本章主要内容
一、篡改输入数据
二、修改输出数据
三、分摊进销差价
四、程序作假手法
五、设置特别程序
……
会计电算化是把电子计算机和现代数据处理技术应用到会计工作中的简称,是用电子计算机代替人工记账、算账和报账,以及部分代替人脑完成对会计信息的分析、预测、决策的过程,其目的是提高企业财会管理水平和经济效益,从而实现会计工作的现代化。
狭义的会计电算化是指以电子计算机为主体的信息技术在会计工作的应用,具体而言,就是利用会计软件,指挥在各种计算机设备替代手工完成或在手工下很难完成的会计工作过程。
广义上来讲就是指与会计工作电算化有关的所有工作,包括会计电算化软件的开发与应用、会计电算化人才的培训、会计电算化的宏观规划,会计电算化制度建设、会计电算化软件市场的培育与发展等。
会计电算化是一个人机相结合的系统,其基本构成包括会计人员、硬件资源、软件资源和信息资源等要素,其核心部分则是功能完善的会计软件资源。会计电算化能提高会计数据处理的实效性和准确性、提高会计核算的水平和质量、减轻会计人员的劳动强度;提高经营管理水平。使财务会计管理由事后管理向事中控制、事先预测转变,为管理信息化打下基础;推动会计技术,方法,理论创新和观念更新,促进会计工作的进一步发展。
随着计算机技术的发展,企业会计电算化不断普及,特别是电子商务和ERP系统的广泛应用给传统审计方法带来极大挑战。企业所有的人、财、物及生产经营业务等,都被纳入一个庞大的系统里面。注册会计师在审计一个庞大企业系统时,往往感到难以驾驭。这时,仅能看懂财务报表是不够的,如果无法了解和评价产生财务报表的系统是否安全和可靠,就很难出具真实、公允的审计报告。
另外,在计算机应用越来越广泛的情况下,审计的风险控制措施也发生了很大变化。传统审计的风险控制,比如总账和分账要分离。但在计算机条件下,新的风险控制措施大不一样,比如计算机密码口令、病毒保护、数据备份、意外间断的处理恢复等。
计算机技术给传统审计方法带来了空前挑战:一是内部控制环节的变化,许多传统的控制手段已经失去意义,评价和改进内部控制必须以信息系统的运转为基础;二是管理的风险增加,由于企业经营越来越依赖于信息系统,除了传统意义上的经营风险、控制风险和财务风险之外,企业信息系统安全性导致的信息风险日益增长;三是对复合型高级人才的需求骤增,要求管理者、审计师和咨询人员必须精通管理和专业的同时还要熟悉信息系统和网络技术。
1.会计电算化的特点
与手工会计系统的内部控制相比,电算化会计信息系统的内部控制有以下几方面的特点:
(1)内部控制的措施和方式发生了变化。
主要体现在两个方面:一是原手工会计系统下的一些内部控制措施在实施电算化后没有必要存在。例如,制作科目汇总表、凭证汇总表,试算平衡的操作,以及总账、明细账核对等。由于计算机自动计算汇总一般不会出错,除非在计算机病毒的影响、非法操作和数据受损等情况下才会出现试算不平衡等现象,因此以上措施没有必要存在。二是原手工会计系统下的一些内部控制措施,在电算化后转移到了计算机内部。例如,记账凭证里金额的借贷平衡、各账户的发生额平衡、账户的余额平衡检查等,也就没有必要存在了。一般来讲,电算化会计信息系统的内部控制措施分为以组织措施为主的一般控制和以计算机系统程序控制为主的应用控制,并且组织控制是应用控制的基础和保障;而控制的方式由人工控制转变为计算机控制为主,并与人工控制相结合。
(2)内部控制制度有了新的内容。
由于计算机技术、网络技术等现代信息技术的引入,一方面使一些会计工作的形式发生变化,另一方面也给会计工作增加了一些新的工作内容;同时使内部会计控制的范围更广,包含了手工会计系统所没有的一些内部控制,因而电算化会计信息系统下的内部控制制度也必须要有新的内容。例如,计算机硬件及软件分析、程序设计、计算机维护人员及计算机操作人员的内部控制规章;计算机病毒防治,计算机系统内及磁盘内会计信息的安全保护,网络系统的安全控制规章;计算机操作管理员、系统管理员、系统维护员岗位责任制度;软件使用权限的控制、修改程序的控制、数据备份的控制、科目代码的控制、结账时间的控制和设备的接触控制等系统的权限控制制度等。
(3)内部控制的重点发生了转移。
手工会计信息系统内部控制的重点是会计凭证保管、整理、归档的控制,记账程序的控制,会计人员岗位责任的控制,账证、账表和账实核对等的控制;电算化会计信息系统内部控制的重点将由传统的财务部门转移到电子数据处理部门,内部控制放在原始数据输入计算机的控制、会计信息输出的控制、人机交互处理的控制、计算机系统之间连接的控制、系统的安全控制等方面,控制的要求也更加严格。
2.会计电算化作假
随着科技的不断进步,会计信息处理电算化日趋普及,利用计算机作假的会计事件也接踵而来,作假犯罪的概率也随之增大。所以,在会计电算化代替手工记账的今天,关注计算机作假,是我们现代审计应该关注的一个重要问题。所谓计算机作假是指利用计算机或对计算机系统实施的舞弊行为。主要包括偷窃、伪造、盗用、挪用及其他欺骗行为。
会计电算化作假产生的原因与条件主要包括以下方面:
(1)单位领导人对计算机的了解程度。
由于计算机会计是一门新兴的高技术学科,在大多数单位中,单位领导人对计算机及计算机会计知识不甚了解,对计算机通常抱着一种矛盾的态度。一方面,他们将计算机看成“神仙”一般,认为它是万能的,从不会出错;另一方面,一旦计算机会计系统出现了问题或故障,他们又总是抱怨机器不行,而没有考虑到先进的计算机往往是在不正确的操作指挥下出现错误。由于认识上的错误,很可能使他们一方面放松对计算机会计系统建立严密的控制;另一方面,对各种问题,特别是出现计算机会计陷阱的征兆视而不见,这样就给设置计算机会计陷阱的人员大开方便之门。
(2)数据与责任高度集中。
在计算机会计系统,绝大部分的会计数据都高度集中在电子数据处理部门,如果没有适当的控制,未经授权批准的人可以轻而易举地利用计算机指令浏览所有的文件,机密的会计数据可能被不法分子很方便地拷贝,甚至可能被非法篡改而不留下任何痕迹。除会计数据高度集中外,计算机会计系统的另一个相当大的威胁是责任高度集中。在计算机会计系统中,原始数据一经输入,即由计算机自动处理,直到会计数据的输出。这样全部责任都高度集中于计算机会计系统,如果没有充分的控制,就很容易导致计算机会计陷阱的产生。
(3)输入的敏感性与关键性。
数据处理中有句名言,叫做“垃圾进,垃圾出”(Garbage In,Garbage Out),意即如果输入数据是错误的,则以后处理环节再正确,也只能输出错误的信息。因此,计算机会计系统的输入环节是相当敏感、极为关键的一环。从国内外的计算机会计陷阱案件来看,大部分计算机会计陷阱都是从输入环节做文章,利用输入控制的薄弱点来达到非法目的,例如,美国一个大型的零售百货商店,其电脑部的一个职员虚构了一个供应商,并多次输入虚假的业务,向一些供应商购货,这样,付款支票就按时寄到他的手里。输入虚假的、错误的业务,是计算机会计系统的一大陷阱。
(4)数据的不可读性。
在手工会计数据处理系统中,会计凭证、账簿、报表记录的任何改变都要留下一定痕迹,会计信息的窃取也需要一定的时间。在计算机系统,存储在磁性介质之上的会计数据被篡改和窃取可以不留下任何痕迹,这就使得计算机会计陷阱的实施更加方便,侦破更加困难。
(5)计算机会计系统有时不能识别不合理的业务。
