一、 系统开发、发展控制
(一) 授权和领导认可
(二) 符合标准和规范
(三) 人员培训
(四) 系统转换
(五) 程序修改控制
二、 管理控制
(一) 组织机构设置
(二) 职责划分
(三) 上机管理
(四) 档案管理
(五) 设备管理
三、 日常控制
(一) 业务发生控制
(二) 数据输入控制
(三) 数据通讯控制
(四) 数据处理控制
(五) 数据输出控制
(六)数据存储和检索控制
内 容 摘 要
由于计算机资产本身高价值的吸引力,由于计算机舞弊所面临的法律上的取证困难、审判困难情况,由于计算机安全技术水平的落后,再加上计算机系统本身的薄弱环节,如计算机信息容易泄露,安全存取控制功能还不完善,致使计算机舞弊行为越来越猖獗。要想有效地控制计算机舞弊,必须完善有关计算机安全与犯罪的立法,积极开展计算机系统的审计与安全监督,完善各单位的内部控制系统。另外,审查计算机舞弊首先要对被审单位内部控制系统进行评价,找出其内控的薄弱环节,确定其可能采用的舞弊手段,有针对性地实施技术性审查和取证。在此,我们希望能探讨出一些有效审查计算机舞弊,控制和防止计算机舞弊的方法。
计算机舞弊与审计
电算化已经在我国实施多年,在普及与应用方面取得了长足的进步,为企业发展提供了很多帮助,同时,电算化也给企业财务安全带来了很多隐患,计算机舞弊和犯罪越来越严重。美国计算机审计专家帕克1986年的两个研究报告表明,在计算机数据处理环境下的舞弊金额是手工数据处理情况下的6倍,已给企业造成了巨大的经济损失,甚至危害到国家和地区的安全。
计算机舞弊的含义:计算机舞弊包含两个方面含义。一是指对计算机系统的舞弊。即把计算机系统当作目标,对计算机硬件、计算机系统中的数据和程序、计算机的辅助设施和资源进行破坏或偷盗;二是利用计算机进行舞弊活动。即利用计算机作为实现舞弊的基本工具,利用计算机编制程序对其他系统进行犯罪活动。
一、计算机舞弊的动机
(一)报复性舞弊
这是一种恶劣的舞弊。通常,舞弊者在计算机系统中安放一颗逻辑炸弹。一旦设定的“引信”被触动,这颗逻辑炸弹就自动引发,使得有关文件全部被清除干净。这种舞弊具有不良目的。他们故意作假,明知自己的行为是违法的,仍铤而走险以身试法。
(二)贪图钱财的舞弊
舞弊者为了谋求私利,经过预谋,周密策划,采用公开或隐秘的非法手段进行舞弊。这类舞弊不易被发现。2 3自我满足的舞弊这类舞弊者一般是被计算机的挑战性所诱惑,利用自己的计算机技能进行非法的纂改程序和破坏程序的活动,以此证实自己的能力。
二、计算机舞弊的特点
从法律上来说,舞弊是一种民事犯罪行为。计算机舞弊是一种新的社会犯罪现象,它总是与计算机技术紧密联系在一起的。与其他犯罪相比,计算机舞弊具有许多新的特点。
(一) 智能性高
首先,大多数计算机舞弊者具有相当高的计算机专业技术知识和熟练的计算机操作技能。如,计算机程序员、管理员、操作员,等等。其次,舞弊者大多采用高科技手段。例如:直接或通过他人向计算机输入非法指令,从而贪污、盗窃、诈骗钱款;借助电话、微波通信、卫星、电台等系统的传输,以遥控手段进行;通过制造、传播计算机病毒,破坏计算机硬件设备和软件功能、信息数据,等等。最后,舞弊者作案前一般都经过周密的计划和精心的准备,选择最佳时机。这一切均说明计算机舞弊具有极高的智能性。
(二)隐蔽性强
