论企业信息系统的舞弊及应对策略
发布时间:2015-07-07 10:58
[论文关键词]信息系统;舞弊;应对策略
[论文摘要]计算机在企业管理及会计信息处理中的迅速普及和广泛应用,给人们带来了极大的方便和效益。计算机加快了企业信息的处理速度,提高了信息的质量,减轻了企业处理数据的负担。但任何事情有利必有弊,信息系统舞弊案件层出不穷,并且造成损失之大触目惊心。在我国,随着计算机应用的普及,信息系统舞弊案件时有发生,因此,认识和了解信息系统舞弊的主要方法和手段。有利于评估与揭示被审计信息系统的风险。
早在20世纪40年代。最早应用计算机的军事和科学工程领域中就开始出现了利用计算机进行犯罪活动。只是较为罕见,未引起注意;到70年代中后期,计算机在全球开始普及,随着操作系统简化,人机对话功能增强,越来越多的人开始使用与掌握计算机;特别是进入90年代后,计算机的应用领域扩展到了银行、保险、证券、商务等领域,计算机犯罪呈滋生蔓延趋势。我国从1986年开始,每年至少出现几起或几十起计算机犯罪案件,近几年利用计算机犯罪的案件以每年30%的速度递增,有专家预言,“在今后的5至10年时间里,我国的信息系统舞弊案件将会大量发生”。因此,信息系统舞弊是当今社会一个值得注意的重大问题。
一、问题的提出
1、信息系统舞弊
目前国内一些学者认为:信息系统舞弊是指破坏或者盗窃计算机及其部件,或者利用计算机进行贪污、盗窃的行为。Www.lw881.com我国公安部计算机管理监察司提出的信息系统舞弊的定义是:以计算机为工具或以计算机资产为对象实施的犯罪行为。前一种舞弊是利用计算机作为实现舞弊的基本工具,利用计算机编程进入其他系统进行骗取钱财、盗取计算机程序或机密信息的犯罪活动。其作案手法多种多样。如利用计算机将别人的存款转到作案人自己的账户中;利用计算机设置假的账户,将钱从合法的账户转到假的账户中去;掌握单位顾客的订单密码,开出假订单,骗取单位的产品等。1979年美国《新闻周刊》曾报道,计算机专家s,m·里夫肯通过计算机系统,把他人的存款转到自己的账户中,骗走公司1000万美元。后一种舞弊是把计算机当作目标,以计算机硬件、计算机系统中的数据和程序、计算机的辅助设施和资源为对象。分为破坏和偷窃等。破坏是因为舞弊者出于某种目的去破坏计算机的硬件和软件,可以用暴力方式破坏计算机的设备,也可以用高技术破坏操作系统及数据,导致系统运行中断或毁灭;偷窃是指舞弊者利用各种手段偷取计算机硬件、软件、数据和信息。
结合以上的论述,本文将信息系统舞弊定义为:以计算机或其相应设备、程序或数据为对象,通过虚构、制造假象或其他不正当的方式欺骗他人,掠取他人财务而实施的任何不诚实的故意行为,也叫计算机犯罪。
2、信息系统舞弊的特点
信息系统舞弊呈现如下特点:智能化;隐蔽性;获利大;跨国化;危害大。
网络的普及程度越高,计算机犯罪的危害也就越大,不仅造成财产损失,而且也会危及公共安全与国家安全。有资料指出。目前计算机犯罪的年增长率高达30%,其中发达国家和地区远远超过这个比率,如法国达200%,美国的硅谷地区达400%。与传统的犯罪行为相比,计算机犯罪所造成的损失更为严重。例如,美国的统计表明:平均每起计算机犯罪造成的损失高达45万美元,而传统的银行欺诈与侵占案平均损失只有1.9万美元,一般的抢劫案的平均损失仅370美元。正如美国inter-pact公司的通信顾问温·施瓦图所说的:“一场电子战的珍珠港事件时时都有可能发生”。因此,计算机犯罪将成为社会危害性最大,也是最危险的犯罪行为之一。
二、信息系统舞弊的一般问题
(一)成因
1、个人因素
大部分涉及信息系统舞弊案件的人属于这类情况。随着社会的快速发展,很多人认为压力越来越大,负担也越来越重,认为收入和生活所需已“入不敷出”;也有人是染上了不良的嗜好,如赌博,而欠下了巨额债务需要偿还;还有人是感到单位领导不公正,对上级不满,而进行伺机报复。如美国一家银行的计算机专业人员,预先输入了一个程序,其含义为:一旦自己的名字在人事档案数据库中查不到(即被解雇),则对计算机系统进行破坏。当他被辞退后,银行计算机系统不久就陷入了瘫痪。
2、环境因素
一方面单位没有公开的政策。所以有时员工不知道自己的行为是否正确,错误的行为会导致什么样的后果;另一方面,单位没有合理的人事制度,这样有可能会导致企业内部没有良好的沟通渠道。员工的工作业绩没有得到充分的认可,没有合理的报酬。从而降低了员工对单位的忠诚度,信息系统舞弊的案件也就有可能随之发生。
3、单位内部制度不完善
比如单位职责分工不明确,如果由一个人既负责业务交易,又有权接触电子数据处理,那么就存在舞弊的风险;没有严格的操作权限;系统的维护控制不严,如程序员可随时调用机内程序进行修改;系统的开发控制不严格。如用户单位没有对开发过程进行监督。没有详细检查系统开发过程中产生的文档;接触控制不完善,如应当避免控制系统的内部用户或计算机操作人员接触到系统的设计文档;输出控制不健全;传输控制不完善等。
4、被计算机的挑战性所诱惑
现在越是秘密的地方维护安全的技术投入的就越大,对于那些黑客而言,这无疑更能够刺激他们,使他们有种新奇感,并激起其挑战的欲望。美国国防部全球计算机网络平均每天遭受两次袭击,美国《时代》周刊报道,美国国防部安全专家对其挂接在internet网上的12000台计算机系统进行了一次安全测试,结果88%入侵成功,96%的尝试破坏行为未被发现。而且现在越来越多的黑客敢于通过病毒与杀毒软件公司“沟通”。甚至公然“叫板”杀毒软件商。
(二)信息系统舞弊的类型与手段
1、信息系统舞弊的类型
(1)非法占有财产
这类案件最常见,也是较难察觉的,并极有可能造成巨额资金损失。因此不论是对会计师、审计师还是对企业管理者来说。都是最为严重的一种犯罪。这类案件有的是利用掌管计算机系统之便,虚开账户,伪造转账交易,将资金转出。如1997年3月原宁波证券公司深圳业务部的曾定文博士。利用他负责管理电脑程序编制和修改工作。从而掌握密码系统的便利条件,通过密码进入交易程序,在自己所掌握的股东账户上直接下买单,透支本单位资金累计人民币928万元;有的是采用一种“取零技术”,国外也称之为“意大利香肠技术”,每次都将交易的零星小数从总额中扣下,存到一个非法的账户中,这样不易察觉,而且时间久了也可达到一个可观的数目。
(2)非法利用计算机系统
这类案件比较复杂,出现的问题和作案手法也各不相同。例如,有些程序员会借调试程序的时候,非法联通网路,进行非法转账;有些内部设备维修人员借维修之便,偷窃数据,甚至非法拷贝软件包,或者输入某些错误信息,以搅乱数据信息。2001年11月,上海市查获全国首例利用计算机非法操纵证券价格案,案犯为了使自己和朋友获利,在2001年4月16日。通过某证券营业部的电脑非法侵入该证券公司的内部计算机信息系统,对待发送的委托数据进行修改,造成当天下午开市后,“兴业房产”,“莲花味精”两种股票的价格被拉至涨停板价位,造成该证券营业部遭受损失295万余元;有些程序员在设计程序时,会设计某些特定条件。并秘密地安置在计算机系统中,当满足特定条件时。这种破坏程序就会破坏计算机系统的数据或程序。如在美国港口城市米尔沃基市有一个青年团伙,他们以该城市的电话地区代号414自我命名,采用非法手段,将这个代号输入到许多企业、公司和政府的计算机网络中去,虽该代号最终被各单位的计算机系统识别而没有造成重大损失,但也产生了不少麻烦。
(3)非法占有经济信息
利用计算机操作人员或管理人员。买通其收集经济信息:利用计算机系统网络和其他电子技术,窃取侦听到有价值的经济信息,如1997年10月,广州“好又多”百货公司电脑部副科长李建新。利用电脑技能窃取公司商业资料。并高价卖给竞争对手,最后被公安机关逮捕归案。
(4)未经许可使用他人的计算机资源
从事这些活动的人俗称“黑客”。2007年3月30日,美国《华盛顿邮报》报道,全球折扣零售业巨头tjx公司承认。在过去的1年半时间里,公司的金融数据库不断遭到黑客的侵袭。导致超过4500万名公司顾客的信用卡信息和个人资料外泄。黑客获取到这些信息后伪造信用卡大肆消费挥霍:有些黑客会侵入公司的电脑系统中窃取机密资料,然后向受害公司勒索,visa信用卡公司就曾被勒索高达1000万英镑,黑客声明,如果visa公司不合作,就会使其整个系统瘫痪,visa公司有8亿个信用卡客户,每年营业额近1万亿英镑,只要其瘫痪一天,便有可能损失数千万英镑。
2、信息系统舞弊的手段
通常来说信息系统舞弊主要是以计算机为工具,运用违法违规的手段来谋取组织或个人的经济利益。其直接的舞弊对象是信息。在某些情况下。舞弊是专门针对计算机本身的,通过改变计算机的硬件和软件设施,使信息系统暂停、中断,甚至导致整个系统瘫痪。按入侵系统实施犯罪的途径来划分,可将信息系统舞弊的手段分为以下几类:
(1)篡改输入数据舞弊
这是最简单、最安全、最常用的方法。这种舞弊方法并不要求舞弊者有多么高的计算机技能。只需要懂得当数据进入系统时如何伪造、删除、修改就可以了。主要采用的手段包括:虚构业务数据;修改业务数据;删除业务数据。
(2)利用程序舞弊
主要采用的手段包括:木马计;截尾术;越级术;仿造与模拟。
(3)偷窃数据舞弊
在计算机系统中经常出现重要的数据被窃,作为商业秘密泄露给需要这种信息的个人或机构,偷窃数据者从中得到经济利益。主要采用的手段包括:拾遗;数据泄漏。
这是一种软件,能造成计算机文件丢失、甚至死机。2007年某杀毒软件公司反病毒监测中心的报告显示,3月以来。病毒数量又创新高,3月新增病毒达16000种,感染计算机1300多万台。根据《计算机经济》的报道,最具有杀伤力的病毒和蠕虫是在最近几年给计算机经济造成了重大经济损失的病毒,codered(2001)造成损失26.2亿美元,sincam(2001)造成损失115亿美元。2000年5月1日接连作乱的“iloveyou”病毒通过题为“我爱你”的电子邮件传播,在极短的时间内袭击了亚洲、欧洲和北美洲的20多个国家,侵入电脑电子邮件系统的“爱虫”被激活后,会自我复制并自动发往受害电脑里电子邮件通讯录上的所有地址,造成全世界近4500万电脑操作者受到攻击,因电脑系统瘫痪或关闭造成的损失约为100亿美元。2006年10月16日武汉的李俊编写了“熊猫烧香”,并将此病毒卖给他人,非法获利10万多元,“熊猫烧香”又称“武汉男生”,随后又化身为“金猪报喜”,这是一个感染型的蠕虫病毒,能感染系统中的exe、com、html、asp等文件,还能中止大量的反病毒软件进程并且会删除扩展名为.gho的文件,被感染的用户系统所有.exe可执行文件全部被改成熊猫举着三根香的模样。
除此之外,还有天窗、逻辑炸弹、野兔、乘虚而入、冒充、通讯窃取、后门、陷阱门等舞弊手段。
三、信息系统舞弊的审计与控制
由于信息系统舞弊具有的高智能性、高隐蔽性、高危害性等特点,如何有效地审计和控制变得非常重要。这需要采取多方面的措施。不仅要经常开展信息系统舞弊的审计,掌握各种舞弊类型的审计方法,还要完善对计算机犯罪的立法,完善内部控制制度,加强内部控制的管理,采取技术防范,积极开展信息系统审计,提高人员素质,实现技术、人和制度三者间的有效结合。
1、信息系统舞弊的审计
对信息系统舞弊的审计,首先是对被审计单位内部控制体系进行评价,根据信息系统舞弊的可能途径,找出其内部控制的弱点。确定被审单位可能存在的信息系统舞弊手段。审查时除了借鉴传统的审计方法,如分析性复核、审阅与核对法、盘点实物、查询及函证外,最有效的是根据网络会计系统的特点有针对性地进行审查。
(1)对输入数据舞弊的审计
对输入数据进行舞弊是计算机系统中最常见和最普遍的一种舞弊方法。输入类舞弊通常是利用单位内控的弱点。比如职责分工不明确、接触控制不完善、没有严格的操作权限控制、系统本身缺乏核对控制等。在这种情况下就有可能会发生以下舞弊行为:舞弊人员将假的存款输入银行系统。增加作案者的存款数额;将企业账号改为个人账号以实现存款转移;消除购货业务凭证,将货款占为己有等。审计人员应重点收集输入环节的审计证据。
首先,抽查部分原始凭证,确定业务发生的真实性,判断原始单据的来源是否合法,其数据有无篡改。其次,将记账凭证的内容和数据与其原始单据进行核对,最后再进行账账核对;利用计算机抽样,实行计算机自动校对,将机内部分记账凭证与手工记账凭证进行核对,审查输入凭证的真实性;测试数据的完整性,计算机输出的完整性审计,审计人员模拟一组被审单位的计算机数据处理系统的数据输入,并亲自操作,根据系统能达到的功能要求完成处理过程,得到的数据与原先计算机得到的结果相比较,检验两者是否完全一致;分析性审查,对输出报告进行分析,看有无异常情况,比如与审计有关的账册、报表、上机记录等要打印备查。
(2)对利用程序舞弊的审计
利用程序舞弊的人员通常具有一定的计算机知识,有的甚至精通计算机,这种舞弊有时是属于有预谋的,如利用计算机软件中关于计算保留小数的程序按预谋方法截取,将截尾的数值存入预先设定的账户;或在计算机程序中,暗地编入指令;使用越级法舞弊的人员,通常是能够取得越级程序,并能接触计算机,熟悉掌握计算机应用技术的人员,越级这种大能量的程序,如被作案人掌握,将十分危险,因此主要是防范与控制。对于有预谋的舞弊的预防性审查主要是通过系统开发控制审计。另外还可用特殊的数据进行预测及认真核对源程序。
