隨著計算機專用軟件、掃描儀、雕刻機、3D打印機等現代技術設備的普及，偽造印章的技術門檻逐步降低。

審計人員在對某保險公司A分公司開展內部控制審計時，針對一份可疑文件采取“抓住疑點、順藤摸瓜、借力IT、重點排查，篩選定位”等方法，最終發(fā)現該公司相關人員偽造總公司及分公司印章及文件的重大違規(guī)違法行為。

審計過程

“蛛絲馬跡”顯疑點

根據預定的審計方案，審計人員對A分公司下轄B中心支公司庫房進行宣傳印刷品的盤點核查。庫房墻角擺放著一摞凌亂的工作記錄筆記本、草稿紙等雜物，審計人員本著“不留死角”的原則對資料進行逐頁查看，其中夾雜著的一份總公司紅頭文件映入審計人員眼簾。

這是一份使用彩色噴墨打印機打印的關于公司產品停售的紙質文件，格式規(guī)范、內容完整，乍看與總公司下發(fā)的此類文件版式相同，未見明顯異常。但是，文件當中“三年、五年期繳”產品“提前”停售的內容卻與總公司產品停售政策存在出入。

根據審計人員多年的經驗，總公司對于某一產品停售通常會對該產品全部停售，不存在“提前”的內容描述，同時也還沒有發(fā)現對某一產品按繳費期的不同實施停售的情況，審計人員對該文件的真實性產生懷疑。

“剝繭抽絲”查疑點

針對疑點，審計小組成員圍繞該文件進行初步討論，一致認為存在兩點異常：

1.文件中“電子文件專用章”的位置及擺放比例關系與總公司標準文件樣式存在細微差異。

2.文件中關于對“三年、五年期繳”產品“提前”停售的內容與總公司險種停辦通常管理方式不一致。

“疑點”一個一個進入審計人員視線。

“信手拈來”辨真?zhèn)?/span>

為了鑒定文件真?zhèn)危瑢徲嬋藛T首先聯系總公司辦公室文件管理員索取該文號對應的文件。經過仔細比對，發(fā)現總公司文件管理員提供的該文號對應文件與審計人員發(fā)現的文件從標題到內容完全不同。

至此，審計人員確認發(fā)現的這份文件連同電子文件專用章均系偽造。根據重要性原則，審計人員確定當前的工作重點是查實該偽造文件的源頭在哪里，傳播的范圍有多廣，是否還有其他偽造文件，偽造的電子文件專用章是否還有其他用途，更多的“疑問”進入審計人員腦海。

審計人員針對所在B中心支公司的總經理、分管副總經理及其他相關人員設計訪談提綱并進行訪談，同時對分管副總經理及相關人員的電腦進行清查，以便查找到該紙質文件對應的電子檔，進而查找源頭?？墒潜辉L談人員的回復全部指認這份文件是離職的某位員工提供，只有他有此份文件，此人離職后與公司沒有來往，無法聯系。

審計人員推測，由于在發(fā)現此份文件時B中心支公司也有人員在場，應該是管理層得知此事后統(tǒng)一了應對口徑。

與此同時，審計人員對電腦的清查也未取得有價值的資料。鑒于B中心支公司把此事推脫給一名離職員工，且審計人員未能發(fā)現其他線索，該問題的查處陷入困境，一籌莫展。

審計人員重新回顧審計場景，B中心支公司相關人員一句不經意的話引起審計人員的重視。

原來審計人員在進行訪談時有人隨口指出這名離職員工是從分公司調入該中心支公司工作。

審計人員認為，鑒于現行公司內部文件都是層層下發(fā)，中心支公司人員接觸到總公司文件的機會并不多，更不可能偽造一份總公司文件，而離職的員工正好又來自分公司，會不會是由分公司流傳出來的？源頭是否在分公司？

“乘勝出擊”查源頭

如果源頭是在分公司，審計人員推斷不會只在這一家中心支公司留存這份偽造的文件，在分公司下轄的其他機構也應該能夠找到。

審計人員立即返回A分公司，分成兩組開展突擊檢查，第一組2人對設立在省會的C中心支公司營銷員職場和管理人員的辦公桌、電腦進行突擊檢查，第二組2人對A分公司管理人員辦公區(qū)域內的電腦進行突擊檢查。

第一組很快就有所發(fā)現：在C中心支公司部分辦公電腦中除發(fā)現這份偽造的文件外，還另外發(fā)現其他偽造的文件等資料。

與此同時，第二組在A分公司部分管理人員的辦公電腦中也發(fā)現此份偽造文件的電子檔，且部分人員的電腦還留有不久前剛剛進行格式化或刪除等銷毀文件資料的痕跡。

據此，審計人員判斷此類偽造文件已經流傳至A分公司轄內中心支公司，而源頭就在A分公司。隨即，審計人員對A分公司相關管理人員進行訪談，但這些人員極不配合，對于發(fā)現的事實百般抵賴。

審計人員決定立即對上述崗位人員的辦公電腦進行封存，即便如此，A分公司仍有個別人員在審計人員已封存電腦的情況下仍然當面刪除電腦中的文件，態(tài)度囂張，行為惡劣。