计算机本身是没有头脑的,它之所以能成为电脑,全靠人们给它的程序和指令。如果编程时缺乏必要的控制,计算机可能不能判别某些事情是否符合逻辑,对不合理的事项也会照样处理。例如,在手工会计系统中,错给一个人的工资是每小时1万元的可能性极小,因为一看就知道这是不合理的。但对于计算机会计系统,如果有人故意篡改工资文件中的工资率,计算机就会毫不犹豫地把工资支票开出去,这可能会给企业带来损失。
(6)错误的重复性。
在手工会计中,会计人员进行记账、算账,时间一长往往会出错,但一般来说,重复出现的错误较少。而在计算机会计中,情况正好相反。计算机会计系统是按人给它编好的程序进行工作的,只要程序正确,类似于手工处理中的由于疏忽大意而造成的计算或入账错误,发生的可能性较小。计算机不会烦,业务再多,它处理起来也是有条有理的。但是,一旦程序出现了错误,如在调试时未能发现的编程错误,或被人非法篡改或嵌入了舞弊的子程序,则计算机会按同样的指令错误地处理所有的业务。由于计算机处理的高速性,错误结果将会更为严重,可能会给单位带来巨大的损失。例如,某种产品的销售价格为每件7元,但操作员在输入时以每件1元存入计算机,结果每次销售产品,计算机就以每件1元开出发票,登记销售收入和应收账款,每件损失6元。
(7)错误的连续性。
在计算机会计系统中,只要输入一项原始数据,系统就会自动进行多次处理,这是电算化带来的优越性。但同时也带来了新的风险,即如果某一环节出错,就可能使下一个环节跟着出错,这就是错误的连续性。例如,接受订单的计算机系统通过若干会计应用,与根据订单填写存货的计算机系统相连,如果订单输入程序中存在哪怕是微小的差错,在通过一系列会计应用后,会造成存货填制程序发生严重的错误。错误的连续性,常常与改变应用程序有密切的关系。尽管人们对计算机程序不断进行测试和改变,但是,改变程序的结果将会造成这样一种情况,即对应用系统某一方面的改动,会引起同一应用系统中的另一方面发生差错。
(8)应用程序容易被非法调用和篡改。
计算机会计系统的灵魂是系统的应用程序,即会计软件。系统是按会计软件的功能运行的。如果计算机会计系统缺乏适当的防范措施,未经授权批准的人或经授权批准的人就可能非法进入系统对应用程序进行篡改。例如,美国一家银行的一个程序员利用工作之便,私自修改了服务费程序,把扣收顾客的服务费稍微提高了一点,并把这增加的部分转入他自己的账户,以此谋取了巨额的利益。另一家银行的一个程序员,在系统维护过程中非法地在程序中加了几句,使得计算机不打印他透支的余额,因此,任其透支而无人知晓,后来发现时他已经透支了几十万美元。
(9)系统的功能与用户的需求不相适应。
目前在我国,除了商品化的会计软件外,大多数单位的计算机会计系统是由高校、科研单位或本单位的计算机人员设计的,大多数计算机人员不懂会计、审计,他们有可能在没有理解用户的要求之前就开始设计;另一方面,用户往往又不懂计算机,他们不能以计算机人员熟悉的术语来反映他们的要求。这样,设计出来的系统就有可能不能符合用户的要求。例如,有的系统,账户试算平衡时,将借方总数直接移到贷方,造成借贷永远平衡的假象;有的系统,固定资产为负数时,仍在提取折旧;有的银行计算机会计系统,其利息计算都是按每月31天计算的。
(10)取证困难。
计算机会计陷阱的对象多为计算机程序和数据,它们在电磁介质或光介质中存储、传输和运行,本身是无形的,输入的信息依靠程序和已存入的会计信息一起被加工处理,产生新的会计信息。人不能以自己知觉直接认可其存在的状态,这就给设置计算机会计陷阱的舞弊分子带来了很大的方便。设置计算机会计陷阱往往是瞬间发生的高技术犯罪,非法处理的信息往往难以找出痕迹,因而对计算机会计陷阱的取证显得尤为困难,而且大多数计算机会计陷阱的证据都可以从计算机系统销毁而不被发现。即使在侦查过程中搜集到一些电磁记录作为证明材料,但能否将其作为证据也值得研究。更糟糕的是,如果侦查员、检察官、审计人员不具备计算机的专业知识,那么恐怕他们连从哪里入手搜集证据都不知道,更不用说取证了。
