新用戶掃碼下載
掃碼下載APP
及時接收最新考試資訊及
備考信息
淺議對電算化會計舞弊的審計監督
摘要分析了利用計算機進行會計舞弊的含義、動機、特點,在此基礎上就系統輸入、輸出、軟件方面的會計電算化舞弊行為如何開展審計和安全監督進行了研究,提出了防止會計電算化舞弊的一些方法。
關鍵詞:會計;審計;計算機舞弊;非法程序;控制
20世紀40年代電子計算機的出現,使人類社會發生了劃時代的變化。1954年美國首次將電子計算機用于工資計算,標志著電子計算機進入了會計和管理領域。90年代下半葉網絡技術迅猛發展,進一步顯示出人類社會正在向信息社會過渡。而隨著會計電算化的普及,計算機舞弊和犯罪也越來越嚴重。美國計算機審計專家帕克1986年的兩個研究報告表明,在計算機數據處理環境下的舞弊金額是手工數據處理情況下的6倍,已給企業造成了巨大的經濟損失,甚至危害到國家和地區的安全。本文就此對利用計算機進行會計信息舞弊的審計和安全防范問題作一些探討。
1、計算機舞弊的含義計算機舞弊包含兩個方面含義。一是指對計算機系統的舞弊。即把計算機系統當作目標,對計算機硬件、計算機系統中的數據和程序、計算機的輔助設施和資源進行破壞或偷盜;二是利用計算機進行舞弊活動。即利用計算機作為實現舞弊的基本工具,利用計算機編制程序對其他系統進行犯罪活動。
2、計算機舞弊的動機舞弊者進行計算機舞弊大多出于以下幾種目的。
2 1 報復性舞弊
這是一種惡劣的舞弊。通常,舞弊者在計算機系統中安放一顆邏輯炸彈。一旦設定的“引信”被觸動,這顆邏輯炸彈就自動引發,使得有關文件全部被清除干凈。這種舞弊具有不良目的。他們故意作假,明知自己的行為是違法的,仍鋌而走險以身試法。
2 2 貪圖錢財的舞弊
舞弊者為了謀求私利,經過預謀,周密策劃,采用公開或隱秘的非法手段進行舞弊。這類舞弊不易被發現。2 3自我滿足的舞弊這類舞弊者一般是被計算機的挑戰性所誘惑,利用自己的計算機技能進行非法的纂改程序和破壞程序的活動,以此證實自己的能力。
3、計算機舞弊的特點
從法律上來說,舞弊是一種民事犯罪行為。計算機舞弊是一種新的社會犯罪現象,它總是與計算機技術緊密聯系在一起的。與其他犯罪相比,計算機舞弊具有許多新的特點。
3 1 智能性高
首先,大多數計算機舞弊者具有相當高的計算機專業技術知識和熟練的計算機操作技能。如,計算機程序員、管理員、操作員,等等。其次,舞弊者大多采用高科技手段。例如:直接或通過他人向計算機輸入非法指令,從而貪污、盜竊、詐騙錢款;借助電話、微波通信、衛星、電臺等系統的傳輸,以遙控手段進行;通過制造、傳播計算機病毒,破壞計算機硬件設備和軟件功能、信息數據,等等。最后,舞弊者作案前一般都經過周密的計劃和精心的準備,選擇最佳時機。這一切均說明計算機舞弊具有極高的智能性。
3 2 隱蔽性強
首先,計算機舞弊大多是通過程序和數據之類的電子信息操作來實現,直接目的往往也是這些電子數據和信息。其次,所需時間短。計算機執行一項指令,長則幾秒鐘,短則零點幾秒或幾微秒,可見一般不受時間和空間限制。在全國、全球聯網的情況下,其操作可以在任何時間、地點進行。最后,舞弊后對計算機硬件和信息載體可不造成任何損壞,甚至未發生絲毫的改變,不留痕跡,因此也不易識別。
3 3 危害性大
由于計算機系統應用的普遍性和計算機處理信息的重要性,因而對計算機舞弊的危害極其嚴重。由于計算機應用普及面廣,涉及到金融、軍事、政治等方面,因而社會資產計算機化的程度越高,計算機作用越大,那么發生計算機舞弊的機率也就越高,社會危害性也就越大。
4、對計算機舞弊的審計和安全監督
由于計算機資產本身高價值的吸引力,由于計算機舞弊所面臨的法律上的取證困難、審判困難情況,由于計算機安全技術水平的落后,再加上計算機系統本身的薄弱環節,如計算機信息容易泄露,安全存取控制功能還不完善,致使計算機舞弊行為越來越猖獗。要想有效地控制計算機舞弊,必須完善有關計算機安全與犯罪的立法,積極開展計算機系統的審計與安全監督,完善各單位的內部控制系統。另外,審查計算機舞弊首先要對被審單位內部控制系統進行評價,找出其內控的薄弱環節,確定其可能采用的舞弊手段,有針對性地實施技術性審查和取證。在此,我們希望能探討出一些有效審查計算機舞弊,控制和防止計算機舞弊的方法。
由于舞弊者主要通過輸入、輸出、軟件這
三個途徑入侵系統,下面就從這三方面來探討對計算機舞弊的審計方法。
4 1 系統輸入類舞弊的審計目前,通過計算機系統的輸入進行舞弊的情況在我國發生比較多。而這些系統內部控制的弱點比較明顯:職責分工不明確,對不相容職責沒有適當的分工;接觸控制不完善,不能有效地防止未經授權批準的人接觸計算機,口令大家都知道;無嚴格的操作權限控制,沒有設置不同等級的權限;系統缺乏輸入核對控制;輸入環節的程序化控制不完善,等等。而舞弊者大多是參與業務處理的人員、源數據提供人員、能夠接觸但不參與業務的人員,包括企業外部的“黑客”。因此我們可以從以下幾點來控制和審計。
4 1 1 應用傳統方式審查手工記帳憑證與原始憑證的合法性。
4 1 2 人工控制和自動校檢相結合。要進行責任分工,使不相容職務相分離。將業務員經辦的業務和數據記錄、審核、批準分開,輸入的關鍵數據要采用分批總數控制法。對輸入的數據可分開在兩臺電腦上輸入以控制校驗,也可以用輸入的時間和其他有關鑒別符進行控制;輸入后要及時作備份,留有修改的審計線索。
4 1 3 測試數據的完整性,提供差異的情況。
41 4 對輸出報告進行分析,核實例外情況,看有無異常情況或涂改行為。
4 1 5因為仿真舞弊者有計算機設計專長并與熟悉仿真對象系統的專業人員配合,所以必須審查仿真運行的記錄日記,了解計算機專業人員參與仿真的情況。
4 2 系統軟件類舞弊的審計
這類舞弊者大部分是計算機專家,因此具有高智能、隱蔽性的特點,對系統的破壞也極大。他們通常采用截尾術、隱藏邏輯炸彈、活動天窗、計算機病毒來作案。
通常,舞弊者主要利用以下內部控制的弱點:電算部門與用戶部門的職責分離不恰當,如程序員兼任操作員;系統開發控制不嚴,如用戶單位沒有對開發過程進行監督,沒有詳細檢查系統開發過程中產生的文檔,容易被留下“活動天窗”或埋下“邏輯炸彈”;系統維護控制不嚴,如程序員可隨時調用機內程序進行修改;接觸控制不完善,如操作員可接觸系統的源程序及系統的設計文檔。因此我們可以采用以下審計和控制方法。
4 2 1 對有可能接觸程序修改和開發的人員進行嚴格的職業道德教育,并在開發、維護和使用過程中,嚴格實行開發管理制度。
