计算机舞弊分析和审查
网络的最大优点开放性与共享性恰恰是对安全性要求较高的会计网络的最致命的弱点。由于在网络会计中起主要关键作用的是计算机,因此审计人员应该根据自己处理传统舞弊案件的经验,较透彻地分析计算机舞弊手法,努力检查并处理计算机犯罪事件,针对不同的情况,运用相应的审计手段。
一、计算机舞弊分析
(一)篡改输入
这是计算机舞弊中最简单最常用的手法。数据在输入前或输入后被篡改了。它通常表现为:虚构业务数据,如将假存款单输入银行的系统中,增加作案者的存款数;修改业务数据;删除业务数据,如从存货系统中删除某个存货数据,消除购货业务凭证。通过对数据作非法改动,导致会计数据的不真实、不可靠、不准确或以此达到某种非法目的,如,转移单位资金到指定的个人账户等。
可能的舞弊者包括:参与业务处理的人员、数据准备人员、源数据提供人员、能够接触计算机但不参与业务处理的人员。
可能的证据包括:源文件、业务文件、计算机可读文件、磁盘、磁带、异常报告、错误的运行结果等。
(二)窃取或篡改商业秘密、非法转移电子资金和数据泄密等
窃取或篡改商业秘密是系统非法用户利用不正常手段获取企业重要机密的行为。借助高技术设备和系统的通讯设施非法转移资金对会计数据的安全保护构成很大威胁。
1、数据在传输过程中,由于使用的是开放式的tcp/ip协议,信息的传输路线是随机的。因而可能出现物理窃听、感应窃听、口令字试探、信息窃取、身份假冒。
2、数据在输出过程中,舞弊者能够把敏感数据隐藏在本来没有问题的输出报告中,采取的方法是增加数据块;控制并观察设备部件运转,如磁带的读和写,打印机打印和跳跃行次的结构所发出的响音,录在磁带上,可以得到二进制信息。
3、采取设备上的特殊配置,可以在cpu芯片中置入无线发射接受功能,在操作系统、数据库管理系统或应用程序中预先安置用于情报收集、受控激发破坏的程序。
可能的舞弊人员除了篡改输出报告为内部用户外,其他多为外来者,更多的是间谍人员。
(三)篡改程序
篡改程序是指对程序做非法改动,以便达到某种舞弊的目的。常见的手法有“陷门”和“特洛伊木马”。
1、陷门
从cpu、操作系统到应用程序,任何一个环节都有可能被开发者留下“后门”,即“陷门”。陷门是一个模块的秘密入口,这个秘密入口并没有记入文档,因此,用户并不知道陷门的存在。在程序开发期间陷门是为了测试这个模块或是为了更改和增强模块的功能而设定的。在软件交付使用时,有的程序员没有去掉它,这样居心不良的人就可以隐蔽地访问它了。
2、在系统中秘密编入指令,使之能够执行未经授权的功能,这种行为叫特洛伊木马。典型的特洛伊木马是窃取别人在网络上的账号和口令,它有时在合法用户登陆前伪造登陆现场,提示用户输入账号和口令,然后将账号和口令保存到一个文件中,显示登陆错误,退出特洛伊木马程序。用户以为自己输错了,再试一次时,已经是正常的登陆了,用户也就不会怀疑。而特洛伊木马已经获得了有价值的信息躲到一边去了。
可能的舞弊者绝大部分是计算机高手,包括系统管理员、网络管理员、系统操作员、网络黑客等。
可能的证据包括:源文件、数据库文件。
二、计算机舞弊的审查
对计算机舞弊的审查除了借鉴传统审计方法,如:分析性复核,审阅与核对法,盘点实物,查询及函证外,最有效的是根据网络会计系统的特点有针对性地进行审查。
(一)篡改输入的审查
1、应用传统方法审查手工记账凭证与原始凭证的合法性。首先,审计人员应抽查部分原始单据,重点使用审阅法确定业务发生的真实性,判断原始单据的来源是否合法,其数据有无被篡改,金额是否公允等。其次,采用核对法,将记账凭证的内容和数据与其原始单据的内容和数据进行核对,审查计算机处理的起点是否正确。最后再进行账账核对。
2、应用抽样审计技术,将机内部分记账凭证与手工记账凭证进行核对,审查输入凭证的真实性。根据被审对象所输入的凭证,通过手工操作,将处理的结果与计算机处理系统的输出结果进行对比,检验其是否一致。
3、测试数据的完整性。审计人员模拟一组被审单位的计算机数据处理系统的数据输入,使该系统在审计人员的亲自操作或控制下,根据数据处理系统所能达到的功能要求,完成处理过程,得到的数据与事先计算得到的结果相比较,检验原来数据与现有数据之间是否保持完全一致。
