智能时代的财务软件是否应该严管?---评康美药业会计师处罚软件漏洞原创
金蝶云社区-会计老兵身份
会计老兵
0人赞赏了该文章 619次浏览 未经作者许可,禁止转载编辑于2021年10月20日 16:46:22

昨天对康美药业造假案的会计师和事务所的处罚终于落地了。当然,处罚的狠不狠重不重,估计是仁者见仁,智者见智!



"根据当事人违法行为的事实、性质、情节与社会危害程度,依据2005年《证券法》第二百二十三条,我会决定:
一、对广东正中珠江会计师事务所(特殊普通合伙)责令改正,没收业务收入1,425万元,并处以4,275万元罚款;
二、对杨文蔚、张静璃、苏创升给予警告,并分别处以10万元罚款;
三、对刘清给予警告,并处以3万元罚款。"


特别是处罚是依据旧证券法,如何依据新证券法就不止这点处罚金额了,特别是会计师个人和相关被处罚主要责任人。当然,为什么适用旧证券法不用新证券法是个法律问题,就不在此讨论了。


一、康美药业案例:

《中国证监会行政处罚决定书(广东正中珠江会计师事务所、杨文蔚、张静璃、刘清、苏创升)》〔2021〕11号

http://www.csrc.gov.cn/pub/zjhpublic/G00306212/202103/t20210319_394456.htm





捷科SCM3.0新架构供应链系统(以下简称捷科系统)为康美药业的业务管理信息系统,金蝶EAS系统是康美药业进行账务处理的信息系统。正中珠江相关审计人员明知康美药业捷科系统的存在,未关注捷科系统与金蝶EAS系统是否存在差异,未分析差异形成的原因及造成的影响,未实施必要的审计程序。


具体包括:

一是在财务报表层面了解信息技术的运用时,未涵盖业务管理系统。根据审计底稿的记载,康美药业的销售业务流程是基于捷科系统开展,从捷科系统发起销售订单,并经过一系列流程,最终通过系统配送货物。在知悉康美药业存在捷科系统的情况下,正中珠江仅了解了金蝶EAS系统,未涵盖捷科系统。


二是正中珠江了解金蝶EAS系统时,未执行审计程序了解金蝶EAS系统与捷科系统之间数据的勾稽关系。金蝶EAS系统与捷科系统的销售数据存在明显差异,正中珠江却未执行审计程序了解捷科系统的数据如何结转至金蝶EAS系统。


三是正中珠江实施风险应对措施时,未从业务管理系统获取审计证据。正中珠江在内控测试、实质性程序中计划获取销售出库单等业务单据,但仅从金蝶EAS系统获取审计证据,没有追溯至捷科系统,也没有说明未追溯至捷科系统的理由,获取的审计证据不具有充分性和适当性。正中珠江的行为不符合《中国注册会计师审计准则第1211号——通过了解被审计单位及其环境识别和评估重大错报风险》第21条和《中国注册会计师审计准则第1301号——审计证据》第10条的规定。


(二)货币资金科目的风险应对措施存在重大缺陷


1.内部控制测试程序存在重大缺陷。


一是未识别捷科系统与金蝶EAS系统存在的差异,未分析差异产生的原因并判断对财务报表的影响,也未在审计底稿中说明未追溯至捷科系统的理由及证据,获取的审计证据不具有充分性和适当性。


是控制点之一“往来对账的控制”,主要内容为客户、供应商、销售部门、采购部门、财务部门以捷科系统数据为基础,相互进行对账。内部控制测试审计底稿记载审计人员现场查阅了《销售回款统计表》《采购付款统计表》,实际并未执行,审计底稿也未见对应的审计证据。控制点之一“定期存款的审批”,主要内容是康美药业内部对定期存款的审批流程。内部控制有效性评价的审计底稿记载审计人员抽取了一个样本,实际并未执行,审计底稿也未见对应的审计证据。三是控制点之一“资金对账”,包括现金对账和银行存款对账,正中珠江仅针对银行存款对账执行内部控制测试程序,未针对现金对账执行内部控制测试程序,无法实现整个控制点的审计目标。正中珠江对康美药业货币资金活动内部控制评价结论为“控制活动运行有效且得到执行”,该评价没有充分、适当的审计证据支持,评价结论不恰当,不符合《中国注册会计师职业道德守则第1号——职业道德基本原则》第7条和《中国注册会计师审计准则第1231号——针对评估的重大错报风险采取的应对措施》第8条的规定。


