電腦舞弊
出自 MBA智库百科(https://wiki.mbalib.com/)
目錄 |
電腦舞弊是指對電腦系統的舞弊和利用電子電腦系統進行舞弊,前者是以電腦及相應設備、程式和數據為對象,通過故意掩蓋真相、製造假相或以其他方式欺騙他人、掠取他人財物或以不正當目的而實施的任何不誠實、欺詐的故意行為,後者是利用電腦作為實現舞弊的基本工具,利用電腦編製程式進入其他系統進行舞弊。
電腦舞弊的手段[1]
不同類別的人員採取的舞弊方法不同:系統人員一般採用篡改系統程式軟體和應用程式,非法操作等手段;內部用戶一般採用篡改輸入輸出方法;外來者一般採用終端篡改輸入或其他如盜竊、破壞等手段。段之一是利用電腦進行偷竊;另一種是人工行竊。
具體又分以下幾種:
(一)篡改輸入數據:這是電腦舞弊中最簡單、最常用的方法。數據要經過採集、記錄、傳遞、編碼、檢查、核對、轉換等環節後進入電腦系統,數據有可能在輸入電腦之前或輸入過程中被篡改從而達到舞弊目的。常用手法包括虛構、修改、刪除業務數據。
(二)篡改系統程式:包括非法修改程式和編製非法程式兩個方面。前者是通過非法修改電腦程式指令系統,使電腦執行篡改過的程式來舞弊;後者是在程式交付使用時,預先設置陷阱以實現舞弊的目的。其表現有以下幾種:
(1)木馬計。這是在電腦中最常用的一種欺騙破壞方法。在電腦程式中編進指令,使之執行未經授權的功能,這些指令還可以在被保護或限定的程式範圍內接觸所有供程式使用的文件。
(2)邏輯炸彈。邏輯炸彈是電腦系統中適時或定期執行的一種電腦程式,它能確定電腦中觸發未經授權的有害事件的發生條件。邏輯炸彈被編入程式後,根據可能發生或引發的具體條件或數據產生破壞行為,一般採用木馬的方法在電腦系統中設置邏輯炸彈。(3)天窗。開發大型電腦應用系統,程式員一般要插進一些調試手段,即在密碼中加進空隙,以便於日後增加密碼並使之具有中斷輸出的功能。在正常情況下,程式完成時要取消這些天窗,但有些不道德的程式員為了以後損害電腦系統,有意留下天窗。
(三)篡改文件:指操作者通過維護程式或直接通過終端修改文件。在電腦會計系統中,許多重要的原始參數以數據的形式保存在電腦文件中,一旦修改這些原始參數,將不能得出正確結果。包括直接更改數據參數,以及構造結構相同、數據不同的文件覆蓋原有文件。
(四)篡改輸出:仿造與模擬往往發生在電腦系統的輸出環節,在個人電腦上仿造其他電腦程式,或對舞弊計劃方法進行模擬試驗,然後實施讓輸出系統得出虛假會計數據。通過非法修改、銷毀輸出報表,將輸出報表送給公司競爭對手,利用終端竊取輸出的機密信息等手段達到舞弊目的。另外,物理接觸、電子竊聽、解碼、拍照、拷貝、複印等也是常見的舞弊手法。
電腦舞弊的防範措施[1]
防止舞弊發生的有效手段是控制,尤其是建立健全有效的內部控制系統。具體措施如下:
(一)選擇好的財務軟體,從源頭上進行控制
實行會計電算化時,企業必須結合自身的特點和國家的有關規定開發和選擇適合的財務軟體。目前我國已經頒佈的有關國家標準和規範主要有財政部1994年頒佈執行的《會計電算化管理辦法》、《會計核算軟體基本功能規範》、《會計電算化工作規範》、《商品化會計核算軟體評審規則》等。按標準和規範開發和發展電腦會計系統可以使企業電腦會計系統更加可靠、更加完善,有利於對系統的維護和進一步的發展、更新。外購的商品化軟體應要求軟體製作公司系統運行前對有關人員進行培訓,包括系統的操作培訓,系統投入運行後新的內部控制制度,電腦會計系統運行後的新的憑證流轉程式、電腦會計系統提供的高質量會計信息的進一步利用和分析的前景等等。企業內部審計人員可就如何選購財務軟體,如何實施有效的系統安全控制和如何改進現有的財務管理模式提供咨詢服務,並按照標準對網上商業活動的完整性、真實性和可靠性進行全面簽證。
(二)建立有效的內部控制
防範舞弊最有效的辦法是保持一個有效的內部控制系統。在計劃內部審計業務時,內部審計師應關註控制弱點。實施會計電算化,需要建立與之相配套的一系列內部控制制度加以約束,才能充分發揮其優勢。
(1)職責分離。
第一,電算化部門與用戶部門分離。擔任電算化部門工作的人員不得兼任批准會計業務的工作,電腦會計系統的操作人員不能參與軟體的修改。如企業應將系統分析、程式設計、電腦操作、數據輸入、文件程式管理等職務予以分離,系統操作人員、管理人員和維護人員這三種不相容職務相互分離,以減少利用電腦舞弊的可能性。