(11)心理因素。
在设置计算机会计陷阱动机方面,多数的案例以贪财牟利为目的,且多发生于金融计算机会计系统。
作案人充分利用自己的知识和能力以及接触计算机的机会。想要“打败机器”的动机常常起一定的作用。他们在设置计算机会计陷阱之前设法从心理上自我安慰,他们想象:被害人是匿名的,万一造成损失也会落到许多人头上,还会给企业造成重大损失。公众舆论往往并不把设置计算机会计陷阱视为真实的、日常的、一般的犯罪,这就增加了侦破工作以及给作案人定罪的困难,同时也强化了作案分子的犯罪心理。
(12)计算机安全技术水平落后。
据有关资料介绍,安全技术要比计算机技术要落后5~10年。而且从手工会计系统转到计算机会计系统后,管理跟不上发展需要,管理方法落后,给设置计算机会计陷阱的舞弊分子以可乘之机。例如,有些计算机会计系统的用户不熟悉如何用计算机进行会计数据处理,他们常常求救甚至依赖于计算机专家,这就使得这些专家有机会从事设置计算机会计陷阱的犯罪活动。
会计电算化的推广和普及,为企业的现代化经营管理做出了巨大贡献,但由于电算化系统设计上可能存在漏洞、会计软件的合规性、合法性不够完善或运行不可靠等原因,使得会计数据处理结果出现这样或那样的非人为错误。更由于电算化会计信息系统内部控制不够健全、篡改数据不留痕迹等原因使利用计算机犯罪时有发生。会计工作开展电算化后,手工记账方式下的记账凭证、明细账、总分类账及整个账务处理过程均以肉眼不能看到的电磁数据形式存放于计算机中,因而电算化也就从某些程度上为一些不法分子进行会计作假提供了便利。会计电算化作假的手段主要表现在以下方面。
电算化系统的数据输入手段有键盘手工输入、软盘转入和网络传送等,其中键盘手工输入应用得最多,也最易出错。只有输入正确的数据,才能进行正确的处理。输入控制包括4个方面:①经济业务在由计算机处理前经过适当的批准;②经济业务没有被遗漏、添加、重复或不正当的更换;③经济业务准确地转变为机器可读的形式,并被记录在数据文件中;④不正确的经济业务被剔除、改正。在数据输入过程中,目前使用的大部分软件都设置了各种控制程序。例如,建立科目代码名称字典文件,输入科目代码时提示科目名称,当有新增科目代码自动追加到科目名称字典中供用户使用;建立科目对应关系参照文件,记账凭证输入完毕后,计算机自动判断该科目的对应关系是否正确,如果不对,提示用户进行修改。
原始数据是会计数据中最重要的组成部分,原始数据的可认定是原本的,一般以业务发生时所做的纸张记录的凭证,如发票、合同、支付票据等为基本依据,并在一笔业务的不同种类原始凭证之间做比较核对,同时要确认凭证上的有关责任人签名的有效性,这一切会计人员是很容易识别的。而在电子商务环境下原始数据表现为电子会计数据形式,并附有发送方数字签名,电子“原始”数据在交易活动发生时被直接送入接受方的计算机信息系统。接受方经办人员首先要对电子会计数据进行审核,包括对电子会计数据报文内容、数字签名、身份认证的审核。经办人员审核签字(数字签名)后作为正式数据转入电算化会计信息系统。经过会计人员审核确认后由计算机系统自动生成电子记账凭证。自动生成后的电子记账凭证就不让任何人进行修改,而且由这些电子记账凭证可直接生成账簿数据和财务报表。
对电子商务中发生交易的电子数据进行审核,除了对一笔业务的不同数据记录之间核对外,还要关注业务经办人、批准人、签约人等有关责任人员的电子签名,以保证有关人员对业务和相应记录的完整性、真实性、合法性进行负责。以非对称密钥系统为主的电子签名技术的应用可以基本解决交易及信息传递的有效性、安全性与不可抵赖性等问题,这使得电子会计数据在生成与确认上有了保障。