4 2 2 用特殊的數據進行測試。應用模擬數據或真實數據測試被審系統,檢查其處理結果與預期結果是否一致;檢查源程序,重新計算并注意截尾數據的取證。
4 2 3 檢查程序編碼,核對源程序的基本功能,測試可疑的程序,看其是否有非法的源程序,是否埋下“邏輯炸彈”和“活動天窗”。同時,注意程序的設計邏輯和處理功能是否恰當、正確,以檢查是否存在截尾術舞弊。
4 2 4 進行程序比較。將實際運行中的應用軟件的目標代碼或源代碼與經過審計的相應備份軟件相比較,以確定是否有未經授權的程序變動。
4 2 5 進行程序追蹤。追蹤那些潛在的可能成為其他非法目的所利用的編碼段;在平時的使用過程中,對可疑的人獲取的收入應進行追蹤。
4 2 6 利用防火墻、漏洞掃描技術或入侵檢測系統來保障系統數據的安全,防止計算機病毒的入侵。
4 3 系統輸出類舞弊的審計
該類舞弊者除了篡改輸出報告的為內部用戶外,大多為外來者。有簡單的“拾遺者”,更多的是間諜。他們主要通過拾遺、突破密鑰、篡改輸出報告、盜竊或截取機密文件等手段作案。例如:美國德克薩斯計算機計時服務部有幾家石油公司顧客,某顧客使用計算機服務時,總是要求將暫存磁帶裝入磁帶驅動器。計算機操作員發現讀帶燈總是在寫帶燈亮之前亮起,引起該操作員的警覺。經過調查,發現該顧客想竊取各石油公司存在暫存帶上的地震數據,然后賣給某石油公司賺取巨額收益。他們主要利用了以下內部控制的弱點:輸出控制不健全,如對廢棄的打印輸出信息沒有及時送到指定的人員手中;接觸控制不完善,如無關人員可隨便進入機房,無專人保管系統輸出的數據磁盤,或雖有專人保管無借用手續;傳輸控制不完善,如網絡系統的遠程傳輸數據沒有經過加密傳輸,容易被截取。因此我們可以采用以下審計和控制方法。
4 3 1 檢查無關或作廢的打印資料是否及時銷毀,暫時不用的磁盤、磁帶是否還殘留數據。
4 3 2 審查計算機運行的記錄日記和拷貝傳送數據的時間和內容,了解訪問會計數據處理人員,分析數據失竊的可能性,追蹤審計線索。
4 3 3 對有可能接觸程序修改和開發的人員進行嚴格的職業道德教育,在使用過程中實行嚴格的計算機使用日記管理制度,并對重要的原始數據實行多種隱蔽性的備份制度。
4 3 4 向計算機重要數據的管理人員了解原始備份文件和被拷貝的內容,分析特殊的數據舞弊線索。
4 3 5 采用一些先進的數據加密技術來保障系統的安全。當今的數據加密技術可分為三類:一類為單鑰體制(對稱型加密)。該技術使用單個密鑰對數據進行加密或解密。其計算量小,加密效率高,但密鑰管理困難,使用成本較高,保密安全性能也不容易保證;另一類為雙鑰體制(不對稱型加密)。該技術采用兩個密鑰將加密、解密分開。公用密鑰在網上公布,為數據源對數據加密使用,而用于解密的相應私用密鑰則由數據的收集方妥善保管。這種不對稱的算法特別適合于分布式系統中的數據加密。還有一種叫不可逆加密。這種方法的加密過程不需要密鑰,只有同樣的輸入數據經過同樣的不可逆算法才能得到相同的值。該加密系統開銷較大,時間較長。
5、結束語計算機在數據處理方面已成為一種不可缺少的工具,它給廣大的會計人員和數據處理人員所帶來的便利是無庸置疑的。而在我國,由于計算機審計剛剛起步,審計的理論和技術方法遠遠跟不上會計電算化的發展。這就促使我們對于頻繁出現的計算機舞弊和犯罪案件必須研究如何采取有效的方法進行防范和揭露,以保障計算機系統的安全,維護企業、國家、社會的正當利益。
