新用戶掃碼下載
掃碼下載APP
及時接收最新考試資訊及
備考信息
淺議對電算化會計舞弊的審計監(jiān)督
摘要分析了利用計算機(jī)進(jìn)行會計舞弊的含義、動機(jī)、特點(diǎn),在此基礎(chǔ)上就系統(tǒng)輸入、輸出、軟件方面的會計電算化舞弊行為如何開展審計和安全監(jiān)督進(jìn)行了研究,提出了防止會計電算化舞弊的一些方法。
關(guān)鍵詞:會計;審計;計算機(jī)舞弊;非法程序;控制
20世紀(jì)40年代電子計算機(jī)的出現(xiàn),使人類社會發(fā)生了劃時代的變化。1954年美國首次將電子計算機(jī)用于工資計算,標(biāo)志著電子計算機(jī)進(jìn)入了會計和管理領(lǐng)域。90年代下半葉網(wǎng)絡(luò)技術(shù)迅猛發(fā)展,進(jìn)一步顯示出人類社會正在向信息社會過渡。而隨著會計電算化的普及,計算機(jī)舞弊和犯罪也越來越嚴(yán)重。美國計算機(jī)審計專家帕克1986年的兩個研究報告表明,在計算機(jī)數(shù)據(jù)處理環(huán)境下的舞弊金額是手工數(shù)據(jù)處理情況下的6倍,已給企業(yè)造成了巨大的經(jīng)濟(jì)損失,甚至危害到國家和地區(qū)的安全。本文就此對利用計算機(jī)進(jìn)行會計信息舞弊的審計和安全防范問題作一些探討。
1、計算機(jī)舞弊的含義計算機(jī)舞弊包含兩個方面含義。一是指對計算機(jī)系統(tǒng)的舞弊。即把計算機(jī)系統(tǒng)當(dāng)作目標(biāo),對計算機(jī)硬件、計算機(jī)系統(tǒng)中的數(shù)據(jù)和程序、計算機(jī)的輔助設(shè)施和資源進(jìn)行破壞或偷盜;二是利用計算機(jī)進(jìn)行舞弊活動。即利用計算機(jī)作為實現(xiàn)舞弊的基本工具,利用計算機(jī)編制程序?qū)ζ渌到y(tǒng)進(jìn)行犯罪活動。
2、計算機(jī)舞弊的動機(jī)舞弊者進(jìn)行計算機(jī)舞弊大多出于以下幾種目的。
2 1 報復(fù)性舞弊
這是一種惡劣的舞弊。通常,舞弊者在計算機(jī)系統(tǒng)中安放一顆邏輯炸彈。一旦設(shè)定的“引信”被觸動,這顆邏輯炸彈就自動引發(fā),使得有關(guān)文件全部被清除干凈。這種舞弊具有不良目的。他們故意作假,明知自己的行為是違法的,仍鋌而走險以身試法。
2 2 貪圖錢財?shù)奈璞?br>
舞弊者為了謀求私利,經(jīng)過預(yù)謀,周密策劃,采用公開或隱秘的非法手段進(jìn)行舞弊。這類舞弊不易被發(fā)現(xiàn)。2 3自我滿足的舞弊這類舞弊者一般是被計算機(jī)的挑戰(zhàn)性所誘惑,利用自己的計算機(jī)技能進(jìn)行非法的纂改程序和破壞程序的活動,以此證實自己的能力。
3、計算機(jī)舞弊的特點(diǎn)
從法律上來說,舞弊是一種民事犯罪行為。計算機(jī)舞弊是一種新的社會犯罪現(xiàn)象,它總是與計算機(jī)技術(shù)緊密聯(lián)系在一起的。與其他犯罪相比,計算機(jī)舞弊具有許多新的特點(diǎn)。
3 1 智能性高
首先,大多數(shù)計算機(jī)舞弊者具有相當(dāng)高的計算機(jī)專業(yè)技術(shù)知識和熟練的計算機(jī)操作技能。如,計算機(jī)程序員、管理員、操作員,等等。其次,舞弊者大多采用高科技手段。例如:直接或通過他人向計算機(jī)輸入非法指令,從而貪污、盜竊、詐騙錢款;借助電話、微波通信、衛(wèi)星、電臺等系統(tǒng)的傳輸,以遙控手段進(jìn)行;通過制造、傳播計算機(jī)病毒,破壞計算機(jī)硬件設(shè)備和軟件功能、信息數(shù)據(jù),等等。最后,舞弊者作案前一般都經(jīng)過周密的計劃和精心的準(zhǔn)備,選擇最佳時機(jī)。這一切均說明計算機(jī)舞弊具有極高的智能性。
3 2 隱蔽性強(qiáng)
首先,計算機(jī)舞弊大多是通過程序和數(shù)據(jù)之類的電子信息操作來實現(xiàn),直接目的往往也是這些電子數(shù)據(jù)和信息。其次,所需時間短。計算機(jī)執(zhí)行一項指令,長則幾秒鐘,短則零點(diǎn)幾秒或幾微秒,可見一般不受時間和空間限制。在全國、全球聯(lián)網(wǎng)的情況下,其操作可以在任何時間、地點(diǎn)進(jìn)行。最后,舞弊后對計算機(jī)硬件和信息載體可不造成任何損壞,甚至未發(fā)生絲毫的改變,不留痕跡,因此也不易識別。
3 3 危害性大
由于計算機(jī)系統(tǒng)應(yīng)用的普遍性和計算機(jī)處理信息的重要性,因而對計算機(jī)舞弊的危害極其嚴(yán)重。由于計算機(jī)應(yīng)用普及面廣,涉及到金融、軍事、政治等方面,因而社會資產(chǎn)計算機(jī)化的程度越高,計算機(jī)作用越大,那么發(fā)生計算機(jī)舞弊的機(jī)率也就越高,社會危害性也就越大。
4、對計算機(jī)舞弊的審計和安全監(jiān)督
由于計算機(jī)資產(chǎn)本身高價值的吸引力,由于計算機(jī)舞弊所面臨的法律上的取證困難、審判困難情況,由于計算機(jī)安全技術(shù)水平的落后,再加上計算機(jī)系統(tǒng)本身的薄弱環(huán)節(jié),如計算機(jī)信息容易泄露,安全存取控制功能還不完善,致使計算機(jī)舞弊行為越來越猖獗。要想有效地控制計算機(jī)舞弊,必須完善有關(guān)計算機(jī)安全與犯罪的立法,積極開展計算機(jī)系統(tǒng)的審計與安全監(jiān)督,完善各單位的內(nèi)部控制系統(tǒng)。另外,審查計算機(jī)舞弊首先要對被審單位內(nèi)部控制系統(tǒng)進(jìn)行評價,找出其內(nèi)控的薄弱環(huán)節(jié),確定其可能采用的舞弊手段,有針對性地實施技術(shù)性審查和取證。在此,我們希望能探討出一些有效審查計算機(jī)舞弊,控制和防止計算機(jī)舞弊的方法。
由于舞弊者主要通過輸入、輸出、軟件這
三個途徑入侵系統(tǒng),下面就從這三方面來探討對計算機(jī)舞弊的審計方法。
4 1 系統(tǒng)輸入類舞弊的審計目前,通過計算機(jī)系統(tǒng)的輸入進(jìn)行舞弊的情況在我國發(fā)生比較多。而這些系統(tǒng)內(nèi)部控制的弱點(diǎn)比較明顯:職責(zé)分工不明確,對不相容職責(zé)沒有適當(dāng)?shù)姆止ぃ唤佑|控制不完善,不能有效地防止未經(jīng)授權(quán)批準(zhǔn)的人接觸計算機(jī),口令大家都知道;無嚴(yán)格的操作權(quán)限控制,沒有設(shè)置不同等級的權(quán)限;系統(tǒng)缺乏輸入核對控制;輸入環(huán)節(jié)的程序化控制不完善,等等。而舞弊者大多是參與業(yè)務(wù)處理的人員、源數(shù)據(jù)提供人員、能夠接觸但不參與業(yè)務(wù)的人員,包括企業(yè)外部的“黑客”。因此我們可以從以下幾點(diǎn)來控制和審計。
