論計算機信息系統舞弊審計的分類與解決

［摘要］ 近10年來的實踐證明，有效的經濟責任審計已成為監督干部、考察了解干部、教育干部的重要手段，是純潔干部隊伍、規范干部經濟行為的主要途徑，是有效預防職務犯罪，減少決策失誤，減少損失浪費的重要舉措。科學衡量績效，是任用和管理領導干部的前提，績效評估既體現領導干部工作的質量和結果，又體現其工作的過程和效率；既體現領導干部的思維層次和水平，又體現領導干部的駕馭能力和執行能力，效益審計在領導干部的經濟責任審計中越來越顯現出它的重要性。在經濟責任審計中開展效益審計，是經濟發展的客觀要求，也是審計機關審計使命所決定的。如何將效益審計與經濟責任審計有效結合，筆者將作出初步的探討。

［關鍵詞］ 經濟責任；效益；審計；結合

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2011 . 18. 030

［中圖分類號］F239.1 ［文獻標識碼］A ［文章編號］1673 - 0194（2011）18- 0046- 02

信息系統審計是審計全過程的一個組成部分，它是一個獲取并評價證據，判斷信息系統是否能保證資產安全、數據完整及有效利用組織資源實現目標的過程。它是立足于組織戰略目標并為有效實現，而采取的一切活動過程。

由于我國的信息系統審計工作尚未完全開展，一些計算機審計的探索與嘗試仍局限在電子數據的采集與處理階段，對信息系統安全與控制問題還未充分認識。計算機信息系統管理的復雜性與軟件的先天不足等因素導致信息系統安全性降低、信息與財富的集中性，計算機犯罪風險的巨大誘惑性，法律對于計算機犯罪模式、計算機道德的滯后性等原因，造成計算機舞弊伴隨計算機廣泛應用而產生并且迅速蔓延。

計算機舞弊可分為輸入類、程序類、輸出類和接觸類4種類型。

一、輸入類信息系統舞弊的審計

對輸入數據進行舞弊是信息系統舞弊中最常見的方法。這類計算機舞弊主要是在系統輸入環節做文章，通過偽造、篡改、冒充他人身份或輸入虛假數據達到非法目的。我國目前發現的計算機舞弊現象多數為此類型。它主要利用了內部控制的下列弱點：

（１）職責分工不明確。

（２）無嚴格操作權限控制。信息系統處理和存儲著本單位全部或大部分業務數據，一般應根據數據的重要程度設不同等級權限。

（３）沒有建立控制日志。控制日志能對所有接觸信息系統的企業及操作進行監督記錄。

（４）其他輸入控制的不完善。作案者主要是系統的內部用戶和計算機操作員，他們比較了解系統的運行狀況和內部控制的薄弱環節，利用工作上的便利實施犯罪。

可能實施這類舞弊的人員包括：參與業務處理、數據準備、原數據提供、能夠接觸數據但不參與業務處理的人員。

針對輸入篡改類舞弊，審計人員可以采用如下方法審查：

（１）可以用傳統方法審查工作記賬憑證與原始憑證的合法性。首先，審計人員應抽查部分原始單據，重點使用審閱法確定業務發生的真實性，判斷原始單據來源是否合法，其數據有無被篡改，金額是否公允等。其次，采用核對法將記賬憑證和原始單據內容、數據進行核對，審計計算機處理起點是否正確。最后再進行賬賬核對。

（２）應用抽查審計技術，將機內部分與手工賬憑證進行核對，審查輸入憑證的真實性。根據被審對象所輸入的憑證通過手工操作，將處理的結果與計算機處理系統的輸出結果進行對比，檢驗其是否一致。

（３）測試數據的完整性。審計人員模擬一組被審計單位的計算機數據處理系統的數據輸入，使該系統在審計人員的親自操作和控制下，根據數據處理系統所能達到的功能要求，完成處理過程，得到的數據與事先計算機處理得到的結果相比較，檢驗原來數據與現有數據之間是否保持一致。

（４）對輸出報告進行分析，檢查有無異常或涂改情況。如與審計相關的賬冊、報表、操作日志、上機記錄等要打印備查。

（５）對數據進行安全性審查。審查數據在輸入前后是否接受了各種驗證。包括：責任分工，如網絡電子數據處理部門內部，以及與用戶部門是否職責分明、職權分離；其目的是保證不相容職責由不同的人擔任，以及相互間的監督；經辦人員分別負責制作、檢查、簽字工作、或者實行雙重負責制。

（６）對操作權限進行審查。審查是否有非法越權或泄密行為。包括：身份檢驗，驗證訪問者身份是否與被賦權限一致；存取控制權限的控制情況，密級——絕密、機密、秘密、內部、敏感，分工——系統開發人員、系統管理員、操作員、用戶等。

二、對程序類信息系統舞弊的審計

這類舞弊主要通過非法改動計算機程序，或在程序開發階段預先留下非法指令，使得系統運行時處理功能出現差錯，或程序控制功能失效，以達到破壞系統、謀取私利的目的。實施這類舞弊需要計算機專業知識和較高的編程技術，所以該類舞弊實施主體只能是計算機專業人員。這類舞弊活動主要利用內部控制下列弱點：信息系統數據處理部門與業務部門職責分離不當；系統維護、開發接觸不嚴等。

三、對輸出類信息系統舞弊的審計

輸出類信息系統舞弊主要通過篡改系統輸出報告、盜竊或截取機密文件、商業秘密來實施舞弊。這類舞弊的主體，除了篡改輸出報告為內部用戶外，其余多為外來者，有簡單的“撿垃圾者”，更多是間諜人員。

如與輸出相關的內部控制措施不健全，就可能出現此類型。

對此類舞弊活動的一般審查方法有：

（１）詢問能觀察到敏感數據運動的數據處理人員。

（２）檢查計算機硬件設施附近是否有竊聽裝置或無線電發射裝置。

（３）檢查計算機系統使用日志，看數據文件是否被存取過，是否屬于正常工作。

（４）檢查無關或作廢打印資料是否被及時銷毀，暫時不用的磁盤、磁帶上是否還殘留有數據。

四、對接觸類信息系統舞弊的審計

大多數計算機舞弊都與接觸信息系統有關，而此類舞弊則是只要有機會接觸計算機，即使其他控制措施非常嚴格，也能實施舞弊。

審查此類舞弊的方法有：

（１）檢查系統的物理安全措施，查明無關人員能否接觸計算機系統。

（２）檢查計算機硬件設施附近是否有竊聽或無線電發射裝置。

（３）注意使用殺毒軟件查殺病毒。

由于計算機舞弊具有高智能的特點，對其審查也需要高深的計算機專業技能。對審計人員來說，信息系統審計中最關鍵是要發現可疑之處，并取得有足夠說服力的審計證據。對于一些技術性審查，可請計算機專家協助。

前面已講過，計算機舞弊可以分為輸入類、程序類、輸出類和接觸類。對付這些不同手段的舞弊行為，審計人員必須掌握不同手法，既依靠自身經驗知識，又借助計算機系統輔助功能，才能最大限度保證審計工作的質量。