计算机舞弊审计的新思考

机舞弊是指以计算机及相应设备、程序或数据为对象，通过故意掩盖***、制造假象或以其他方式欺骗他人、掠取他人财物或为其他不正当目的而施行的任何不老实、欺诈的故意行为。审查计算机舞弊的总体思路是：首先通过对被审信息系统内部控制的评审，找出系统内部的突破口根据计算机舞弊各种手段的特征及其与有关内部控制的关系，确定可能的舞弊手段，然后针对可能的舞弊手段，实施深进的技术性审查和取证，最后写出审计报告及建议。对于审计职员来说，计算机舞弊审计中最关键的是要发现可疑之处，并进一步取得具有足够证实力的审计证据。一、输进类计算机舞弊的审计输进类计算机舞弊主要是发生在系统的输进环节上，通过伪造、篡改数据，冒充他人身份或输进虚假数据达到非法目的。我国发生的计算机犯罪大多属于此类型。它主要是利用下列内部控制的弱点1、职责分工。假如不相容的职责没有适当的分工如数据的预备或输进与批准由一人担任，那么输进数据的真实性、正确性就无法保障。2、接触控制。包括机房上锁或设置门卫、计算机终端加锁或设置口令、身份鉴别、系统各个用户终真个联结控制等。3、操纵权限控制。信息系统处理和储存着本单位全部或大部分业务数据，一般根据数据的重要程度、操纵员的权限和职责分工的考虑；应设置不同等级的权限，使得每个操纵员只能从事其权限范围内的操纵。4、控制日志。控制日志能对所有接触信息系统的企图及操纵进行监视记录，从而确保所有经授权的和未经授权的接触、使用、修改程序或数据的活动都留下痕迹。假如这类控制手段不健会，舞弊分子会由于没有留下舞弊证据而为所欲为。5、其他输进控制。这种类型的潜伏作案者主要是系统的内部用户和计算机操纵员，他们比较了解系统的运行状态和内部控制的薄弱环节利用工作上的便利实施舞弊。针对上述舞弊活动，应采用下列审计；（1）审计抽样技术，将部分机内记账凭证与手工的原始凭证相核对审查输进数据的真实性；（2）应用传统方法审查原始凭证的真实性、正当性；（3）对数据的完整性进行测试；（4）对例外情况进行核实；（5）对输出报告进行，看有无异常情况或涂转业为。二、软件类计算机舞弊的审计这类计算机舞弊主要是通过非法改动计算机程序，或在程序开发阶段预先留下非法指令，使得系统运行时处理功能出现差错，或程序控制功能失效，从而达到破坏系统或谋取私利的目的。该类活动主要利用下列内部控制的弱点：1、电算部分与用户部分的职责分离。2、系统的维护控制。所有现有系统的改进、新系统的应用都应由受益部分发起并经高级主管职员的授权包括现有应用程序的改动，未经有关部分的批准，电算部分无权擅自修改程序。3、系统的开发控制。新开发的应用系统在投进使用前应对程序的源编码和处理功能进行严格审查；检查是否有多余的非正当用途的程序段。4、接触控制。主要指严格控制系统的开发员、程序员等计算机专家再接触已投进运行的系统，防止擅自修改程序。同时也包括控制系统的内部用户或计算机操纵员接触系统的设计文档或源程序代码。针对以上舞弊活动，应采用以下审计方法（1）程序源编码检查法。检查全部或可疑的部分源程序编码，看是否有非法目的的源程序，同时也应留意程序的设计逻辑和处理功能是否恰当、正确；（2）程序比较法。将实际运行中的应用软件的目标代码或源代码与经过审计的相应备份软件相比较以确定是否有未经授权的程序改动；（3）测试数据法。应用模拟数据或真实数据测试被审系统，检查其处理结果是否正确；（4）计算机辅助追踪。应用该技术可以方便地找到那些潜伏的可能成为其他非法目的所利用的编码段；（5）平行模拟法；（6）借助计算机专家的工作；（7）对违法行为的可能受益者进行调查，审查其个人收进。