基于计算机技术的会计舞弊及其审计对策
2009-04-01李立志
【摘 要】 计算机技术在使会计工作领域发生巨大变革的同时,也为会计舞弊提供了广阔的空间和可能性。本文剖析了在计算机环境下会计舞弊的种种手段及其技术基础,在此基础上探讨了审计工作应采取的对策。
【关键字】 计算机技术; 会计舞弊; 审计对策
会计信息化极大地提高了会计工作的效率和数据处理的准确性。但它也是一把“双刃剑”,信息化在使会计工作领域发生巨大变革的同时,也为舞弊这一有悖于市场规则和法律规范的主观故意提供了广阔的空间和可能性。由于当前我国会计舞弊的预期收益仍然远远高于舞弊成本,因此更使得舞弊者乐此不疲,这无疑会使审计工作面临严峻的挑战。面对新的技术环境,需要探讨新的审计对策。
一、计算机环境下的会计舞弊手段剖析
(一)信息系统加工规则舞弊
加工规则是计算机自动化、高效率处理数据的前提,它规定了信息系统运行的环境,是系统功能发挥的基础和必要条件。就应用属性而言,可以将其分为以下两大类:
1.常规性、公共性及确定性的规则。如会计系统中的“有借必有贷,借贷必相等”、“同级明细科目发生额必须等于其上级科目发生额”等等。这类规则一般在软件设计时已经被“固化”嵌入到系统的程序中,当系统运行时,这些规则直接发挥作用。
2.与软件系统运行个体背景相关、有明显个性化特征的规则。如会计系统中的账套参数、操作员身份及权限参数、机构人员档案、科目体系档案、折旧方法选择等。这类规则通常在软件设计时预留数据接口,然后由未来的用户自己完成。它属于商品化通用软件在运行前要“初始化”的范畴。按内容而言可将其继续分为以下两类:一是与系统运行环境有关的参数(如企业名称、行业类型、有无外币核算、操作员身份及权限参数、各种对象或元素的档案体系等);二是与系统或其各功能模块运行有关的基础数据(如以前环境下的各种未两清业务、科目余额等等)。这类数据决定了软件系统运行的数据平台。
对上述第二类规则的理解,需要把握以下几个方面的要义:
(1)分布广。即启用软件的任何一个新的功能模块或系统,通常都会涉及到这些相关规则的设置问题。
(2)分层次。由于信息系统数据共享范围不同,使得这些规则具有一定的层次性。
(3)可维护性。有些规则即使是在信息系统运行后,仍然可以维护修改。
上述规则对计算机会计信息系统的无障碍正常运行至关重要,它奠定了自动化运行的基础和平台。有人曾做过粗略统计,在会计信息系统运行的错误中,有85%的出错率都与各级初始化参数设置的科学性和合理性存在着直接或者间接的关系。当然也正是这些规则的设置,为舞弊者提供了可乘之机,这方面的典型手法有:
案例1,多账套舞弊。账套是商品化软件开发商基于通用化考虑,为兼顾不同行业、不同企业用户的个性化需要,由购买者在软件功能平台支持下,根据软件预留的参数接口,由企业自己定义和建立的核算与管理体系。它是一个将通用商品化软件转变为企业专用软件的过程。
一个独立的核算单位只能建立一个账套,而软件通常有能力支持建立多个账套。为共享操作员资源,系统支持超级用户可“统领”以及操作员可同时操作软件中的多个账套。系统提供的数据维护接口,可使多套账之间十分方便地进行数据资料相互取舍、传递,以及账套的输出、引入、删除等操作。被输出的账套既可存储在本机硬盘中,也可通过网络存储在其它外部介质中。显然这种机制为舞弊者进行整体、综合性的会计舞弊提供了极大机会,舞弊者可按不同的会计核算规则分别设置多个套账并同时进行核算。而来源于相同会计事项的原始数据,按不同的目标或不同的信息使用对象依不同的加工规则进行加工,自然会产生差异很大的数据结果。如果没有严格的系统内部控制和外部审计措施,那么这种多账套舞弊在信息化环境下将易如反掌。
案例2,模板舞弊。计算机系统中的许多重复有规律的数据加工操作通常由计算机自动完成。其基本思路是:根据数据加工规则,预先制作加工“模板”并保存起来,在需要进行类似模式的数据加工时,由系统调用“模板”自动生成所需数据。由于“模板”加工规则是由人来设置的,并且可随时修改维护,这就为舞弊者留下了巧妙的舞弊机关。比如在会计系统中,为充分利用计算机自动化优势,通常将业务发生频繁、业务性质固定、科目对应关系固定、金额计算有规律的转账业务,通过定义凭证模板的形式预存起来,当需要进行相关转账时,由凭证模板自动生成相关业务凭证。如期末费用计提、摊销,期间损益科目余额结转等等。这种由模板自动生成的凭证,其正确性与模板定义要素(特别是金额取数公式)密切相关。舞弊者可以通过修改模板定义要素进行舞弊。如某企业某会计期间发生“制造费用——技改费”(科目编码410504)100万元,按实际工时数在三个生产车间按比例进行费用分配:一车间摊20%,二车间摊45%,三车间摊35%。其中第二车间生产的是免税产品。那么正确的转账取数函数应为:
借:生产成本——一车间QM(410504,月)×0.2
生产成本——二车间QM(410504,月)×0.45
生产成本——三车间QM(410504,月)×0.35
贷:制造费用QM(410504,月)
但企业为了调整应税产品和免税产品的赢利水平以实现逃税目的,可改变转账取数函数设定。如将一车间取数函数定义为QM(40204,月)×0.45,而将第二车间的取数函数定义为QM(40204,月)×0.2,这种参数的微调所导致的计税效果显然是大不相同的。若审计人员不核对模板定义内容而仅审查账面结果,很难会觉察到这种“四两拨千斤”的微妙技巧。同样的舞弊技巧也可以用在会计报表模板的定义中。
(二)系统内控机制舞弊
内部控制又称内部牵制,它是会计系统安全、可靠和正确运行的保证。在手工环境下,人是主要的因素,所以内控出发点几乎都是以人为目标展开的。具体措施是:通过凭证传递流程来选择控制点,规定每个工作点应完成的任务,然后相互校检与核对以保证数据的正确性。如账证、账账、账实核对法,以及各种签名控制措施等。但在计算机系统中,由于数据处理技术的变化,使系统结构、运行机制等方面都发生了根本性的变化。原来只以人为控制对象的内控机制,要转化为同时以人和计算机系统为对象进行控制。因此产生了以人为控制目标的一般控制和以计算机系统为控制目标的应用控制相结合的全面内部控制机制。具体措施是:根据计算机系统的特点,首先建立完善的、适合计算机特点的岗位责任制和内部控制制度,在此基础上,在系统各运行环节设置有效的密码权限验证机制和数据自动校验机制,以及时发现操作权限及加工数据等方面的真实有效性问题。
在上述内控体系中,属于应用控制的机制一般被“固化”在软件程序中,通常用于检测那些违背会计规则或违背常规逻辑的问题,如科目不合法、借贷不平衡、金额超预算等等。这些控制机制有一定的“透明度”和一定的执行“刚性”。针对那些貌似“合乎”会计规则或逻辑的问题,这些控制措施通常会显得束手无策,如伪造合法业务、科目串户、业务冒名操作等等。而这些错误和操作却往往是会计舞弊和舞弊最容易被利用的环节。
在会计系统中,对“人”的控制称为一般控制,无论在设计还是在执行时,通常具有很大的“柔性”,它是系统最不容易了解和检测的部分,是系统基础性的控制,也是应用控制发生作用的前提。应当说,一般控制的控制层次和内容级别,应以不相容岗位相分离为原则,然后相互排列组合,以构成计算机会计系统有机的立体交叉内控体系。这种控制体系的执行,最终集中体现在象征各种岗位权限的密码权限上。需要说明的是,会计信息化环境中的自然人与系统“操作员”之间,严格意义上并不是一个概念。操作员是系统各岗位权限密码的“人”化,谁拥有了这一密码,谁将就是这一岗位的合法操作员。如果把自然人与“操作员”混为一谈或淡视密码的作用,将会为系统舞弊与舞弊留下巨大的遗患。
案例3,利用超级用户身份舞弊。一个系统原则上只能有一个超级用户,但是按照上面的分析,“超级用户”本质上指的是“超级密码”,若十个自然人同时获悉了这一密码,那么系统就将会同时存在十个超级自然用户,这显然对系统内控是十分可怕的。另外,原则上要求超级用户不得从事具体业务岗位操作,但若超级用户虚拟了一个自然人并同时为其任命操作岗位权限和密码,那么超级用户要进行某方面的业务操作岂不易如反掌?事实上,这种密码管理混乱的例子在企业几乎比比皆是,甚至不少企业的许多重要岗位操作密码都是公开互用的。因此信息化环境下企业内部控制的混乱缺的往往不是控制制度,而是对岗位密码的有效管理。
(三)信息系统簿记机制舞弊
会计簿记有“记载”和“反映”两项职能,分别由账簿和账户来完成,账户负责“记载”,账簿负责“反映”。由于传统会计的簿记是被记录在纸介质上的,因此簿记的“记载”和“反映”职能被有机集为一体,记载的同时也实现了簿记的反映职能,有较强的直观性。而且由于纸介质特征,会计事项记载的内容也是固定的,即一经记载其簿记的信息格式和内容都不会再发生变化,若要修改,必然也是有痕迹的。
