计算机舞弊审计的新思考

上传者：网友
|

翻新时间：2013-12-18

收藏到账号

全屏

计算机舞弊审计的新思考

计算机舞弊是指以计算机及相应设备、程序或数据为对象，通过故意掩盖真相、制造假象或以其他方式欺骗他人、掠取他人财物或为其他不正当目的而施行的任何不诚实、欺诈的故意行为。审查计算机舞弊的总体思路是：首先通过对被审信息系统内部控制的评审，找出系统内部的突破口根据计算机舞弊各种手段的特征及其与有关内部控制的关系，确定可能的舞弊手段，然后针对可能的舞弊手段，实施深入的技术性审查和取证，最后写出审计报告及建议。对于审计人员来说，计算机舞弊审计中最关键的是要发现可疑之处，并进一步取得具有足够证明力的审计证据。

一、输入类计算机舞弊的审计

输入类计算机舞弊主要是发生在系统的输入环节上，通过伪造、篡改数据，冒充他人身份或输入虚假数据达到非法目的。我国目前发生的计算机犯罪大多属于此类型。它主要是利用下列内部控制的弱点

1、职责分工。如果不相容的职责没有适当的分工如数据的准备或输入与批准由一人担任，那么输入数据的真实性、正确性就无法保障。

2、接触控制。包括机房上锁或设置门卫、计算机终端加锁或设置口令、身份鉴别、网络系统各个用户终端的联结控制等。

3、操作权限控制。信息系统处理和储存着本单位全部或大部分业务数据，一般根据数据的重要程度、操作员的权限和职责分工的考虑；应设置不同等级的权限，使得每个操作员只能从事其权限范围内的操作。

4、控制日志。控制日志能对所有接触信息系统的企图及操作进行监督记录，从而确保所有经授权的和未经授权的接触、使用、修改程序或数据的活动都留下痕迹。如果这类控制手段不健会，舞弊分子会因为没有留下舞弊证据而为所欲为。

5、其他输入控制。这种类型的潜在作案者主要是系统的内部用户和计算机操作员，他们比较了解系统的运行状态和内部控制的薄弱环节利用工作上的便利实施舞弊。

二、软件类计算机舞弊的审计

这类计算机舞弊主要是通过非法改动计算机程序，或在程序开发阶段预先留下非法指令，使得系统运行时处理功能出现差错，或程序控制功能失效，从而达到破坏系统或谋取私利的目的。该类活动主要利用下列内部控制的弱点：

1、电算部门与用户部门的职责分离。

2、系统的维护控制。所有现有系统的改进、新系统的应用都应由受益部门发起并经高级主管人员的授权包括现有应用程序的改动，未经有关部门的批准，电算部门无权擅自修改程序。

3、系统的开发控制。新开发的应用系统在投入使用前应对程序的源编码和处理功能进行严格审查；检查是否有多余的