商业银行舞弊审计策略及方法

来源：中国内部审计协会    

　　商业银行舞弊案件的频发、高发，已引起了国务院、银监会和商业银行的高度重视。因此，强化商业银行舞弊审计策略及方法的研究，不断提高商业银行内审机构预防、识别和查处舞弊案件的能力，已成为各家商业银行亟待解决的问题。

　　一、商业银行舞弊的种类及特征
　　按照舞弊的性质，舞弊行为分为两种基本类型，为组织谋取经济利益的舞弊行为和损害组织经济利益的舞弊行为。
　　1、为组织谋利的舞弊行为。为组织谋利的舞弊行为主要有：出售或分配虚构或误报的资产；进行非法政治捐款、行贿、提供回扣、向政府官员或政府官员代理人、客户、供应商支付酬金等不正当行为；故意错报或错误评估业务交易、资产、负债或收入；故意对转移支付进行不当定价(关联机构之间交换的商品计价)；进行故意的不当关联方交易，在此类交易中一方得到了一些正常交易中不能获得的利益；故意不记录或披露重要的信息，而这些信息有助于外部团体更好地了解组织的财务情况；开展违法违规的商业活动；税务欺诈等等。
　　结合商业银行特点，可以发现为组织谋利的舞弊行为主要有以下几个方面：(1)截流中间业务收入，如手续费收入不入账、代理保费收入不入账、出租固定资产收入不入账，私设小金库为集体谋利等。(2)侵吞或私分信贷资产，固定资产，抵债资产等，以造成组织资产流失为代价，为集体谋取不当利益等。(3)采用不正当手段，虚增(或隐瞒)利润、存款等业务指标，为组织谋取直接或间接的经济利益或骗取集体(个人)荣誉。(4)费用下甩、虚列费用支出，为组织谋取不正当的经济利益等。(5)偷逃税款等等。
　　2、危害组织的舞弊活动。危害组织的舞弊行为主要有：收受贿赂和回扣；将在正常情况下会给组织带来利润的交易转移给雇员或外部人员；贪污，如篡改财务记录以掩盖贪污行为，从而使贪污行为不易被发现；故意隐藏(错报)事项(或数据)；要求为实际上并未提供给组织的服务或商品支付款项。
　　结合商业银行特点，可以发现危害组织的舞弊行为主要有以下几个方面：(1)贪污、侵吞、挪用银行或客户资金。(2)伪造、编造或虚开票证，采取票据、信用证、银行卡等欺诈手段，骗取银行或客户资金。(3)冒名贷款、自批自贷、假按揭贷款、高利转贷、违法向关系人发放贷款，违规发放贷款并从中牟取私利(或接受贿赂)等等。(4)非法吸收公众资金，非法拆借资金，非法从事账外经营。(5)利用职务便利，从事洗钱活动。(6)参与套汇、逃汇和骗汇等行为。(7)出具虚假资信(或存款)证明等行为。(8)伪造、变造有价单证、重要空白凭证骗取资金等行为。(9)截流中间业务收入，中饱私囊等行为。
　　此外，舞弊的类型根据不同的标准还有不同的分类，主要有：一是根据舞弊的主体，可以分为高管人员舞弊和一般雇员舞弊。二是根据舞弊的手段，可以分为：计算机舞弊和传统的手工舞弊。三是根据舞弊侵害的客体，可以分为针对资产的舞弊和针对负债的舞弊。四是根据舞弊者的群体性，可以分为二人以上的集体合谋舞弊和单独舞弊。