而在计算机系统中,信息存储实现了电子化,簿记的两项职能分别要由两个过程来完成:首先它把相关分类信息以电子数据库的形式记载在磁介质上,信息在数据库中的存储格式不同于传统会计账簿格式,人不可以直接识别,因此这只完成了簿记的“记载”职能。为满足人们以“账簿”形式进行信息查询的需要,系统设计了人们所熟悉的“账簿格式显示程序”,在需要时由系统在瞬间从相关数据库中进行检索、查询和信息组织,再以“账簿”格式显示出来,从而完成会计簿记的“反映”职能。从这个意义上说,手工环境下的账簿是实物,它的“记载”与“反映”职能被有机统一在一起且不可分割。而在计算机环境下,本质上只有“账户”(以数据库形式存在)而没有“账簿”,簿记的“记载”职能由数据库来实现,而“反映”职能可采用多种形式来完成(不一定仍采用传统的“账簿”格式)。从创新视角看,只要是能提供信息需求者所关心的信息“元”内容(包括如总账中的余额和累计发生额、明细账中的科目对应关系、业务发生额等信息,甚至从数据库中挖掘组织出的其它有价值信息),那么无论采用何种格式和组织形式,本质上讲,它都实现了“账簿”意义上的反映职能。基于此,就不难理解在计算机会计系统中所出现的账簿格式可变、信息内容可变,甚至可以反映未记账凭证信息等诸多“怪”现象,也不难理解发生在信息化环境下,账簿的“无痕迹修改”和“反复核、反记账、反结账”等功能。
按照上述分析,下面来剖析一下利用信息系统簿记机制进行会计舞弊的典型手法。
案例4,无痕迹修改舞弊。会计信息化环境中的“凭证无痕迹修改”功能,通常与“反复核、反记账、反结账”功能相伴而生,它们均是会计数据电子数据库化的特定产物。“反复核”是指在信息化环境下,可以将已审核过的会计凭证取消审核标记,以便对其进行无痕迹修改或增删;“反记账”又称“倒记账”,是指把一批已经登账的凭证当月的发生额从其各自账簿中予以扣除,使账簿恢复到该批凭证登账前状态;“反结账”又称“倒结账”或“环境恢复”,就是将已审核记账并已结转至下月的会计账簿恢复到以前月份各账簿的发生额和余额状态。有些软件不仅提供了当年各月的“反结账”功能,甚至还可以跨年度“反结账”,即直接将会计账簿恢复至指定年份、月份各账簿未审核、未登账前的发生额和余额的状态。
应当说,在会计信息的加工过程中,无论是手工还是计算机环境,出错都是难免的。会计法规要求,对于会计差错应当及时予以甄别和更正,由于手工操作的特点,显然它对凭证的修改都是“有痕迹”的。但在计算机环境下,除常规意义上的“有痕迹”修改外,还存在着一类独特的“无痕迹”修改方法。这些修改方法通常都是以信息化环境下的“反复核、反记账、反结账”功能为作业前提的,具体可分为以下几种情况:1.凭证保存前进行“无痕迹”修改。严格讲,由于此时凭证并没有保存,所以它不是真正意义上的凭证修改而是填制。2.凭证保存后且在审核前进行“无痕迹”修改。此时系统通常只允许修改除凭证编号以外的其它项目内容。3.凭证审核后且在记账前进行“无痕迹”修改,此时系统规定只有在执行了“反复核”操作后才能进行“无痕迹“修改。为明确责任,系统要求“反复核”操作通常要由审核人自己来完成。4.凭证已记账但未结账之前进行的“无痕迹”修改。此时系统要求只有当主管人员执行了“反记账”操作后,才能继续仿照前面的各级修改。5.系统结账后对凭证进行“无痕迹”修改。此时系统要求由超级用户执行“反结账”操作后,才能继续仿照前面的各级修改。
不难看出,如果把会计软件中的这种“凭证无痕迹修改”和“反审核、反记账、反结账”功能进行有效配合,那么将会为舞弊者提供相当多的舞弊机会。而实际上,从近年来的会计信息化实务看,利用上述功能配合进行会计舞弊的例子屡见不鲜。
(四)信息系统数据接口舞弊
数据接口就流向而言可分为录入口和输出口,就范围而言可分为系统(或模块)内部接口和外部接口。为方便对录入或输出数据的核对和修改,这些接口通常都设计有人工的“干预”机制,正是这种机制,为信息化环境下会计舞弊提供了机会。