1.篡改数据的方式
在会计电算化发展越来越快的今天,对于原始数据录入的篡改已经成为非常普遍的会计作假手段,并且这是计算机作假中最简单、最安全、最常见的方法。数据一般要经过采集、记录、传递、编码、检查、转换等环节进入计算机系统,任何与之有关的人员,或能够接触处理过程的人员都有可能篡改数据,篡改会计数据主要有下列几种方式:
(1)输入虚假的会计数据。
某企业2000年年底为了完成计划利润,就在12月份的会计核算时,直接以虚假的数据输入计算机,以达到其虚增利润的目的。
(2)修改数据。
这种方式往往是绕过计算机会计系统,直接对会计数据文件进行修改。例如,1986年我国首例计算机舞弊案,即大连市工商银行某办事处计算机会计系统管理员伙同他人利用计算机修改账目文件,截留企事业单位的贷款利息,以达到贪污的目的。
(3)删除数据。
有些单位的操作员串通库管人员,从存货系统中删除某个存货数据,然后再设法从仓库取走其存货。例如,美国一位电子工程系的学生,无意中在废纸堆中发现了某公司的计算机会计系统的程序说明,这些说明是因为系统修改后编制了新的说明而被丢掉的。他把自己的专业知识与捡到的资料相结合,经过多次试验,终于找到了通过电话进入该公司计算机会计系统的方法,并通过系统了解到公司允许的损失限额,于是他通过电话直接向系统输入购货订单,并且每次购货都控制在允许损失的范围内。就这样,在两年的时间里,他得到了该公司价值100万美元的供货而不需付一分钱。
2.控制措施
输入环节常见的一些控制措施包括:
(1)建立科目名称与代码对照文件。
当输入会计科目代码时,系统首先在对照文件中查找,如查找不到,则在屏幕上显示“该科目不合法”这样的信息,并揭示用户重新输入;如果输入的科目确属非法科目,则废弃已输入的科目,重新输入正确的科目代码;若是新增科目,则首先将该科目追记于对照文件。这种控制方法能有效地防止非法会计科目输入系统。
(2)设置科目代码校验位。
校验位技术是在科目代码上多加一位,该位的值由原代码按一定的规则计算得出,代码输入并转换为机器可读的形式后,计算机将按原规则重新计算校验位的值,并与输入的校验位的值进行比较。如果发现差异,则说明此代码在输入过程中出错,计算机将给出错误信息,以保证重要科目代码输入的正确性。
(3)设立对应关系参照文件。
由于每张记账凭证均包括两个或两个以上的会计科目,每个科目输入的正确性并不能保证这笔分录是正确的,因为还可能发生其对应关系错误。对此,可根据业务间的相互关系,事先确定每个科目的对应科目,建立参照文件。当输入完一张记账凭证后,访问参照文件,检查和判断输入的科目之间是否存在对应关系。
(4)试算平衡控制。
对每一笔会计分录,都可进行试算平衡检验。其做法是:将试算平衡程序化,当一笔会计分录输入完后自动对其进行试算平衡检查。
(5)顺序检查。
每输入一张记账凭证的编号,计算机即检查该凭证编号是否与本月已输入的凭证编号重复,若重复,则提示重输。
(6)屏幕审核法。
对已输入的记账凭证在屏幕上再次显示出来加以检查。这种控制方法可由操作员输入后立即审核,也可由审核员审核。若由操作员审核,发现错误后,可立即修改。
(7)二次输入法。
将会计数据先后两次输入或同时由两人分别输入,将两次或两人输入的结果进行比较,即可发现输入是否错误。由于二次输入法速度慢,所以,这种控制方法主要用于十分重要的科目代码的输入。
(8)控制总数法。
控制总数可以是凭证张数,也可以是金额合计数。当一批凭证输入后,计算机可自动点计该批凭证的张数,或该批凭证的金额总数,并与批首表上的点计数或金额总数进行核对,若不一致,则显示错误信息。