產業分析
電腦稽核、鑑識會計、數位鑑識與舞弊偵查及預防
『摘要』
中華民國電腦稽核自1994 年7 月14 日成立, 今年正逢20 週年,值此步入弱冠之年的階段,回顧20 年來這段時日,各種組織面對的內外環境變化非常大,個人電腦價格的大幅下降激發的普遍使用,大型電腦的伺服器化,網路與雲端的建立,平板電腦與智慧手機的推出,巨量或大數據應用等等; 類電腦設備的使用日多,電腦稽核協會鑑於公、私組織的需要以及專業上的發展,其研討領域上的注意層面,也不得不由過去對組織內部控制的稽核活動,進一步擴展到電腦安全與犯罪偵防,以期能為社會提供更大貢獻,為會員提供更多職場發展機會。
中華民國電腦稽核協會鑒於台灣與世界接軌之需要,早年就申請成為國際電腦稽核協會(ISACA, Information Systems Audit and Control Association) 的台灣唯一支會及代表,協助ISACA 在台灣推廣CISA、CISM 等有關證照及觀念。ISACA 創始於1967年,並於在1969年正式組成EDP稽核師協會(EDP Auditors Association)。至今,ISACA在全球有十一萬多名成員,擁有超過200 個分會,遍佈世界超過80個國家,其會員組成非常多元,涵蓋多種專業資訊技術的相關職業,例如資訊系統稽核師、顧問、學者、資訊系統安全專家、管理者、資訊長和內部稽核師等。由創會到現在,ISACA已成為一個為資訊管理、控制、安全和稽核等專業領域設定控制與稽核規範的全球性組織。除了積極發展推動與電腦稽核相關之專業證照認證外,ISACA所制定的資訊系統稽核準則(ITAF)和資訊系統控制標準(COBIT)也已為全球許多企業及組織所遵守與重視。而多年來中華民國電腦協會也積極參與ISACA的活動,台灣取得CISA、CISM 等專業證照的人數也與日俱增中,相信對於台灣整體資通訊治理、資訊安全及稽核的水準提升,都有正面的助益。
中華民國電腦稽核協會既屬ISACA台灣支會,兩者專業研究範疇及發展路徑一致,有助於本地學術與實務工作者與世界接軌;而本文擬就傳統會計人員相關作業階段中,檢查與究責部份為主軸來探討相關電腦稽核協會陸續重視的專業議題,並討論因而電腦稽核人員職涯的發展。
『電腦稽核』
電腦的發明正如工業革命改變人類生活方式般, 完全改變了人類的工作方式。人類由農牧時代走入工業時代,大量的機器取代了人力,如今由工業時代走入了數位時代,傳統載體漸漸為電子載體取代,自此存取方式及儲存形態都改變了,紙張漸漸為(平版)電腦或記憶媒體取代,筆墨漸漸為鍵盤或觸控面版取代。
因為使用電腦導致傳統紙張的消失,企業的帳本逐漸看不到了,過帳及合計的動作都被電腦中運作的程式取代,因而有了查電腦程式及電子儲存媒體的需求,進而有了由傳統稽核發展成電腦稽核的觀念。電腦稽核查核範圍為何?我們以簡易的輸入輸出黑箱(Input-Black-Out)下圖一說明:
電腦稽核既然是因應電腦的使用而生,初期只是希望針對所謂黑箱裡的處理程式及儲存資料加以查核。但隨著組織使用電腦的深化與廣範,電腦稽核無法不與時俱進;組織內或外部對電腦稽核工作的期望不能單單是就電腦內的東西查查了事,必須涉及對整個組織使用電腦的管理有所評估,就是黑箱圖中的輸入階段及輸出階段,包含圖中邊框黑線所代表的組織範圍內的一切活動。因為電腦只是處理工具,即便是正確的程式及安全的儲存媒體,如果是輸入錯誤或不當的資料,其結果亦屬誤導;資訊安全管理是對於企業使用電腦的管理及確保各種輸入正確性的管理活動,這形成電腦稽核專業必須重視檢查資訊安全的必定性發展方向。
『稽核與鑑識』
一直以來對於舞弊查核或是罪證偵查工作,都不是內或外部稽核的主要工作範圍,在各種的專業相關道德規範或是專業指導書中都採取如此的看法,即稽核只是提供其查核工作中,發現可能有違法疑慮之專業判斷,並依據其獨立判斷之決定,送請檢調單位進行犯罪偵查。查其原因係由於不論組織內部或外部稽核,皆無公權力可以進行犯罪調查,國家的物證鑑識權力也都還掌握在特定的政府機關手中,如我國的刑事警察局或調查局等,美國的聯邦調查局或州警察局等,當然無論內部或外部的電腦稽核就不會也不能以舞弊查核或是罪證偵查為其工作範圍。