案例5,账务与业务系统接口舞弊。对外报送的会计信息,最终都要在账务系统集中汇总处理后,传至报表系统生成会计报表。这些信息一部分由账务系统内部产生,而另一部分则来源于其他业务子系统,如工资、固定资产、应收、应付等。这些来源于其他业务系统的业务数据,一般通过数据接口程序被实时或分批地制作成业务转账凭证输入账务系统(属外部机制凭证),而这种制作、输入的时间以及内容通常是人工可控的。一般来说,由业务系统自动产生的原始转账数据应是相关业务的真实反应,但是由于人工“干预”机制的存在,便使这一转账接口成了极易舞弊的环节。
舞弊者在业务转账凭证生成与传递前,可对原始业务数据汇总表并进行有目的的修改,使生成以及被传递的会计凭证与业务系统的业务背景不一致。如修改工资系统的人工费用分配表,修改固定资产系统的折旧费用分配表,修改应收或应付系统的往来业务汇总表等等。尽管许多软件在账务系统仍然保留账账、账证、账表等核对功能,但由于这些功能通常只负责账务系统内部勾稽关系的检查,并不涵盖系统之间的勾稽关系,所以,这种利用账务与业务系统之间接口的舞弊,有一定的隐蔽性。
二、计算机环境下的审计对策
计算机技术环境显然为会计舞弊者提供了太多以及太方便的舞弊机会和手段,面对新环境,传统的审计手段已无能为力,因此必须要探讨新的审计对策。
(一)综合评价策略
对计算机会计系统的审计,审计人员可以先对其有一个综合的考量,这样可有效地提高审计工作的效率,更加充分地运用审计的“重要性原则”。对软件系统的考量,除查看软件鉴定证书外,还要了解其各主要系统及模块的功能、初始化内容及其业务处理流程。审计人员可运用软件分析技术,将企业系统的软件运行业务数据流程图提炼出来,然后从多个角度对其进行分析评价,从中发现是否存在不合理的或特殊的会计数据处理流程和环节。另外,稽查人员还可以将一组数据输入被审查系统,然后比较输出的结果与事先计算好的结果是否有差异,也可从不同角度列举各种有代表性的数据输入系统,考察软件的数据处理流程是否合法有效,是否留有非法的可供篡改数据的路径,数据的计算是否合乎逻辑等等。经过比对,系统的技术性和数据可靠性一目了然,然后在此基础上再对系统进行有针对性的审计。
(二)宏观比对策略
这是一种综合性的审计策略。在对信息化系统及其数据结果进行审计评价时,可“先见森林,再见树木”。即将企业当期重要经营指标数据与企业所在行业以及企业历年的同类数据进行比对分析,以宏观洞察异常情况,进而进行重点审查。这一策略的使用,往往能使稽查者对被稽查的企业系统和数据有一个宏观的认识和判断,然后配合使用“微观”的审计技术和方法,能大大地提高审计效率。
(三)系统规则审计策略
根据前面分析,计算机系统的自动化高效数据处理是以预设加工规则为前提的。因此在审计实务中,审计人员应关注信息系统的加工规则,看其制定得是否合理、合法,是否前后一致,是否有二次维护修改的痕迹等,这样往往能抓住问题的根源。
(四)人工干预口审计策略
为方便对软件系统运行进行实时有效的监督和控制,系统通常为操作者留下了许多可“干预”的环节或接口,这些环节或接口通常会被舞弊者“巧妙而有目的”地利用而成为舞弊的“事故多发地带”。可以说凡是能被人操纵的环节与接口,都应是审计者重点关注的地方。
(五)不轻信自动化加工结果策略
这一策略的原理前面已经论及,它是指审计人员不要轻易相信系统自动加工的结果,特别对敏感的项目和数据,要亲自打开系统进行核对分析,有必要时还要亲自查看其加工背景、加工规则和加工作业流程等等,甚至要演示数据进行数据测试。
(六)巧用超级管理权策略
审计人员可要求企业提供系统超级访问密码,然后利用超级管理员权限对系统进行超级“访问”审查:一方面直接利用操作员身份登录系统,进行系统最高级的访问审查;另一方面可利用超级管理员对所有操作员密码的超级维护权(即删除操作员未知密码,重新赋予新密码,并以此密码登录该业务员操作界面),进行业务级特殊“访问”检查。
三、结束语
信息化技术是一把“双刃剑”,它在为企业会计信息加工提供方便与高效的同时,也为舞弊者提供了“高效”的舞弊手段。审计人员不能仅在方法和技术层面上探讨防弊的手段,因为这仅仅只是“战术级”的,还需要在政策法规层面上进行“战略级”的策略研究。只有将宏观与微观相结合,才能构建一套科学完善的审计防范体系。
【参考文献】
[1] 程安林.会计造假与会计监管的经济学分析[J].生产力研究,2008,(03).
[2]李立志. 会计信息系统的内部控制制度特点[J]. 经济经纬,2002,(01).
[3] 于波,安兵.计算机舞弊及其防范[J].财会通讯(综合版),2007,(03).