　　二、商业银行舞弊新趋势
　　商业银行舞弊案件正在朝着“高职务、高科技、高案值；发案数量基层多、内外勾结作案多、作案手法多”的“三高三多”趋势发展。商业银行舞弊呈现出以下特点：一是舞弊行为人高素质化。从近年来所查处的舞弊案件情况看，舞弊行为人的高职位、高智力、高学历化趋势明显。二是舞弊技术高科技化。近年来，舞弊行为人大量使用高科技技术手段实施舞弊行为。例如利用仿真技术，伪造变造票据、信用卡、货币等足以达到以假乱真的程度；又如利用电子计算机技术进行所谓加密和程序篡改和作假等。三是手段更加隐蔽。利用高精尖技术所进行的凭证票据的挖补、涂改，几乎不留痕迹，难以识别真伪；采取“钓鱼”手段，模仿网上银行网页，盗取客户密码和资金。四是形式更加多样化。在利用多头开户、出借账户、空头支票、盗用支票，模仿签字、私刻公章、伪造账证、盗用凭证、套取现金、公款私存，私设小金库、白条抵库、利用货币的存取和上解的时间差挪用资金等一系列传统的舞弊手法和形式的同时，舞弊行为人又进行了精心选择、提炼和改造，采取高新科技技术，创造和发明了许多新的舞弊手法和舞弊形式。五是领域更加广泛、复杂化。近几年来，各类不同性质的法人、自然人相互勾结，针对银行实施舞弊，而与银行内部人员合谋舞弊的现象也日渐增多，使得舞弊情况更为复杂化。

　　三、商业银行舞弊审计策略
　　1、高度关注被审计单位内部控制系统的健全性和有效性。巴塞尔银行监管委员会在评价银行内部控制制度的原则中明确指出：只有当管理层和银行全体员工将控制活动视为银行日常运作必要组成部分而不是附加物时，控制活动才是最有效的。当控制被视为银行日常运作的附加物时，它们往往被认为是无关紧要的。因此，作为商业银行的内部审计人员一定要从科学评价被审计单位内部控制系统入手，密切关注被审计单位内部控制系统的健全性和有效性，只有这样，才能发现被审计单位是否存在重大的系统性缺陷和潜在的舞弊(案件)，并进行实质性测试，发现舞弊线索。
　2、高度关注被审计单位的控制环境。控制环境是指董事会和管理层对控制的重要性所持的态度及所采取的行动。控制环境包括以下要素：公正与道德价值观；经营管理理念与经营风格；组织结构；权力的分配和责任的划分；人力资源政策和管理；人员的能力。商业银行内部审计人员在对组织的内部控制系统有了一定了解的基础上，还要进一步对组织的控制环境及构成要素进行综合考虑、关注和评价。通过日常工作经验积累，可以形成有舞弊可能性的控制环境模型：
　　巴塞尔银行监管委员会评价银行内部控制制度的原则三，对商业银行内控环境和内控文化氛围进行了规定：银行董事会和高级管理层有责任提高自身的职业道德与廉洁自律的标准，在机构内部形成一种文化氛围，向各级人员说明并强调内部控制制度的重要性。银行机构的各级人员均有必要了解他们在内部控制程序中所起的作用，并应在这一程序中全力以赴履行各自的职责。
　　结合当前我国商业银行实际，商业银行内部审计人员在评价被审计单位内控环境时应该重点关注：(1)内部监督委员会运作情况是否规范，是否对各主要业务部门自律监管发现的问题进行集体研究并认真落实整改；(2)管理层对待内部审计的态度，对审计发现问题的重视程度及纠改情况是否认真彻底；(3)是否对舞弊(案件)召开定期分析会议，是否制定了相应对策和措施；(4)各部门“一岗双责”履行情况，自律监管是否存在监管断层、监管盲区和监管真空现象。
　　通过对商业银行内部控制环境的进一步评价，运用分析、比较和逻辑关系验证等手段，可以查找疑点，捕捉线索。
　　3、高度关注内部控制系统中岗位职责划分与潜在的利益冲突。巴塞尔委员会通过对全球银行案件的大量调查得出：造成银行案件资金损失的一个重要原因是缺乏应有的责任划分。让一个人承担相互冲突的责任(例如，同时负责一项交易的管理和执行)，为其接触有价值的资产并操纵财务数据以谋取私利或隐瞒损失创造了机会。因此，日常审计中，看似小事的岗位分离和定期轮岗制度，其背后很有可能潜藏着较大利益冲突和严重的舞弊(案件)风险，即使没有掌握充分的舞弊证据，也要对被审计单位进行风险提示，因为这不仅仅是制度要求，同时也是防范舞弊(案件)，消除舞弊机会的关键所在。对此，商业银行内部审计人员必须给予高度重视和警惕。
　  4、高度关注舞弊征兆(信号)。舞弊行为发生后，行为人往往会留下一些蛛丝马迹，这需要内部审计人员仔细观察，认真询问，深入开展调查和取证。一是员工舞弊的征兆(信号)主要有：超支采购或奢侈的生活方式；无法解释的情绪波动或复杂的异常行为；对压力的心理承受能力低；具有使他们的盗窃行为合理化的能力；能够利用内部控制的弱项以掩盖自己的舞弊行为；不愿意请假或离岗工作；个人经办业务存在大量的冲账和抹账；工作中长期性的士气低落；与客户不正常的亲密关系；沉重的个人债务迹象；迷恋赌博、博彩；对审计检查所需要的相关资料或实物，以种种借口不提供或不及时提供等等。二是组织舞弊的征兆(信号)主要有：遗失或破坏会计记录或相关文件；太多的“取消”或“退款”；不正常或重复的交易事项；大量的账务调整或冲账；不现实的业绩预测或考核；员工士气的长期低落；财务部门负责人或要害岗位人员的频繁变动；呆、坏账增多；不正常的关联交易；故意错报或错误评估业务交易、资产、负债或收入；有关利益冲突的谣言；过度财务压力或不切实际的业务指标考核等等。
　　通过对被审计单位的内部控制系统健全性和有效性、控制环境、岗位职责划分与潜在的利益冲突、舞弊的征兆(信号)等四个方面的综合分析与判断，并结合舞弊审计方法的恰当运用，有重点地进行实质性测试，就有可能及时地发现舞弊的线索和证据。