但是近年鑑於經濟犯罪的專業化,鑑識會計又為會計專業界與政府單位,推出檯面,走上舞弊稽核的道路,希望藉由會計與稽核專業人士,補充政府鑑識人力及專業知識的不足。查其因由不外鑑識與稽核兩者的基礎訓練相似,都是依循證據說話,但其最大的差異卻是,鑑識取證是為了呈堂,供法官判案所用, 但稽核取證是為自行下專家判斷,故其嚴謹度與範圍皆不如前者。同樣電腦稽核的工作也只是經由對企業資訊安全管理、系統程式設計的查核,幫助會計師做出正確的專業判斷。走文至此,可以看出電腦稽核只要在取證嚴謹度與證據保存上,能夠符合法院的要求,就可以進入數位鑑識的領域。
『數位鑑識』
數位鑑識(Digital Forensics)根據學者林宜隆(2008)的解釋,應包含電腦鑑識(Computer Forensics)、資料鑑識(Data Forensics)、軟體鑑識(Software Forensics)及網路鑑識(Network Forensics) 等; 故舉凡與數位資料有關之鑑識皆屬之;是一門能夠幫助解決資通安全事件或網路犯罪中數位證據難題的科學。其目的是保留數位證據的完整性和正確性,及建構資訊安全事件發生的過程,以作為資訊安全事件及司法單位調查判決電腦網路犯罪之依據。故進一步簡單說明其意義如下:
數位鑑識定義:以周延的方法及程序保存、識別、抽取、記載及解讀電腦媒體證據與分析其成因的科學。
數位鑑識目的:專門負責蒐集、檢驗及分析。藉由保存電腦犯罪證據,並透過電腦採集有意義的證據資訊或從片斷資料描繪事件的大略情形以進行現場重建。
數位鑑識的方法與基本原則:在不改變或破壞證物的情況下取得原始證物。證明所抽取的證物來自扣押的證物。在不改變證物的情況下進行分析。
數位證據的採證與鑑識程序的步驟為:
事件辨別:事件辨別即情報蒐集與案件分析。其目的在於取得我們所需的資訊與相關資料,也在於預先了解案件的挑戰與可採取的因應之道。
保存證據:進入現場後,最重要的便是保存證據。在調查之前,首先要確保得到允許後再開始調查。這一點,對於電腦犯罪案件中脆弱的數位證據尤其重要,因為數位證據隨時都有可能因為鍵盤或滑鼠一按而改變。
檢驗證據:在現場取得證據後,下一步就是如何去分析這些證據。
案件分析與陳述:在取得證據並分析之後,就是如何將鑑識結果與嫌犯之間的關係進行分析。
呈現結果:結果必須清楚的陳述。在探究證據的來源、成因與嫌犯的關係時,要去排除掉所有可能的替代解釋,來證明己方解釋的唯一解釋,方可明白確定無罪或有罪之假定。
據此可以看出數位鑑識須要使用相當嚴謹的工具,而此等工具須能滿足法院的要求,以利法官能採用鑑識人員呈現的結果報告,並為社會大重所認同。
『鑑識會計』
鑑識會計(forensic accounting), 美國學者皮洛貝(M a u r i c e P e l o u b e t) 於1946年的J o u r n a l of Accountancy 中,第一次用鑑識會計來敘述會計人員所提供的法律支援服務。1948年美國學者班寧頓(Lee Pennington)在「調查性會計」的文中指出,美國政府在二次大戰期間FBI已有近500名的會計探員(Special Agent Accountant), 當時的主要活動為監督軸心國在美國境內的融資與經濟活動(Pennington 1948),這是首度以「調查性會計」一詞描述會計人員所從事的有關調查舞弊之活動( 陳虹任, 2006)。近年研究者皆以會計人員對法庭提供之支援性或調查性等服務工作,稱之為「鑑識會計」, 以下略述主要機構或學者對其定義:
美國會計師公會的定義:鑑識會計是應用會計原則、會計理論、會計訓練等各種會計知識到一法律紛爭上之事實問題及假設問題。鑑識會計包含運用會計、審計、財務金融、計量方法以及一些法律與研究之特殊技術及調查技巧,以收集、分析、並且評估可做為證據之事項,並解釋及傳達其發現,以供法院在斷案之依據。( 陳虹任, 2006)。
Bologna and Lindquist 的定義:鑑識會計是一項在證據法(Rules of evidence)的範圍內,將財務會計上的知識結合調查性態度,應用到未解決之法律證據議題上。就一門學科而言,它結合了財務專業、舞弊學識、對組織現實環境的深切了解,以及法律系統的運作。