第二,電算化內部職責分離。不相容職務主要有系統開發、發展與系統操作;數據維護管理與電算審核;數據錄人與審核記賬;系統操作與系統檔案管理等。凡上機操作人員必須經過授權,禁止原系統開發人員接觸或操作電腦;熟悉電腦的無關人員不允許隨意進入機房;系統應有拒絕錯誤操作的功能,留下審計軌跡。同時,還應建立職務輪換制度。
(2)一般控制。
第一,系統安全控制。包括實體安全、硬體安全、軟體安全、網路安全(用戶許可權設置、密碼設置),病毒的防範與存取技術控制;信息加密保護;設置日誌文件。具體措施包括建立設備、設施安全措施,檔案保管安全控制,聯機接觸控制等;使用偵測裝置、辯真措施和系統監控等;規定建立備份或副本的數量和時間,以及由誰建立和由誰負責保管;當系統被破壞需要恢復時,應先經有關領導同意,決不允許輕率地進行系統恢復工作,以防利用系統恢復時修改。
第二,操作控制。包括操作許可權控制和操作規程式控制制兩個方面。許可權控制是指每個崗位的人員能按照所授予的許可權對系統進行作業,不得超越許可權接觸系統。如制定並實施操作規程,包括軟硬體操作規程,作業運行規程,用機時間記錄規程等;每項達到重要性水平的業務要經過領導授權與認可;對業務人員進行培訓,提高他們對系統的理解和認識,以減少系統運行後出錯的可能性;在內審人員的參與下進一步完善企業具體規章制度,包括輪流值班制度、上機記錄製度、完善的操作手冊、上機時間安排等。
(3)應用控制。主要包括業務發生控制、數據輸入、數據處理、數據輸出等環節的控制。
第一,業務發生控制。在經濟業務發生時,通過電腦的控製程序,對業務發生的合理性、合法性和完整性進行檢查和控制。如表示業務發生的有關字元、代碼等是否有效、操作口令是否準確、以及經濟業務是否超出了合理的數量、價格等的變動範圍。
第二,數據輸入控制。即要求輸入的數據應經過必要的授權,並經有關內部控制部門檢查,凡輸入的憑證均應經過覆核,覆核的方法可採用各種技術手段對輸入數據的正確性進行校驗;有專門錄入操作人員,錄入操作人員除錄入數據外,不允許將數據修改或複製;錄入數據資料在輸入前必須經過有關負責人審核批准,對輸入的數據要進行必要校對,如總數控制校驗、平衡校驗、數據類型校驗、重覆輸入校驗等。
第三,數據處理的控制。指對電腦會計系統進行數據處理的有效性和可靠性進行的控制。具體措施包括輸出審核處理;通過重運算、逆運算、溢出檢查等進行處理有效陛檢測;錯誤糾正控制;餘額核對;試算平衡等。會計軟體的修改必須經過周密計劃和嚴格記錄,修改過程的每一個環節都必須設置必要的控制,修改的原因和性質應有書面形式的報告,經批准後才能實施修改,所有與軟體修改有關的記錄都應該列印後存檔。第四,數據輸出控制。對於輸出的紙介質的會計資料應由專人進行核對,檢查其完整性、正確性、檢查列印的賬薄和報表頁號是否連續,有無缺漏或重疊現象。主要措施有建立輸出記錄,建立標準化的報告編製、收發、保管工作;建立輸出的授權制度;建立數據傳送的加密制度;嚴格減少資產的文件輸出,如開支票、發票、提貨單要經過有關人員的授權,並需要有關人員審核簽章。
(三)積極開展電腦審計
對會計電算化舞弊的審查除了借鑒傳統審計方法,如分析性覆核、審閱與核對法、盤點實物、查詢及函證外,最有效的是根據網路會計系統的特點有針對性地進行審查。由於舞弊者主要通過輸入、輸出、軟體這三個途徑入侵系統,相應地從這三方面探討電腦舞弊的審查方法。對會計資料定期進行審計,審查電算化會計賬務處理是否正確,是否遵照有關法律法規的規定,審核費用簽字是否符合有關內控制度,憑證附件是否規範完整等,審查電子數據與書面資料的一致陛,如查看賬冊內容,做到賬表相符,對不妥或錯誤的賬表處理應及時調整,監督數據保存方式的安全、合法性、防止發生非法修改歷史數據的現象,對系統運行各環節進行審查,防止存在漏洞。內部審計人員為了對被審計單位會計資料的公正性發表意見,必須首先研究和評價內部控制。在研究評價過程中,必須特別考慮篡改輸入、篡改文件、篡改程式,以及非法操作的可能性。已發現內部控制弱點,都應報告被審計單位主管人員,以引起其註意並提出相應的建議。
(四)完善電腦安全與防範犯罪的法制建設
會計電算化犯罪是高科技下的一種新型犯罪,必須制定專門的法規對此加以有效控制。
(1)積極促進在立足我國國情的基礎上參照國際有關法律法規,制定與遠程審計有關的法律規章 建立電腦系統本身安全的保護法律,明確行為屬於電腦舞弊行為及其懲處方法,使電腦安全措施法制化;
(2)建立針對電腦犯罪活動的法律,明確電腦系統中哪些東西或哪些方面受法律保護及受何種保護以達到懲治違法者、保護受害人的目的。