4 1 1 應(yīng)用傳統(tǒng)方式審查手工記帳憑證與原始憑證的合法性。
4 1 2 人工控制和自動校檢相結(jié)合。要進(jìn)行責(zé)任分工,使不相容職務(wù)相分離。將業(yè)務(wù)員經(jīng)辦的業(yè)務(wù)和數(shù)據(jù)記錄、審核、批準(zhǔn)分開,輸入的關(guān)鍵數(shù)據(jù)要采用分批總數(shù)控制法。對輸入的數(shù)據(jù)可分開在兩臺電腦上輸入以控制校驗,也可以用輸入的時間和其他有關(guān)鑒別符進(jìn)行控制;輸入后要及時作備份,留有修改的審計線索。
4 1 3 測試數(shù)據(jù)的完整性,提供差異的情況。
41 4 對輸出報告進(jìn)行分析,核實例外情況,看有無異常情況或涂改行為。
4 1 5因為仿真舞弊者有計算機(jī)設(shè)計專長并與熟悉仿真對象系統(tǒng)的專業(yè)人員配合,所以必須審查仿真運(yùn)行的記錄日記,了解計算機(jī)專業(yè)人員參與仿真的情況。
4 2 系統(tǒng)軟件類舞弊的審計
這類舞弊者大部分是計算機(jī)專家,因此具有高智能、隱蔽性的特點(diǎn),對系統(tǒng)的破壞也極大。他們通常采用截尾術(shù)、隱藏邏輯炸彈、活動天窗、計算機(jī)病毒來作案。
通常,舞弊者主要利用以下內(nèi)部控制的弱點(diǎn):電算部門與用戶部門的職責(zé)分離不恰當(dāng),如程序員兼任操作員;系統(tǒng)開發(fā)控制不嚴(yán),如用戶單位沒有對開發(fā)過程進(jìn)行監(jiān)督,沒有詳細(xì)檢查系統(tǒng)開發(fā)過程中產(chǎn)生的文檔,容易被留下“活動天窗”或埋下“邏輯炸彈”;系統(tǒng)維護(hù)控制不嚴(yán),如程序員可隨時調(diào)用機(jī)內(nèi)程序進(jìn)行修改;接觸控制不完善,如操作員可接觸系統(tǒng)的源程序及系統(tǒng)的設(shè)計文檔。因此我們可以采用以下審計和控制方法。
4 2 1 對有可能接觸程序修改和開發(fā)的人員進(jìn)行嚴(yán)格的職業(yè)道德教育,并在開發(fā)、維護(hù)和使用過程中,嚴(yán)格實行開發(fā)管理制度。
4 2 2 用特殊的數(shù)據(jù)進(jìn)行測試。應(yīng)用模擬數(shù)據(jù)或真實數(shù)據(jù)測試被審系統(tǒng),檢查其處理結(jié)果與預(yù)期結(jié)果是否一致;檢查源程序,重新計算并注意截尾數(shù)據(jù)的取證。
4 2 3 檢查程序編碼,核對源程序的基本功能,測試可疑的程序,看其是否有非法的源程序,是否埋下“邏輯炸彈”和“活動天窗”。同時,注意程序的設(shè)計邏輯和處理功能是否恰當(dāng)、正確,以檢查是否存在截尾術(shù)舞弊。
4 2 4 進(jìn)行程序比較。將實際運(yùn)行中的應(yīng)用軟件的目標(biāo)代碼或源代碼與經(jīng)過審計的相應(yīng)備份軟件相比較,以確定是否有未經(jīng)授權(quán)的程序變動。
4 2 5 進(jìn)行程序追蹤。追蹤那些潛在的可能成為其他非法目的所利用的編碼段;在平時的使用過程中,對可疑的人獲取的收入應(yīng)進(jìn)行追蹤。
4 2 6 利用防火墻、漏洞掃描技術(shù)或入侵檢測系統(tǒng)來保障系統(tǒng)數(shù)據(jù)的安全,防止計算機(jī)病毒的入侵。
4 3 系統(tǒng)輸出類舞弊的審計