在會計專業中,鑑識一詞乃指運用財務上的專業知識來進行財務調查,以利法律上的問題與爭議以及在衝突上得以尋求可能的解決方案。鑑識會計即是在為法庭或其他與法律有關之目的下,所執行的會計專業工作,故鑑識會計涉及了適用於法庭中之證據的蒐集、提供會計上的分析等工作,以協助討論以及協商,並達成最終的爭議的解決方案。
綜合言之,鑑識會計是一項結合了會計、審計、調查,以及在法律訴訟的應用所衍生的專業。
鑑識會計依據前述之定義,其主要類型與服務可以分為兩大領域:
調查性會計(investigative accounting):一般主張會計專業中的審計(Auditing) 主要關注在帳務結果的正確性與一致性,要求財務報導的允當性。鑑識會計卻涉及非常廣泛的調查活動,即一般所謂的舞弊偵查(Fraud audit)。鑑識會計的調查活動通常都與犯罪的調查相關。在調查性會計工作中,鑑識會計人員著重的重心,在於針對犯罪動機、機會或其可獲取之利益等蒐集相關證據(Bologna and Lindquist 1995)。一般言,社會大眾對調查性會計的概念,大多數會聯想不外白領階級的商業犯罪(white-collar crime, WCC)以及舞弊行為(Fraud),例如財務報表詐欺、股票內線交易等,或是基層員工的偷竊、詐欺事件,例如將收到之現金款項予以挪用、偷竊公司之資產等行為。國外鑑識會計發展已有幾十年的歷史,其在發展的初期,對於偵查舞弊上多數屬被動(reactive) 的作為,例如在舞弊的偵查過程中,首先會有舞弊檢查人員(fraud examiners)或舞弊查核人員(fraud auditors)主動偵查可能的舞弊,在上述人員發現舞弊證據後,再由鑑識會計人員來進行後續的工作。另外,鑑識會計為會計專業人員所提供的服務;而舞弊調查則是針對舞弊事件進行調查,其執行者不一定必須是會計專業人員,例如組織一般可能由內部稽核人員或是人力資源處人員負責進行員工的舞弊偵查。然隨著鑑識會計近年來的發展,其所能提供的服務涵蓋的範圍也越來越廣。鑑識會計在偵查舞弊上的角色, 從原先的被動型態轉變為包括了主動的偵查舞弊之功能。
訴訟支援(litigation support):美國會計師公會(AICPA) 認為,所謂的訴訟支援就是「任何非律師者在訴訟過程中,對律師所提供之專業協助」。訴訟支援主要是鑑識會計人員作為調查案件中,在法律之爭議或者是財務補償之要求等議題中,提供其專家之意見。在訴訟中,鑑識會計人員檢視個人或公司之帳冊以及相關紀錄等,以協助律師準備其手中之案件。鑑識會計人員最常遇到的情況,就是對經濟損失之量化與分析。在美國最典型的訴訟支援任務,就是估算因違反契約所造成之財務損失。其中可能必須衡量收益與利潤之損失,同時也有可能需要對組織之財產或業主權益等進行評價。鑑識會計可以十分廣泛的使用在訴訟支援中,雖然一般認為只有在進入審判的階段才會使用到鑑識會計,但事實上鑑識會計也可應用在審判前之支援,例如撰寫報告、確立因果關係、蒐集真相、翻譯術語等。同時,雇用鑑識會計人員者,有可能是法庭中各類關係人的任何一方(如檢方、被告方、原告方),甚至包括法庭本身(如法官)。此外, 鑑識會計在訴訟支援中,另外一項十分重要的功能, 即擔任專家證人(expert witness)。法庭審理時,一般的情況下,是不允許證人在作證的過程中陳述其意見、或者是自行判斷的結論等。亦即,證人僅能就其感官知覺(視覺、聽覺、觸覺、嗅覺、味覺等),以及他們所知道的事實進行陳述。但若是一個在其專精之領域或學科上符合一定資格之專家, 則可以對其所擁有專業知識之領域的範圍內,給予專家之意見(Michigan Supreme Court Rules of Evidence , Rules 702~707), 此係由於鑑識會計人員是專業人員,可以就其鑑識結果,提供法庭其專業上的意見,正如同其他領域的專家證人所具有的功能相同。
故如就鑑識會計的功能言,其可能用為支援管理階層查核內部無弊,支援會計師降低審計失敗風險,支援行政機關調查人力不足之處,支援刑事偵查經濟犯罪,支援訴訟擔任鑑定人(專家證人)。
『舞弊偵查』
人類自建立組織後,藉由組織活動凝聚巨大的利益,就不斷有舞弊情況,故舞弊偵查的歷史已不可考,所有的組織都面臨舞弊風險。重大的舞弊行為會導致整個組織的垮臺、巨大的投資損失、重大的法律費用、關鍵人員的監禁並且會侵蝕資本市場的信心。高階主管們舞弊行為的曝光會對世界各地組織的聲譽、品牌以及形象造成負面的影響。
