1.篡改程序的常见手法分析
篡改程序是指对程序做非法改动,以便达到某种舞弊的目的。常见的手法有“陷门”和“特洛伊木马”。
从CPU、操作系统到应用程序,任何一个环节都有可能被开发者留下“后门”,即“陷门”。陷门是一个模块的秘密入口,这个秘密入口并没有记入文档,因此,用户并不知道陷门的存在。
在程序开发期间陷门是为了测试这个模块或是为了更改和增强模场面的功能而设定的。在软件交付使用时,有的程序员没有去掉它,这样居心不良的人就可以隐蔽地访问它了。
特洛伊木马
在系统中秘密编入指令,使之能够执行未经授权的功能,这种行为叫特洛伊木马。可能的舞弊者绝大部分是计算机高手,包括系统管理员、网络管理员、系统操作员、网络黑客等。可能的证据包括:源文件、数据库文件。
典型的特洛伊木马是窃取别人在网络上的账号和口令,它有时在合法用户登录前伪造登录现场,提示用户输入账号和口令,然后将账号和口令保存到一个文件中,显示登录错误,退出特洛伊木马程序。用户以为自己输错了,再试一次时已经是正常的登录了,用户也就不会怀疑。而特洛伊木马已经获得了有价值的信息躲到一边去了。
2.篡改程序的审查
检查全部或可疑部分源程序,分析是否有非法的源程序,以确定程序员是否留下“陷门”,同时应注意程序的设计逻辑和处理功能是否恰当。
这种方法的具体步骤如下:
①审计人员应根据自身的经验,编写测试程序必要的控制措施。
②分析源程序码,检查是否有必要的控制措施。
③对源程序调用的子程序进行测试,由于一些程序设计人员会在源程序中暗藏子程序,而这些子程序往往用作不合规的会计业务。
程序比较法
将实际应用中应用软件的目标代码或源代码与经过审计的相应备份软件相比较,以确定是否有未经授权的程序改动。具体实施时,可以借助一些系统工具。
测试数据法
它是一种模拟某些业务数据,并将测试数据输入系统,通过系统的处理来检查系统对实际业务中同类数据处理的正确性以及对错误数据的鉴别能力的方法。
它主要是对各种共同的细节处理的有效性的测试,例如合理性检查、溢位检查、负号检查、校验法检查记录顺序等。
审计人员要根据测试的目的确定系统中必须包括的控制措施,应用模拟数据或真实数据测试被审系统,检查处理结果是否正确。
程序追踪法
使用审计程序或审计软件包,对系统处理过程进行全方位或某一范围内的跟踪处理,得出的结果与系统处理的结果相比较,以判断系统是否完全可靠。
运用该方法可以方便地找到那些潜在的可能被不法分子利用的编码段。
1.不做假账真的很难吗
如果要评选2001年度出现频率最高的流行语,“诚信”无疑是最为热门的候选之一。在2001年的证券市场上,银广夏、麦科特、ST黎明等一系列造假公司的曝光,扯出了相关的中天勤、华鹏、华伦等会计师事务所,同时也引发社会各界对诚信问题的极大关注。一时间,作为“经济警察”的会计师事务所似乎成为众矢之的。
我国的证券市场发展至今,发生过一系列绩优神话破灭的故事,投资者的信心备受摧残。也许正应了那句“一颗老鼠屎搅了一锅粥”的俗话,随之而来的就是会计师事务所的执业素质受到社会各界的质疑,中国CPA面临严重的信任危机。前任总理******曾为上海国家会计学院题写了“不做假账”的校训,尽管这四个字只是CPA最起码的操守底线,但有时却显得分量很重。
那么,不做假账真的那么难吗?或者说,究竟是什么力量驱使着会计师事务所及其注册会计师作假呢?我们不妨先来分析一下麦科特事件。
在麦科特欺诈上市一案中,有关的律师事务所、资产评估公司、会计师事务所都深陷其中。麦科特通过伪造进出口设备融资租赁合同,虚构固定资产9074万港元;采用伪造材料和产品的购销合同、虚开进出口发票、伪造海关印章等手段,虚构收入30118万港元,虚构成本20798万港元,虚构利润9320万港元。
就是这么一家“虚构”的公司,竟然顺利出炉了。应该指出的是,如果没有有关券商、律师事务所、资产评估公司、会计师事务所的“配合”,麦科特是不可能招股上市的。在这条“造假流水线”上,中介机构扮演着极不光彩的角色。那么,会计师事务所是受了蒙蔽吗?显然不是。据媒体报道,华鹏会计师事务所的所长吕润波出席了多次麦科特上市的中介协调会,对于麦科特的造假历程应该心知肚明。为什么他敢冒天下之大不韪呢?
更令人深思的是,麦科特何以如此神通广大?当地有关职能部门在此事件中又扮演了怎样的角色呢?