該類舞弊者除了篡改輸出報告的為內(nèi)部用戶外,大多為外來者。有簡單的“拾遺者”,更多的是間諜。他們主要通過拾遺、突破密鑰、篡改輸出報告、盜竊或截取機(jī)密文件等手段作案。例如:美國德克薩斯計算機(jī)計時服務(wù)部有幾家石油公司顧客,某顧客使用計算機(jī)服務(wù)時,總是要求將暫存磁帶裝入磁帶驅(qū)動器。計算機(jī)操作員發(fā)現(xiàn)讀帶燈總是在寫帶燈亮之前亮起,引起該操作員的警覺。經(jīng)過調(diào)查,發(fā)現(xiàn)該顧客想竊取各石油公司存在暫存帶上的地震數(shù)據(jù),然后賣給某石油公司賺取巨額收益。他們主要利用了以下內(nèi)部控制的弱點(diǎn):輸出控制不健全,如對廢棄的打印輸出信息沒有及時送到指定的人員手中;接觸控制不完善,如無關(guān)人員可隨便進(jìn)入機(jī)房,無專人保管系統(tǒng)輸出的數(shù)據(jù)磁盤,或雖有專人保管無借用手續(xù);傳輸控制不完善,如網(wǎng)絡(luò)系統(tǒng)的遠(yuǎn)程傳輸數(shù)據(jù)沒有經(jīng)過加密傳輸,容易被截取。因此我們可以采用以下審計和控制方法。
4 3 1 檢查無關(guān)或作廢的打印資料是否及時銷毀,暫時不用的磁盤、磁帶是否還殘留數(shù)據(jù)。
4 3 2 審查計算機(jī)運(yùn)行的記錄日記和拷貝傳送數(shù)據(jù)的時間和內(nèi)容,了解訪問會計數(shù)據(jù)處理人員,分析數(shù)據(jù)失竊的可能性,追蹤審計線索。
4 3 3 對有可能接觸程序修改和開發(fā)的人員進(jìn)行嚴(yán)格的職業(yè)道德教育,在使用過程中實行嚴(yán)格的計算機(jī)使用日記管理制度,并對重要的原始數(shù)據(jù)實行多種隱蔽性的備份制度。
4 3 4 向計算機(jī)重要數(shù)據(jù)的管理人員了解原始備份文件和被拷貝的內(nèi)容,分析特殊的數(shù)據(jù)舞弊線索。
4 3 5 采用一些先進(jìn)的數(shù)據(jù)加密技術(shù)來保障系統(tǒng)的安全。當(dāng)今的數(shù)據(jù)加密技術(shù)可分為三類:一類為單鑰體制(對稱型加密)。該技術(shù)使用單個密鑰對數(shù)據(jù)進(jìn)行加密或解密。其計算量小,加密效率高,但密鑰管理困難,使用成本較高,保密安全性能也不容易保證;另一類為雙鑰體制(不對稱型加密)。該技術(shù)采用兩個密鑰將加密、解密分開。公用密鑰在網(wǎng)上公布,為數(shù)據(jù)源對數(shù)據(jù)加密使用,而用于解密的相應(yīng)私用密鑰則由數(shù)據(jù)的收集方妥善保管。這種不對稱的算法特別適合于分布式系統(tǒng)中的數(shù)據(jù)加密。還有一種叫不可逆加密。這種方法的加密過程不需要密鑰,只有同樣的輸入數(shù)據(jù)經(jīng)過同樣的不可逆算法才能得到相同的值。該加密系統(tǒng)開銷較大,時間較長。
5、結(jié)束語計算機(jī)在數(shù)據(jù)處理方面已成為一種不可缺少的工具,它給廣大的會計人員和數(shù)據(jù)處理人員所帶來的便利是無庸置疑的。而在我國,由于計算機(jī)審計剛剛起步,審計的理論和技術(shù)方法遠(yuǎn)遠(yuǎn)跟不上會計電算化的發(fā)展。這就促使我們對于頻繁出現(xiàn)的計算機(jī)舞弊和犯罪案件必須研究如何采取有效的方法進(jìn)行防范和揭露,以保障計算機(jī)系統(tǒng)的安全,維護(hù)企業(yè)、國家、社會的正當(dāng)利益。
關(guān)鍵詞:會計;審計;計算機(jī)舞弊;非法程序;控制
20世紀(jì)40年代電子計算機(jī)的出現(xiàn),使人類社會發(fā)生了劃時代的變化。1954年美國首次將電子計算機(jī)用于工資計算,標(biāo)志著電子計算機(jī)進(jìn)入了會計和管理領(lǐng)域。90年代下半葉網(wǎng)絡(luò)技術(shù)迅猛發(fā)展,進(jìn)一步顯示出人類社會正在向信息社會過渡。而隨著會計電算化的普及,計算機(jī)舞弊和犯罪也越來越嚴(yán)重。美國計算機(jī)審計專家帕克1986年的兩個研究報告表明,在計算機(jī)數(shù)據(jù)處理環(huán)境下的舞弊金額是手工數(shù)據(jù)處理情況下的6倍,已給企業(yè)造成了巨大的經(jīng)濟(jì)損失,甚至危害到國家和地區(qū)的安全。本文就此對利用計算機(jī)進(jìn)行會計信息舞弊的審計和安全防范問題作一些探討。
1、計算機(jī)舞弊的含義計算機(jī)舞弊包含兩個方面含義。一是指對計算機(jī)系統(tǒng)的舞弊。即把計算機(jī)系統(tǒng)當(dāng)作目標(biāo),對計算機(jī)硬件、計算機(jī)系統(tǒng)中的數(shù)據(jù)和程序、計算機(jī)的輔助設(shè)施和資源進(jìn)行破壞或偷盜;二是利用計算機(jī)進(jìn)行舞弊活動。即利用計算機(jī)作為實現(xiàn)舞弊的基本工具,利用計算機(jī)編制程序?qū)ζ渌到y(tǒng)進(jìn)行犯罪活動。
2、計算機(jī)舞弊的動機(jī)舞弊者進(jìn)行計算機(jī)舞弊大多出于以下幾種目的。
2 1 報復(fù)性舞弊
這是一種惡劣的舞弊。通常,舞弊者在計算機(jī)系統(tǒng)中安放一顆邏輯炸彈。一旦設(shè)定的“引信”被觸動,這顆邏輯炸彈就自動引發(fā),使得有關(guān)文件全部被清除干凈。這種舞弊具有不良目的。他們故意作假,明知自己的行為是違法的,仍鋌而走險以身試法。
2 2 貪圖錢財?shù)奈璞?br>
舞弊者為了謀求私利,經(jīng)過預(yù)謀,周密策劃,采用公開或隱秘的非法手段進(jìn)行舞弊。這類舞弊不易被發(fā)現(xiàn)。2 3自我滿足的舞弊這類舞弊者一般是被計算機(jī)的挑戰(zhàn)性所誘惑,利用自己的計算機(jī)技能進(jìn)行非法的纂改程序和破壞程序的活動,以此證實自己的能力。
3、計算機(jī)舞弊的特點(diǎn)
從法律上來說,舞弊是一種民事犯罪行為。計算機(jī)舞弊是一種新的社會犯罪現(xiàn)象,它總是與計算機(jī)技術(shù)緊密聯(lián)系在一起的。與其他犯罪相比,計算機(jī)舞弊具有許多新的特點(diǎn)。
3 1 智能性高
首先,大多數(shù)計算機(jī)舞弊者具有相當(dāng)高的計算機(jī)專業(yè)技術(shù)知識和熟練的計算機(jī)操作技能。如,計算機(jī)程序員、管理員、操作員,等等。其次,舞弊者大多采用高科技手段。例如:直接或通過他人向計算機(jī)輸入非法指令,從而貪污、盜竊、詐騙錢款;借助電話、微波通信、衛(wèi)星、電臺等系統(tǒng)的傳輸,以遙控手段進(jìn)行;通過制造、傳播計算機(jī)病毒,破壞計算機(jī)硬件設(shè)備和軟件功能、信息數(shù)據(jù),等等。最后,舞弊者作案前一般都經(jīng)過周密的計劃和精心的準(zhǔn)備,選擇最佳時機(jī)。這一切均說明計算機(jī)舞弊具有極高的智能性。
