IT领域舞弊的特点——基于中国审计实践的初步研究,本文主要内容关键词为:中国论文,领域论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
去年在不丹举行的第十四届年会上,中国审计署申请参与IT领域舞弊的研究。近一年来,我们组织的一个课题组——这个课题组的专家来自中国审计署的IT部门、专业审计部门、法律部门和对IT审计有深入研究的大学——进行了初步的研究。
我们的研究主要是基于中国审计的实践。中国虽然是一个发展中国家,但是IT技术的应用与世界发展水平大致相当,在人民享受现代文明的同时,突如其来的IT领域舞弊也给中国审计机关带来了严峻挑战。近十年来,中国审计署注重计算机技术在审计中的应用,在中国政府的大力支持下,建设了金审工程,审计工作的IT技术含量有所提高,应对IT领域舞弊的能力有所增强,揭示并查处了一些舞弊行为。这也是中国审计署提出参与本项目研究的原因之一。
一年来,我们的研究包括了IT舞弊的概念及其理解、IT舞弊的特点、IT舞弊的防范及处理、IT舞弊治理的组织机构等方面并取得初步的研究成果。我们这里所讲的IT舞弊的特点基于以下四点:1.从审计的视角进行观察;2.被审计单位可能是IT舞弊的实施者(主体),也可能是IT舞弊的被侵害者(客体);3.相对于传统的审计环境(纸质账目资料、管理中采用IT较少)条件下;4.基于中国审计机关的审计实践。
特点一:IT舞弊更具隐蔽性
隐蔽性应当是舞弊的共性,但IT领域的舞弊更加隐蔽。IT领域舞弊的对象是存储于磁性介质中的电子数据和应用程序,舞弊发生与否,对计算机信息系统并不造成任何损坏,电子数据载体的外观不会丝毫改变,仅凭目力观察让人难以发现。而且舞弊者对于计算机信息系统的侵害并不以物理临近为前提,也就是说实施人可以通过内部网络甚至互联网,不需要靠近系统即可实施舞弊。
中国审计机关在审计实践中,曾发现多起利用会计核算软件的“后门”,违规改动账目的案例,改动后的账目,无论是从计算机界面看,还是打印纸质账簿,都可以确保“数字准确、借贷平衡”。这比手工记录纸质账簿条件下,对一笔经济业务的篡改更难发现。
特点二:IT舞弊智能性十分突出
舞弊和反舞弊从来都是博弈,是在相互挑战对方的智能。IT领域的舞弊运用了大量的计算机、数据库、网络等专业知识技能,使其智能性十分突出。在犯罪学领域,智能性是与暴力性相对而言,我们在研究IT领域的舞弊时引入智能性的概念,主要是强调突出舞弊实施者比一般审计人员掌握了更多的IT知识技能。
中国最近查处的虚假交易套取银行资金的事件很能说明IT舞弊智能性。套取资金者为了套取现金并且绕开申请贷款的复杂程序,与不法商家勾结,利用虚假交易将透支的款项打入商家账户,商家扣取一定的好处费后,或是通过转账将资金打入套取资金者另外的银行账户,或是直接付给现金。在传统条件下,类似套取银行资金的操作,一定是一个涉及多个方面兴师动众的过程,但在信息化条件下,具体操作只是双方注视下的刷POS机、数钞票。
在中国,信息技术发展历史较短,具有一定学历、涉猎知识广泛、钻研信息技术、对业务流程稔熟在一定程度上成为IT舞弊的必要条件,IT领域舞弊的实施者低龄化的特征十分明显。
特点三:IT舞弊主体呈现多元化
传统条件下审计人员更关注被审计对象为主体的舞弊,“查错纠弊”、“揭示问题”,针对的是被审计单位。IT环境下,被审计单位为主体的舞弊,一是领导者有组织所为,如中国审计署通过检查会计师事务所执业质量发现的上市公司财务信息作假。二是内部单个人员或部分人员所为。据统计,中国的计算机涉案犯罪集中在金融与证券业,银行或证券公司职员内部犯罪占78%,他们大多数是计算机操作与管理人员。
由于网络技术的普及应用,IT领域舞弊的主体从被审计单位内部扩展到外部。当对被审计单位的IT系统进行审计的时候,不得不更多地关注对外部侵害的防范。近年来中国审计署在检查被审计单位信息系统安全的探索中,深深感到对防止外部侵害的审计力不从心,审计人员缺乏相关知识,也缺乏行之有效的检查工具,我们期待与各国同行分享经验。
特点四:IT舞弊日趋复杂
