目录
|
计算机舞弊是指对计算机系统的舞弊和利用电子计算机系统进行舞弊,前者是以计算机及相应设备、程序和数据为对象,通过故意掩盖真相、制造假相或以其他方式欺骗他人、掠取他人财物或以不正当目的而实施的任何不诚实、欺诈的故意行为,后者是利用计算机作为实现舞弊的基本工具,利用计算机编制程序进入其他系统进行舞弊。
不同类别的人员采取的舞弊方法不同:系统人员一般采用篡改系统程序软件和应用程序,非法操作等手段;内部用户一般采用篡改输入输出方法;外来者一般采用终端篡改输入或其他如盗窃、破坏等手段。段之一是利用计算机进行偷窃;另一种是人工行窃。
具体又分以下几种:
(一)篡改输入数据:这是计算机舞弊中最简单、最常用的方法。数据要经过采集、记录、传递、编码、检查、核对、转换等环节后进入计算机系统,数据有可能在输入计算机之前或输入过程中被篡改从而达到舞弊目的。常用手法包括虚构、修改、删除业务数据。
(二)篡改系统程序:包括非法修改程序和编制非法程序两个方面。前者是通过非法修改计算机程序指令系统,使计算机执行篡改过的程序来舞弊;后者是在程序交付使用时,预先设置陷阱以实现舞弊的目的。其表现有以下几种:
(1)木马计。这是在计算机中最常用的一种欺骗破坏方法。在计算机程序中编进指令,使之执行未经授权的功能,这些指令还可以在被保护或限定的程序范围内接触所有供程序使用的文件。
(2)逻辑炸弹。逻辑炸弹是计算机系统中适时或定期执行的一种计算机程序,它能确定计算机中触发未经授权的有害事件的发生条件。逻辑炸弹被编入程序后,根据可能发生或引发的具体条件或数据产生破坏行为,一般采用木马的方法在计算机系统中设置逻辑炸弹。(3)天窗。开发大型计算机应用系统,程序员一般要插进一些调试手段,即在密码中加进空隙,以便于日后增加密码并使之具有中断输出的功能。在正常情况下,程序完成时要取消这些天窗,但有些不道德的程序员为了以后损害计算机系统,有意留下天窗。
(三)篡改文件:指操作者通过维护程序或直接通过终端修改文件。在计算机会计系统中,许多重要的原始参数以数据的形式保存在计算机文件中,一旦修改这些原始参数,将不能得出正确结果。包括直接更改数据参数,以及构造结构相同、数据不同的文件覆盖原有文件。
(四)篡改输出:仿造与模拟往往发生在计算机系统的输出环节,在个人计算机上仿造其他计算机程序,或对舞弊计划方法进行模拟试验,然后实施让输出系统得出虚假会计数据。通过非法修改、销毁输出报表,将输出报表送给公司竞争对手,利用终端窃取输出的机密信息等手段达到舞弊目的。另外,物理接触、电子窃听、译码、拍照、拷贝、复印等也是常见的舞弊手法。
防止舞弊发生的有效手段是控制,尤其是建立健全有效的内部控制系统。具体措施如下:
(一)选择好的财务软件,从源头上进行控制
实行会计电算化时,企业必须结合自身的特点和国家的有关规定开发和选择适合的财务软件。目前我国已经颁布的有关国家标准和规范主要有财政部1994年颁布执行的《会计电算化管理办法》、《会计核算软件基本功能规范》、《会计电算化工作规范》、《商品化会计核算软件评审规则》等。按标准和规范开发和发展计算机会计系统可以使企业计算机会计系统更加可靠、更加完善,有利于对系统的维护和进一步的发展、更新。外购的商品化软件应要求软件制作公司系统运行前对有关人员进行培训,包括系统的操作培训,系统投入运行后新的内部控制制度,计算机会计系统运行后的新的凭证流转程序、计算机会计系统提供的高质量会计信息的进一步利用和分析的前景等等。企业内部审计人员可就如何选购财务软件,如何实施有效的系统安全控制和如何改进现有的财务管理模式提供咨询服务,并按照标准对网上商业活动的完整性、真实性和可靠性进行全面签证。
(二)建立有效的内部控制
防范舞弊最有效的办法是保持一个有效的内部控制系统。在计划内部审计业务时,内部审计师应关注控制弱点。实施会计电算化,需要建立与之相配套的一系列内部控制制度加以约束,才能充分发挥其优势。
(1)职责分离。
第一,电算化部门与用户部门分离。担任电算化部门工作的人员不得兼任批准会计业务的工作,计算机会计系统的操作人员不能参与软件的修改。如企业应将系统分析、程序设计、计算机操作、数据输入、文件程序管理等职务予以分离,系统操作人员、管理人员和维护人员这三种不相容职务相互分离,以减少利用计算机舞弊的可能性。
第二,电算化内部职责分离。不相容职务主要有系统开发、发展与系统操作;数据维护管理与电算审核;数据录人与审核记账;系统操作与系统档案管理等。凡上机操作人员必须经过授权,禁止原系统开发人员接触或操作计算机;熟悉计算机的无关人员不允许随意进入机房;系统应有拒绝错误操作的功能,留下审计轨迹。同时,还应建立职务轮换制度。
(2)一般控制。
第一,系统安全控制。包括实体安全、硬件安全、软件安全、网络安全(用户权限设置、密码设置),病毒的防范与存取技术控制;信息加密保护;设置日志文件。具体措施包括建立设备、设施安全措施,档案保管安全控制,联机接触控制等;使用侦测装置、辩真措施和系统监控等;规定建立备份或副本的数量和时间,以及由谁建立和由谁负责保管;当系统被破坏需要恢复时,应先经有关领导同意,决不允许轻率地进行系统恢复工作,以防利用系统恢复时修改。
第二,操作控制。包括操作权限控制和操作规程控制两个方面。权限控制是指每个岗位的人员能按照所授予的权限对系统进行作业,不得超越权限接触系统。如制定并实施操作规程,包括软硬件操作规程,作业运行规程,用机时间记录规程等;每项达到重要性水平的业务要经过领导授权与认可;对业务人员进行培训,提高他们对系统的理解和认识,以减少系统运行后出错的可能性;在内审人员的参与下进一步完善企业具体规章制度,包括轮流值班制度、上机记录制度、完善的操作手册、上机时间安排等。
(3)应用控制。主要包括业务发生控制、数据输入、数据处理、数据输出等环节的控制。
第一,业务发生控制。在经济业务发生时,通过计算机的控制程序,对业务发生的合理性、合法性和完整性进行检查和控制。如表示业务发生的有关字符、代码等是否有效、操作口令是否准确、以及经济业务是否超出了合理的数量、价格等的变动范围。
第二,数据输入控制。即要求输入的数据应经过必要的授权,并经有关内部控制部门检查,凡输入的凭证均应经过复核,复核的方法可采用各种技术手段对输入数据的正确性进行校验;有专门录入操作人员,录入操作人员除录入数据外,不允许将数据修改或复制;录入数据资料在输入前必须经过有关负责人审核批准,对输入的数据要进行必要校对,如总数控制校验、平衡校验、数据类型校验、重复输入校验等。
第三,数据处理的控制。指对计算机会计系统进行数据处理的有效性和可靠性进行的控制。具体措施包括输出审核处理;通过重运算、逆运算、溢出检查等进行处理有效陛检测;错误纠正控制;余额核对;试算平衡等。会计软件的修改必须经过周密计划和严格记录,修改过程的每一个环节都必须设置必要的控制,修改的原因和性质应有书面形式的报告,经批准后才能实施修改,所有与软件修改有关的记录都应该打印后存档。第四,数据输出控制。对于输出的纸介质的会计资料应由专人进行核对,检查其完整性、正确性、检查打印的账薄和报表页号是否连续,有无缺漏或重叠现象。主要措施有建立输出记录,建立标准化的报告编制、收发、保管工作;建立输出的授权制度;建立数据传送的加密制度;严格减少资产的文件输出,如开支票、发票、提货单要经过有关人员的授权,并需要有关人员审核签章。
(三)积极开展计算机审计
对会计电算化舞弊的审查除了借鉴传统审计方法,如分析性复核、审阅与核对法、盘点实物、查询及函证外,最有效的是根据网络会计系统的特点有针对性地进行审查。由于舞弊者主要通过输入、输出、软件这三个途径入侵系统,相应地从这三方面探讨计算机舞弊的审查方法。对会计资料定期进行审计,审查电算化会计账务处理是否正确,是否遵照有关法律法规的规定,审核费用签字是否符合有关内控制度,凭证附件是否规范完整等,审查电子数据与书面资料的一致陛,如查看账册内容,做到账表相符,对不妥或错误的账表处理应及时调整,监督数据保存方式的安全、合法性、防止发生非法修改历史数据的现象,对系统运行各环节进行审查,防止存在漏洞。内部审计人员为了对被审计单位会计资料的公正性发表意见,必须首先研究和评价内部控制。在研究评价过程中,必须特别考虑篡改输入、篡改文件、篡改程序,以及非法操作的可能性。已发现内部控制弱点,都应报告被审计单位主管人员,以引起其注意并提出相应的建议。
(四)完善计算机安全与防范犯罪的法制建设
会计电算化犯罪是高科技下的一种新型犯罪,必须制定专门的法规对此加以有效控制。
(1)积极促进在立足我国国情的基础上参照国际有关法律法规,制定与远程审计有关的法律规章 建立计算机系统本身安全的保护法律,明确行为属于计算机舞弊行为及其惩处方法,使计算机安全措施法制化;
(2)建立针对计算机犯罪活动的法律,明确计算机系统中哪些东西或哪些方面受法律保护及受何种保护以达到惩治违法者、保护受害人的目的。