4、对输出报告进行分析,检查有无异常情况或涂改情况。如与审计相关的账册、报表、操作日志、上机记录等要打印备查。
5、数据的安全性审查。检查数据在输入前后是否接受了各种验证。包括:(1)责任分工:网络电子数据处理部门与用户部门是否职责分离,如果有一个人既负责业务交易,又有权接触电子数据处理,企业就存在舞弊和过失的双重风险;网络电子数据处理部门内部是否有职责分工,在电子数据处理部门内部进行职责划分,其目的是保证不相容职责由不同的人担任,以及保证一个人能对其他人的工作进行检查。(2)经办人员分别负责制作、检查、签字工作,或者实行双重负责制。
6、总量计算,建立输入批控制核算。在这种方法中,审计人员首先根据控制要点选择数据,建立批处理总数,然后将数据输入,将输出结果与批处理总数相核对。采用这一方法,数据被分为小组,加总得到的合计数,即为控制总数。数据可以是正常的,也可以是非正常的。对于非正常数据,可以检查程序对输入错误的更正以及校验的过程,以确认输入校验措施的可靠性。
7、对操作权限进行审查。检查是否有非法越权行为或泄密行为。包括:(1)身份验证。验证访问者的身份是否与赋权者的身份一致。(2)存取控制权限的控制情况。密级——绝密、机密、秘密、内部、敏感。分工——系统开发人员、系统管理员、操作员、用户。
8、检查上机日志。操作系统的日志文件中包含了详细的用户信息和系统调用数据的信息。在网络会计中,由于用户可随机从不同的客户机上登录,主机间也经常需要交换信息,对留下的记录进行分析判断的难度是很大的。做这项工作需要正确的职业敏感和职业判断。
(二)窃取或篡改商业秘密、非法转移电子资金和数据泄密的审查
1、检查计算机硬件设施附近是否有窃听或无线电发射装置。具体包括:是否有窃听器与通讯线路上的某部分接触,是否通过使用盒式录音机、麦克风、am/fm小录音机、modem进行感应式被动窃听。
2、检查计算机系统的使用记录,看数据文件是否被存取过或什么时间存取过,是否属于正常工作。通常有ibm公司的smf法与cca软件公司的topsecret程序工具。其主要功能有:记录使用者名、每个程序段的cpu使用时占用的存储容量、使用的机器名、作业终了状态等;数据文件使用记录功能,如所使用的数据文件名、使用者名、数据文件的改变情况等;容量记录功能,记录每个数据文件的数据量等。
3、检查打印资料是否及时处理,暂时不用的磁盘、磁带上是否还残留有数据。
4、检查是否有非法用户登录过此系统。这可以通过系统访问记录或上机日志来找出线索。例如:系统记录记录某一个操作员的访问时间通常是8点至17点,可是忽然出现了23点的访问记录,这就可以怀疑有非法用户登录此系统。
5、调查及函证怀疑对象的个人交往,以便发现线索。
(三)篡改程序的审查
1、程序编码检查法。检查全部或可疑部分源程序,分析是否有非法的源程序,以确定程序员是否留下“陷门”,同时应注意程序的设计逻辑和处理功能是否恰当。这种方法的具体步骤如下:(1)审计人员应根据自身的经验,编写测试程序必要的控制措施。(2)分析源程序码,检查是否有必要的控制措施。(3)对源程序调用的子程序进行测试,由于一些程序设计人员会在源程序中暗藏子程序,而这些子程序往往用作不合规的会计业务。
2、程序比较法。将实际应用中应用软件的目标代码或源代码与经过审计的相应备份软件相比较,以确定是否有未经授权的程序改动。具体实施时,可以借助一些系统工具。
3、测试数据法。它是一种模拟某些业务数据,并将测试数据输入系统,通过系统的处理来检查系统对实际业务中同类数据处理的正确性以及对错误数据的鉴别能力的方法。它主要是对各种共同的细节处理的有效性的测试,例如合理性检查、溢位检查、负号检查、校验法检查记录顺序等。审计人员要根据测试的目的确定系统中必须包括的控制措施,应用模拟数据或真实数据测试被审系统,检查处理结果是否正确。
4、程序追踪法。使用审计程序或审计软件包,对系统处理过程进行全方位或某一范围内的跟踪处理,得出的结果与系统处理的结果相比较,以判断系统是否安全可靠。运用该方法可以方便地找到那些潜在的可能被不法分子利用的编码段。
5、对犯罪行为的可能受益者进行审计调查,审查其来路不明的个人收入。
上一篇:没有了!