審計人員決定對封存電腦中刪除或格式化后的數據進行恢復，集團公司信息技術中心也對相關分公司人員OA郵件的刪除內容進行了恢復。

由于郵件服務器僅保存7天的數據，所以未能在恢復的郵件數據中發(fā)現有價值的資料，故對封存電腦中已刪除或格式化數據的恢復成為審計人員的工作重點。

要想最大限度地恢復硬盤上被刪除的數據，必須避免新產生的數據覆蓋原有數據的存儲區(qū)域，因此在完成數據恢復操作之前不得在需要恢復數據的硬盤上進行任何打開文件、復制粘貼文件等寫入數據的操作。

審計人員通過以下方法進行了數據恢復：

通過“U盤啟動盤制作工具”軟件制作了一個可以啟動電腦的U盤，把不需要安裝就直接使用的數據恢復軟件（如DiskGenius、RecoverMyFiles等）復制進該U盤，然后通過U盤啟動封存的電腦。這樣使電腦啟動時僅讀寫U盤，不會對需要恢復數據的硬盤進行任何讀寫，最大限度地提高恢復效果。

將大容量（1TB）移動硬盤通過USB數據線接入需要恢復數據電腦的USB接口中，然后啟動U盤上的數據恢復軟件，將恢復后的文件存放路徑設置到這塊移動硬盤并完成數據恢復，避免恢復的文件覆蓋原硬盤上的數據。

在使用數據恢復軟件恢復了數據的基礎上再使用另外的數據恢復軟件多次進行數據恢復，確保最大限度地恢復封存電腦中被格式化或刪除的數據。審計人員對電腦中的UC聊天記錄、留存的圖片文件、WORD文件、PDF文件和通過技術手段恢復的數據等進行篩查。

審計結果

隨著大量證據被審計人員掌握及核實，A分公司部分管理人員為了提高銷售業(yè)績謀取不當收入、晉升職級等私利而踐踏合規(guī)風險和法律底線，大肆偽造總、分公司印章及文件等違規(guī)違法的問題被層層剝開，大量的違規(guī)違法事實浮出水面：

1.A分公司部分管理人員自2010年以來通過圖像處理軟件和文檔轉換技術偽造公文10份，其中總公司文件4份，分公司文件6份（其中1份分公司文件錯誤加蓋了總公司“電子文件專用章”），偽造的文件通過OA郵箱及UC在分公司及轄內中心支公司傳播。

2.A分公司部分管理人員利用偽造印章制作含有總公司公章的倡議書、承諾書、表彰函件各1份，含有總公司公章的結業(yè)證、榮譽證電子版模板各1套；含有分公司公章的邀請函、嘉獎令、感恩信、招聘資格證、賀信等電子版模板7套。

同時，利用模板簽發(fā)大量含有偽造公司印章的函件及證件，并以WORD版形式通過OA郵箱及UC在分公司及轄內中心支公司傳播。

3.審計人員加大對中心支公司及四級機構管理人員辦公區(qū)域、營銷員職場、庫房的清查力度。

審計人員對D分公司實施審計時，在其下轄E中心支公司管理人員辦公柜內發(fā)現多份袋口騎縫章為總公司公章的檔案袋，檔案袋正面填寫了客戶姓名、地址等信息，檔案袋內存放寫有客戶姓名的“財富升級”營銷推廣活動資料。

后經查實，上述總公司公章系由E中心支公司個別管理人員找無證攤點私刻，用于客戶邀約活動宣傳資料檔案袋的封口處加蓋騎縫章，以增加客戶對邀約的信任度，進而提高簽單率和銷售業(yè)績，審計人員隨后收繳該枚偽造的總公司實物公章。

審計啟示

1.審計人員應學習并熟悉數據恢復的方法

如果本次審計人員平時未能注重公司管理文件的收集和掌握，不熟悉總公司對于個險銷售管理的相關要求，即使在審計過程中查找到這份文件，也很難發(fā)現文件中電子文件專用章的細微差異和文件內容與公司管理慣例的不同。

如果不是審計人員通過硬盤數據恢復技術將被審計人員刪除的資料進行了恢復，也很難進一步發(fā)現違規(guī)違法行為的時間跨度及相應的證據。

所以審計人員應加強對審計領域相關管理文件的收集和掌握，同時應學習并熟悉數據恢復的方法。

2.審計人員在審計工作開展過程中需要做到“五要”

· 心要細。在現場審計前必須要制定好審計策略，對審計重點、實施步驟一定要條理清晰，細分到每一個環(huán)節(jié)。

· 眼要尖。在現場審計時審計人員一定要提高敏感性，留心觀察蛛絲馬跡，一旦發(fā)現疑問就應及時跟進。

· 嘴要穩(wěn)。審計人員與被審計對象進行交流和溝通應注重策略，心態(tài)要平和，避免暴露意圖，以便取證工作能進一步地開展。

· 手要勤。審計人員要做到多動手翻查，被審計單位即便在審計進場之前對資料和物品做了刻意的清理，只要審計人員查看的資料足夠多，審計能夠發(fā)現到缺陷的概率也就越大。

· 腿要快。現場審計過程當中事態(tài)發(fā)展變化很快，審計人員應及時取證和保全證據，不要貽誤時機，最大限度地避免相關人員藏匿或銷毀證據。