剥茧抽丝 正本清源 ——某保险公司伪造印章及文件案例
原标题:剥茧抽丝 正本清源 ——某保险公司伪造印章及文件案例
1
案例背景
随着计算机专用软件、扫描仪、雕刻机、3D打印机等现代技术设备的普及,伪造印章的技术门槛逐步降低。审计人员在对某保险公司A分公司开展内部控制审计时,针对一份可疑文件采取“抓住疑点、顺藤摸瓜、借力IT、重点排查,筛选定位”等方法,最终发现该公司相关人员伪造总公司及分公司印章及文件的重大违规违法行为。
2
审计过程
“蛛丝马迹”显疑点
根据预定的审计方案,审计人员对A分公司下辖B中心支公司库房进行宣传印刷品的盘点核查。库房墙角摆放着一摞凌乱的工作记录笔记本、草稿纸等杂物,审计人员本着“不留死角”的原则对资料进行逐页查看,其中夹杂着的一份总公司红头文件映入审计人员眼帘。这是一份使用彩色喷墨打印机打印的关于公司产品停售的纸质文件,格式规范、内容完整,乍看与总公司下发的此类文件版式相同,未见明显异常。但是,文件当中“三年、五年期缴”产品“提前”停售的内容却与总公司产品停售政策存在出入。根据审计人员多年的经验,总公司对于某一产品停售通常会对该产品全部停售,不存在“提前”的内容描述,同时也还没有发现对某一产品按缴费期的不同实施停售的情况,审计人员对该文件的真实性产生怀疑。
“剥茧抽丝”查疑点
针对疑点,审计小组成员围绕该文件进行初步讨论,一致认为存在两点异常:一是文件中“电子文件专用章”的位置及摆放比例关系与总公司标准文件样式存在细微差异。二是文件中关于对“三年、五年期缴”产品“提前”停售的内容与总公司险种停办通常管理方式不一致。“疑点”一个一个进入审计人员视线。
“信手拈来”辨真伪
为了鉴定文件真伪,审计人员首先联系总公司办公室文件管理员索取该文号对应的文件。经过仔细比对,发现总公司文件管理员提供的该文号对应文件与审计人员发现的文件从标题到内容完全不同。至此,审计人员确认发现的这份文件连同电子文件专用章均系伪造。根据重要性原则,审计人员确定当前的工作重点是查实该伪造文件的源头在哪里,传播的范围有多广,是否还有其他伪造文件,伪造的电子文件专用章是否还有其他用途,更多的“疑问”进入审计人员脑海。审计人员针对所在B中心支公司的总经理、分管副总经理及其他相关人员设计访谈提纲并进行访谈,同时对分管副总经理及相关人员的电脑进行清查,以便查找到该纸质文件对应的电子档,进而查找源头。可是被访谈人员的回复全部指认这份文件是离职的某位员工提供,只有他有此份文件,此人离职后与公司没有来往,无法联系。审计人员推测,由于在发现此份文件时B中心支公司也有人员在场,应该是管理层得知此事后统一了应对口径。与此同时,审计人员对电脑的清查也未取得有价值的资料。鉴于B中心支公司把此事推脱给一名离职员工,且审计人员未能发现其他线索,该问题的查处陷入困境,一筹莫展。
审计人员重新回顾审计场景,B中心支公司相关人员一句不经意的话引起审计人员的重视。原来审计人员在进行访谈时有人随口指出这名离职员工是从分公司调入该中心支公司工作。审计人员认为,鉴于现行公司内部文件都是层层下发,中心支公司人员接触到总公司文件的机会并不多,更不可能伪造一份总公司文件,而离职的员工正好又来自分公司,会不会是由分公司流传出来的?源头是否在分公司?
