潜在的舞弊者正在利用新的商业技术捕捉公司的信息。

◆   克雷格·古略特　◆   夏青  编译

　　 从零售和信用卡支付处理到客户信息如何存储以及季报如何产生，技术的发展正在迅速改变企业的主要运作方式。在濒临完全无纸化的边缘，几乎所有私人信息和财务信息都被数字化地存储起来，因此，在世界任何地方都能对这些数字信息进行访问。技术的应用不仅使事情变得越来越简单，也使企业用户的工作效率变得越来越高，但是，这种情况也为那些心存不良的人提供了舞弊的便利。因为在过去，只有通过获得授权才能接触实体文件和设备。而现在，互联网、手提电脑和智能手机等移动设备，既能帮助人们开展工作，也能使人们有机会几乎在任何地方进行舞弊。当组织不断向办公虚拟化发展时，就更需要持续不断地采取特别措施防范舞弊。
为此，审计师在这场与舞弊对抗的战争中将要发挥日益重要的作用，要掌握的一些最有价值的工具则是持续教育、有效的数据分析和对IT安全的理解。
　一、不断出现的漏洞
盗取信息是组织面临的最普遍的舞弊行为之一，也是位居第二的舞弊行为。根据对839名来自各行各业及不同岗位高级管理人员的调查结果，《2012～2013克罗尔全球舞弊报告》指出，有30%的受访者认为管理中最容易受侵害的就是信息被盗， IT的复杂性是导致舞弊风险增加的重要原因。
这份报告还指出，IT舞弊的多样性、发生频率和复杂性都在不断地发生变化。一般性的安全漏洞包括未被检测的恶意软件、黑客、放错地方的移动设备等，都会使财务数据、客户数据和商业秘密变得更易于受到攻击。无论是有意的还是疏忽大意，与黑客相比，更多的是员工因信息损失和舞弊而受到责备。
美国西雅图一个主要零售商的IT审计总监斯蒂文·马认为，几乎所有的舞弊都源于有进行舞弊的机会和可进行攻击的漏洞。舞弊的机会随着技术的发展而不断增加，因为盗贼们可以在世界任何一个地方窃取信息和进行舞弊。25年前，这种风险可能是来自员工或内部人员盗取保密信息和文件。但是现在，一名23岁的年轻人在俄罗斯，就能利用笔记本电脑窃取美国纽约或亚特兰大几百万的资金。
高速的互联网、计算机、笔记本、平板电脑和智能手机已经使舞弊比任何时候都容易很多。斯蒂文·马认为，“不是舞弊的行为改变了，而是技术的发展使舞弊变得更容易了”，而且，“其影响、速度和数量已经全都有所发展”。
大卫·柯德尔是加拿大渥太华“计算机辅助分析技术和解决方案”中心（CAATS）的主席和《计算机对舞弊的辅助预防和侦测：步进式指南》一书的作者，他说，当组织不断走向数据化时，则将面临数据在安全和恢复方面不断增长的漏洞及脆弱性。他认为，一个日益增长的问题就是组织依赖于应用软件和系统，但却不能直接进行控制，这就意味着敏感信息都托管在由第三方供应商控制的网络空间。这种方式本身不是问题，但却意味着信息正在离开组织的安全庇护而依赖于另一方的保护和安全评估。当许多公司使用多重基于云的解决方案时，就可能存在很大的漏洞。他说，“这里需要另外强调的是建立充分的服务水平协议的重要性，即在协议中要确定数据的安全性和有效性以及数据恢复事项”。他还预测到，基于云的领域将会是未来发生舞弊的热点。审计师对无授权访问、数据变更以及数据破坏等方面的风险必须要特别加以注意。技术会为舞弊提供新的和不同的方法。正是由于数据方面会出现新的漏洞，所以审计师必须要寻找舞弊的征兆，防范舞弊引发的侵害。
　　二、需要关注的安全问题
纽约州白原市邦基公司的全球道德和合规总监保罗·齐克芒德指出，当技术和数字化为组织带来极大益处的同时，通过密码访问就能轻易进入系统并进行舞弊活动。近期发生的一个例子是，一名会计人员用其上级的密码建立了一个“幽灵供应商”，并用该账户挪用资金，三年多偷走了公司13万美元。