3 2 隱蔽性強(qiáng)
首先,計算機(jī)舞弊大多是通過程序和數(shù)據(jù)之類的電子信息操作來實現(xiàn),直接目的往往也是這些電子數(shù)據(jù)和信息。其次,所需時間短。計算機(jī)執(zhí)行一項指令,長則幾秒鐘,短則零點(diǎn)幾秒或幾微秒,可見一般不受時間和空間限制。在全國、全球聯(lián)網(wǎng)的情況下,其操作可以在任何時間、地點(diǎn)進(jìn)行。最后,舞弊后對計算機(jī)硬件和信息載體可不造成任何損壞,甚至未發(fā)生絲毫的改變,不留痕跡,因此也不易識別。
3 3 危害性大
由于計算機(jī)系統(tǒng)應(yīng)用的普遍性和計算機(jī)處理信息的重要性,因而對計算機(jī)舞弊的危害極其嚴(yán)重。由于計算機(jī)應(yīng)用普及面廣,涉及到金融、軍事、政治等方面,因而社會資產(chǎn)計算機(jī)化的程度越高,計算機(jī)作用越大,那么發(fā)生計算機(jī)舞弊的機(jī)率也就越高,社會危害性也就越大。
4、對計算機(jī)舞弊的審計和安全監(jiān)督
由于計算機(jī)資產(chǎn)本身高價值的吸引力,由于計算機(jī)舞弊所面臨的法律上的取證困難、審判困難情況,由于計算機(jī)安全技術(shù)水平的落后,再加上計算機(jī)系統(tǒng)本身的薄弱環(huán)節(jié),如計算機(jī)信息容易泄露,安全存取控制功能還不完善,致使計算機(jī)舞弊行為越來越猖獗。要想有效地控制計算機(jī)舞弊,必須完善有關(guān)計算機(jī)安全與犯罪的立法,積極開展計算機(jī)系統(tǒng)的審計與安全監(jiān)督,完善各單位的內(nèi)部控制系統(tǒng)。另外,審查計算機(jī)舞弊首先要對被審單位內(nèi)部控制系統(tǒng)進(jìn)行評價,找出其內(nèi)控的薄弱環(huán)節(jié),確定其可能采用的舞弊手段,有針對性地實施技術(shù)性審查和取證。在此,我們希望能探討出一些有效審查計算機(jī)舞弊,控制和防止計算機(jī)舞弊的方法。
由于舞弊者主要通過輸入、輸出、軟件這
三個途徑入侵系統(tǒng),下面就從這三方面來探討對計算機(jī)舞弊的審計方法。
4 1 系統(tǒng)輸入類舞弊的審計目前,通過計算機(jī)系統(tǒng)的輸入進(jìn)行舞弊的情況在我國發(fā)生比較多。而這些系統(tǒng)內(nèi)部控制的弱點(diǎn)比較明顯:職責(zé)分工不明確,對不相容職責(zé)沒有適當(dāng)?shù)姆止ぃ唤佑|控制不完善,不能有效地防止未經(jīng)授權(quán)批準(zhǔn)的人接觸計算機(jī),口令大家都知道;無嚴(yán)格的操作權(quán)限控制,沒有設(shè)置不同等級的權(quán)限;系統(tǒng)缺乏輸入核對控制;輸入環(huán)節(jié)的程序化控制不完善,等等。而舞弊者大多是參與業(yè)務(wù)處理的人員、源數(shù)據(jù)提供人員、能夠接觸但不參與業(yè)務(wù)的人員,包括企業(yè)外部的“黑客”。因此我們可以從以下幾點(diǎn)來控制和審計。
4 1 1 應(yīng)用傳統(tǒng)方式審查手工記帳憑證與原始憑證的合法性。