　　四、商业银行舞弊审计方法
　　舞弊审计的方法很多，除了常规审计所用到的一些方法如监盘、询问、现场观察、实地调查等方法之外，还要运用一些特殊的审计方法：
　　分析性复核(测算)。是指对被审计单位一些重要的比率或趋势，包括调查这些比率或趋势的异常变动及其与预期数额和相关信息的差异。
　　函证。是指为印证被审计单位会计记录所载事项，防止被审计单位弄虚作假，以被审计单位名义向第三者发函询证的方法。

　红旗标志法。即对舞弊发生概率比较高的环节用文字表述出来，相当于插上一面红旗，引人注意，作为怀疑和查处舞弊现象的重点。
　　制造错误法。是针对内部控制弱点和易于舞弊破坏的环节，采取制造真正的错误以观察它们是否通过控制系统的做法，以观察控制系统产生舞弊的可能性及其程度。
　　补账查账法。是指舞弊行为人为掩盖其行为，往往销毁部分或全部账簿、凭证，对此，审计人员应根据会计原理(有借必有贷、借贷必相等)采取内查外调，补齐被销毁的账簿和凭证，然后再进行查账，以发现舞弊事实。
　　追溯跟踪法。是按照资金流向和账务处理程序，对会计记录和资金去向进行追溯跟踪检查。可以通过设计业务流程图、资金流向表等方法，查清资金的来龙去脉。
　　计算机舞弊审计方法。利用计算机舞弊的方法很多，有篡改输入和输出、篡改程序设置、篡改数据文件、设置“程序后门”、设置逻辑炸弹、计算机病毒、计算机木马(盗取网上银行的用户密码)、hacker入侵和攻击等等，那么查处和预防计算机舞弊的方法也很多，如物理控制，逻辑控制，防火墙、杀毒软件的安装；软件审查法，换机审查法，暗箱审查法等等。
　　预防方法。是指通过使用雇员背景资料检查，内部控制综合评价以及各种专项审计检查，促进被审计单位内部控制系统的逐步完善，以此来预防舞弊的发生。
　　(作者：中国农业银行河南省分行驻安阳审计办事处　芦联合)