(3)对偷窃数据的审计
借助高科技设备和系统的通讯设施非法转移资金。对会计数据的安全保护构成很大威胁。通常对偷窃数据的审计的主要的方法有:检查系统的物理安全设施。如网络系统的远程传输数据没有经过加密后传输,很容易通过通信线路被截收,应查明无关人员能否接触信息系统;检查计算机硬件设施附近是否存在有利于舞弊者舞弊的装置与工具。如窃听器与通讯线路上的某部分接触、盒式录音机、麦克风等:查看计算机运行的记录日志和拷贝传送数据的时间和内容,了解和访问数据处理人员,分析数据失窃的可能性,并追踪其审计线索;调查及函证怀疑对象的个人交往,以便发现线索;检查打印资料是否及时处理,暂时不用的磁盘、磁带是否还残留有数据。
(4)对计算机病毒的审计
对待计算机病毒要以预防为主。下面是预防感染病毒的一些一般性控制措施:不要使用来路不明的新软件,不要随意下载不明文件,不要访问不良网站;对磁盘加以写保护;在使用新的软件之前,对其进行检查,以防其中含有病毒:应及时更新操作系统和防病毒软件,并定期对系统进行检查。
2、信息系统舞弊的控制
(1)完善法规体系
加强反计算机犯罪的法制建设是从宏观上控制计算机犯罪的前提。法规不健全与不完善使计算机犯罪的控制较为困难。反计算机犯罪的法制建设可从两方面入手:一是建立针对利用计算机犯罪活动的法律,明确规定哪些行为属于信息系统舞弊行为及其惩罚办法;二是信息系统本身的保护法律,明确计算机系统中哪些东西或方面是受法律保护及受何种保护。目前,我国关于计算机信息系统管理方法的法规有:《计算机信息系统安全保护条例》、《计算机信息网络国际联网管理暂行规定》、《计算机信息网络国际联网出入信道管理办法》、《中国公用计算机互联网国际联网管理办法》、《专用网与公用网联网的暂行规定》等。我国在1997年全面修订刑法时,在第285条规定了非法侵入计算机信息系统罪:第286条规定了破坏计算机信息系统功能罪,破坏计算机数据和应用程序罪;第287条规定了利用计算机进行传统犯罪。同时我国计算机安全保护条例的实施细则和金卡工程安全规范等也应尽快制定。并且还应当加大宣传法律知识的力度。以法律的威严震慑违法者。
(2)单位建立完善的内部控制制度
内部控制是企业单位在会计工作中为维护会计数据的可靠性、业务经营的有效性和财产的完整性而制定的各项规章制度、组织措施管理方法、业务处理手续等控制措施的总称。运用计算机处理会计信息和其他管理信息的单位,均应建立和健全电算化内部控制系统。一个完善的内部控制系统应具有强有力的一般控制和应用控制措施,两者缺一不可。
(3)加强技术性防范
技术性自我保护是发现和预防信息系统舞弊的有效措施。计算机安全系统的强度取决于其中最为薄弱的一环。任何一个节点,某一个软件其中的某个服务,某个用户的脆弱口令等都可能造成整个系统的失效。对于攻击者而言。只要找到一处漏洞,攻击往往就会有50%以上的成功率。据统计,约90%的计算机系统都被攻击过,应加强安全技术防范。可以采用数据加密技术。使舞弊者即使获取了数据也很难进行有效的处理;可以通过备份数据,对照数据或进行再处理,以此检查数据有无异样;可以通过设置防火墙来阻断来自外部网络的威胁和入侵。
(4)提高员工素质
我国公安机关的调查显示,大部分信息系统舞弊案件的发生是由于内部人员所造成的,如2001年3月,湖北省孝感市某建行储蓄所的操作员利用双休日无人值班之机,独自在化名账户中虚存了500多万元。并且当天携款潜逃。我国目前的会计人员的实际水平不适应经济发展的步伐。与市场经济条件下进行职业判断的要求还存在一定的差距,对会计人员培训方面也不规范。特别是对会计人员的思想道德素质的培养不够规范,进入21世纪,随着经济的不断发展,知识更新步伐的加快,法规体系与国际的接轨。要求会计人员需要具备较高的思想道德素质和业务素质,因此加强会计人员的综合素质教育已势在必行。
信息系统舞弊案件的发生呈日益上升的趋势。所以评估与揭示被审计信息系统的风险十分重要。加强审查和预防的力度是解决这类案件发生的主要途径。这样不论是对企业还是对国家都会产生一些积极的作用,才能更好地维护国家和人民的利益。