舞弊(Fraud) 其英文的意思包含詐欺、舞弊及欺騙等意思,在法律上稱為「詐欺」,在會計上則稱為「舞弊」。茲將國內外部分學者或機構對其之定義分述如次:
Black’s Law Dictionary 中的定義:「舞弊是廣義的法律概念,通常是指以獲取不當或非法利益的故意行為」。(洪啟仁,2011)
美國舞弊查核師協會(Association of Certified Fraud Examiner,ACFE)對舞弊的定義,分為職務舞弊和濫用(員工舞弊) 及財務報表舞弊,前者係指個人為其利益透過職務上蓄意或濫用以竊取組織的資源或資產;後者係指故意透過金額或揭露的省略,對組織的財務狀況故意為不實陳述,以欺騙財務報表使用者。
審計準則公報第43 號「查核財務報表對舞弊之考量」中的定義:「係指管理階層、治理單位或員工中之一人或一人以上,故意使用欺騙等方法以獲取不當或非法利益之行為」。( 第6 條)
國際審計準則公報第11 號(International Standards on Auditing,ISA)(ISA 240)中的定義:「管理階層、治理單位或員工中之一人或一人以上,故意使用欺騙等方法以獲取不當或非法利益之行為。」與審計準則公報第43 號雷同。
美國註冊會計師協會指南《管理商業舞弊風險: 實用指南》中的定義:舞弊是旨在欺騙他人, 導致受害者遭受損失和( 或) 使行為人獲益的任何有意的作為或不作為。
國際內部稽核師協會(The Insitiute of Internal Auditors, IIA) 在1993 年發布的「內部審計實務標準」中的定義:舞弊包含一系列故意的不正當及非法欺騙行為,這種行為是由一個組織外部或內部的人來進行的。
美國審計準則公報第99號(SAS NO.99)中的定義:「舞弊是一種有意識的行為,通常涉及到故意掩藏事實。」
另外根據不成文法(Common Laws),及學者馬嘉應(2007) 認為構成舞弊的四個基本要件如下:
一、 重大的虛假陳述。
二、 故意提出虛假陳述。
三、 受害者對虛假陳述的信賴。
四、 受害者因信任虛假陳述而導致損害。
綜合以上,意圖是判斷是否為舞弊的關鍵因素,明知故犯為不實之陳述,肇致受害者因信賴其陳述而受之損害,即為舞弊。
近十多年的企業醜聞的反應使得公眾和利益相關者希望組織採取“對舞弊零容忍?的態度,諸如美國1977年《反海外腐敗法》(簡稱FCPA)、1997年《經濟合作與發展組織反賄賂公約》、2002年美國《沙賓法案》、2005 年美國聯邦《量刑指南》以及世界各地其他相似的法例,都增加了管理層對舞弊風險管理的責任。
良好的治理原則要求組織的董事會或理事會,要確保組織中整體的高道德行為,而不考慮其作為公共、私人、政府部門或者非營利性組織中的地位、其相對大小或者其所處行業。董事會或理事會的作用是至關重要的,因為歷史上大部分的重大舞弊都是由高級管理人員與其他員工勾結而施行的。組織內部對於舞弊案件的防治規範會發送給公眾、利益相關者以及監管機構一個關於董事會或理事會和管理層對於舞弊風險管理的態度以及本組織舞弊風險承受能力的明確信號。除了董事會或理事會之外,組織各級的人員,包括每一級別的管理人員、工作人員、企業內部稽核人員,以及組織外部的稽核人員都有處理舞弊風險的責任。特別地,他們被期望於解釋組織是如何應對加劇的監管要求,以及公眾和利益相關者的審查;組織中哪種舞弊風險管理的程序已經到位;它是如何識別舞弊風險的;它採取了哪些行動來更好地防止舞弊, 或者至少更早地發現舞弊;以及調查舞弊和採取整治行動的過程。故舞弊偵防又再一次成為各方重視的顯學。
舞弊偵查的目的在於發現事實的真相,並取得相關證據,找出舞弊的手法,以確定舞弊事件是否存在,決定應採用何種矯正與反制措施,以防止損失的擴大。舞弊偵查涉及的知識領域廣泛,程序亦相當複雜,不同的產業、經營模式、資料系統、經營規模, 甚至不同的舞弊方法,都有不同的調查程序。