商业银行舞弊审计策略及方法

来源：中国内部审计协会    

　　商业银行舞弊案件的频发、高发，已引起了国务院、银监会和商业银行的高度重视。因此，强化商业银行舞弊审计策略及方法的研究，不断提高商业银行内审机构预防、识别和查处舞弊案件的能力，已成为各家商业银行亟待解决的问题。

　　一、商业银行舞弊的种类及特征
　　按照舞弊的性质，舞弊行为分为两种基本类型，为组织谋取经济利益的舞弊行为和损害组织经济利益的舞弊行为。
　　1、为组织谋利的舞弊行为。为组织谋利的舞弊行为主要有：出售或分配虚构或误报的资产；进行非法政治捐款、行贿、提供回扣、向政府官员或政府官员代理人、客户、供应商支付酬金等不正当行为；故意错报或错误评估业务交易、资产、负债或收入；故意对转移支付进行不当定价(关联机构之间交换的商品计价)；进行故意的不当关联方交易，在此类交易中一方得到了一些正常交易中不能获得的利益；故意不记录或披露重要的信息，而这些信息有助于外部团体更好地了解组织的财务情况；开展违法违规的商业活动；税务欺诈等等。
　　结合商业银行特点，可以发现为组织谋利的舞弊行为主要有以下几个方面：(1)截流中间业务收入，如手续费收入不入账、代理保费收入不入账、出租固定资产收入不入账，私设小金库为集体谋利等。(2)侵吞或私分信贷资产，固定资产，抵债资产等，以造成组织资产流失为代价，为集体谋取不当利益等。(3)采用不正当手段，虚增(或隐瞒)利润、存款等业务指标，为组织谋取直接或间接的经济利益或骗取集体(个人)荣誉。(4)费用下甩、虚列费用支出，为组织谋取不正当的经济利益等。(5)偷逃税款等等。
　　2、危害组织的舞弊活动。危害组织的舞弊行为主要有：收受贿赂和回扣；将在正常情况下会给组织带来利润的交易转移给雇员或外部人员；贪污，如篡改财务记录以掩盖贪污行为，从而使贪污行为不易被发现；故意隐藏(错报)事项(或数据)；要求为实际上并未提供给组织的服务或商品支付款项。
　　结合商业银行特点，可以发现危害组织的舞弊行为主要有以下几个方面：(1)贪污、侵吞、挪用银行或客户资金。(2)伪造、编造或虚开票证，采取票据、信用证、银行卡等欺诈手段，骗取银行或客户资金。(3)冒名贷款、自批自贷、假按揭贷款、高利转贷、违法向关系人发放贷款，违规发放贷款并从中牟取私利(或接受贿赂)等等。(4)非法吸收公众资金，非法拆借资金，非法从事账外经营。(5)利用职务便利，从事洗钱活动。(6)参与套汇、逃汇和骗汇等行为。(7)出具虚假资信(或存款)证明等行为。(8)伪造、变造有价单证、重要空白凭证骗取资金等行为。(9)截流中间业务收入，中饱私囊等行为。
　　此外，舞弊的类型根据不同的标准还有不同的分类，主要有：一是根据舞弊的主体，可以分为高管人员舞弊和一般雇员舞弊。二是根据舞弊的手段，可以分为：计算机舞弊和传统的手工舞弊。三是根据舞弊侵害的客体，可以分为针对资产的舞弊和针对负债的舞弊。四是根据舞弊者的群体性，可以分为二人以上的集体合谋舞弊和单独舞弊。

