他说,当“人们现在越来越愿意与公众进行分享”时,“舞弊者则能从中发现大量有关员工的信息,甚至他们都不用侵入系统,而那最终结果可能就会危害到公司”。
盗用身份也是社会媒体中逐渐形成的问题。对于员工而言会引起个人问题,但同时也会成为组织的问题。舞弊者可以在社交媒体上获得个人信息,然后侵入到其电子邮箱账户,随后便会进入可能会有一些保密的或公司财务信息的工作邮箱。所以,“移动访问或持续性发布个人信息,使盗用身份已经变成了一个需要重视的问题”。
“标枪战略与研究”机构发布的《2012年盗用身份的行业报告》指出,2011年有超过1160万人成为盗用身份的牺牲者,比前一年高出16%。还有一个重要的发现就是社会性的行为和智能手机将消费者置身于更大的风险中。有68%的社交媒体用户会晒出他们的生日信息,63%的用户会晒出他们高中学校的名字,30%的用户会晒出他们的手机号码或宠物的名字,所有这些都是公司识别身份时常使用的内容。报告还发现,有7%的智能手机用户至少会有一次成为盗用身份的牺牲者,这种情况的发生率要高于一般公众的33%,因为有32%的人不会更新他们的操作系统,62%的人使用家庭电脑时不会使用密码,还有32%的人会将登录信息保存在设备上。
四、进行预防和侦测技术和数字化使舞弊者有可乘之机,但同样也能帮助审计师和安全分析人员与舞弊一决高下。计算机化系统和程序能帮助审计师对交易中的数据、有警示标志的事项或异常现象进行分析。格雷格.格罗霍尔斯基认为,他自己是一名数据分析的热心支持者,现在可以充分利用技术手段进行前所未有的数据测试。他说,“今天的计算能力足以进行实时的数据挖掘、更强的分析,以及100%的数据属性测试”。
大卫.柯德尔也指出,审计师可通过确认IT战略和规划是否与组织目标相一致,帮助组织防范舞弊。其中包括评价SaaS服务协议和云计算规划,以及在采取新的战略时对风险的积极考量和应对。
斯蒂文.马认为,尽管这好像是一种具有高科技的、神秘人物侵入系统的复杂情况,但大多数的侵害其实都相当简单。因为许多攻击都是在舞弊者获取系统密码后发生,或者是在丢失的手机中获取密码,或者是有员工登录信息的电子邮件,其中任何一种情况都能成为进行潜在舞弊的通道。他认为,无论技术如何变化,舞弊防范归根到底还是要基于密码安全这样的简单技术。他说,“对于组织真正要做的事就在于如何加强安全性,如银行卡信息、银行信息以及密码等”。
保罗.齐克芒德认为,审计师所用的数据量在不断增长,舞弊的证据可能会深深地埋在海量的数字中。虽然查找舞弊的基本做法还是一样,但审计师必须要探查更多的支付款项,仔细检查更多的关联性。他说,一般舞弊活动仍然是由这些因素组成,如造假的账单和虚构的供应商,所以审计师还是应该查看支付金额的大小、向同一供应商的多次付款以及同一天多笔限额以下的付款等事项。 “归根结底,我发现在许多审计方面的会议上,审计师还都是尽可能多地利用该用的数据分析方法”。但是,“尽管这些方法用起来越来越得心应手,也还是有进一步改进的空间”。
保罗.齐克芒德关心的另一个问题是审计师花费在办公室做文字工作的时间越来越多,而放在努力提高现场工作效率的时间却越来越少。运用高技术能利用更多的信息,但审计师不应该对现场时间的重要性不加重视。因为没有任何方式能比得上与他人进行面对面的谈话、观察、或者是做穿行测试。如果数字化使审计师远离或回避了现场工作,那就等于给舞弊开了一扇门。
他还说,“分析工作应该在工作开始时进行,这样能帮助你识别任何存在的异常情况、数据差异或者是代表舞弊的‘红旗’标识”。“但是技术不能代替现场工作,分析工作只是强制性地有助于提高工作的效率和效益。”
五、重视教育与协作保罗.齐克芒德认为,许多审计部门应该是兵强马壮、运行精良。但是,由于预算削减使得内部审计部门进一步的培训不得不靠边站了。因此,经过培训的审计师可能能够识别存在的风险,但不可能在新的弱点或漏洞一出现时就能识别,所以非常需要在IT方面进行持续不断地培训和学习。
汉斯说,审计师还需要站在组织的角度以更为广泛的全局观看待问题,专注那些与总账有直接或间接关联的领域,而不仅仅是对日记账的测试,还必须关注那些常常分别为信用卡、存款、汇款以及其他方式付款而建立的舞弊侦测系统。
斯蒂文.马所在公司的审计部门经常会发生审计师和舞弊者之间进行的“军备竞赛”。无止境的猫抓老鼠的游戏意味着当审计师获取了最新的辨识舞弊欺诈技术时,而罪犯却又有了新的舞弊方法。
斯蒂文.马也认为,一些规模较大的公司几乎在任何方面都有可能存在漏洞或弱点。一个盗贼甚至可能通过货运部门和供货部门的信息接触到组织的总账信息。任何能接触到款项支付或应收账款的地方,都可能存在漏洞或弱点,并且这种脆弱性还会随着技术的不断应用而不断增加。斯蒂文.马建议,为了使审计师能够及时了解最新的舞弊策略和IT的脆弱性,应该让审计师不定期向那些工作在安全领域的人们学习。他说,“他们只有亲眼看到后才能真正有所了解和学习”,“也就是通过亲眼所见,才能了解到IT安全人员正在做什么,才能了解到更多的脆弱性以及在哪里查找到存在的漏洞”。
