从零售和信用卡支付处理到客户信息如何存储以及季报如何产生,技术的发展正在迅速改变企业的主要运作方式。在濒临完全无纸化的边缘,几乎所有私人信息和财务信息都被数字化地存储起来,因此,在世界任何地方都能对这些数字信息进行访问。技术的应用不仅使事情变得越来越简单,也使企业用户的工作效率变得越来越高,但是,这种情况也为那些心存不良的人提供了舞弊的便利。因为在过去,只有通过获得授权才能接触实体文件和设备。而现在,互联网、手提电脑和智能手机等移动设备,既能帮助人们开展工作,也能使人们有机会几乎在任何地方进行舞弊。当组织不断向办公虚拟化发展时,就更需要持续不断地采取特别措施防范舞弊。
为此,审计师在这场与舞弊对抗的战争中将要发挥日益重要的作用,要掌握的一些最有价值的工具则是持续教育、有效的数据分析和对IT安全的理解。
一、不断出现的漏洞 盗取信息是组织面临的最普遍的舞弊行为之一,也是位居第二的舞弊行为。根据对839名来自各行各业及不同岗位高级管理人员的调查结果,《2012~2013克罗尔全球舞弊报告》指出,有30%的受访者认为管理中最容易受侵害的就是信息被盗, IT的复杂性是导致舞弊风险增加的重要原因。
这份报告还指出,IT舞弊的多样性、发生频率和复杂性都在不断地发生变化。一般性的安全漏洞包括未被检测的恶意软件、黑客、放错地方的移动设备等,都会使财务数据、客户数据和商业秘密变得更易于受到攻击。无论是有意的还是疏忽大意,与黑客相比,更多的是员工因信息损失和舞弊而受到责备。
美国西雅图一个主要零售商的IT审计总监斯蒂文.马认为,几乎所有的舞弊都源于有进行舞弊的机会和可进行攻击的漏洞。舞弊的机会随着技术的发展而不断增加,因为盗贼们可以在世界任何一个地方窃取信息和进行舞弊。25年前,这种风险可能是来自员工或内部人员盗取保密信息和文件。但是现在,一名23岁的年轻人在俄罗斯,就能利用笔记本电脑窃取美国纽约或亚特兰大几百万的资金。
高速的互联网、计算机、笔记本、平板电脑和智能手机已经使舞弊比任何时候都容易很多。斯蒂文.马认为,“不是舞弊的行为改变了,而是技术的发展使舞弊变得更容易了”,而且,“其影响、速度和数量已经全都有所发展”。
大卫.柯德尔是加拿大渥太华“计算机辅助分析技术和解决方案”中心(CAATS)的主席和《计算机对舞弊的辅助预防和侦测:步进式指南》一书的作者,他说,当组织不断走向数据化时,则将面临数据在安全和恢复方面不断增长的漏洞及脆弱性。他认为,一个日益增长的问题就是组织依赖于应用软件和系统,但却不能直接进行控制,这就意味着敏感信息都托管在由第三方供应商控制的网络空间。这种方式本身不是问题,但却意味着信息正在离开组织的安全庇护而依赖于另一方的保护和安全评估。当许多公司使用多重基于云的解决方案时,就可能存在很大的漏洞。他说,“这里需要另外强调的是建立充分的服务水平协议的重要性,即在协议中要确定数据的安全性和有效性以及数据恢复事项”。他还预测到,基于云的领域将会是未来发生舞弊的热点。审计师对无授权访问、数据变更以及数据破坏等方面的风险必须要特别加以注意。技术会为舞弊提供新的和不同的方法。正是由于数据方面会出现新的漏洞,所以审计师必须要寻找舞弊的征兆,防范舞弊引发的侵害。
二、需要关注的安全问题纽约州白原市邦基公司的全球道德和合规总监保罗.齐克芒德指出,当技术和数字化为组织带来极大益处的同时,通过密码访问就能轻易进入系统并进行舞弊活动。近期发生的一个例子是,一名会计人员用其上级的密码建立了一个“幽灵供应商”,并用该账户挪用资金,三年多偷走了公司13万美元。
保罗.齐克芒德认为,不断发展的技术使舞弊的效率更高。以前会计人员必须要向经理提交表格申请,当获得授权批准后才能建立供应商账户。但新的流程却允许会计人员在线自行操作,由相关人员点一下鼠标就获得了批准。所以,只要有了管理人员的密码,就能轻易得到批准并建立这个幽灵账户。
保罗.齐克芒德还举了另外一个例子。越来越多的公司为了提高效率和资料归档,对各类收据采取扫描的方式进行归集,由此,伪造费用报告就变得越来越容易了。原件扫描的益处显而易见,但由于扫描收据太容易被篡改,于是就增加了一种新的舞弊风险。与企图改变原始收据的做法截然相反,任何人用照相的方式都能改变数码拷贝,所以要复核电子文件并判断其真实性就变得更难了。
美国密歇根州密德兰县陶氏化学公司的企业财务总监和前首席审计执行官格雷格.格罗霍尔斯基也指出,人与人之间联系变少是与技术的发展相关联的,这种状况也使舞弊变得更加容易了。20年前,各项业务都建有大多是由信用卡公司进行交易付款的客商账户。但现在,任何人用智能电话和银行账户就能利用第三方应用程序或软件进行信用卡支付了。
三、不可小觑的社交媒体风险华盛顿D.C的德勤财务顾问萨米尔.汉斯认为,在社交媒体的应用中也存在日渐增多的风险。由于人们通过互联网在分享更多的信息,私人和公众之间的界限变得越来越模糊,其中有许多都是个人信息,而这些与其职业或雇主有关的特定信息就会渗透到数字世界中。比如,在Facebook上随意发布一个新的促销消息、新产品,或者是某个部门的变化,都会把一些潜在的敏感信息暴露给黑客。汉斯说,通过移动设备发布一项更新或照片的方式呈增长趋势,因此,其脆弱性和漏洞也在逐渐增加。员工自带设备及程序工作或利用公司的设备处理个人事务等,这些都会使雇主面临更多的复杂状况。