　　二、商业银行舞弊新趋势
　　商业银行舞弊案件正在朝着“高职务、高科技、高案值；发案数量基层多、内外勾结作案多、作案手法多”的“三高三多”趋势发展。商业银行舞弊呈现出以下特点：一是舞弊行为人高素质化。从近年来所查处的舞弊案件情况看，舞弊行为人的高职位、高智力、高学历化趋势明显。二是舞弊技术高科技化。近年来，舞弊行为人大量使用高科技技术手段实施舞弊行为。例如利用仿真技术，伪造变造票据、信用卡、货币等足以达到以假乱真的程度；又如利用电子计算机技术进行所谓加密和程序篡改和作假等。三是手段更加隐蔽。利用高精尖技术所进行的凭证票据的挖补、涂改，几乎不留痕迹，难以识别真伪；采取“钓鱼”手段，模仿网上银行网页，盗取客户密码和资金。四是形式更加多样化。在利用多头开户、出借账户、空头支票、盗用支票，模仿签字、私刻公章、伪造账证、盗用凭证、套取现金、公款私存，私设小金库、白条抵库、利用货币的存取和上解的时间差挪用资金等一系列传统的舞弊手法和形式的同时，舞弊行为人又进行了精心选择、提炼和改造，采取高新科技技术，创造和发明了许多新的舞弊手法和舞弊形式。五是领域更加广泛、复杂化。近几年来，各类不同性质的法人、自然人相互勾结，针对银行实施舞弊，而与银行内部人员合谋舞弊的现象也日渐增多，使得舞弊情况更为复杂化。

　　三、商业银行舞弊审计策略
　　1、高度关注被审计单位内部控制系统的健全性和有效性。巴塞尔银行监管委员会在评价银行内部控制制度的原则中明确指出：只有当管理层和银行全体员工将控制活动视为银行日常运作必要组成部分而不是附加物时，控制活动才是最有效的。当控制被视为银行日常运作的附加物时，它们往往被认为是无关紧要的。因此，作为商业银行的内部审计人员一定要从科学评价被审计单位内部控制系统入手，密切关注被审计单位内部控制系统的健全性和有效性，只有这样，才能发现被审计单位是否存在重大的系统性缺陷和潜在的舞弊(案件)，并进行实质性测试，发现舞弊线索。
　2、高度关注被审计单位的控制环境。控制环境是指董事会和管理层对控制的重要性所持的态度及所采取的行动。控制环境包括以下要素：公正与道德价值观；经营管理理念与经营风格；组织结构；权力的分配和责任的划分；人力资源政策和管理；人员的能力。商业银行内部审计人员在对组织的内部控制系统有了一定了解的基础上，还要进一步对组织的控制环境及构成要素进行综合考虑、关注和评价。通过日常工作经验积累，可以形成有舞弊可能性的控制环境模型：
　　巴塞尔银行监管委员会评价银行内部控制制度的原则三，对商业银行内控环境和内控文化氛围进行了规定：银行董事会和高级管理层有责任提高自身的职业道德与廉洁自律的标准，在机构内部形成一种文化氛围，向各级人员说明并强调内部控制制度的重要性。银行机构的各级人员均有必要了解他们在内部控制程序中所起的作用，并应在这一程序中全力以赴履行各自的职责。
　　结合当前我国商业银行实际，商业银行内部审计人员在评价被审计单位内控环境时应该重点关注：(1)内部监督委员会运作情况是否规范，是否对各主要业务部门自律监管发现的问题进行集体研究并认真落实整改；(2)管理层对待内部审计的态度，对审计发现问题的重视程度及纠改情况是否认真彻底；(3)是否对舞弊(案件)召开定期分析会议，是否制定了相应对策和措施；(4)各部门“一岗双责”履行情况，自律监管是否存在监管断层、监管盲区和监管真空现象。
　　通过对商业银行内部控制环境的进一步评价，运用分析、比较和逻辑关系验证等手段，可以查找疑点，捕捉线索。
　　3、高度关注内部控制系统中岗位职责划分与潜在的利益冲突。巴塞尔委员会通过对全球银行案件的大量调查得出：造成银行案件资金损失的一个重要原因是缺乏应有的责任划分。让一个人承担相互冲突的责任(例如，同时负责一项交易的管理和执行)，为其接触有价值的资产并操纵财务数据以谋取私利或隐瞒损失创造了机会。因此，日常审计中，看似小事的岗位分离和定期轮岗制度，其背后很有可能潜藏着较大利益冲突和严重的舞弊(案件)风险，即使没有掌握充分的舞弊证据，也要对被审计单位进行风险提示，因为这不仅仅是制度要求，同时也是防范舞弊(案件)，消除舞弊机会的关键所在。对此，商业银行内部审计人员必须给予高度重视和警惕。
　  4、高度关注舞弊征兆(信号)。舞弊行为发生后，行为人往往会留下一些蛛丝马迹，这需要内部审计人员仔细观察，认真询问，深入开展调查和取证。一是员工舞弊的征兆(信号)主要有：超支采购或奢侈的生活方式；无法解释的情绪波动或复杂的异常行为；对压力的心理承受能力低；具有使他们的盗窃行为合理化的能力；能够利用内部控制的弱项以掩盖自己的舞弊行为；不愿意请假或离岗工作；个人经办业务存在大量的冲账和抹账；工作中长期性的士气低落；与客户不正常的亲密关系；沉重的个人债务迹象；迷恋赌博、博彩；对审计检查所需要的相关资料或实物，以种种借口不提供或不及时提供等等。二是组织舞弊的征兆(信号)主要有：遗失或破坏会计记录或相关文件；太多的“取消”或“退款”；不正常或重复的交易事项；大量的账务调整或冲账；不现实的业绩预测或考核；员工士气的长期低落；财务部门负责人或要害岗位人员的频繁变动；呆、坏账增多；不正常的关联交易；故意错报或错误评估业务交易、资产、负债或收入；有关利益冲突的谣言；过度财务压力或不切实际的业务指标考核等等。
　　通过对被审计单位的内部控制系统健全性和有效性、控制环境、岗位职责划分与潜在的利益冲突、舞弊的征兆(信号)等四个方面的综合分析与判断，并结合舞弊审计方法的恰当运用，有重点地进行实质性测试，就有可能及时地发现舞弊的线索和证据。