依據美國舞弊稽核師協會提出的舞弊查核方法論,依發生順序其步驟為分析現有資料、建立假設、檢驗假設、修訂假設及提出結論(如下圖二)。即查核人員先發展出假設,解釋舞弊者之身分及犯罪手法,隨著所蒐集到的證據,於查核過程中逐步修正之前的假設,或檢驗所設立的假設,直至提出結論,說出完整的事件過程,解釋何者、何事、何時、何時、何處及如何暨為何。而舞弊調查的方法則有:1. 須分析財務報表、帳簿、記錄及佐證文件;2. 訪談;3. 觀察。在蒐集財務性資料時,須同時蒐集非財務性資料,以求充分瞭解帳簿和記錄涵蓋的資訊.當兩者不相符時,查核人員應視其為警示訊號。
現今的社會環境為高度的E化環境,面對巨量的資料,不但複雜且多元,運用電腦輔助稽核技術(Computer Assisted Auditing Tools and Techniques, CAATs),協助查核人員進行資料分析,縮短找出異常現象( 即警訊) 的時間,有助於發現潛在的舞弊,改善人力及時間的限制,進行全面性及持續性的稽核。
『管理舞弊』
「管理層舞弊」對企業有著非常嚴重的影響。美國舞弊查核師協會(Association of Certified Fraud Examiners, ACFE) 兩年一度發佈的《職場舞弊和濫用職權的全國報告書》2010年度版表明,企業的所有者和管理階層的舞弊行為造成的損失中位數為72.3 萬美元(經理級別為20 萬美元,職員級別為8 萬美元),舞弊敗露的週期為24 個月(經理級別為18 個月,職員級別為13 個月)。也就是說,管理階層舞弊一旦發生,想要發現需要花費非常多的時間,而且損失金額巨大。
因為管理階層是企業的最高權力者,管理階層舞弊在公司內部預防、發現、揭發是非常困難的。但是,為了企業的持續發展,對企業來說,不能不加以防備管理階層舞弊這種重大風險。然而既然組織的權力集中在管理階層的手中,要如何促使其重視及建立防治舞弊及舞弊偵查的機制,正是中華民國電腦稽核協會所想進一步協助業界專業發展的方向。
『舞弊三角』
舞弊三角理論係Donald R. Cressey 在1950年訪談約200位舞弊者,所提出的研究假說, 指出職場產生舞弊的三項本質因素為:機會、誘因和合理化解釋,三者交互影響, 亦即為審計準則第43號公報第12條所述,造成舞弊發生的因素。如下圖三:
1. 機會(Opportunities)=M
指除了組織環境或營運流程中存在讓舞弊者犯行的機會之外,舞弊者也同時察覺這些有機會且有能力執行的環境。亦即舞弊者可進行舞弊而又能掩飾不被發現或能逃避懲罰的時機。
2. 誘因或壓力(Incentive/Pressure)=O
舞弊者從事舞弊活動的動機,刺激個人自身利益而推行舞弊的壓力。其動機不全然都為財務性的,也有非財務性的動機。
3. 態度或行為合理化(Rationalization)=P
舞弊者必須有理由,將其舞弊行為合理化,以為與其自身的道德觀念、行為準備相符之說辭。
據此可知學理上舞弊的發生是有其環境因素的, 預防舞弊自然以透過降低或減少此種環境因子存在為主要依規。
『犯罪MOP』
日常活動理論係由學者勞倫斯.柯恩(Lawrence E. Cohen) 和馬可士.費爾森(Marcus Felson) 在1979 年所提出,該理論認為非法活動藉由日常活動的內涵, 影響了犯罪發生的機會,因而影響「直接接觸掠奪性犯罪」(Direct Contact Predatory Crime) 的發生。所謂直接接觸掠奪性犯罪,乃指故意及明確的奪取、損害他人或他人財物之非法行為。而直接接觸之掠奪性犯罪,其發生的前提是犯罪者與被害者需在同一時空下產生接觸,接觸即促進了犯罪可能發生的機會。因此「機會」如何產生?在犯罪學理論裏,均偏重於犯罪者犯罪原因的探討,而日常活動理論跳出犯罪者為中心的傳統理論模式,而是以機會(Opportunity)來說明犯罪的發生,且認為若將有犯罪傾向者控制在一定的數量,但因社會環境的改變、人類活動型態發生變化,促成犯罪機會的增加,犯罪率仍會上升。
該理論認為,直接接觸掠奪性違法行為的發生, 需具備以下三要素:
1. 有動機之犯罪者(motivationed offender)在場
社會中原本即有相當數量的潛在犯罪人,若將該等人員控制在一定的數量,則犯罪率應可維持不變,但由於社會變遷結果,人類活動型態亦產生變化,直接造成犯罪機會的增加,提高犯罪率。
2. 合適的標的物(suitable target)存在
合適的標的物係以標的物的價值、可見性、對犯罪者的防禦性(defense) 而定,亦即犯罪者對標的物的需求決定其價值,及犯罪者可得知的標的物資訊、標的物自我的防禦能力;當標的物的價值愈大,可見性愈高,防禦力愈低,其被侵害的可能性愈高。