2.实质性程序存在重大缺陷。


(2)康美药业2016年度货币资金余额账实差异主要集中在3家银行4个银行账户。正中珠江对该3家银行均执行现场函证程序,跟函人员均为苏创升,康美药业陪同人员均为黄某生。经查,康美药业提前以内审名义、使用正中珠江的询证函模板向银行进行函证,苏创升和黄某生现场函证时,黄某生再将询证函需要银行盖章回复的确认页替换为原先以内审名义函证的确认页,伪造正中珠江收到银行确认无误的询证函回函;建设银行的询证函回函不是在会计师的询证函上盖章,而是采用银行固定格式的资信证明,康美药业提前安排人员伪造银行资信证明,再由黄某生交给苏创升。正中珠江未对银行账户函证过程保持有效控制,不符合《中国注册会计师审计准则第1312号——函证》第14条、第17条的规定。


(3)正中珠江针对货币资金科目获取的银行询证函、银行对账单等资料中,存在明显异常或相互矛盾的情况。一是康美药业交通银行基本户的询证函上所盖银行印章为“业务受理章”,与商业银行常规做法不一致;二是康美药业在工商银行询证函上仅加盖公司公章,未加盖财务章及法人私章,却能得到银行回函;三是康美药业与子公司广东康美之恋大药房有限公司(以下简称康美之恋)均在工商银行开立有银行账户,康美之恋的询证函回函是银行固定格式的资信证明,而康美药业的询证函回函是直接在正中珠江的询证函上盖章;四是建设银行的询证函回函自身内容前后矛盾:函件要求定期存款应当列明存款日期、到期日期、存款利率等信息,但回函中关于定期存款的信息中“存款日期”“到期日期”“存款利率”栏均为空白;五是正中珠江获取的交通银行基本户的对账单部分有银行印章,部分没有银行印章。正中珠江未关注上述明显异常或相互矛盾的审计证据,未保持应有的职业怀疑,未执行进一步审计程序消除疑虑,不符合《中国注册会计师审计准则第1101号——注册会计师的总体目标和审计工作的基本要求》第28条和《中国注册会计师审计准则第1301号——审计证据》第15条的规定。


(三)营业收入科目的风险应对措施存在重大缺陷


1.内部控制测试程序存在重大缺陷。一是未识别金蝶EAS系统与捷科系统存在的差异,未分析差异产生的原因并判断对财务报表的影响,也未在审计底稿中说明未追溯至捷科系统的理由及证据,获取的审计证据不具有充分性和适当性。二是控制点之一“销售出库单”,抽取了49个样本,有5个样本记录的内容与实际会计记账凭证内容不符,正中珠江实际抽样时未核查对应的样本凭证。三是执行“重新执行”程序时,审计计划包括检查随货同行单,抽取的50个样本中,仅4个样本包含有随货同行单,两个样本存在出库单、销售合同签署日期晚于随货同行单(客户签收单)日期的情况;控制点之一“订立销售合同”,抽取了58个样本,有35个样本的合同不存在编号且主要合同条款均为空白,正中珠江未对明显异常或相互矛盾的审计证据保持应有的职业怀疑,未执行进一步审计程序消除疑虑。正中珠江对康美药业销售业务内部控制评价结论为“控制活动运行有效且得到执行”,该评价没有充分、适当的审计证据支持,评价结论不恰当,不符合《中国注册会计师审计准则第1231号——针对评估的重大错报风险采取的应对措施》第8条的规定。


(3)针对营业收入的舞弊风险,正中珠江实施的风险应对措施为穿行测试,但获取的内部业务单据均来自金蝶EAS系统;针对营业收入执行细节测试时,2016年财务报表审计期间抽取了574个样本,包含的内部业务单据也都来自金蝶EAS系统,审计证据不具有充分性、适当性。正中珠江的行为不符合《中国注册会计师审计准则第1231号——针对评估的重大错报风险采取的应对措施》第6条、第21条和《中国注册会计师审计准则第1141号——财务报表审计中与舞弊相关的责任》第31条的规定。


(三)营业收入科目的风险应对措施存在重大缺陷


1.内部控制测试程序存在重大缺陷。一是未识别捷科系统与金蝶EAS系统存在的差异,未分析差异产生的原因并判断对财务报表的影响,也未在审计底稿中说明未追溯至捷科系统的理由及证据,获取的审计证据不具有充分性和适当性。二是控制点之一“销售出库单”,抽取了49个样本,有5个样本记录的内容与实际会计记账凭证内容不符。正中珠江实际抽样时,未核查对应的样本凭证。三是执行“重新执行”穿行测试程序时,审计计划包括检查随货同行单,抽取的30个样本中,仅4个样本包含有随货同行单。控制点之一“订立销售合同”,保留审计证据的12个样本中,有10个样本的合同不存在编号且主要合同条款均为空白。正中珠江对康美药业销售业务内部控制评价结论为“控制活动运行有效且得到执行”,该评价没有充分、适当的审计证据支持,评价结论不恰当,不符合《中国注册会计师审计准则第1231号——针对评估的重大错报风险采取的应对措施》第8条的规定。

2.实质性程序存在重大缺陷。


(3)针对营业收入的舞弊风险,正中珠江实施的风险应对措施为穿行测试,但获取的内部业务单据均来自金蝶EAS系统,针对营业收入执行细节测试时,抽取了584个样本,内部业务单据也都来自金蝶EAS系统,审计证据不具有充分性和适当性,无法应对舞弊风险。正中珠江的行为不符合《中国注册会计师审计准则第1231号——针对评估的重大错报风险采取的应对措施》第6条、第21条和《中国注册会计师审计准则第1141号——财务报表审计中与舞弊相关的责任》第31条的规定。


五、正中珠江对康美药业2018年财务报表的审计存在缺陷



听证过程中,正中珠江、杨文蔚、张静璃、刘清、苏创升提出以下申辩意见并请求减轻或免予处罚:

第一,2016年及2017年,正中珠江已通过执行相关审计程序判断金蝶EAS系统准确性,包括取得了来自捷科系统的出入库单据,因此不需要针对捷科系统实施单独审计程序并判断是否对财务报表产生影响。


第二,正中珠江2016年及2017年风险识别与评估阶段底稿虽然存在笔误导致描述不一致的情况,但结合底稿实际执行情况,其在执行收入和货币资金控制测试和实质程序时已采取了综合应对方案,在常规程序的基础上,增加了亲自去银行取得流水检查银行余额真实性的特别措施。


第三,货币资金的内部控制测试与捷科系统和金蝶EAS系统的差异问题没有关系,2016年及2017年正中珠江已通过现场查阅执行了往来款对账,对于“定期存款的审批”测试,后续实施了函证和利息测算等实质性程序,执行的“现金盘点”测试本质与功能相当于“现金对账”测试,因此不存在重大缺陷。


第四,货币资金的实质性程序中,针对重点账户,项目经理苏创升2016年已按照审计计划直接从银行获取了银行账户对账单并执行了现场函证;2017年直接从银行获取了银行流水并执行了邮寄函证,正中珠江经核查不存在明显异常,不需要执行进一步审计程序消除疑虑。


第五,营业收入内部控制程序中,未识别捷科系统与金蝶EAS系统存在的差异不属于内部控制测试过程中存在的重大缺陷,“销售出库单”控制点测试5个样本的凭证被康美药业进行了删改,正式年报审计时未同步更新5个样本对应的凭证号。


第六,营业收入的实质性程序中,项目经理苏创升负责应收账款函证发出工作,仅2016年拦截了12份询证函;回函检查程序不需要检查回函的寄件人;2016年、2017年未执行替代程序仅涉及102个41个客户,分别对应应收账款余额仅为母公司应收账款发函比例的11.57%、6.55%;由于康美药业有预谋系统性造假,而正中珠江获取的销售合同、纳税申报表等审计证据并无明显异常,无需进一步执行审计程序消除疑虑。此外,在审计底稿中“加塞”走访记录附件二,系康美药业而非正中珠江所为。


第七,中药材贸易收入是康美药业营业收入一部分,已对营业收入按照特别风险和重大错报风险应对,2018年风险识别与评估阶段底稿存在表述不准确,但后续已实施审计程序,判断中药材贸易业务确实存在、属于公司控制的业务,可以纳入合并范围。


第八,正中珠江已按照《质量控制准则5101号--会计师事务所对执行财务报表审计和审阅、其他鉴证和相关服务业务实施的质量控制》及《中国注册会计师职业道德守则》的要求制定并执行了所内制度。


苏创升还提出以下申辩意见:第一,康美药业黄某生陈述前后矛盾,不能作为定案证据。第二,已按审计程序邮寄函证或者亲自到银行进行现场函证,并在银行领取了银行流水,对康美药业伪造银行函证和银行流水的行为不知情。第三,仅出于配合康美药业隐藏部分利润用以支付医院等额外费用的目的协助拦截12份询证函,没有伪造发函路径及回函,拦截、替换询证函系黄某生所为。


经复核,我会采纳当事人部分申辩意见,但认为其主要申辩意见不成立。理由如下:


第一,注册会计师应当保持应有的关注,遵守执业准则和职业道德规范的要求,勤勉尽责,依法依规认真、全面、及时地完成工作任务。


第二,捷科系统是康美药业的药品供应链系统即业务管理系统,且对接行业监督管理部门,正中珠江应当按照《中国注册会计师审计准则第1211号--通过了解被审计单位及其环境识别和评估重大错报风险》第21条规定和已制定的审计计划,对该系统执行审计程序,核实捷科系统数据如何结转至金蝶EAS系统,查验捷科系统与金蝶EAS系统是否存在差异,获取审计证据,形成审计结论。


                 中国证监会

                 2021年2月18日

 


在此需要讨论的是处罚细节中对于业务系统与财务系统完全脱节对不上的问题。从证监会的以上处罚来看,“第二,捷科系统是康美药业的药品供应链系统即业务管理系统,且对接行业监督管理部门,正中珠江应当按照《中国注册会计师审计准则第1211号--通过了解被审计单位及其环境识别和评估重大错报风险》第21条规定和已制定的审计计划,对该系统执行审计程序,核实捷科系统数据如何结转至金蝶EAS系统,查验捷科系统与金蝶EAS系统是否存在差异,获取审计证据,形成审计结论。”


不论是货币资金和存货等的造假,都是源于外部证据的业务系统“捷科系统”。在所谓“大、智、移、云”的智能时代,如康美药业这样的大中型企业的财务报告和账本已经高度依据于财务软件和业务软件以及二者接口的软件。从处罚中对软件系统的描述的高频来看,以及以上结论就可以看出在自动化财务软件时代系统是财务信息系统中越来越重要的一环。如果业务系统是主管部门监管无法改应该是原始凭证和数据,发现有问题都不难。是最基础的异常!都失守了?外部:监管、券商、银行,财务软商、顾问、审计师、独董。内部:IT、财务、业务、管理层、仓库等。