保罗·齐克芒德认为，不断发展的技术使舞弊的效率更高。以前会计人员必须要向经理提交表格申请，当获得授权批准后才能建立供应商账户。但新的流程却允许会计人员在线自行操作，由相关人员点一下鼠标就获得了批准。所以，只要有了管理人员的密码，就能轻易得到批准并建立这个幽灵账户。
保罗·齐克芒德还举了另外一个例子。越来越多的公司为了提高效率和资料归档，对各类收据采取扫描的方式进行归集，由此，伪造费用报告就变得越来越容易了。原件扫描的益处显而易见，但由于扫描收据太容易被篡改，于是就增加了一种新的舞弊风险。与企图改变原始收据的做法截然相反，任何人用照相的方式都能改变数码拷贝，所以要复核电子文件并判断其真实性就变得更难了。
美国密歇根州密德兰县陶氏化学公司的企业财务总监和前首席审计执行官格雷格·格罗霍尔斯基也指出，人与人之间联系变少是与技术的发展相关联的，这种状况也使舞弊变得更加容易了。20年前，各项业务都建有大多是由信用卡公司进行交易付款的客商账户。但现在，任何人用智能电话和银行账户就能利用第三方应用程序或软件进行信用卡支付了。
　　三、不可小觑的社交媒体风险
华盛顿D.C的德勤财务顾问萨米尔·汉斯认为，在社交媒体的应用中也存在日渐增多的风险。由于人们通过互联网在分享更多的信息，私人和公众之间的界限变得越来越模糊，其中有许多都是个人信息，而这些与其职业或雇主有关的特定信息就会渗透到数字世界中。比如，在Facebook上随意发布一个新的促销消息、新产品，或者是某个部门的变化，都会把一些潜在的敏感信息暴露给黑客。汉斯说，通过移动设备发布一项更新或照片的方式呈增长趋势，因此，其脆弱性和漏洞也在逐渐增加。员工自带设备及程序工作或利用公司的设备处理个人事务等，这些都会使雇主面临更多的复杂状况。
他说，当“人们现在越来越愿意与公众进行分享”时，“舞弊者则能从中发现大量有关员工的信息，甚至他们都不用侵入系统，而那最终结果可能就会危害到公司”。
盗用身份也是社会媒体中逐渐形成的问题。对于员工而言会引起个人问题，但同时也会成为组织的问题。舞弊者可以在社交媒体上获得个人信息，然后侵入到其电子邮箱账户，随后便会进入可能会有一些保密的或公司财务信息的工作邮箱。所以，“移动访问或持续性发布个人信息，使盗用身份已经变成了一个需要重视的问题”。
“标枪战略与研究”机构发布的《2012年盗用身份的行业报告》指出，2011年有超过1160万人成为盗用身份的牺牲者，比前一年高出16%。还有一个重要的发现就是社会性的行为和智能手机将消费者置身于更大的风险中。有68%的社交媒体用户会晒出他们的生日信息，63%的用户会晒出他们高中学校的名字，30%的用户会晒出他们的手机号码或宠物的名字，所有这些都是公司识别身份时常使用的内容。报告还发现，有7%的智能手机用户至少会有一次成为盗用身份的牺牲者，这种情况的发生率要高于一般公众的33%，因为有32%的人不会更新他们的操作系统，62%的人使用家庭电脑时不会使用密码，还有32%的人会将登录信息保存在设备上。
　　四、进行预防和侦测
技术和数字化使舞弊者有可乘之机，但同样也能帮助审计师和安全分析人员与舞弊一决高下。计算机化系统和程序能帮助审计师对交易中的数据、有警示标志的事项或异常现象进行分析。格雷格·格罗霍尔斯基认为，他自己是一名数据分析的热心支持者，现在可以充分利用技术手段进行前所未有的数据测试。他说，“今天的计算能力足以进行实时的数据挖掘、更强的分析，以及100%的数据属性测试”。