首先,计算机舞弊大多是通过程序和数据之类的电子信息操作来实现,直接目的往往也是这些电子数据和信息。其次,所需时间短。计算机执行一项指令,长则几秒钟,短则零点几秒或几微秒,可见一般不受时间和空间限制。在全国、全球联网的情况下,其操作可以在任何时间、地点进行。最后,舞弊后对计算机硬件和信息载体可不造成任何损坏,甚至未发生丝毫的改变,不留痕迹,因此也不易识别。
(三)危害性大
由于计算机系统应用的普遍性和计算机处理信息的重要性,因而对计算机舞弊的危害极其严重。由于计算机应用普及面广,涉及到金融、军事、政治等方面,因而社会资产计算机化的程度越高,计算机作用越大,那么发生计算机舞弊的机率也就越高,社会危害性也就越大。
三、对计算机舞弊的审计和安全监督
由于计算机资产本身高价值的吸引力,由于计算机舞弊所面临的法律上的取证困难、审判困难情况,由于计算机安全技术水平的落后,再加上计算机系统本身的薄弱环节,如计算机信息容易泄露,安全存取控制功能还不完善,致使计算机舞弊行为越来越猖獗。要想有效地控制计算机舞弊,必须完善有关计算机安全与犯罪的立法,积极开展计算机系统的审计与安全监督,完善各单位的内部控制系统。另外,审查计算机舞弊首先要对被审单位内部控制系统进行评价,找出其内控的薄弱环节,确定其可能采用的舞弊手段,有针对性地实施技术性审查和取证。在此,我们希望能探讨出一些有效审查计算机舞弊,控制和防止计算机舞弊的方法。
由于舞弊者主要通过输入、输出、软件这三个途径入侵系统,下面就从这三方面来探讨对计算机舞弊的审计方法。
(一)系统输入类舞弊的审计
目前,通过计算机系统的输入进行舞弊的情况在我国发生比较多。而这些系统内部控制的弱点比较明显:职责分工不明确,对不相容职责没有适当的分工;接触控制不完善,不能有效地防止未经授权批准的人接触计算机,口令大家都知道;无严格的操作权限控制,没有设置不同等级的权限;系统缺乏输入核对控制;输入环节的程序化控制不完善,等等。而舞弊者大多是参与业务处理的人员、源数据提供人员、能够接触但不参与业务的人员,包括企业外部的“黑客”。因此我们可以从以下几点来控制和审计。
1、应用传统方式审查手工记帐凭证与原始凭证的合法性。
2、人工控制和自动校检相结合。要进行责任分工,使不相容职务相分离。将业务员经办的业务和数据记录、审核、批准分开,输入的关键数据要采用分批总数控制法。对输入的数据可分开在两台电脑上输入以控制校验,也可以用输入的时间和其他有关鉴别符进行控制;输入后要及时作备份,留有修改的审计线索。
3、 测试数据的完整性,提供差异的情况。
4、对输出报告进行分析,核实例外情况,看有无异常情况或涂改行为。
5、因为仿真舞弊者有计算机设计专长并与熟悉仿真对象系统的专业人员配合,所以必须审查仿真运行的记录日记,了解计算机专业人员参与仿真的情况。
(二)系统软件类舞弊的审计
这类舞弊者大部分是计算机专家,因此具有高智能、隐蔽性的特点,对系统的破坏也极大。他们通常采用截尾术、隐藏逻辑炸弹、活动天窗、计算机病毒来作案。
通常,舞弊者主要利用以下内部控制的弱点:电算部门与用户部门的职责分离不恰当,如程序员兼任操作员;系统开发控制不严,如用户单位没有对开发过程进行监督,没有详细检查系统开发过程中产生的文档,容易被留下“活动天窗”或埋下“逻辑炸弹”;系统维护控制不严,如程序员可随时调用机内程序进行修改;接触控制不完善,如操作员可接触系统的源程序及系统的设计文档。因此我们可以采用以下审计和控制方法。
1、对有可能接触程序修改和开发的人员进行严格的职业道德教育,并在开发、维护和使用过程中,严格实行开发管理制度。