3. 有能力遏止犯罪發生之抑制者不在場(absence of capable guardian against crime)
有能力遏止犯罪發生之抑制者不在場泛指缺乏一般足以遏止犯罪發生的抑制力,並不單指警察人員, 如商店為開放式之場地且面積寬廣,大多缺乏有效的監控,是發生竊盜的原因。
犯罪事件要發生必須有上述三要素在環境中相互作用,(1) 有動機及能力的犯罪者(motivation, 以字母M 為代表)、(2) 合適的犯罪標的物(object,以字母O 為代表),及(3) 抑制犯罪發生者的不在場(protection,以字母P 為代表)。日常活動犯罪理論三要素動態模式(E1 表示家庭環境,E2 學校環境,E3 社會環境),此理論中的三要素對於解釋為何會發生犯罪行為具有可操作性,有時亦稱為「犯罪基本三角(The Basic Crime Triangle)」,此係學者林宜隆(2009) 所提出之日常活動犯罪理論之M-O-P。如下圖四。
『舞弊預防』
舞弊預防既然已成為組織治理上一大課題,其學理上的依據也陸續完備,學者林宜隆整理,主要可以五個方向著手,增加犯罪阻力;提昇犯罪風險;降低犯罪酬償;削弱犯罪動機;移除犯罪藉口。
一、 增加犯罪阻力:主要策略是「標的物的強化」,係指財產的堅固與安全化,以減低犯罪者入侵, 讓犯罪更加困難使之不易達成犯罪目的,此情境的技術設計為實體安全週界的強化,例如:對於資訊外部產生的威脅的保護,以阻絕違規使用者入侵的機會。
二、 提昇犯罪風險:主要是利用犯罪者擔心被逮捕的風險心理,此情境的技術設計為加強監控,一旦監控者24 小時持續監視(網路)環境,犯罪者就不敢下手,這正是情境犯罪預防側重於增加逮捕風險,而非試圖操控懲罰的輕重。
三、 降低犯罪酬償:主要策略即是自理性選擇理論演化而來,先前提到犯罪者希望藉由犯罪來得到高獲利,此情境的技術設計為使酬償降低,讓犯罪者評估獲利所得與投入犯罪不成比例,不想犯罪,此情境的技術設計為隱藏標的物:將機密極具商業價值之文件數位檔案,以加密或資訊隱藏之技術予以隱藏;移除標的物:網路儲存體不需使用時應隨時移除;財務的識別:製作資產清冊、網路設備或檔案加入浮水印。
四、 削弱犯罪動機: 動機(Motivation)一詞根據心理學家佛洛依德(Sigmund Freud)所主張認為人類行為發自心理的實際力量通常都是不自覺的,並且人的成長過程中多半會花費許多精神壓抑自己的內心衝動,來接受社會規範。動機也被多數心理學家定義為:「動機是維持活動的傾向或意向而非活動本身」。例如內部人員知悉組織內存有極具價值之資產,看似簡單的資訊環境無人嚴格把關,進而藉由入侵的方式達到竊取資產轉賣他人之目的。因此Brantingham et al, (2005)指出了犯罪事件的導火線是情境犯罪預防的重要因素,此情境的技術設計為激發道德意識,例如:資通安全素養的教育;強化資訊環境存取控制。
五、移除犯罪藉口:主要策略在於抵制人類經常將自身不法行為合理化的結果,網路犯罪者進行入侵行為後為了否認其行為是錯誤,免除其罪惡感都會認定受害者是應該被處罰、被教訓,認定自己的行為是執行律法的自我催眠。此情境的技術設計為設立規則,例如:電子商務服務使不受詐欺行為的契約訂定;敬告守則,例如:網站首頁與電腦機房門口的管理規範設置;協助遵守規則:改善網路與實體環境設置具體的獎懲規定。
另外台灣金融監督管理委員會亦仿效美國要求企業建立相關機制,如:美國公開發行公司會計監督委員會(PCAOB) 查核準則第5號,及美國註冊會計師協會(AICPA) 審計準則公報第99號、我國審計準則公報第43號,均以美國的COSO委員會(Committee of Sponsoring Organizations of the Treadway Commission) 訂頒之內部控制整合架構進行舞弊風險管理,該委員會在2004 年發布新的COSO 企業風險管理整合架構(COSO ERM Framework),企業風險管理由8 個互相關聯的要素構成,形成一個全面性的行動架構,包含: 1. 內部環境;2. 目標設定:3. 相關事項辨認:4. 風險評估;5. 風險回應;6. 控制活動:7. 資訊及溝通;8. 監督。上述8 個要素與欲檢視的組織層次( 整體或事業單位等),並結合企業欲達成的4 大目標-策略、營運、報導、遵循,呈現一個立方體( 如下圖五)。企業可參考上述內部控制整合架構,建立一套完整的舞弊預防措施,進行舞弊風險管理,其步驟包含:1. 控制環境;2. 舞弊風險評估;3. 控制活動;4. 資訊與溝通;5. 持續監督。