IT领域舞弊的复杂性是隐蔽性、智能性、主体多元化复合作用的结果。摆在审计人员面前的IT领域舞弊复杂性可以用四句话形容:不知道怎么干的;不知道谁干的;不知道在哪儿干的;不知道为谁干的。按照目前审计人员具备的IT知识和技能水平,在这种复杂性面前几乎是束手无策。
隐蔽性和智能性的结合,使IT领域的舞弊更多地利用了信息系统的非法功能。中国审计署在对某个银行分支机构的审计时,发现这个分支机构的资金流水中,有频繁而大量的单笔只有0.66元的资金流向同一个特定账户。经过对系统的检查发现,当一种每笔只有2元的手续费收入出现时,经过改动的计算机程序会自动将其1/3转入特定账户,从而揭示了一例计算机系统舞弊。
IT舞弊主体多元化条件下,由于外部人员的参与,隐蔽性和智能性结合的舞弊情形更为复杂。最典型的就是众所周知的“黑客”。在中国,“黑客”利用间谍软件,侵入客户计算机抓取账户口令输入动作、界面,造成大到银行存款被冒取,小到网上游戏积分被盗用等IT舞弊事件每每发生,中国公安部门官员估计全国每年可能有超过上百万起。
内部职工和外部人员勾结,进行IT领域舞弊的事情也多有发生,舞弊侵犯的大多是本企业的利益。在中国,比较典型的案例多发生在大型企业或连锁经营的分支机构。如超市、加油站员工篡改收款机程序,少报销售多报损耗,甚至直接亏空库存,私分销货款;公路收费站员工集体作弊,篡改计算机程序,减少过往车辆记录,贪污截留过路费。
特点五:IT舞弊具有更严重的社会危害性
舞弊对于社会公平、经济发展具有不可容忍的破坏性,这是导致审计职业必然存在的因素之一,因此,几百年来审计都把揭露舞弊作为审计工作的重要内容。IT领域的舞弊具有更严重的社会危害性,可以从以下五个方面说明:
其一,IT舞弊侵犯的对象更为重要。在现代管理中IT系统是一个单位的神经中枢,IT系统中数据的完整和安全至关重要。率先使用IT系统或者使用大型IT系统的多是政府、银行、大型企业等关系国计民生的重要部门单位,涉及千家万户的福祉和经济利益。相对于传统舞弊,IT舞弊侵害的对象社会作用更大,相应舞弊造成的社会危害更大。
其二,IT舞弊实施迅速致使被侵害者难以提防。IT舞弊在作案前一般都经过周密的预谋和精心的准备,瞬间作案,令被侵害者措手不及,陷入极大的被动之中,如内部人员作案时,只需要以秒为单位的时间,就可对数据进行恶意删除;外部人员侵入银行系统只需要敲击键盘,就可把大笔资金划转到自己的账户。有的IT舞弊使用了“逻辑炸弹”,恶意程序潜伏很长时间后由某一事件触发,时过境迁,寻找作案者非常困难。
其三,造成的损坏难以恢复。由于计算机数据存储于磁介质,一旦删改,很难恢复。特别是信息系统中存储的绝大部分是结构化数据,相互关联关系十分密切,即使删除篡改一小部分,也足以使其失去关联而变得杂乱无章,失去使用价值。
其四,涉及地域及行业范围广泛。传统舞弊一般限于一个单位内,范围有限。IT环境下,特别是互联网广泛应用之后,手法相同的IT舞弊在不同的行业都会出现,譬如世界上几乎所有接入互联网的计算机都受到过目的可疑的端口扫描,没有哪个行业可以幸免。IT舞弊涉及地域范围大大扩展,例如,一个上市公司的财务资料被篡改,受到损失的投资者可能住在地球另一端,因为他是通过网络购买的股票。
其五,损失金额巨大。据法国《巴黎人报》日前报道,诈骗者最近从国外发动攻击,一次就从银行的某个账户上窃取了近100万欧元。据McAfee发布的网络犯罪调查报告,美国和加拿大联合破获的一个涉及全球的网络犯罪团伙,他们在网络上购买和销售了大约170万个盗取的信用卡信息。篡改重要财务、金融数据造成的损失甚至无法用数字衡量,难以估算。
近年来,中国审计署借鉴国际同行经验,结合中国实际,运用计算机技术对IT环境下的审计方式进行了卓有成效的探索。目前对于计算机管理的电子数据的审计方面取得了突破性进展,金审工程建设的审计软件可以转换处理行政事业单位、企业常用的160多种会计核算软件生成的数据,可以处理银行、海关的海量数据。通过对数据的检查验证发现的异常,对信息系统进行了延伸检查。基于以上实践,我们对IT领域舞弊特点进行研究,其目的是为了找出防范的对策。下一步我们还将与荷兰、巴基斯坦、瑞典等国家共同深入探讨,进一步明确国家审计机关在防范、制止、揭示、查处IT舞弊方面的责任。