[论文摘要]计算机在企业管理及会计信息处理中的迅速普及和广泛应用,给人们带来了极大的方便和效益。计算机加快了企业信息的处理速度,提高了信息的质量,减轻了企业处理数据的负担。但任何事情有利必有弊,信息系统舞弊案件层出不穷,并且造成损失之大触目惊心。在我国,随着计算机应用的普及,信息系统舞弊案件时有发生,因此,认识和了解信息系统舞弊的主要方法和手段。有利于评估与揭示被审计信息系统的风险。
早在20世纪40年代。最早应用计算机的军事和科学工程领域中就开始出现了利用计算机进行犯罪活动。只是较为罕见,未引起注意;到70年代中后期,计算机在全球开始普及,随着操作系统简化,人机对话功能增强,越来越多的人开始使用与掌握计算机;特别是进入90年代后,计算机的应用领域扩展到了银行、保险、证券、商务等领域,计算机犯罪呈滋生蔓延趋势。我国从1986年开始,每年至少出现几起或几十起计算机犯罪案件,近几年利用计算机犯罪的案件以每年30%的速度递增,有专家预言,“在今后的5至10年时间里,我国的信息系统舞弊案件将会大量发生”。因此,信息系统舞弊是当今社会一个值得注意的重大问题。
一、问题的提出
1、信息系统舞弊
目前国内一些学者认为:信息系统舞弊是指破坏或者盗窃计算机及其部件,或者利用计算机进行贪污、盗窃的行为。Www.lw881.com我国公安部计算机管理监察司提出的信息系统舞弊的定义是:以计算机为工具或以计算机资产为对象实施的犯罪行为。前一种舞弊是利用计算机作为实现舞弊的基本工具,利用计算机编程进入其他系统进行骗取钱财、盗取计算机程序或机密信息的犯罪活动。其作案手法多种多样。如利用计算机将别人的存款转到作案人自己的账户中;利用计算机设置假的账户,将钱从合法的账户转到假的账户中去;掌握单位顾客的订单密码,开出假订单,骗取单位的产品等。1979年美国《新闻周刊》曾报道,计算机专家s,m·里夫肯通过计算机系统,把他人的存款转到自己的账户中,骗走公司1000万美元。后一种舞弊是把计算机当作目标,以计算机硬件、计算机系统中的数据和程序、计算机的辅助设施和资源为对象。分为破坏和偷窃等。破坏是因为舞弊者出于某种目的去破坏计算机的硬件和软件,可以用暴力方式破坏计算机的设备,也可以用高技术破坏操作系统及数据,导致系统运行中断或毁灭;偷窃是指舞弊者利用各种手段偷取计算机硬件、软件、数据和信息。
结合以上的论述,本文将信息系统舞弊定义为:以计算机或其相应设备、程序或数据为对象,通过虚构、制造假象或其他不正当的方式欺骗他人,掠取他人财务而实施的任何不诚实的故意行为,也叫计算机犯罪。
2、信息系统舞弊的特点
信息系统舞弊呈现如下特点:智能化;隐蔽性;获利大;跨国化;危害大。
网络的普及程度越高,计算机犯罪的危害也就越大,不仅造成财产损失,而且也会危及公共安全与国家安全。有资料指出。目前计算机犯罪的年增长率高达30%,其中发达国家和地区远远超过这个比率,如法国达200%,美国的硅谷地区达400%。与传统的犯罪行为相比,计算机犯罪所造成的损失更为严重。例如,美国的统计表明:平均每起计算机犯罪造成的损失高达45万美元,而传统的银行欺诈与侵占案平均损失只有1.9万美元,一般的抢劫案的平均损失仅370美元。正如美国inter-pact公司的通信顾问温·施瓦图所说的:“一场电子战的珍珠港事件时时都有可能发生”。因此,计算机犯罪将成为社会危害性最大,也是最危险的犯罪行为之一。
二、信息系统舞弊的一般问题
(一)成因
1、个人因素
大部分涉及信息系统舞弊案件的人属于这类情况。随着社会的快速发展,很多人认为压力越来越大,负担也越来越重,认为收入和生活所需已“入不敷出”;也有人是染上了不良的嗜好,如赌博,而欠下了巨额债务需要偿还;还有人是感到单位领导不公正,对上级不满,而进行伺机报复。如美国一家银行的计算机专业人员,预先输入了一个程序,其含义为:一旦自己的名字在人事档案数据库中查不到(即被解雇),则对计算机系统进行破坏。当他被辞退后,银行计算机系统不久就陷入了瘫痪。
2、环境因素
一方面单位没有公开的政策。所以有时员工不知道自己的行为是否正确,错误的行为会导致什么样的后果;另一方面,单位没有合理的人事制度,这样有可能会导致企业内部没有良好的沟通渠道。员工的工作业绩没有得到充分的认可,没有合理的报酬。从而降低了员工对单位的忠诚度,信息系统舞弊的案件也就有可能随之发生。