“乘胜出击”查源头
如果源头是在分公司,审计人员推断不会只在这一家中心支公司留存这份伪造的文件,在分公司下辖的其他机构也应该能够找到。审计人员立即返回A分公司,分成两组开展突击检查,第一组2人对设立在省会的C中心支公司营销员职场和管理人员的办公桌、电脑进行突击检查,第二组2人对A分公司管理人员办公区域内的电脑进行突击检查。第一组很快就有所发现:在C中心支公司部分办公电脑中除发现这份伪造的文件外,还另外发现其他伪造的文件等资料。与此同时,第二组在A分公司部分管理人员的办公电脑中也发现此份伪造文件的电子档,且部分人员的电脑还留有不久前刚刚进行格式化或删除等销毁文件资料的痕迹。据此,审计人员判断此类伪造文件已经流传至A分公司辖内中心支公司,而源头就在A分公司。随即,审计人员对A分公司相关管理人员进行访谈,但这些人员极不配合,对于发现的事实百般抵赖。审计人员决定立即对上述岗位人员的办公电脑进行封存,即便如此,A分公司仍有个别人员在审计人员已封存电脑的情况下仍然当面删除电脑中的文件,态度嚣张,行为恶劣。审计人员决定对封存电脑中删除或格式化后的数据进行恢复,集团公司信息技术中心也对相关分公司人员OA邮件的删除内容进行了恢复。由于邮件服务器仅保存7天的数据,所以未能在恢复的邮件数据中发现有价值的资料,故对封存电脑中已删除或格式化数据的恢复成为审计人员的工作重点。要想最大限度地恢复硬盘上被删除的数据,必须避免新产生的数据覆盖原有数据的存储区域,因此在完成数据恢复操作之前不得在需要恢复数据的硬盘上进行任何打开文件、复制粘贴文件等写入数据的操作。
审计人员通过以下方法进行了数据恢复:
通过“U盘启动盘制作工具”软件制作了一个可以启动电脑的U盘,把不需要安装就直接使用的数据恢复软件(如DiskGenius、RecoverMyFiles等)复制进该U盘,然后通过U盘启动封存的电脑。这样使电脑启动时仅读写U盘,不会对需要恢复数据的硬盘进行任何读写,最大限度地提高恢复效果。
将大容量(1TB)移动硬盘通过USB数据线接入需要恢复数据电脑的USB接口中,然后启动U盘上的数据恢复软件,将恢复后的文件存放路径设置到这块移动硬盘并完成数据恢复,避免恢复的文件覆盖原硬盘上的数据。
在使用数据恢复软件恢复了数据的基础上再使用另外的数据恢复软件多次进行数据恢复,确保最大限度地恢复封存电脑中被格式化或删除的数据。审计人员对电脑中的UC聊天记录、留存的图片文件、WORD文件、PDF文件和通过技术手段恢复的数据等进行筛查。
3
审计结果与启示是什么呢?
审计结果
随着大量证据被审计人员掌握及核实,A分公司部分管理人员为了提高销售业绩谋取不当收入、晋升职级等私利而践踏合规风险和法律底线,大肆伪造总、分公司印章及文件等违规违法的问题被层层剥开,大量的违规违法事实浮出水面:
1.A分公司部分管理人员自2010年以来通过图像处理软件和文档转换技术伪造公文10份,其中总公司文件4份,分公司文件6份(其中1份分公司文件错误加盖了总公司“电子文件专用章”),伪造的文件通过OA邮箱及UC在分公司及辖内中心支公司传播。
2.A分公司部分管理人员利用伪造印章制作含有总公司公章的倡议书、承诺书、表彰函件各1份,含有总公司公章的结业证、荣誉证电子版模板各1套;含有分公司公章的邀请函、嘉奖令、感恩信、招聘资格证、贺信等电子版模板7套。同时,利用模板签发大量含有伪造公司印章的函件及证件,并以WORD版形式通过OA邮箱及UC在分公司及辖内中心支公司传播。
3.审计人员加大对中心支公司及四级机构管理人员办公区域、营销员职场、库房的清查力度。审计人员对D分公司实施审计时,在其下辖E中心支公司管理人员办公柜内发现多份袋口骑缝章为总公司公章的档案袋,档案袋正面填写了客户姓名、地址等信息,档案袋内存放写有客户姓名的“财富升级”营销推广活动资料。后经查实,上述总公司公章系由E中心支公司个别管理人员找无证摊点私刻,用于客户邀约活动宣传资料档案袋的封口处加盖骑缝章,以增加客户对邀约的信任度,进而提高签单率和销售业绩,审计人员随后收缴该枚伪造的总公司实物公章。
审计启示
审计人员应学习并熟悉数据恢复的方法
如果本次审计人员平时未能注重公司管理文件的收集和掌握,不熟悉总公司对于个险销售管理的相关要求,即使在审计过程中查找到这份文件,也很难发现文件中电子文件专用章的细微差异和文件内容与公司管理惯例的不同。如果不是审计人员通过硬盘数据恢复技术将被审计人员删除的资料进行了恢复,也很难进一步发现违规违法行为的时间跨度及相应的证据。所以审计人员应加强对审计领域相关管理文件的收集和掌握,同时应学习并熟悉数据恢复的方法。
审计人员在审计工作开展过程中需要做到“五要”
心要细。在现场审计前必须要制定好审计策略,对审计重点、实施步骤一定要条理清晰,细分到每一个环节。
眼要尖。在现场审计时审计人员一定要提高敏感性,留心观察蛛丝马迹,一旦发现疑问就应及时跟进。
嘴要稳。审计人员与被审计对象进行交流和沟通应注重策略,心态要平和,避免暴露意图,以便取证工作能进一步地开展。
手要勤。审计人员要做到多动手翻查,被审计单位即便在审计进场之前对资料和物品做了刻意的清理,只要审计人员查看的资料足够多,审计能够发现到缺陷的概率也就越大。
腿要快。现场审计过程当中事态发展变化很快,审计人员应及时取证和保全证据,不要贻误时机,最大限度地避免相关人员藏匿或销毁证据。
(来源:《百佳审计案例汇编》)
责任编辑: