Fraude en la contabilidad informatizada
1. Métodos de fraude computarizado contable
El fraude computarizado contable tiene las características de alta inteligencia, fuerte ocultación y gran daño. Los métodos de fraude cambian constantemente con el avance de la tecnología informática. A juzgar por la situación actual, incluye principalmente las siguientes categorías:
(1) Alteración de la entrada. Este método logra el propósito de fraude al alterar los datos contables antes de su entrada o durante el procesamiento. Incluyendo la falsificación, modificación y supresión de datos comerciales. Los datos contables deben recopilarse, registrarse, transmitirse, codificarse, cotejarse, verificarse y convertirse en sistemas informáticos, y nadie asociado con ellos podrá alterar los datos.
(2) Manipulación de aplicaciones. Este método logra el propósito de fraude modificando aplicaciones ilegalmente, como mantener programas o modificar datos en archivos directamente a través del terminal, o agregar secretamente programas ocultos. En el sistema de información contable computarizado, el sistema informático completa automáticamente todo, desde el ingreso de comprobantes originales hasta la generación de estados contables. Si las aplicaciones del sistema son defectuosas o modificadas, la computadora manejará todos los asuntos de manera incorrecta. Una vez que se implante en el sistema un programa de fraude ilegal, las consecuencias serán desastrosas.
(3) Manipulación de la salida. Se refiere al acto de modificar y destruir ilegalmente informes de salida, enviar informes a competidores y utilizar terminales para robar información confidencial con fines delictivos.
(4) Otros métodos de fraude. Por ejemplo, operación ilegal significa que el operador u otro personal no cumple con los procedimientos operativos u opera en la computadora sin permiso, cambiando la ruta de ejecución de la computadora o haciendo trampa mediante contacto físico, tomando fotografías, copiando, copiando, etc.
Para la auditoría del fraude contable informatizado, los auditores deben primero evaluar el sistema de control interno y prestar atención al entorno de fraude. Los sistemas de control interno son medidas eficaces para controlar el fraude. Durante el proceso de auditoría, los auditores deben evaluar el sistema de control interno de la contabilidad computarizada y probar si el control interno se ha implementado de manera efectiva. A través de pruebas, pueden descubrir debilidades en los controles internos, determinar los métodos de fraude contable computarizado que puede utilizar la unidad auditada y realizar revisiones técnicas específicas y recopilación de evidencia. En segundo lugar, los auditores deben prestar atención a las formas que fácilmente conducen al fraude y determinar el enfoque de la auditoría. Dado que los estafadores contables computarizados invaden el sistema principalmente a través de entradas, salidas y programas, los auditores deben adoptar técnicas y estrategias de auditoría especiales basadas en las características comerciales del sistema contable computarizado, centrándose en áreas con alta incidencia de fraude.
2. Auditoría del fraude de entrada del sistema
El enlace de entrada de la informatización contable es la entrada al procesamiento empresarial del sistema de información contable, y también es el enlace con mayor frecuencia de fraude. fraude. Cuando existen debilidades obvias en el control interno del sistema de la unidad auditada, como una división poco clara de responsabilidades, un control de contacto imperfecto, una falta de autoridad operativa estricta y una falta de control de verificación en el sistema mismo, pueden ocurrir los siguientes comportamientos fraudulentos: los defraudadores ingresan depósitos falsos en el sistema bancario, aumentar Determinar el monto del depósito del perpetrador; cambiar la cuenta corporativa a una cuenta personal para realizar la transferencia de depósitos; eliminar el comprobante de compra comercial y tratar el pago como existente, etc.
Los auditores deben centrarse en recopilar evidencia de auditoría durante el proceso de entrada para detectar signos de fraude. Como archivos de datos originales y registros de datos sospechosos en el negocio; medios para registrar datos relevantes, como discos, discos ópticos y cintas; registros de operación del sistema, como registros de seguimiento de auditoría de modificaciones, registros de registros, informes de excepciones y registros de operaciones de errores, etc. . y adoptar los siguientes métodos de inspección sustancial:
Primero, la legalidad de los comprobantes contables manuales y los comprobantes originales debe revisarse utilizando métodos tradicionales. Primero, los auditores deben verificar aleatoriamente algunos vales originales, centrándose en el uso de métodos de revisión para determinar la autenticidad de la empresa y determinar si la fuente de los vales originales es legal, si los datos han sido manipulados y si el monto es justo. . En segundo lugar, verifique el contenido y los datos del comprobante contable con el contenido y los datos del comprobante original mediante el método de verificación para verificar si el punto de partida del procesamiento informático es correcto.
En segundo lugar, la auditoría de control manual se combina con la auditoría de verificación automática por computadora para verificar la integridad de los datos. El auditor simula la entrada de datos de un grupo de sistemas informáticos de procesamiento de datos de la unidad auditada, de modo que el sistema, bajo la operación o control personal del auditor, completa el proceso de procesamiento de acuerdo con los requisitos funcionales que el sistema de procesamiento de datos puede lograr. y los datos obtenidos se comparan con los datos obtenidos de antemano. Compare los resultados, verifique si existen diferencias entre los datos originales y los datos existentes y genere un informe de diferencias.
En tercer lugar, analice el informe de diferencia de salida, verifique las excepciones y verifique si hay alguna anomalía o cambio.
Tres. Auditoría de fraude procesal
La auditoría del programa es una parte importante de la auditoría del sistema de información computarizado y el fraude en este vínculo está extremadamente oculto. Los estafadores suelen tener algunos conocimientos de informática y algunos incluso dominan la informática. Las técnicas más utilizadas incluyen corte de cola, bombas lógicas ocultas, techos solares móviles, etc. , que también es extremadamente destructivo para el sistema.
Cuando las responsabilidades del departamento de informática y del departamento de usuarios de la unidad auditada están incorrectamente divididas, por ejemplo, el programador también actúa como operador, el control del desarrollo del sistema no es estricto, por ejemplo, la unidad de usuario no supervisa el proceso de desarrollo; no realiza una inspección detallada de los documentos generados durante el proceso de desarrollo del sistema, dejando Hay una "tragaluz móvil" o "bomba lógica" y el control de mantenimiento del sistema no es estricto. Por ejemplo, el programador puede llamar al programa en la máquina. realizar modificaciones en cualquier momento; el control de contacto es imperfecto, como que el operador entre en contacto con el programa fuente del sistema y los documentos de diseño del sistema, etc., indican que existen eslabones débiles en el control interno de la unidad auditada. que probablemente proporcionen comodidad a los defraudadores. Los auditores deben adoptar las siguientes estrategias:
Primero, revisar el código del programa; verificar las funciones básicas del programa fuente y probar los programas sospechosos. Si se trata de un programa fuente ilegal, es una "bomba lógica" y una "tragaluz móvil". Además, también debemos prestar atención a si la lógica de diseño y las funciones de procesamiento del programa son apropiadas y correctas, para verificar si existe un fraude de "corte de cola".
En segundo lugar, comparar procedimientos. Compara el código objeto o el código fuente del software de aplicación en ejecución real con el software de respaldo auditado correspondiente para determinar si se han producido cambios no autorizados en el programa.
En tercer lugar, utilice datos especializados para las pruebas. Los auditores deben utilizar datos simulados o datos reales para probar el sistema auditado y verificar la corrección del sistema al procesar datos similares en negocios reales y la capacidad de identificar datos erróneos a través del procesamiento del sistema. El auditor debe determinar los controles que deben incluirse en el sistema según el propósito de la prueba y verificar que los resultados del procesamiento sean consistentes con los resultados esperados.
En cuarto lugar, realice un seguimiento de los fragmentos de codificación ilegales. Utilice programas de auditoría o paquetes de software de auditoría para rastrear el procesamiento del sistema en todos los aspectos o dentro de un rango determinado, y compare los resultados con los resultados del procesamiento del sistema para determinar si el sistema es seguro y confiable. Y realice un seguimiento de posibles fragmentos de código que podrían usarse para otros fines y realice un seguimiento de los ingresos que podrían derivarse de ellos.
4. Auditoría de fraude en la salida del sistema
Además de los usuarios internos, la mayoría de los sujetos de este tipo de fraude son personal externo. Principalmente cometen delitos recogiendo restos, descifrando claves, alterando informes de resultados y robando documentos confidenciales interceptados. Cuando el control interno del auditado tiene las siguientes debilidades: (1) El control de producción es imperfecto, como por ejemplo que la información impresa descartada no se entrega al personal designado de manera oportuna. (2) El control de contacto es imperfecto. Si personal irrelevante puede ingresar a la sala de computadoras a voluntad, no habrá personal dedicado para conservar los discos de datos generados por el sistema, o habrá personal dedicado para conservar los discos de datos, pero no habrá procedimientos de préstamo. (3) El control de la transmisión es imperfecto. Por ejemplo, los datos de transmisión remota de los sistemas de red no están cifrados y pueden interceptarse fácilmente. En este momento, los auditores deben estar muy atentos y tomar las siguientes medidas para revisar el fraude de salida:
Primero, verificar si se destruye a tiempo material impreso irrelevante o no válido y si hay datos residuales en los discos no utilizados temporalmente. y cintas.
El segundo es revisar el tiempo y el contenido de los registros de operación de la computadora y los datos copiados, comprender los derechos de acceso del personal de procesamiento de datos contables, analizar la posibilidad de robo de datos y realizar un seguimiento de las pistas de auditoría.
En tercer lugar, conozca el contenido de los archivos de copia de seguridad originales y las copias de los administradores de datos informáticos importantes y analice pistas especiales de fraude.
En resumen, combinar la tecnología de auditoría tradicional con la tecnología de la información e implementar estrategias de auditoría centradas en las intrusiones de fraude contable computarizado puede prevenir eficazmente los peligros ocultos del sistema de información contable, exponer comportamientos delictivos y garantizar que las computadoras protejan la seguridad del sistema y protejan la economía. intereses de las empresas, del país y de la sociedad.