2、用特殊的数据进行测试。应用模拟数据或真实数据测试被审系统,检查其处理结果与预期结果是否一致;检查源程序,重新计算并注意截尾数据的取证。
3、检查程序编码,核对源程序的基本功能,测试可疑的程序,看其是否有非法的源程序,是否埋下“逻辑炸弹”和“活动天窗”。同时,注意程序的设计逻辑和处理功能是否恰当、正确,以检查是否存在截尾术舞弊。
4、进行程序比较。将实际运行中的应用软件的目标代码或源代码与经过审计的相应备份软件相比较,以确定是否有未经授权的程序变动。
5、进行程序追踪。追踪那些潜在的可能成为其他非法目的所利用的编码段;在平时的使用过程中,对可疑的人获取的收入应进行追踪。
6、利用防火墙、漏洞扫描技术或入侵检测系统来保障系统数据的安全,防止计算机病毒的入侵。
(三)系统输出类舞弊的审计
该类舞弊者除了篡改输出报告的为内部用户外,大多为外来者。有简单的“拾遗者”,更多的是间谍。他们主要通过拾遗、突破密钥、篡改输出报告、盗窃或截取机密文件等手段作案。例如:美国德克萨斯计算机计时服务部有几家石油公司顾客,某顾客使用计算机服务时,总是要求将暂存磁带装入磁带驱动器。计算机操作员发现读带灯总是在写带灯亮之前亮起,引起该操作员的警觉。经过调查,发现该顾客想窃取各石油公司存在暂存带上的地震数据,然后卖给某石油公司赚取巨额收益。他们主要利用了以下内部控制的弱点:输出控制不健全,如对废弃的打印输出信息没有及时送到指定的人员手中;接触控制不完善,如无关人员可随便进入机房,无专人保管系统输出的数据磁盘,或虽有专人保管无借用手续;传输控制不完善,如网络系统的远程传输数据没有经过加密传输,容易被截取。因此我们可以采用以下审计和控制方法。
1、检查无关或作废的打印资料是否及时销毁,暂时不用的磁盘、磁带是否还残留数据。
2、审查计算机运行的记录日记和拷贝传送数据的时间和内容,了解访问会计数据处理人员,分析数据失窃的可能性,追踪审计线索。
3、对有可能接触程序修改和开发的人员进行严格的职业道德教育,在使用过程中实行严格的计算机使用日记管理制度,并对重要的原始数据实行多种隐蔽性的备份制度。
4、向计算机重要数据的管理人员了解原始备份文件和被拷贝的内容,分析特殊的数据舞弊线索。
5、采用一些先进的数据加密技术来保障系统的安全。当今的数据加密技术可分为三类:一类为单钥体制(对称型加密)。该技术使用单个密钥对数据进行加密或解密。其计算量小,加密效率高,但密钥管理困难,使用成本较高,保密安全性能也不容易保证;另一类为双钥体制(不对称型加密)。该技术采用两个密钥将加密、解密分开。公用密钥在网上公布,为数据源对数据加密使用,而用于解密的相应私用密钥则由数据的收集方妥善保管。这种不对称的算法特别适合于分布式系统中的数据加密。还有一种叫不可逆加密。这种方法的加密过程不需要密钥,只有同样的输入数据经过同样的不可逆算法才能得到相同的值。该加密系统开销较大,时间较长。
结束语:计算机在数据处理方面已成为一种不可缺少的工具,它给广大的会计人员和数据处理人员所带来的便利是无庸置疑的。而在我国,由于计算机审计刚刚起步,审计的理论和技术方法远远跟不上会计电算化的发展。这就促使我们对于频繁出现的计算机舞弊和犯罪案件必须研究如何采取有效的方法进行防范和揭露,以保障计算机系统的安全,维护企业、国家、社会的正当利益。
参 考 文 献
王亚卓 会计舞弊的甄别与防范 2007年