财务与业务接口上线还是要有规范,刚开始电算化时管的严,现在都在裸泳!厂家还不继的吹新软件智能化。财务软件是有问题的,应该作不平账,结不了账的。这明显软件商提供了后门。


1、手工时代审计还要至少核对总账和明细账,明细账和记账凭证,记账凭证和业务原始单据。现在智能时代反而都不查业务原始单据了?2、财务软件应该要有专门的规范和定期检查防止作弊行为。(康美药业的案例至少反映出了新技术的另一面,需要监管软件防止后门成为了新技术应用上线的必备条件)


康美药业这软件商应该是知道业务与财务对不上的!内部人应该很多岗位都知道!真不知道说什么了!知名上市公司规模不小持续这么多年,知情者这么多!坚持真账真的难了!卖上百万元上千元的财务软件都可以,做账的和审计的不可以?


财务软件帮助造假至少要和事务所同样处罚。取得的利益是远超看门人CPA的。


二、现行会计法规规定:


比如现有的财务软件常见的““反记账、反结账”功能与现行法规相违背:


《会计核算软件基本功能规范》第18条、19条明确规定,“在已经输入的原始凭证审核通过或者相应记账凭证审核通过或者登账后,原始凭证确需修改,会计核算软件在留有痕迹的前提下,可以提供修改和对修改后的机内原始凭证与相应的记账凭证是否相符进行校验的功能”,“发现已经输入并已审核通过或者登账的记账凭证有错误的,可以采用红字冲销法或者补充更正法进行更正,记账凭证输入时可用‘一’号或者其他标记表示”。


”《会计基础工作规范》中规定:“账簿记录发生错误,不准涂改、挖补、刮擦或者用药水消除字迹,不准重新抄写”。“反结账”功能可以解除封账,“反记账”功能可以进行反向记账处理,这些做法相当于在数据库中完全擦去原来结账或记账的痕迹,恢复到结账前或记账前状态。这实际上是对账簿进行了典型的“刮擦、涂改或重新抄写”。同时,“反记账”、“反结账”给做假账提供了技术支持,便于某些会计人员要进行舞弊。结账之后可以轻松取消结账,进行相关的处理;记账之后利用“反记账”功能可以在以后的任意时间简单、方便、无痕迹地直接修改凭证的相关数据,这无疑都使财务会计系统的安全性大打折扣,给作弊人员提供了可乘之机,增加了内部控制和会计监督的风险。“


出处:https://zhidao.baidu.com/question/589403638.html


三、应对的方向:


卖造假工具帮助造假应该与造假者同罪!就如同财务造假者是老千,作为看门人的审计师只是看门人需要承担很重的法律责任,但卖“出千”工具帮助完成假账都不需要承担法律责任。现在的上市公司财务报告信息生态链上对于财务软件的监管还是存在真空地带需要出台新的权责相当的法规来对软件进行监管。无论是财务软件或者业务软件以及接口软件,并且要规定有软件工具可以查到企业实施的高风险改动原始数据的行为,并预警给查账的审计师。


方向一:将财务软件以及业务软件接口上线就如同电算时代的初始化后的手工与软件并行相符才能上线纳入到监管中。

方向二:要有通用的反后门软件检查工具和手段。

方向三:对现有法律进行迭代和更新加重对提供后门软件帮助造假的处罚。


以上是个人不成熟的一点想法,限于学识和水平有不到之处,是出于财务职业的热爱,不代表任何单位。只是希望让造假成为人人喊打的事,不再出现如康美或者海航这样的对所有人者产生巨大损失的造假大案。千里之堤溃于蝼蚁,最后蝼蚁自身一样只是一片雪花!



作者:胡俊,从事会计工作23年,其中3年在互联网企业、8年在外企担任财务经理。喜欢专研企业结账工作设计优化工作以及现金流管理工作。 公众号:会计老兵

图标赞 0
0人点赞
还没有人点赞,快来当第一个点赞的人吧!
图标打赏
0人打赏
还没有人打赏,快来当第一个打赏的人吧!