關鍵詞:會計;審計;計算機舞弊;非法程序;控制
20世紀40年代電子計算機的出現,使人類社會發生了劃時代的變化。1954年美國首次將電子計算機用于工資計算,標志著電子計算機進入了會計和管理領域。90年代下半葉網絡技術迅猛發展,進一步顯示出人類社會正在向信息社會過渡。而隨著會計電算化的普及,計算機舞弊和犯罪也越來越嚴重。美國計算機審計專家帕克1986年的兩個研究報告表明,在計算機數據處理環境下的舞弊金額是手工數據處理情況下的6倍,已給企業造成了巨大的經濟損失,甚至危害到國家和地區的安全。本文就此對利用計算機進行會計信息舞弊的審計和安全防范問題作一些探討。
1、計算機舞弊的含義計算機舞弊包含兩個方面含義。一是指對計算機系統的舞弊。即把計算機系統當作目標,對計算機硬件、計算機系統中的數據和程序、計算機的輔助設施和資源進行破壞或偷盜;二是利用計算機進行舞弊活動。即利用計算機作為實現舞弊的基本工具,利用計算機編制程序對其他系統進行犯罪活動。
2、計算機舞弊的動機舞弊者進行計算機舞弊大多出于以下幾種目的。
2 1 報復性舞弊
這是一種惡劣的舞弊。通常,舞弊者在計算機系統中安放一顆邏輯炸彈。一旦設定的“引信”被觸動,這顆邏輯炸彈就自動引發,使得有關文件全部被清除干凈。這種舞弊具有不良目的。他們故意作假,明知自己的行為是違法的,仍鋌而走險以身試法。
2 2 貪圖錢財的舞弊
舞弊者為了謀求私利,經過預謀,周密策劃,采用公開或隱秘的非法手段進行舞弊。這類舞弊不易被發現。2 3自我滿足的舞弊這類舞弊者一般是被計算機的挑戰性所誘惑,利用自己的計算機技能進行非法的纂改程序和破壞程序的活動,以此證實自己的能力。
3、計算機舞弊的特點
從法律上來說,舞弊是一種民事犯罪行為。計算機舞弊是一種新的社會犯罪現象,它總是與計算機技術緊密聯系在一起的。與其他犯罪相比,計算機舞弊具有許多新的特點。
3 1 智能性高
首先,大多數計算機舞弊者具有相當高的計算機專業技術知識和熟練的計算機操作技能。如,計算機程序員、管理員、操作員,等等。其次,舞弊者大多采用高科技手段。例如:直接或通過他人向計算機輸入非法指令,從而貪污、盜竊、詐騙錢款;借助電話、微波通信、衛星、電臺等系統的傳輸,以遙控手段進行;通過制造、傳播計算機病毒,破壞計算機硬件設備和軟件功能、信息數據,等等。最后,舞弊者作案前一般都經過周密的計劃和精心的準備,選擇最佳時機。這一切均說明計算機舞弊具有極高的智能性。
3 2 隱蔽性強
首先,計算機舞弊大多是通過程序和數據之類的電子信息操作來實現,直接目的往往也是這些電子數據和信息。其次,所需時間短。計算機執行一項指令,長則幾秒鐘,短則零點幾秒或幾微秒,可見一般不受時間和空間限制。在全國、全球聯網的情況下,其操作可以在任何時間、地點進行。最后,舞弊后對計算機硬件和信息載體可不造成任何損壞,甚至未發生絲毫的改變,不留痕跡,因此也不易識別。
3 3 危害性大
由于計算機系統應用的普遍性和計算機處理信息的重要性,因而對計算機舞弊的危害極其嚴重。由于計算機應用普及面廣,涉及到金融、軍事、政治等方面,因而社會資產計算機化的程度越高,計算機作用越大,那么發生計算機舞弊的機率也就越高,社會危害性也就越大。
4、對計算機舞弊的審計和安全監督
由于計算機資產本身高價值的吸引力,由于計算機舞弊所面臨的法律上的取證困難、審判困難情況,由于計算機安全技術水平的落后,再加上計算機系統本身的薄弱環節,如計算機信息容易泄露,安全存取控制功能還不完善,致使計算機舞弊行為越來越猖獗。要想有效地控制計算機舞弊,必須完善有關計算機安全與犯罪的立法,積極開展計算機系統的審計與安全監督,完善各單位的內部控制系統。另外,審查計算機舞弊首先要對被審單位內部控制系統進行評價,找出其內控的薄弱環節,確定其可能采用的舞弊手段,有針對性地實施技術性審查和取證。在此,我們希望能探討出一些有效審查計算機舞弊,控制和防止計算機舞弊的方法。
由于舞弊者主要通過輸入、輸出、軟件這
三個途徑入侵系統,下面就從這三方面來探討對計算機舞弊的審計方法。
4 1 系統輸入類舞弊的審計目前,通過計算機系統的輸入進行舞弊的情況在我國發生比較多。而這些系統內部控制的弱點比較明顯:職責分工不明確,對不相容職責沒有適當的分工;接觸控制不完善,不能有效地防止未經授權批準的人接觸計算機,口令大家都知道;無嚴格的操作權限控制,沒有設置不同等級的權限;系統缺乏輸入核對控制;輸入環節的程序化控制不完善,等等。而舞弊者大多是參與業務處理的人員、源數據提供人員、能夠接觸但不參與業務的人員,包括企業外部的“黑客”。因此我們可以從以下幾點來控制和審計。
4 1 1 應用傳統方式審查手工記帳憑證與原始憑證的合法性。
4 1 2 人工控制和自動校檢相結合。要進行責任分工,使不相容職務相分離。將業務員經辦的業務和數據記錄、審核、批準分開,輸入的關鍵數據要采用分批總數控制法。對輸入的數據可分開在兩臺電腦上輸入以控制校驗,也可以用輸入的時間和其他有關鑒別符進行控制;輸入后要及時作備份,留有修改的審計線索。
4 1 3 測試數據的完整性,提供差異的情況。
41 4 對輸出報告進行分析,核實例外情況,看有無異常情況或涂改行為。
4 1 5因為仿真舞弊者有計算機設計專長并與熟悉仿真對象系統的專業人員配合,所以必須審查仿真運行的記錄日記,了解計算機專業人員參與仿真的情況。
4 2 系統軟件類舞弊的審計
這類舞弊者大部分是計算機專家,因此具有高智能、隱蔽性的特點,對系統的破壞也極大。他們通常采用截尾術、隱藏邏輯炸彈、活動天窗、計算機病毒來作案。
通常,舞弊者主要利用以下內部控制的弱點:電算部門與用戶部門的職責分離不恰當,如程序員兼任操作員;系統開發控制不嚴,如用戶單位沒有對開發過程進行監督,沒有詳細檢查系統開發過程中產生的文檔,容易被留下“活動天窗”或埋下“邏輯炸彈”;系統維護控制不嚴,如程序員可隨時調用機內程序進行修改;接觸控制不完善,如操作員可接觸系統的源程序及系統的設計文檔。因此我們可以采用以下審計和控制方法。
4 2 1 對有可能接觸程序修改和開發的人員進行嚴格的職業道德教育,并在開發、維護和使用過程中,嚴格實行開發管理制度。
4 2 2 用特殊的數據進行測試。應用模擬數據或真實數據測試被審系統,檢查其處理結果與預期結果是否一致;檢查源程序,重新計算并注意截尾數據的取證。
4 2 3 檢查程序編碼,核對源程序的基本功能,測試可疑的程序,看其是否有非法的源程序,是否埋下“邏輯炸彈”和“活動天窗”。同時,注意程序的設計邏輯和處理功能是否恰當、正確,以檢查是否存在截尾術舞弊。