洪啟仁(民100) 指出為防治企業舞弊而有舞弊風險管理之需求,舞弊風險管理策略可分成預防、偵測與回應等層次,有效的控制方法仍應依上述三個層次而不同,其建議對於舞弊風險管理架構的建置,區分為風險評估(Assess risks)、設計(Design)、建制(Implementation)、評鑑(Evaluate) 等4 個階段,並且持續進行。( 如下圖六)
舞弊預防與舞弊偵查息息相關,但有不同的概念。預防包括通過政策、程序、培訓及溝通來防止舞弊發生,而偵查著重於通過事件和技術及時發現已經發生或正在發生的舞弊。儘管預防技術無法確保舞弊不會發生,但是它們是降低舞弊風險的第一道防線。預防的關鍵之一就是促進從董事會或理事會到整個組織自上而下地對於舞弊風險管理計畫的認識,包括可能發生的舞弊類型。
同時,對於有效的偵查性控制有深刻了解是對舞弊強有力的遏制方法之一。偵查性控制與預防性控制相結合,通過展示預防性控制按照預期工作,通過舞弊確實發生時確定舞弊,以此提高舞弊風險管理計畫的成效。儘管偵查性控制能提供證據證明舞弊已經發生或正在發生,但不是為了防止舞弊。
每個組織都易受舞弊行為影響,但不是所有舞弊都能得到預防,或者以成本低收效大的方法去預防。與其預防某個舞弊預謀,還不如以更高效及低成本的方式去設計控制以偵查舞弊。
『舞弊案例』
公司背景簡介:
博達科技成立1991年,原從事電腦週邊產品的進出口貿易,且開發智慧型軟碟機SCSI介面卡。1995年開始購入SMT設備,陸續生產音效卡、MPEG卡及主機板轉型為生產製造商,96年底公司成立光電事業處,投入微波通訊元件領域,為國內第一家生產砷化鎵微波磊晶片廠商。博達科技公司於1999年12月18日上市掛牌,資本額11.16億元,輔導上市券商為京華證券,董事長兼總經理為創辦人葉素菲;其上市後股價曾經高達363元。2004年6月14日, 該公司於帳上資金充裕情形下,無預警向法院聲請重整。
博達舞弊之操作手法:
一、 疑虛增業績,虛飾財務狀況,藉假銷貨虛增業績,並以不實應收帳款向國外銀行融資獲取資金, 美化帳面。
二、 涉隱匿財務操作,透過國外交易套取資金, 不當對外保證,涉嫌購買不具價值之金融商品,疑出售虛增之應收帳款而無法收現。
三、 發行ECB 涉虛偽不實,安排人頭認購套取資金,公司並未募得實際資金。
博達弊案涉嫌違反當時之法令條款:
涉虛飾財報,違反證交法第171條、第174條及商業會計法第71條規定。
涉隱匿對他人保證等交易, 違反證交法第171條及第174條規定。
發行公司債資金用途與申請不一致,違反公司法第259條規定。
涉背信不當財務操作造成公司損失,違反刑法第342條規定。
本案例舞弊三角對應:
■誘因或壓力
博達為符合上市營收之門檻而開始進行假銷貨與假進貨。
博達本業、業外投資持續虧損,博達長短期貸款合計47億元,公司負債比率已逼近被銀行抽銀根的臨界點,為了避免放款給博達的十四家銀行抽回貸款,而產生壓力。
博達管理階層為了向社會大眾募資需要取信投資者,故每到募資前,單月業績就明顯拉升,年度結算應收帳款跟著跳高。
■機會
跨國之重大交易與利用第三國人頭公司為交易仲介者:葉素菲從88年下半年起, 藉由其員工設立8家海外公司與博達進行虛偽之銷貨,且利用第三地人頭公司為交易仲介者,藉此創造假銷貨的機會環境。
與博達進行循環交易之國內廠商皆未公開發行, 隸屬於經濟部商業司管轄範圍內,且法令未強制該等公司之財務報表須經會計師查核簽證與公布。由於該等廠商與葉素菲等人勾結,造成審計工作之外來查核證據的可靠性大幅降低。
由於葉素菲在公司掌有大權,造成雖有設立董事會,卻未能正常發揮董事會之功能,故在這樣的情況下,容易發生舞弊的狀況。
博達發生財務報表舞弊時,並未規定公開發行公司ㄧ定要發布合併報表,因此博達利用當時規範下不須合併之個體,如員工成立之公司來進行海外銷貨。
■態度或行為合理化
