信息化条件下如何做好计算机舞弊的审计

[如何做好政务信息]当前，我们正进入信息时代，谁掌握了第一手信息，谁就占有主动权。步入“十二五”发展的新阶段，各种新情况、新问题层出不穷，新知识、新规则扑面而来，领导的各种决策也正在自觉不自觉...+阅读

信息化条件下如何做好计算机舞弊的审计

一、输入类计算机舞弊的审计输入类计算机舞弊主要是发生在系统的输入环节上，通过伪造、篡改数据，冒充他人身份或输入虚假数据达到非法目的。我国目前发生的计算机犯罪大多属于此类型。它主要是利用下列内部控制的弱点

1、职责分工。如果不相容的职责没有适当的分工如数据的准备或输入与批准由一人担任，那么输入数据的真实性、正确性就无法保障。

2、接触控制。包括机房上锁或设置门卫、计算机终端加锁或设置口令、身份鉴别、网络系统各个用户终端的联结控制等。

3、操作权限控制。信息系统处理和储存着本单位全部或大部分业务数据，一般根据数据的重要程度、操作员的权限和职责分工的考虑；应设置不同等级的权限，使得每个操作员只能从事其权限范围内的操作。

4、控制日志。

控制日志能对所有接触信息系统的企图及操作进行监督记录，从而确保所有经授权的和未经授权的接触、使用、修改程序或数据的活动都留下痕迹。如果这类控制手段不健会，舞弊分子会因为没有留下舞弊证据而为所欲为。

5、其他输入控制。这种类型的潜在作案者主要是系统的内部用户和计算机操作员，他们比较了解系统的运行状态和内部控制的薄弱环节利用工作上的便利实施舞弊。

针对上述舞弊活动，应采用下列审计方法：

（1）应用审计抽样技术，将部分机内记账凭证与手工的原始凭证相核对审查输入数据的真实性；

（2）应用传统方法审查原始凭证的真实性、合法性；

（3）对数据的完整性进行测试；

（4）对例外情况进行核实；

（5）对输出报告进行分析，看有无异常情况或涂改行为。

二、软件类计算机舞弊的审计这类计算机舞弊主要是通过非法改动计算机程序，或在程序开发阶段预先留下非法指令，使得系统运行时处理功能出现差错，或程序控制功能失效，从而达到破坏系统或谋取私利的目的。

该类活动主要利用下列内部控制的弱点：

1、电算部门与用户部门的职责分离。

2、系统的维护控制。所有现有系统的改进、新系统的应用都应由受益部门发起并经高级主管人员的授权包括现有应用程序的改动，未经有关部门的批准，电算部门无权擅自修改程序。

3、系统的开发控制。新开发的应用系统在投入使用前应对程序的源编码和处理功能进行严格审查；检查是否有多余的非正当用途的程序段。

4、接触控制。主要指严格控制系统的开发员、程序员等计算机专家再接触已投入运行的系统，防止擅自修改程序。同时也包括控制系统的内部用户或计算机操作员接触系统的设计文档或源程序代码。针对以上舞弊活动，应采用以下审计方法：

（1）程序源编码检查法。检查全部或可疑的部分源程序编码，看是否有非法目的的源程序，同时也应注意程序的设计逻辑和处理功能是否恰当、正确；

（2）程序比较法。

将实际运行中的应用软件的目标代码或源代码与经过审计的相应备份软件相比较以确定是否有未经授权的程序改动；

（3）测试数据法。应用模拟数据或真实数据测试被审系统，检查其处理结果是否正确；

（4）计算机辅助追踪。应用该技术可以方便地找到那些潜在的可能成为其他非法目的所利用的编码段；

（5）平行模拟法；

（6）借助计算机专家的工作；

（7）对违法行为的可能受益者进行调查，审查其个人收入。

三、输出类计算机舞弊的审计输出类计算机舞弊主要是通过涂改报告、盗窃或截取机密文件或商业秘密来实施的。输出类舞弊多是进行政治、军事或商业间谍活动，其危害性也非常严重。其舞弊手段有废品利用、数据泄露、截收、浏览等。如果下列内部控制措施不健全则可能出现输出类计算机舞弊：

