全,如對(duì)廢棄的打印輸出信息沒(méi)有及時(shí)送到指定的人員手中。(2)接觸控制不完善,如無(wú)關(guān)人員可隨便進(jìn)入機(jī)房,無(wú)專人保管系統(tǒng)輸出的數(shù)據(jù)磁盤,或雖有專人保管但無(wú)借用手續(xù)。(3)傳輸控制不完善,如網(wǎng)絡(luò)系統(tǒng)的遠(yuǎn)程傳輸數(shù)據(jù)沒(méi)有經(jīng)過(guò)加密傳輸,容易被截取。此時(shí)應(yīng)該引起審計(jì)人員的高度警惕,并采取以下對(duì)策審查輸出類舞弊:

    第一,檢查無(wú)關(guān)或作廢的打印資料是否及時(shí)銷毀,暫時(shí)不用的磁盤、磁帶是否還殘留數(shù)據(jù)。

    第二,審查計(jì)算機(jī)運(yùn)行的記錄日記和拷貝傳送數(shù)據(jù)的時(shí)間和內(nèi)容,了解訪問(wèn)會(huì)計(jì)數(shù)據(jù)處理人員,分析數(shù)據(jù)失竊的可能性,追蹤審計(jì)線索。

    第三,向計(jì)算機(jī)重要數(shù)據(jù)的管理人員了解原始備份文件和拷貝的內(nèi)容,分析特殊的舞弊線索。

    綜上所述,通過(guò)將傳統(tǒng)審計(jì)技術(shù)與信息技術(shù)相結(jié)合以及對(duì)會(huì)計(jì)電算化舞弊的入侵環(huán)節(jié)實(shí)施重點(diǎn)審查的審計(jì)策略,可以有效防范會(huì)計(jì)信息系統(tǒng)中的隱患,揭露犯罪行為,保障計(jì)算機(jī)系統(tǒng)的安全,維護(hù)企業(yè)、國(guó)家、社會(huì)的經(jīng)濟(jì)利益。