4 1 2 人工控制和自動校檢相結(jié)合。要進(jìn)行責(zé)任分工,使不相容職務(wù)相分離。將業(yè)務(wù)員經(jīng)辦的業(yè)務(wù)和數(shù)據(jù)記錄、審核、批準(zhǔn)分開,輸入的關(guān)鍵數(shù)據(jù)要采用分批總數(shù)控制法。對輸入的數(shù)據(jù)可分開在兩臺電腦上輸入以控制校驗,也可以用輸入的時間和其他有關(guān)鑒別符進(jìn)行控制;輸入后要及時作備份,留有修改的審計線索。
4 1 3 測試數(shù)據(jù)的完整性,提供差異的情況。
41 4 對輸出報告進(jìn)行分析,核實例外情況,看有無異常情況或涂改行為。
4 1 5因為仿真舞弊者有計算機(jī)設(shè)計專長并與熟悉仿真對象系統(tǒng)的專業(yè)人員配合,所以必須審查仿真運(yùn)行的記錄日記,了解計算機(jī)專業(yè)人員參與仿真的情況。
4 2 系統(tǒng)軟件類舞弊的審計
這類舞弊者大部分是計算機(jī)專家,因此具有高智能、隱蔽性的特點(diǎn),對系統(tǒng)的破壞也極大。他們通常采用截尾術(shù)、隱藏邏輯炸彈、活動天窗、計算機(jī)病毒來作案。
通常,舞弊者主要利用以下內(nèi)部控制的弱點(diǎn):電算部門與用戶部門的職責(zé)分離不恰當(dāng),如程序員兼任操作員;系統(tǒng)開發(fā)控制不嚴(yán),如用戶單位沒有對開發(fā)過程進(jìn)行監(jiān)督,沒有詳細(xì)檢查系統(tǒng)開發(fā)過程中產(chǎn)生的文檔,容易被留下“活動天窗”或埋下“邏輯炸彈”;系統(tǒng)維護(hù)控制不嚴(yán),如程序員可隨時調(diào)用機(jī)內(nèi)程序進(jìn)行修改;接觸控制不完善,如操作員可接觸系統(tǒng)的源程序及系統(tǒng)的設(shè)計文檔。因此我們可以采用以下審計和控制方法。
4 2 1 對有可能接觸程序修改和開發(fā)的人員進(jìn)行嚴(yán)格的職業(yè)道德教育,并在開發(fā)、維護(hù)和使用過程中,嚴(yán)格實行開發(fā)管理制度。
4 2 2 用特殊的數(shù)據(jù)進(jìn)行測試。應(yīng)用模擬數(shù)據(jù)或真實數(shù)據(jù)測試被審系統(tǒng),檢查其處理結(jié)果與預(yù)期結(jié)果是否一致;檢查源程序,重新計算并注意截尾數(shù)據(jù)的取證。
4 2 3 檢查程序編碼,核對源程序的基本功能,測試可疑的程序,看其是否有非法的源程序,是否埋下“邏輯炸彈”和“活動天窗”。同時,注意程序的設(shè)計邏輯和處理功能是否恰當(dāng)、正確,以檢查是否存在截尾術(shù)舞弊。
4 2 4 進(jìn)行程序比較。將實際運(yùn)行中的應(yīng)用軟件的目標(biāo)代碼或源代碼與經(jīng)過審計的相應(yīng)備份軟件相比較,以確定是否有未經(jīng)授權(quán)的程序變動。
4 2 5 進(jìn)行程序追蹤。追蹤那些潛在的可能成為其他非法目的所利用的編碼段;在平時的使用過程中,對可疑的人獲取的收入應(yīng)進(jìn)行追蹤。
4 2 6 利用防火墻、漏洞掃描技術(shù)或入侵檢測系統(tǒng)來保障系統(tǒng)數(shù)據(jù)的安全,防止計算機(jī)病毒的入侵。
4 3 系統(tǒng)輸出類舞弊的審計
