電腦舞弊審計
出自 MBA智库百科(https://wiki.mbalib.com/)
目錄 |
電腦舞弊是指以電腦及相應設備、程式或數據為對象,通過故意掩蓋真相、製造假象或以其他方式欺騙他人、掠取他人財物或為其他不正當目的而施行的任何不誠實、欺詐的故意行為。審查電腦舞弊的總體思路是:首先通過對被審信息系統內部控制的評審,找出系統內部的突破口根據電腦舞弊各種手段的特征及其與有關內部控制的關係,確定可能的舞弊手段,然後針對可能的舞弊手段,實施深入的技術性審查和取證,最後寫出審計報告及建議。對於審計人員來說,電腦舞弊審計中最關鍵的是要發現可疑之處,併進一步取得具有足夠證明力的審計證據。
電腦舞弊審計的發展[1]
電腦舞弊審計在國內是一門新興的學科。財務和績效審計已有較長的發展歷史,而舞弊審計僅僅在20世紀出現,主要出現在美國聯邦的刑法和涉及商業活動的法規中。例如:美國價格管理局法令(The Office of Price Administration Law)和超額利潤稅收法(‰Excess—profit—tax Law)的出台進一步推動了早期法規的發展,這些法律為舞弊審計這一新的學科的進一步發展奠定了基礎。在知識經濟時代,電腦信息化的發展,更進一步推動了新興學科的必然發展趨勢——電腦舞弊審計。
電腦舞弊審計的必要性不僅僅是與國家的法規、法律緊密相關,而且在國營企業、私營企業的電腦舞弊審計技巧中對絕大多數財務犯罪案例都非常實用。例如貪污、謊報財務事實(做假賬)、篡改利潤收入、企業破產舞弊、形形色色的投資舞弊、銀行舞弊、信用卡舞弊、供貨商、承包商和’客戶的各種欺詐舞弊行為等。
在電腦舞弊審計這一新興的學科中,經過專門訓練和掌握電腦舞弊審計技巧、富有經驗的會計師和內部審計師相對很少。在美國,受過訓練的和富有經驗的電腦舞弊審計師絕大多數來自美國國內稅務局(IRS),聯邦調查局(FBI),美國會計總署(GAO)和證券交易委員會(SEC)這類政府審計和專門的調查機構。因此,在市場經濟中,為保障我國改革開放事業的順利進行,無論國內的國營部門還是私營企業都迫切需要具有電腦舞弊審計經驗的註冊會計師和內部審計師,開展電腦舞弊審計。
電腦舞弊審計的內容[2]
一、輸入類電腦舞弊的審計
輸入類電腦舞弊主要是發生在系統的輸入環節上,通過偽造、篡改數據,冒充他人身份或輸入虛假數據達到非法目的。我國目前發生的電腦犯罪大多屬於此類型。它主要是利用下列內部控制的弱點
1、職責分工。如果不相容的職責沒有適當的分工如數據的準備或輸入與批准由一人擔任,那麼輸入數據的真實性、正確性就無法保障。
2、接觸控制。包括機房上鎖或設置門衛、電腦終端加鎖或設置口令、身份鑒別、網路系統各個用戶終端的聯結控制等。
3、操作許可權控制。信息系統處理和儲存著本單位全部或大部分業務數據,一般根據數據的重要程度、操作員的許可權和職責分工的考慮;應設置不同等級的許可權,使得每個操作員只能從事其許可權範圍內的操作。
4、控制日誌。控制日誌能對所有接觸信息系統的企圖及操作進行監督記錄,從而確保所有經授權的和未經授權的接觸、使用、修改程式或數據的活動都留下痕跡。如果這類控制手段不健會,舞弊分子會因為沒有留下舞弊證據而為所欲為。
5、其他輸入控制。這種類型的潛在作案者主要是系統的內部用戶和電腦操作員,他們比較瞭解系統的運行狀態和內部控制的薄弱環節利用工作上的便利實施舞弊。
針對上述舞弊活動,應採用下列審計方法:
(1)應用審計抽樣技術,將部分機內記賬憑證與手工的原始憑證相核對審查輸入數據的真實性;
(2)應用傳統方法審查原始憑證的真實性、合法性;
(3)對數據的完整性進行測試;
(4)對例外情況進行核實;
(5)對輸出報告進行分析,看有無異常情況或塗改行為。
二、軟體類電腦舞弊的審計
這類電腦舞弊主要是通過非法改動電腦程式,或在程式開發階段預先留下非法指令,使得系統運行時處理功能出現差錯,或程式控制功能失效,從而達到破壞系統或謀取私利的目的。該類活動主要利用下列內部控制的弱點:
1、電算部門與用戶部門的職責分離。
2、系統的維護控制。所有現有系統的改進、新系統的應用都應由受益部門發起並經高級主管人員的授權包括現有應用程式的改動,未經有關部門的批准,電算部門無權擅自修改程式。
3、系統的開發控制。新開發的應用系統在投入使用前應對程式的源編碼和處理功能進行嚴格審查;檢查是否有多餘的非正當用途的程式段。
4、接觸控制。主要指嚴格控制系統的開發員、程式員等電腦專家再接觸已投入運行的系統,防止擅自修改程式。同時也包括控制系統的內部用戶或電腦操作員接觸系統的設計文檔或源程式代碼。
針對以上舞弊活動,應採用以下審計方法:
(1)程式源編碼檢查法。檢查全部或可疑的部分源程式編碼,看是否有非法目的的源程式,同時也應註意程式的設計邏輯和處理功能是否恰當、正確;
(2)程式比較法。將實際運行中的應用軟體的目標代碼或源代碼與經過審計的相應備份軟體相比較以確定是否有未經授權的程式改動;
(3)測試數據法。應用模擬數據或真實數據測試被審系統,檢查其處理結果是否正確;
(4)電腦輔助追蹤。應用該技術可以方便地找到那些潛在的可能成為其他非法目的所利用的編碼段;
(5)平行模擬法;
(6)藉助電腦專家的工作;
(7)對違法行為的可能受益者進行調查,審查其個人收入。
三、輸出類電腦舞弊的審計
輸出類電腦舞弊主要是通過塗改報告、盜竊或截取機密文件或商業秘密來實施的。輸出類舞弊多是進行政治、軍事或商業間諜活動,其危害性也非常嚴重。其舞弊手段有廢品利用、數據泄露、截收、瀏覽等。如果下列內部控制措施不健全則可能出現輸出類電腦舞弊:
1、接觸控制。包括機房上鎖或設置門衛,防止無關人員入內;嚴格管理系統程式和數據磁碟防止丟失。
2、輸出控制。如對無關的列印輸出要及時銷毀,對那些機密的數據應設置口令或加密保護,防止無關人員閱讀。
3、傳輸控令人對於網路系統的遠程傳輸數據要經過加密後再傳輸;防止犯罪分子通過通訊線路截收。
4、操作員的身份和許可權控制。
針對以上舞弊活動,應採用以下審計方法:
(1)詢問能觀察到敏感數據運動的數據處理人員;
(2)檢查電腦硬體設施附近是否有竊聽或無線電發射裝置;
(3)檢查電腦系統的使用日誌查看數據文件是否被存取過,是否屬於正常工作;
(4)通過調查懷疑對象的個人交往以發現線索;
(5)檢查無關或作廢的列印資料是否及時銷毀,暫時不用的磁碟、磁帶上是否還殘留有數據。
四、接觸類電腦舞弊的審計
嚴格地講,大多數電腦舞弊都與接觸信息系統有關,然而這裡所指的接觸類電腦舞弊則是指只要有機會接觸電腦即使其他控制措施非常嚴格,也能實施舞弊。常見的舞弊手段是超級沖殺與電腦病毒。
(一)超級沖殺
超級沖殺程式可以越過應用系統及其控制改動任何數據文件或電腦程式,而且不留下任何線索,要通過技術方法檢查此類舞弊幾乎是不可能的。但這類的舞弊主體範圍比較小,可從舞弊的主體入手進行調查。其舞弊主體可能有兩類:一類是能使用超級沖殺程式並能接觸其他文件或程式的程式員;另一類是具有相應知識的系統操作員。對這類舞弊活動的審查方法有:
(1)檢查對超級沖殺程式的管理、控制和使用情況,是否有私自動用辦情況;
(2)把數據文件或應用程式與其拷貝進行比較,有無異常變動情況;
(3)調查輸出報告的接受者,看報告中是否有不同尋常的差異;
(4)檢查是否有無憑證的活動發生;
(5)檢查系統操作日誌,看電腦系統是否被非法中斷過。
(二)電腦病毒
對待電腦病毒要以預防為主防患於未然。下麵是預防感染病毒的一些一般性控制措施:
(1)不要使用來路不明的新軟體;
(2)對磁碟加以防寫;
(3)在使用新軟體之前,要對其進行必要的檢查,以防其中含有病毒;
(4)不要將數據或應用程式存在系統盤上;
(5)應使用較新的防病毒軟體,定期對系統進行檢查。