葉素菲對於認為砷化鎵於未來勢必會取代矽,前途似錦,以為只要度過這段草創期的難關,就能使博達業績蒸蒸日上,且認為所做的都為創造博達價值,使股東權益最大化,並非圖利個人。
高階財務主管人員對於公司經營的無法配合,因此博達在4年內更換5位財務長。
博達在申請上市期間,曾依審查會要求選任兩位獨立董事,但是上市後卻改聘,表示對於獨立董事之設立公司並無實地落實。
管理階層與現任或前任會計師之關係緊張,博達爆發時之前後任會計師都曾要求博達大筆打消其應收帳款,但葉素菲並不認同,因此更換前任會計師事務所,而接任之會計師也對此與葉素菲意見相左,最後勤業會計師事務提出若博達不同意提列26 億應收帳款壞帳就不予以簽證,而就距離出具財務報表之時間緊迫,葉素菲不得不同意提列鉅額壞帳。
本案例處理情況:
2004 年6 月15 日,博達無預警宣告因無法償還2004 年6 月17 日到期之公司債新台幣29.8 億元, 決定向士林地方法院聲請重整。
2004 年6 月17 日,台灣證券交易所將博達列為全額交割股。
2004 年6 月23 日,博達股票被停止交易。
2004 年6 月25 日,葉素菲因詐欺、背信罪被移送至士林地檢署,隔日收押。
2005 年5 月18 日,士林地方法院裁定葉素菲得以新台幣八千萬元交保,然而因籌措無門,直至5 月20 日才籌足新台幣八千萬元得以交保( 自遭檢方聲押獲准至起訴,歷時四個月;再經士林地方法院接押三個月、延押兩次,葉素菲共被檢審羈押近十一個月)。
2009 年2 月25 日,台灣高等法院二審判決葉素菲有期徒刑14 年,全案仍可上訴。
2009 年11 月19 日,台灣最高法院駁回上訴,葉素菲遭判有期徒刑14 年定讞,併科罰金新台幣1 億8000 萬元,必須入獄服刑。
2009 年12 月7 日,葉素菲因涉嫌掏空尚達公司新台幣六億元,到台灣高等法院受審。
2009 年12 月8 日,入獄服刑。
本案例主管機關處理情形:
一、迅速展開行政調查懲處不法
金管會於博達弊案發生後,迅速展開行政調查, 並於2004 年7 月16 日對外公布案情。且配合檢調單位提供相關案情資料,俾士林地檢署於2004 年10 月24 日對董事長、總經理、財務長、董事等31 人起訴,其中對董事長具體求刑20 年及5 億元罰金。
二、追懲專家責任
金管會已於2004 年7 月15 日對博達公司民國89 年至民國92 年之簽證會計師處以2 年之停業處分, 後續亦於2004 年12 月29 日對民國86 年至民國88 年之簽證會計師處以半年之停業處分,並對辦理博達公司申請上市及歷次籌資案之承銷商,處以警告處分。
本案例檢討:
舞弊情事符合舞弊三角情境及犯罪MOP,主管機關採用鑑識會計對帳務資料進行比對,利用數位鑑識方法取得相當財務證據,有利於後續法院審理及判刑;簽證會計師及承銷商則因未利用舞弊鑑識程序, 雖然存疑但在無明確證據下,仍然為博達公司所惑, 而後受到重大財務及商譽之傷害。
『結語』
中華民國電腦稽核協會的願景為「持續為資訊科技治理與電腦稽核之先導機構」,為持續一路陪伴與稽核人員同行,對應實務界的需要,近年新成立的「舞弊稽核與數位鑑識委員會」,其主要任務即為:
一、 推展舞弊稽核與數位鑑識相關專業知識及技能。
二、 推展國際舞弊偵防師(Certified Fraud Examiner) 證照考試及輔導課程。
三、 促進與國際舞弊稽核與數位鑑識相關專業團體之交流與合作。
四、 提供各機構在舞弊稽核與數位鑑識方面之相關服務。
協會積極投入舞弊稽核與數位鑑識領域的學術研究及實務推廣,相信會對於會員職涯的進一步發展有所助益,也為協會20 週年再造高峰,步入另一里程碑的開門磚與墊腳石。
『參考文獻:』
1. 勤業眾信企業風險管理服務季刊第4 期ERS Magazine Vol4 TC。
2. 陳虹任,2006,鑑識會計之探討. 台灣大學, 台北
3. 林宜隆、林愫麗,舞弊稽核與舞弊三角論之探討
4. 林宜隆,2009,網路犯罪理論與實務,台北,中央警察大學出版社。
5. 洪啟仁,2011,認識鑑識會計- 舞弊之預防、偵測、調查與回應,台北,安侯企業管理股份有限公司。
6. 中華管理評論國際學報2011 年5 月第十四卷二期Vol. 14, No. 2, May 2011。