該類舞弊者除了篡改輸出報告的為內(nèi)部用戶外,大多為外來者。有簡單的“拾遺者”,更多的是間諜。他們主要通過拾遺、突破密鑰、篡改輸出報告、盜竊或截取機(jī)密文件等手段作案。例如:美國德克薩斯計算機(jī)計時服務(wù)部有幾家石油公司顧客,某顧客使用計算機(jī)服務(wù)時,總是要求將暫存磁帶裝入磁帶驅(qū)動器。計算機(jī)操作員發(fā)現(xiàn)讀帶燈總是在寫帶燈亮之前亮起,引起該操作員的警覺。經(jīng)過調(diào)查,發(fā)現(xiàn)該顧客想竊取各石油公司存在暫存帶上的地震數(shù)據(jù),然后賣給某石油公司賺取巨額收益。他們主要利用了以下內(nèi)部控制的弱點(diǎn):輸出控制不健全,如對廢棄的打印輸出信息沒有及時送到指定的人員手中;接觸控制不完善,如無關(guān)人員可隨便進(jìn)入機(jī)房,無專人保管系統(tǒng)輸出的數(shù)據(jù)磁盤,或雖有專人保管無借用手續(xù);傳輸控制不完善,如網(wǎng)絡(luò)系統(tǒng)的遠(yuǎn)程傳輸數(shù)據(jù)沒有經(jīng)過加密傳輸,容易被截取。因此我們可以采用以下審計和控制方法。
4 3 1 檢查無關(guān)或作廢的打印資料是否及時銷毀,暫時不用的磁盤、磁帶是否還殘留數(shù)據(jù)。
4 3 2 審查計算機(jī)運(yùn)行的記錄日記和拷貝傳送數(shù)據(jù)的時間和內(nèi)容,了解訪問會計數(shù)據(jù)處理人員,分析數(shù)據(jù)失竊的可能性,追蹤審計線索。
4 3 3 對有可能接觸程序修改和開發(fā)的人員進(jìn)行嚴(yán)格的職業(yè)道德教育,在使用過程中實行嚴(yán)格的計算機(jī)使用日記管理制度,并對重要的原始數(shù)據(jù)實行多種隱蔽性的備份制度。
4 3 4 向計算機(jī)重要數(shù)據(jù)的管理人員了解原始備份文件和被拷貝的內(nèi)容,分析特殊的數(shù)據(jù)舞弊線索。
4 3 5 采用一些先進(jìn)的數(shù)據(jù)加密技術(shù)來保障系統(tǒng)的安全。當(dāng)今的數(shù)據(jù)加密技術(shù)可分為三類:一類為單鑰體制(對稱型加密)。該技術(shù)使用單個密鑰對數(shù)據(jù)進(jìn)行加密或解密。其計算量小,加密效率高,但密鑰管理困難,使用成本較高,保密安全性能也不容易保證;另一類為雙鑰體制(不對稱型加密)。該技術(shù)采用兩個密鑰將加密、解密分開。公用密鑰在網(wǎng)上公布,為數(shù)據(jù)源對數(shù)據(jù)加密使用,而用于解密的相應(yīng)私用密鑰則由數(shù)據(jù)的收集方妥善保管。這種不對稱的算法特別適合于分布式系統(tǒng)中的數(shù)據(jù)加密。還有一種叫不可逆加密。這種方法的加密過程不需要密鑰,只有同樣的輸入數(shù)據(jù)經(jīng)過同樣的不可逆算法才能得到相同的值。該加密系統(tǒng)開銷較大,時間較長。
5、結(jié)束語計算機(jī)在數(shù)據(jù)處理方面已成為一種不可缺少的工具,它給廣大的會計人員和數(shù)據(jù)處理人員所帶來的便利是無庸置疑的。而在我國,由于計算機(jī)審計剛剛起步,審計的理論和技術(shù)方法遠(yuǎn)遠(yuǎn)跟不上會計電算化的發(fā)展。這就促使我們對于頻繁出現(xiàn)的計算機(jī)舞弊和犯罪案件必須研究如何采取有效的方法進(jìn)行防范和揭露,以保障計算機(jī)系統(tǒng)的安全,維護(hù)企業(yè)、國家、社會的正當(dāng)利益。
學(xué)員討論(0)
實務(wù)學(xué)習(xí)指南
距6月報稅結(jié)束還有天
新用戶掃碼下載
京公網(wǎng)安備 11010802044457號