大卫·柯德尔也指出，审计师可通过确认IT战略和规划是否与组织目标相一致，帮助组织防范舞弊。其中包括评价SaaS服务协议和云计算规划，以及在采取新的战略时对风险的积极考量和应对。
斯蒂文·马认为，尽管这好像是一种具有高科技的、神秘人物侵入系统的复杂情况，但大多数的侵害其实都相当简单。因为许多攻击都是在舞弊者获取系统密码后发生，或者是在丢失的手机中获取密码，或者是有员工登录信息的电子邮件，其中任何一种情况都能成为进行潜在舞弊的通道。他认为，无论技术如何变化，舞弊防范归根到底还是要基于密码安全这样的简单技术。他说，“对于组织真正要做的事就在于如何加强安全性，如银行卡信息、银行信息以及密码等”。
保罗·齐克芒德认为，审计师所用的数据量在不断增长，舞弊的证据可能会深深地埋在海量的数字中。虽然查找舞弊的基本做法还是一样，但审计师必须要探查更多的支付款项，仔细检查更多的关联性。他说，一般舞弊活动仍然是由这些因素组成，如造假的账单和虚构的供应商，所以审计师还是应该查看支付金额的大小、向同一供应商的多次付款以及同一天多笔限额以下的付款等事项。 “归根结底，我发现在许多审计方面的会议上，审计师还都是尽可能多地利用该用的数据分析方法”。但是，“尽管这些方法用起来越来越得心应手，也还是有进一步改进的空间”。
保罗·齐克芒德关心的另一个问题是审计师花费在办公室做文字工作的时间越来越多，而放在努力提高现场工作效率的时间却越来越少。运用高技术能利用更多的信息，但审计师不应该对现场时间的重要性不加重视。因为没有任何方式能比得上与他人进行面对面的谈话、观察、或者是做穿行测试。如果数字化使审计师远离或回避了现场工作，那就等于给舞弊开了一扇门。
他还说，“分析工作应该在工作开始时进行，这样能帮助你识别任何存在的异常情况、数据差异或者是代表舞弊的‘红旗’标识”。“但是技术不能代替现场工作，分析工作只是强制性地有助于提高工作的效率和效益。”
　　五、重视教育与协作
保罗·齐克芒德认为，许多审计部门应该是兵强马壮、运行精良。但是，由于预算削减使得内部审计部门进一步的培训不得不靠边站了。因此，经过培训的审计师可能能够识别存在的风险，但不可能在新的弱点或漏洞一出现时就能识别，所以非常需要在IT方面进行持续不断地培训和学习。
汉斯说，审计师还需要站在组织的角度以更为广泛的全局观看待问题，专注那些与总账有直接或间接关联的领域，而不仅仅是对日记账的测试，还必须关注那些常常分别为信用卡、存款、汇款以及其他方式付款而建立的舞弊侦测系统。
斯蒂文·马所在公司的审计部门经常会发生审计师和舞弊者之间进行的“军备竞赛”。无止境的猫抓老鼠的游戏意味着当审计师获取了最新的辨识舞弊欺诈技术时，而罪犯却又有了新的舞弊方法。
斯蒂文·马也认为，一些规模较大的公司几乎在任何方面都有可能存在漏洞或弱点。一个盗贼甚至可能通过货运部门和供货部门的信息接触到组织的总账信息。任何能接触到款项支付或应收账款的地方，都可能存在漏洞或弱点，并且这种脆弱性还会随着技术的不断应用而不断增加。斯蒂文·马建议，为了使审计师能够及时了解最新的舞弊策略和IT的脆弱性，应该让审计师不定期向那些工作在安全领域的人们学习。他说，“他们只有亲眼看到后才能真正有所了解和学习”，“也就是通过亲眼所见，才能了解到IT安全人员正在做什么，才能了解到更多的脆弱性以及在哪里查找到存在的漏洞”。（来源：IIA《内部审计师》2013年第8期，编译者单位：银联商务有限公司）

出处：《中国内部审计》