计算机舞弊及其防范.docVIP

计算机舞弊及其防范 厦门大学 于波 安兵 计算机舞弊就是对计算机系统的舞弊和利用电子计算机系统进行舞弊，前者是以计算机及相应设备、程序和数据为对象，通过故意掩盖真相、制造假相或以其他方式欺骗他人、掠取他人财物或以不正当目的而实施的任何不诚实、欺诈的故意行为，后者是利用计算机作为实现舞弊的基本工具，利用计算机编制程序进入其他系统进行舞弊。不同类别的人员采取的舞弊方法不同：系统人员一般采用篡改系统程序软件和应用程序，非法操作等手段；内部用户一般采用篡改输入输出方法；外来者一般采用终端篡改输入或其他如盗窃、破坏等手段。具体又分以下几种： 　　（一）篡改输入数据这是计算机舞弊中最简单、最常用的方法。数据要经过采集、记录、传递、编码、检查、核对、转换等环节后进入计算机系统，数据有可能在输入计算机之前或输入过程中被篡改从而达到舞弊目的。常用手法包括虚构、修改、删除业务数据。 　　（二）篡改系统程序包括非法修改程序和编制非法程序两个方面。前者是通过非法修改计算机程序指令系统，使计算机执行篡改过的程序来舞弊；后者是在程序交付使用时，预先设置陷阱以实现舞弊的目的。其表现有以下几种：（1）木马计。这是在计算机中最常用的一种欺骗破坏方法。在计算机程序中编进指令，使之执行未经授权的功能，这些指令还可以在被保护或限定的程序范围内接触所有供程序使用的文件。（2）逻辑炸弹。逻辑炸弹是计算机系统中适时或定期执行的一种计算机程序，它能确定计算机中触发未经授权的有害事件的发生条件。逻辑炸弹被编入程序后，根据可能发生或引发的具体条件或数据产生破坏行为，一般采用木马的方法在计算机系统中设置逻辑炸弹。（3）天窗。开发大型计算机应用系统，程序员一般要插进一些调试手段，即在密码中加进空隙，以便于日后增加密码并使之具有中断输出的功能。在正常情况下，程序完成时要取消这些天窗，但有些不道德的程序员为了以后损害计算机系统，有意留下天窗。 　　（三）篡改文件指操作者通过维护程序或直接通过终端修改文件。在计算机会计系统中，许多重要的原始参数以数据的形式保存在计算机文件中，一旦修改这些原始参数，将不能得出正确结果。包括直接更改数据参数，以及构造结构相同、数据不同的文件覆盖原有文件。 　　（四）篡改输出仿造与模拟往往发生在计算机系统的输出环节，在个人计算机上仿造其他计算机程序，或对舞弊计划方法进行模拟试验，然后实施让输出系统得出虚假会计数据。通过非法修改、销毁输出报表，将输出报表送给公司竞争对手，利用终端窃取输出的机密信息等手段达到舞弊目的。另外，物理接触、电子窃听、译码、拍照、拷贝、复印等也是常见的舞弊手法。 　　防止舞弊发生的有效手段是控制，尤其是建立健全有效的内部控制系统。具体措施如下： 　　（一）选择好的财务软件，从源头上进行控制实行会计电算化时，企业必须结合自身的特点和国家的有关规定开发和选择适合的财务软件。目前我国已经颁布的有关国家标准和规范主要有财政部1994年颁布执行的《会计电算化管理办法》、《会计核算软件基本功能规范》、《会计电算化工作规范》、《商品化会计核算软件评审规则》等。按标准和规范开发和发展计算机会计系统可以使企业计算机会计系统更加可靠、更加完善，有利于对系统的维护和进一步的发展、更新。外购的商品化软件应要求软件制作公司系统运行前对有关人员进行培训，包括系统的操作培训，系统投入运行后新的内部控制制度，计算机会计系统运行后的新的凭证流转程序、计算机会计系统提供的高质量会计信息的进一步利用和分析的前景等等。企业内部审计人员可就如何选购财务软件，如何实施有效的系统安全控制和如何改进现有的财务管理模式提供咨询服务，并按照标准对网上商业活动的完整性、真实性和可靠性进行全面签证。 　　（二）建立有效的内部控制防范舞弊最有效的办法是保持一个有效的内部控制系统。在计划内部审计业务时，内部审计师应关注控制弱点。实施会计电算化，需要建立与之相配套的一系列内部控制制度加以约束，才能充分发挥其优势。 　　（1）职责分离。第一，电算化部门与用户部门分离。担任电算化部门工作的人员不得兼任批准会计业务的工作，计算机会计系统的操作人员不能参与软件的修改。如企业应将系统分析、程序设计、计算机操作、数据输入、文件程序管理等职务予以分离，系统操作人员、管理人员和维护人员这三种不相容职务相互分离，以减少利用计算机舞弊的可能性。第二，电算化内部职责分离。不相容职务主要有系统开发、发展与系统操作；数据维护管理与电算审核；数据录入与审核记账；系统操作与系统档案管理等。凡上机操作人员必须经过授权，禁止原系统开发人员接触或操作计算机；熟悉计算机的无关人员不允许随意进入机房；系统应有拒绝错误操作的功能，留下审计轨迹。同时，还应建立职务轮换制度。 （2）一般控制。第一，系统安全控制。包括实体安全、硬件安全、软