壹、會計電算化舞弊方法
會計電算化舞弊具有智能高、隱蔽性強、危害大的特點。詐騙手段隨著計算機技術的進步也在不斷變化。就目前情況來看,主要包括以下幾類:
(1)篡改輸入。這種方法是通過在錄入前或處理過程中篡改會計數據來達到造假的目的。包括偽造、修改和刪除業務數據行為。會計數據必須采集、記錄、傳輸、編碼、核對、檢查並轉換到計算機系統中,任何與之有關的人都不得篡改數據。
(2)篡改應用程序。這種方法通過非法修改應用程序達到詐騙的目的,比如通過維護程序或者直接通過終端修改文件中的數據,或者偷偷添加隱藏程序。在電算化會計信息系統中,從原始憑證的錄入到會計報表的生成都是由計算機系統自動完成的。如果系統的應用程序出錯或被修改,計算機就會以錯誤的方式處理所有業務。壹旦系統被植入非法詐騙程序,後果將不堪設想。
(3)篡改輸出。是指非法修改、銷毀輸出報告,將報告發送給競爭對手,利用終端竊取機密信息,從而達到犯罪目的的行為。
(4)其他欺詐方法。如非法操作,即操作者或其他人員不遵守操作規程或未經許可在計算機上操作,改變計算機的執行路徑;或者通過肢體接觸、拍照、臨摹、臨摹等方法行騙。
對於會計電算化舞弊的審計,審計人員首先要對內部控制制度進行評價,關註舞弊環境。內部控制制度是控制舞弊的有效措施。在審計過程中,審計人員需要對會計電算化的內部控制制度進行評價,測試內部控制是否得到有效實施。通過測試,他們可以發現內部控制的薄弱點,確定被審計單位可能使用的會計電算化舞弊手段,有針對性地進行技術審查和取證。其次,審計人員要關註容易導致舞弊的途徑,確定審計重點。由於電算化會計舞弊者主要通過輸入、輸出和程序侵入系統,審計人員應根據電算化會計系統的業務特點,采用特殊的審計技術和策略,重點關註舞弊高發領域。
二、系統輸入舞弊的審計
會計電算化的輸入環節是會計信息系統業務處理的入口,也是舞弊發生頻率最高的環節。當被審計單位系統內部控制存在職責分工不明確、聯系控制不完善、缺乏嚴格的操作權限、系統本身缺乏支票控制等明顯弱點時,可能發生以下欺詐行為:欺詐者向銀行系統輸入虛假存款,增加了行為人的存款金額;將企業賬號改為個人賬號,實現存款的轉移;消除采購業務憑證,將付款視為已有,等等。
審計人員應在輸入環節集中收集審計證據,以捕捉舞弊跡象。如業務中的原始數據文件和可疑數據記錄;記錄相關數據的介質,如磁盤、光盤和磁帶;系統運行記錄,如修改審計跟蹤記錄、日誌記錄、異常報告和錯誤操作記錄等。,並采用以下實質性檢查方法:
第壹,手工記賬憑證和原始憑證的合法性要用傳統的方法進行審查。首先,審計人員要抽查壹些原始憑證,重點運用復核方法確定業務的真實性,判斷原始憑證的來源是否合法,數據是否被篡改,金額是否公允。其次,通過核對方法將記賬憑證的內容和數據與原始憑證的內容和數據進行核對,以檢查計算機處理的起點是否正確。
第二,人工控制審核與計算機自動驗證審核相結合,檢驗數據的完整性。審計人員模擬壹組被審計單位的計算機數據處理系統的數據輸入,使系統在審計人員的親自操作或控制下,按照數據處理系統所能達到的功能要求完成處理過程,將得到的數據與事先得到的結果進行比較,檢查原始數據與現有數據是否有差異,並輸出差異報告。
第三,分析輸出的差異報告,驗證異常,檢查是否有異常或變更。
三。對程序性欺詐的審計
程序審計是計算機化信息系統審計的重要組成部分,該環節的舞弊具有極強的隱蔽性。詐騙分子通常具有壹定的計算機知識,有些人甚至精通計算機。常用的技術有切尾、隱藏邏輯炸彈、活動天窗等。,這對系統也是極具破壞性的。被審計單位計算機部門和用戶部門職責劃分不當時,如程序員兼任操作員;系統開發控制不嚴格,如用戶單位未對開發過程進行監督,未對系統開發過程中產生的文檔進行詳細檢查,留下了“可移動的天窗”或“邏輯炸彈”,系統維護控制不嚴格,如程序員可隨時調用機內程序進行修改;接觸控制不完善,如操作人員接觸到系統的源程序、系統的設計文件等,說明被審計單位的內部控制存在薄弱環節,很可能為舞弊者提供便利。審計師應該采取以下策略:
首先,審核程序代碼;檢查源程序的基本功能,測試可疑程序。如果是非法源程序,那就是“邏輯炸彈”,是“可移動的天窗”。此外,還要註意程序的設計邏輯和處理功能是否恰當、正確,以此來檢查是否存在“切尾”造假。
第二,比較程序。將實際運行的應用軟件的目標代碼或源代碼與相應的被審計的備份軟件進行比較,以確定是否存在未經授權的程序更改。
第三,使用專門的數據進行測試。審計人員應使用模擬數據或真實數據對被審計系統進行測試,檢查系統在實際業務中處理類似數據的正確性以及通過系統處理識別錯誤數據的能力。審核員應根據測試目的確定系統中必須包含的控制措施,並檢查處理結果是否與預期結果壹致。
第四,追蹤非法編碼片段。使用審計程序或審計軟件包全方位或壹定範圍內跟蹤系統處理情況,並將結果與系統處理結果進行比較,判斷系統是否安全可靠。並追蹤那些可能用於其他用途的潛在代碼段,追蹤可能由此獲得的收益。
四、系統輸出舞弊審計
這種詐騙的主體除了內部用戶,大多是外部人員。他們主要通過撿拾遺體、破譯密鑰、篡改輸出報告、竊取可截獲的機密文件等方式實施犯罪。當受審核方內部控制存在以下弱點時:(1)輸出控制不完善,如廢棄的打印輸出信息未及時送達指定人員。(2)聯系控制不完善。如果無關人員可以隨便進入機房,沒有專人保管系統輸出的數據盤,或者有專人保管,但沒有借閱手續。(3)傳動控制不完善。比如網絡系統的遠程傳輸數據沒有加密,容易被截獲。這時,審計人員應高度警惕,並采取以下措施審查輸出舞弊:
壹是檢查無關或無效的印刷品是否及時銷毀,暫時不用的磁盤、磁帶是否還有殘留數據。
二是審查計算機運行記錄和復制數據的時間和內容,了解會計數據處理人員的訪問權限,分析數據被盜的可能性,跟蹤審計線索。
第三,向重要計算機數據的管理人員了解原始備份文件和副本的內容,分析特殊詐騙線索。
綜上所述,將傳統審計技術與信息技術相結合,實施以會計電算化舞弊入侵為重點的審計策略,可以有效防範會計信息系統隱患,揭露犯罪行為,確保計算機系統安全,維護企業、國家和社會的經濟利益。