3、单位内部制度不完善
比如单位职责分工不明确,如果由一个人既负责业务交易,又有权接触电子数据处理,那么就存在舞弊的风险;没有严格的操作权限;系统的维护控制不严,如程序员可随时调用机内程序进行修改;系统的开发控制不严格。如用户单位没有对开发过程进行监督。没有详细检查系统开发过程中产生的文档;接触控制不完善,如应当避免控制系统的内部用户或计算机操作人员接触到系统的设计文档;输出控制不健全;传输控制不完善等。
4、被计算机的挑战性所诱惑
现在越是秘密的地方维护安全的技术投入的就越大,对于那些黑客而言,这无疑更能够刺激他们,使他们有种新奇感,并激起其挑战的欲望。美国国防部全球计算机网络平均每天遭受两次袭击,美国《时代》周刊报道,美国国防部安全专家对其挂接在internet网上的12000台计算机系统进行了一次安全测试,结果88%入侵成功,96%的尝试破坏行为未被发现。而且现在越来越多的黑客敢于通过病毒与杀毒软件公司“沟通”。甚至公然“叫板”杀毒软件商。
(二)信息系统舞弊的类型与手段
1、信息系统舞弊的类型
(1)非法占有财产
这类案件最常见,也是较难察觉的,并极有可能造成巨额资金损失。因此不论是对会计师、审计师还是对企业管理者来说。都是最为严重的一种犯罪。这类案件有的是利用掌管计算机系统之便,虚开账户,伪造转账交易,将资金转出。如1997年3月原宁波证券公司深圳业务部的曾定文博士。利用他负责管理电脑程序编制和修改工作。从而掌握密码系统的便利条件,通过密码进入交易程序,在自己所掌握的股东账户上直接下买单,透支本单位资金累计人民币928万元;有的是采用一种“取零技术”,国外也称之为“意大利香肠技术”,每次都将交易的零星小数从总额中扣下,存到一个非法的账户中,这样不易察觉,而且时间久了也可达到一个可观的数目。
(2)非法利用计算机系统
这类案件比较复杂,出现的问题和作案手法也各不相同。例如,有些程序员会借调试程序的时候,非法联通网路,进行非法转账;有些内部设备维修人员借维修之便,偷窃数据,甚至非法拷贝软件包,或者输入某些错误信息,以搅乱数据信息。2001年11月,上海市查获全国首例利用计算机非法操纵证券价格案,案犯为了使自己和朋友获利,在2001年4月16日。通过某证券营业部的电脑非法侵入该证券公司的内部计算机信息系统,对待发送的委托数据进行修改,造成当天下午开市后,“兴业房产”,“莲花味精”两种股票的价格被拉至涨停板价位,造成该证券营业部遭受损失295万余元;有些程序员在设计程序时,会设计某些特定条件。并秘密地安置在计算机系统中,当满足特定条件时。这种破坏程序就会破坏计算机系统的数据或程序。如在美国港口城市米尔沃基市有一个青年团伙,他们以该城市的电话地区代号414自我命名,采用非法手段,将这个代号输入到许多企业、公司和政府的计算机网络中去,虽该代号最终被各单位的计算机系统识别而没有造成重大损失,但也产生了不少麻烦。
(3)非法占有经济信息
利用计算机操作人员或管理人员。买通其收集经济信息:利用计算机系统网络和其他电子技术,窃取侦听到有价值的经济信息,如1997年10月,广州“好又多”百货公司电脑部副科长李建新。利用电脑技能窃取公司商业资料。并高价卖给竞争对手,最后被公安机关逮捕归案。
(4)未经许可使用他人的计算机资源
从事这些活动的人俗称“黑客”。2007年3月30日,美国《华盛顿邮报》报道,全球折扣零售业巨头tjx公司承认。在过去的1年半时间里,公司的金融数据库不断遭到黑客的侵袭。导致超过4500万名公司顾客的信用卡信息和个人资料外泄。黑客获取到这些信息后伪造信用卡大肆消费挥霍:有些黑客会侵入公司的电脑系统中窃取机密资料,然后向受害公司勒索,visa信用卡公司就曾被勒索高达1000万英镑,黑客声明,如果visa公司不合作,就会使其整个系统瘫痪,visa公司有8亿个信用卡客户,每年营业额近1万亿英镑,只要其瘫痪一天,便有可能损失数千万英镑。
2、信息系统舞弊的手段
通常来说信息系统舞弊主要是以计算机为工具,运用违法违规的手段来谋取组织或个人的经济利益。其直接的舞弊对象是信息。在某些情况下。舞弊是专门针对计算机本身的,通过改变计算机的硬件和软件设施,使信息系统暂停、中断,甚至导致整个系统瘫痪。按入侵系统实施犯罪的途径来划分,可将信息系统舞弊的手段分为以下几类:
(1)篡改输入数据舞弊
这是最简单、最安全、最常用的方法。这种舞弊方法并不要求舞弊者有多么高的计算机技能。只需要懂得当数据进入系统时如何伪造、删除、修改就可以了。主要采用的手段包括:虚构业务数据;修改业务数据;删除业务数据。
(2)利用程序舞弊
主要采用的手段包括:木马计;截尾术;越级术;仿造与模拟。
(3)偷窃数据舞弊
在计算机系统中经常出现重要的数据被窃,作为商业秘密泄露给需要这种信息的个人或机构,偷窃数据者从中得到经济利益。主要采用的手段包括:拾遗;数据泄漏。
(4)计算机病毒
这是一种软件,能造成计算机文件丢失、甚至死机。2007年某杀毒软件公司反病毒监测中心的报告显示,3月以来。病毒数量又创新高,3月新增病毒达16000种,感染计算机1300多万台。根据《计算机经济》的报道,最具有杀伤力的病毒和蠕虫是在最近几年给计算机经济造成了重大经济损失的病毒,codered(2001)造成损失26.2亿美元,sincam(2001)造成损失115亿美元。2000年5月1日接连作乱的“iloveyou”病毒通过题为“我爱你”的电子邮件传播,在极短的时间内袭击了亚洲、欧洲和北美洲的20多个国家,侵入电脑电子邮件系统的“爱虫”被激活后,会自我复制并自动发往受害电脑里电子邮件通讯录上的所有地址,造成全世界近4500万电脑操作者受到攻击,因电脑系统瘫痪或关闭造成的损失约为100亿美元。2006年10月16日武汉的李俊编写了“熊猫烧香”,并将此病毒卖给他人,非法获利10万多元,“熊猫烧香”又称“武汉男生”,随后又化身为“金猪报喜”,这是一个感染型的蠕虫病毒,能感染系统中的exe、com、html、asp等文件,还能中止大量的反病毒软件进程并且会删除扩展名为.gho的文件,被感染的用户系统所有.exe可执行文件全部被改成熊猫举着三根香的模样。
除此之外,还有天窗、逻辑炸弹、野兔、乘虚而入、冒充、通讯窃取、后门、陷阱门等舞弊手段。
三、信息系统舞弊的审计与控制
由于信息系统舞弊具有的高智能性、高隐蔽性、高危害性等特点,如何有效地审计和控制变得非常重要。这需要采取多方面的措施。不仅要经常开展信息系统舞弊的审计,掌握各种舞弊类型的审计方法,还要完善对计算机犯罪的立法,完善内部控制制度,加强内部控制的管理,采取技术防范,积极开展信息系统审计,提高人员素质,实现技术、人和制度三者间的有效结合。
1、信息系统舞弊的审计
对信息系统舞弊的审计,首先是对被审计单位内部控制体系进行评价,根据信息系统舞弊的可能途径,找出其内部控制的弱点。确定被审单位可能存在的信息系统舞弊手段。审查时除了借鉴传统的审计方法,如分析性复核、审阅与核对法、盘点实物、查询及函证外,最有效的是根据网络会计系统的特点有针对性地进行审查。
(1)对输入数据舞弊的审计
对输入数据进行舞弊是计算机系统中最常见和最普遍的一种舞弊方法。输入类舞弊通常是利用单位内控的弱点。比如职责分工不明确、接触控制不完善、没有严格的操作权限控制、系统本身缺乏核对控制等。在这种情况下就有可能会发生以下舞弊行为:舞弊人员将假的存款输入银行系统。增加作案者的存款数额;将企业账号改为个人账号以实现存款转移;消除购货业务凭证,将货款占为己有等。审计人员应重点收集输入环节的审计证据。
首先,抽查部分原始凭证,确定业务发生的真实性,判断原始单据的来源是否合法,其数据有无篡改。其次,将记账凭证的内容和数据与其原始单据进行核对,最后再进行账账核对;利用计算机抽样,实行计算机自动校对,将机内部分记账凭证与手工记账凭证进行核对,审查输入凭证的真实性;测试数据的完整性,计算机输出的完整性审计,审计人员模拟一组被审单位的计算机数据处理系统的数据输入,并亲自操作,根据系统能达到的功能要求完成处理过程,得到的数据与原先计算机得到的结果相比较,检验两者是否完全一致;分析性审查,对输出报告进行分析,看有无异常情况,比如与审计有关的账册、报表、上机记录等要打印备查。
(2)对利用程序舞弊的审计
利用程序舞弊的人员通常具有一定的计算机知识,有的甚至精通计算机,这种舞弊有时是属于有预谋的,如利用计算机软件中关于计算保留小数的程序按预谋方法截取,将截尾的数值存入预先设定的账户;或在计算机程序中,暗地编入指令;使用越级法舞弊的人员,通常是能够取得越级程序,并能接触计算机,熟悉掌握计算机应用技术的人员,越级这种大能量的程序,如被作案人掌握,将十分危险,因此主要是防范与控制。对于有预谋的舞弊的预防性审查主要是通过系统开发控制审计。另外还可用特殊的数据进行预测及认真核对源程序。