麦科特发行股票圈了5亿多元,发行费用总额为1760万元。1760万元与5亿多元相比,只能算是毛毛雨。造假成本与造假收益之间的巨大反差,正是我国证券市场造假泛滥的一个重要原因。
一个生动的注脚是,几家中介机构就是为了这1760万元折了腰,分摊到每家中介机构手里,也就区区几百万的数额了。
知情不报还参与造假,原因很简单,那就是利益的诱惑。当然,情况也不尽如此。有位会计师这样告诉记者,在实际工作中,一般的会计师都有自己的职业良知,主观上谁也不会心甘情愿做假账,问题是现在有哪个企业不要求会计做假账呢?企业会计做假的动机不外乎有两种:一种是经济增长指标的压力,这往往是上级主管部门定的。另一种就是企业本身的利益驱动,比如企业向银行贷款时,要夸大资产和净资产的数字,掩饰不良资产;向税务部门申报纳税时,要隐瞒缩小利润额;在向主管部门上报经营业绩时,却要向实际数字里“注水”。
2.会计业能否走出假账的阴影
(1)难题之一:“进”与“退”的抉择。
注册会计师在执业过程中会碰到上市公司造假的问题,那么究竟应当选择“接手”还是选择“退出”呢?
业内人士认为发现上市公司造假后,会计师事务所应当首先与企业管理当局协调,要求纠正财务报告,如果管理层拒绝纠正财务报告,就应当向董事会汇报,如果董事会与管理当局联手作弊的话,只能向股东大会汇报,一旦股东大会也不认可,那就只能选择退出,而且退出后还应当按照行业的惯例,提醒接手业务的下家会计师事务所有关这家公司的假账问题。
会计行业内流传着一道著名的问题:在你只剩下最后一个客户的时候,是选择客户还是选择原则?于是,为了生存,有些会计师事务所在上市公司不同意纠正报告时仍会选择“进”,冒险按上市公司的意愿办。
(2)难题之二:揭发假账风险不小。
揭发客户造假对会计师事务所来说,是冒着相当大的风险:其一是必须掌握大量的公司造假证据,否则在法律上会比较被动,而在公司刻意隐瞒的情况下,这种证据不易获得;其二是有可能失去客户们的信任,从而面临生存危机。更为关键的是,会计师事务所在以往审计中的责任难以免除。由于没有一部法律法规对揭发假账有免责或从轻处理条款,因此会计师事务所只要摊上假账,不论协同作假与否,就只能认栽、认命了。与其揭发上市公司的假账还不如捂着假账慢慢消化。
由此可见,要让“经济警察”真正发挥自身作用,光靠社会监督是不够的,更重要的是要完善相关法律法规,对敢于说“不”的会计师事务所给予有力的支持,切实追究作假者的责任,净化注册会计师的执业环境,才能真正推动注会行业的健康发展,还“经济警察”本来面目。
3.会计人员要不要对假账说“不”
前******总理******亲自为三个国家会计学院制定校训并题词:“不做假账”。这是会计人员的最高准则,应该忠实地履行与遵守,但是却有会计人员为此而付出了沉重的代价。
管保宁是江苏省盐城发电厂原材料会计。2002年10月,厂领导以提拔相诱,要求他作3000余万元的假账,被他断然拒绝。随后向上级有关部门进行举报,但却被厂方开除(解除劳动合同)。后经其努力以及当地政府领导出面协调,管与电厂在盐城地方法院调解书上签了字,调解书明确“恢复管保宁原工作”。然而就在法院协调书生效后,电厂以一份会议纪要为由拒绝恢复他的材料会计工作(见《会计举报单位假账被开除经调解被安排看大门》2006年6月20日《江南时报》)。
会计拒绝做假账,并向上级举报,这不仅是******的教诲,而且是法律赋予的权利与义务。《会计法》第五条规定,“任何单位或者个人不得以任何方式授意、指使、强令会计机构、会计人员伪造、变造会计凭证、会计账簿和其他会计资料,提供虚假财务会计报告。任何单位或者个人不得对依法履行职责、抵制违反本法规定行为的会计人员实行打击报复。”管保宁忠实地履行了这一职责,却因此受到严重的打击报复。
因为管保宁的举报,江苏省盐城市国税局对盐城发电厂违法让他人为自己虚开增值税专用发票,申报抵扣进项税金事件进行了处理。但是有关部门却没有依法对其负有责任的领导进行处理,以至于他们不断地对举报人进行打击报复。
《会计法》第四十五条规定,“授意、指使、强令会计机构、会计人员及其他人员伪造、变造会计凭证、会计账簿,编制虚假财务会计报告或者隐匿、故意销毁依法应当保存的会计凭证、会计账簿、财务会计报告,构成犯罪的,依法追究刑事责任;尚不构成犯罪的,可以处5000元以上50000元以下的罚款;属于国家工作人员的,还应当由其所在单位或者有关单位依法给予降级、撤职、开除的行政处分。”
对打击报复会计人员的行为,《会计法》也做了严厉地处罚规定,第四十六条,“单位负责人对依法履行职责、抵制违反本法规定行为的会计人员以降级、撤职、调离工作岗位、解聘或者开除等方式实行打击报复,构成犯罪的,依法追究刑事责任;尚不构成犯罪的,由其所在单位或者有关单位依法给予行政处分。对受打击报复的会计人员,应当恢复其名誉和原有职务、级别。”
按照《会计法》的规定,管保宁所在单位的领导人指使作假并打击报复举报的会计人员,且违法金额达到了3000万元,应该受到法律制裁或行政处分。
——摘自:雷建编著:《假账与反假账实务与案例大全》