1、接触控制。包括机房上锁或设置门卫，防止无关人员入内；严格管理系统程序和数据磁盘防止丢失。

2、输出控制。如对无关的打印输出要及时销毁，对那些机密的数据应设置口令或加密保护，防止无关人员阅读。

3、传输控令人对于网络系统的远程传输数据要经过加密后再传输；防止犯罪分子通过通讯线路截收。

4、操作员的身份和权限控制。针对以上舞弊活动，应采用以下审计方法：

（1）询问能观察到敏感数据运动的数据处理人员；

（2）检查计算机硬件设施附近是否有窃听或无线电发射装置；

（3）检查计算机系统的使用日志查看数据文件是否被存取过，是否属于正常工作；

（4）通过调查怀疑对象的个人交往以发现线索；

（5）检查无关或作废的打印资料是否及时销毁，暂时不用的磁盘、磁带上是否还残留有数据。

四、接触类计算机舞弊的审计严格地讲，大多数计算机舞弊都与接触信息系统有关，然而这里所指的接触类计算机舞弊则是指只要有机会接触计算机即使其他控制措施非常严格，也能实施舞弊。常见的舞弊手段是超级冲杀与计算机病毒。

（一）超级冲杀超级冲杀程序可以越过应用系统及其控制改动任何数据文件或计算机程序，而且不留下任何线索，要通过技术方法检查此类舞弊几乎是不可能的。

但这类的舞弊主体范围比较小，可从舞弊的主体入手进行调查。其舞弊主体可能有两类：一类是能使用超级冲杀程序并能接触其他文件或程序的程序员；另一类是具有相应知识的系统操作员。对这类舞弊活动的审查方法有：

（1）检...

信息技术对内部控制产生怎样的影响

企业实施会计信息化的过程也是一个业务流程进行再造的过程。流程再造使得业务流程中的一些环节被忽略或被整合，交易方式可能发生变化。而内部控制是根据业务流程的各个环节以及交易方式来具体实施的，因此会计信息化不可避免地对企业的内部控制活动产生影响。

（一）对授权产生的影响

在手工环境下，交易授权通常是依据企业的规章制度进行的，并且可以通过授权记录来了解交易授权是否合理。而在信息技术环境下的交易授权实现了自动化。交易授权可以被嵌入到计算机程序中，某些交易可能会由程序而不是员工来触发。交易授权的自动化提高了企业运营的效率，同时也给内部控制提出了新要求。

1.系统设计中交易授权的合理性。如果企业的会计信息系统是外购的，那么该系统软件中设计的交易授权程序有可能与企业的业务流程有些脱节，致使该交易授权存在一定的隐患。

2.执行交易授权的计算机程序的正确性和完整性。信息技术环境下交易授权是否可靠完全取决于控制程序的准确性和完整性。一旦计算机程序出现了逻辑错误，企业有可能遭受很大的财务损失，因为程序控制的失效只能在出现较大的负面影响时才被察觉。换言之，信息技术环境下的授权加大了交易处理控制的风险。

（二）对业务记录方武产生的影响

在手工环境下，企业通常会以文字形式对业务活动发生的全过程进行记载并形成书面材料。这些书面材料使得业务处于可以理解和掌握的状况中，为内部控制和审计提供了交易轨迹。然而，在信息技术环境下，各项业务记录被存储于数据库和操作日志中，业务记录的载体由纸质转变为磁质，纸质的交易轨迹不复存在。这一变化给内部控制带来了隐患：一是数据的修改难以察觉。二是业务记录记载方式的改变减弱了交易轨迹的法律效力。换言之，若信息系统的安全性存在漏洞或用户权限设置不合理，那么交易数据有可能被操作员以外的人修改，因此操作员对交易轨迹负责的法律效力被减弱了。

（三）对职责分离产生的影响

传统内部控制通过分离不相容职务来预防和及时发现员工执行职责时所发生的错误或舞弊行为。而在信息技术环境下，由于企业的业务流程重组，原来手工环境下一些不相容的职责已经被整合，并且可以由某一程序模块来执行。企业对信息技术的应用虽然合并了某些职责，但是并没有削弱职责分离的重要性，反而扩大了职责分离的范围，加大了计算机舞弊的风险。在信息技术环境下，信息系统的开发设计、实施、维护等活动将被纳入企业内部控制的范围。如果企业管理层观念的转变不及时，那么很可能忽视信息系统内部各职务之问以及信息系统开发与使用之间的不相容关系，从而给舞弊行为提供了可乘之机。除此之外，不相容职责的整合也加大了输入控制风险。