(3)对偷窃数据的审计
借助高科技设备和系统的通讯设施非法转移资金。对会计数据的安全保护构成很大威胁。通常对偷窃数据的审计的主要的方法有:检查系统的物理安全设施。如网络系统的远程传输数据没有经过加密后传输,很容易通过通信线路被截收,应查明无关人员能否接触信息系统;检查计算机硬件设施附近是否存在有利于舞弊者舞弊的装置与工具。如窃听器与通讯线路上的某部分接触、盒式录音机、麦克风等:查看计算机运行的记录日志和拷贝传送数据的时间和内容,了解和访问数据处理人员,分析数据失窃的可能性,并追踪其审计线索;调查及函证怀疑对象的个人交往,以便发现线索;检查打印资料是否及时处理,暂时不用的磁盘、磁带是否还残留有数据。
(4)对计算机病毒的审计
对待计算机病毒要以预防为主。下面是预防感染病毒的一些一般性控制措施:不要使用来路不明的新软件,不要随意下载不明文件,不要访问不良网站;对磁盘加以写保护;在使用新的软件之前,对其进行检查,以防其中含有病毒:应及时更新操作系统和防病毒软件,并定期对系统进行检查。
2、信息系统舞弊的控制
(1)完善法规体系
加强反计算机犯罪的法制建设是从宏观上控制计算机犯罪的前提。法规不健全与不完善使计算机犯罪的控制较为困难。反计算机犯罪的法制建设可从两方面入手:一是建立针对利用计算机犯罪活动的法律,明确规定哪些行为属于信息系统舞弊行为及其惩罚办法;二是信息系统本身的保护法律,明确计算机系统中哪些东西或方面是受法律保护及受何种保护。目前,我国关于计算机信息系统管理方法的法规有:《计算机信息系统安全保护条例》、《计算机信息网络国际联网管理暂行规定》、《计算机信息网络国际联网出入信道管理办法》、《中国公用计算机互联网国际联网管理办法》、《专用网与公用网联网的暂行规定》等。我国在1997年全面修订刑法时,在第285条规定了非法侵入计算机信息系统罪:第286条规定了破坏计算机信息系统功能罪,破坏计算机数据和应用程序罪;第287条规定了利用计算机进行传统犯罪。同时我国计算机安全保护条例的实施细则和金卡工程安全规范等也应尽快制定。并且还应当加大宣传法律知识的力度。以法律的威严震慑违法者。
(2)单位建立完善的内部控制制度
内部控制是企业单位在会计工作中为维护会计数据的可靠性、业务经营的有效性和财产的完整性而制定的各项规章制度、组织措施管理方法、业务处理手续等控制措施的总称。运用计算机处理会计信息和其他管理信息的单位,均应建立和健全电算化内部控制系统。一个完善的内部控制系统应具有强有力的一般控制和应用控制措施,两者缺一不可。
(3)加强技术性防范
技术性自我保护是发现和预防信息系统舞弊的有效措施。计算机安全系统的强度取决于其中最为薄弱的一环。任何一个节点,某一个软件其中的某个服务,某个用户的脆弱口令等都可能造成整个系统的失效。对于攻击者而言。只要找到一处漏洞,攻击往往就会有50%以上的成功率。据统计,约90%的计算机系统都被攻击过,应加强安全技术防范。可以采用数据加密技术。使舞弊者即使获取了数据也很难进行有效的处理;可以通过备份数据,对照数据或进行再处理,以此检查数据有无异样;可以通过设置防火墙来阻断来自外部网络的威胁和入侵。
(4)提高员工素质
我国公安机关的调查显示,大部分信息系统舞弊案件的发生是由于内部人员所造成的,如2001年3月,湖北省孝感市某建行储蓄所的操作员利用双休日无人值班之机,独自在化名账户中虚存了500多万元。并且当天携款潜逃。我国目前的会计人员的实际水平不适应经济发展的步伐。与市场经济条件下进行职业判断的要求还存在一定的差距,对会计人员培训方面也不规范。特别是对会计人员的思想道德素质的培养不够规范,进入21世纪,随着经济的不断发展,知识更新步伐的加快,法规体系与国际的接轨。要求会计人员需要具备较高的思想道德素质和业务素质,因此加强会计人员的综合素质教育已势在必行。
信息系统舞弊案件的发生呈日益上升的趋势。所以评估与揭示被审计信息系统的风险十分重要。加强审查和预防的力度是解决这类案件发生的主要途径。这样不论是对企业还是对国家都会产生一些积极的作用,才能更好地维护国家和人民的利益。
上一篇:审计报告质量相关问题探讨
下一篇:浅论审计的理论基础