4 2 4 進行程序比較。將實際運行中的應用軟件的目標代碼或源代碼與經過審計的相應備份軟件相比較,以確定是否有未經授權的程序變動。
4 2 5 進行程序追蹤。追蹤那些潛在的可能成為其他非法目的所利用的編碼段;在平時的使用過程中,對可疑的人獲取的收入應進行追蹤。
4 2 6 利用防火墻、漏洞掃描技術或入侵檢測系統來保障系統數據的安全,防止計算機病毒的入侵。
4 3 系統輸出類舞弊的審計
該類舞弊者除了篡改輸出報告的為內部用戶外,大多為外來者。有簡單的“拾遺者”,更多的是間諜。他們主要通過拾遺、突破密鑰、篡改輸出報告、盜竊或截取機密文件等手段作案。例如:美國德克薩斯計算機計時服務部有幾家石油公司顧客,某顧客使用計算機服務時,總是要求將暫存磁帶裝入磁帶驅動器。計算機操作員發現讀帶燈總是在寫帶燈亮之前亮起,引起該操作員的警覺。經過調查,發現該顧客想竊取各石油公司存在暫存帶上的地震數據,然后賣給某石油公司賺取巨額收益。他們主要利用了以下內部控制的弱點:輸出控制不健全,如對廢棄的打印輸出信息沒有及時送到指定的人員手中;接觸控制不完善,如無關人員可隨便進入機房,無專人保管系統輸出的數據磁盤,或雖有專人保管無借用手續;傳輸控制不完善,如網絡系統的遠程傳輸數據沒有經過加密傳輸,容易被截取。因此我們可以采用以下審計和控制方法。
4 3 1 檢查無關或作廢的打印資料是否及時銷毀,暫時不用的磁盤、磁帶是否還殘留數據。
4 3 2 審查計算機運行的記錄日記和拷貝傳送數據的時間和內容,了解訪問會計數據處理人員,分析數據失竊的可能性,追蹤審計線索。
4 3 3 對有可能接觸程序修改和開發的人員進行嚴格的職業道德教育,在使用過程中實行嚴格的計算機使用日記管理制度,并對重要的原始數據實行多種隱蔽性的備份制度。
4 3 4 向計算機重要數據的管理人員了解原始備份文件和被拷貝的內容,分析特殊的數據舞弊線索。
4 3 5 采用一些先進的數據加密技術來保障系統的安全。當今的數據加密技術可分為三類:一類為單鑰體制(對稱型加密)。該技術使用單個密鑰對數據進行加密或解密。其計算量小,加密效率高,但密鑰管理困難,使用成本較高,保密安全性能也不容易保證;另一類為雙鑰體制(不對稱型加密)。該技術采用兩個密鑰將加密、解密分開。公用密鑰在網上公布,為數據源對數據加密使用,而用于解密的相應私用密鑰則由數據的收集方妥善保管。這種不對稱的算法特別適合于分布式系統中的數據加密。還有一種叫不可逆加密。這種方法的加密過程不需要密鑰,只有同樣的輸入數據經過同樣的不可逆算法才能得到相同的值。該加密系統開銷較大,時間較長。
5、結束語計算機在數據處理方面已成為一種不可缺少的工具,它給廣大的會計人員和數據處理人員所帶來的便利是無庸置疑的。而在我國,由于計算機審計剛剛起步,審計的理論和技術方法遠遠跟不上會計電算化的發展。這就促使我們對于頻繁出現的計算機舞弊和犯罪案件必須研究如何采取有效的方法進行防范和揭露,以保障計算機系統的安全,維護企業、國家、社會的正當利益。
上一篇:美國企業關聯方交易的確認和審計
學員討論(0)
實務學習指南
距6月報稅結束還有天
新用戶掃碼下載
京公網安備 11010802044457號