（四）对实物控制产生的影响

为了防止未授权的员工损坏或盗窃资产，企业需要对资产和记录的安全进行保护。在手工环境下，企业对资产的安全保护主要通过实物防护措施来进行。如门锁、保险箱、监视器、电子警报系统等。对记录的安全保护主要通过职责分离来进行。在信息技术环境下，企业对资产的安全保护没有发生变化。但是对记录安全保护的方式发生了变化。企业将分散的交易数据都集中存储于中央服务器中，并对中央数据库以及相关的应用程序和计算机硬件实施保护。计算机存储扩大了实物控制的范围，它具体包括对记录文件的访问控制、对系统及计算机程序的访问控制以及对储存介质的安全保护。显而易见，实物控制范围的扩大增加了内部控制的风险。除此之外，记录的集中存储将会使企业遭受计算机舞弊的风险增加。因为一些拥有特殊技能的人可以通过网络直接进入中心数据库窃取或修改交易数据而无需设法进入企业几个不同的地点。

会计电算化过程中舞弊现象是什么样的原因

为防止会计电算化舞弊.尽最大可能减少损失，应该从以下几个方面着手：

加强设计与开发.完善会计电算化系统控制的功能当一个会计电算化系统已经完成并投入使用后，要对它进行改进，这比在系统设计和开发阶段进行困难得多，代价也要昂贵得多.因此，应在电算化系统的设计和开发阶段.审计人员要对系统进行事前和事中审计，发现系统缺陷.及时进行程序修改.对计算机系统的取得和开发及对系统开发过程中或运行过程中形成的各种系统文件的安全要进行控制.包括系统的购买，开发授权，批准，测试，实施以及文件编制和文件存取的控制.

严格执行操作中的授权行为.凡上机操作人员必须经过授权；禁止原系统开发人员接触或操作计算机，熟悉计算机的无关人员不允许任意操作系统；系统应有拒绝错误操作的功能.由专门录入人员录人数据：数据输入前必须经过有关负责人审核批准；对输入数据进行校对；操作人员不仅要规范自己的操作范围，还要通过口令等方式阻止他人越权进入自己的操作范围；尽可能地限制跨期反过帐，反结帐等逆向操作行为；建立输出记录；建立输出文件及报告的签章制度；建立输出授权制度；建立数据传送的加密制度；系统管理岗位应保持相对稳定，若有变动应办理严格的交接手续，并取消相应授权.只有具有相应权限的人才能执行输出操作，并要登记操作记录.

加强会计电算化的内部控制与审计.具体包括：审查机内数据与书面资料的一致性；监督数据保存方式的安全性，合法性，防止发生非法修改历史数据的现象；对系统运行各环节进行审查，防止存在漏洞等.系统管理主要负责系统的软硬件管理工作，从技术上保证系统的正常运行.包括掌握网络服务器及数据库的超级口令，负责网络资源分配，监控网络运行；按照主管人员的要求，对各岗位分配权限，对数据的安全保密负责；负责对硬件，，数据的管理与维护工作.审计人员进行审计时，可以根据需要进行顺查，逆查或抽查.内部审计人员不仅要参与开发，指出现有措施的不足，提出改进意见.还要对开发工作本身进行审核与评价.

加强系统的日常维护，定期备份.传统的记账方法是每登记一笔账，便可以从账簿上看到相应一笔记录，而电子计算机却不能每登记一笔记录就打印一笔记录.供工作人员阅读，一般是经过一个阶段. 个月或一年打印一次.记录输入到计算机以后，在尚未打印以前.若想着这些记录，只能凭借机器阅读，因此要定期备份，且规定建立备份或副本的数量和时阃，以及由谁建立和由谁负责保管：当系统被破坏需要恢复时，应先经有关领导同意，决不允许轻率地进行系统恢复工作.以防利用系统恢复时修改系统.由于现代审计是以内部控制系统为基础的.在评价内部控制基础上进行抽样审计，加之计算机审计水平的限制，计算机舞弊有可能从审计人员手中漏掉，因而预防作用远比直接作用更大.