　　四、商业银行舞弊审计方法
　　舞弊审计的方法很多，除了常规审计所用到的一些方法如监盘、询问、现场观察、实地调查等方法之外，还要运用一些特殊的审计方法：
　　分析性复核(测算)。是指对被审计单位一些重要的比率或趋势，包括调查这些比率或趋势的异常变动及其与预期数额和相关信息的差异。
　　函证。是指为印证被审计单位会计记录所载事项，防止被审计单位弄虚作假，以被审计单位名义向第三者发函询证的方法。

　红旗标志法。即对舞弊发生概率比较高的环节用文字表述出来，相当于插上一面红旗，引人注意，作为怀疑和查处舞弊现象的重点。
　　制造错误法。是针对内部控制弱点和易于舞弊破坏的环节，采取制造真正的错误以观察它们是否通过控制系统的做法，以观察控制系统产生舞弊的可能性及其程度。
　　补账查账法。是指舞弊行为人为掩盖其行为，往往销毁部分或全部账簿、凭证，对此，审计人员应根据会计原理(有借必有贷、借贷必相等)采取内查外调，补齐被销毁的账簿和凭证，然后再进行查账，以发现舞弊事实。
　　追溯跟踪法。是按照资金流向和账务处理程序，对会计记录和资金去向进行追溯跟踪检查。可以通过设计业务流程图、资金流向表等方法，查清资金的来龙去脉。
　　计算机舞弊审计方法。利用计算机舞弊的方法很多，有篡改输入和输出、篡改程序设置、篡改数据文件、设置“程序后门”、设置逻辑炸弹、计算机病毒、计算机木马(盗取网上银行的用户密码)、hacker入侵和攻击等等，那么查处和预防计算机舞弊的方法也很多，如物理控制，逻辑控制，防火墙、杀毒软件的安装；软件审查法，换机审查法，暗箱审查法等等。
　　预防方法。是指通过使用雇员背景资料检查，内部控制综合评价以及各种专项审计检查，促进被审计单位内部控制系统的逐步完善，以此来预防舞弊的发生。
　　(作者：中国农业银行河南省分行驻安阳审计办事处　芦联合)