論計(jì)算機(jī)信息系統(tǒng)舞弊審計(jì)的分類與解決

［摘要］ 近10年來的實(shí)踐證明，有效的經(jīng)濟(jì)責(zé)任審計(jì)已成為監(jiān)督干部、考察了解干部、教育干部的重要手段，是純潔干部隊(duì)伍、規(guī)范干部經(jīng)濟(jì)行為的主要途徑，是有效預(yù)防職務(wù)犯罪，減少?zèng)Q策失誤，減少損失浪費(fèi)的重要舉措?？茖W(xué)衡量績(jī)效，是任用和管理領(lǐng)導(dǎo)干部的前提，績(jī)效評(píng)估既體現(xiàn)領(lǐng)導(dǎo)干部工作的質(zhì)量和結(jié)果，又體現(xiàn)其工作的過程和效率；既體現(xiàn)領(lǐng)導(dǎo)干部的思維層次和水平，又體現(xiàn)領(lǐng)導(dǎo)干部的駕馭能力和執(zhí)行能力，效益審計(jì)在領(lǐng)導(dǎo)干部的經(jīng)濟(jì)責(zé)任審計(jì)中越來越顯現(xiàn)出它的重要性。在經(jīng)濟(jì)責(zé)任審計(jì)中開展效益審計(jì)，是經(jīng)濟(jì)發(fā)展的客觀要求，也是審計(jì)機(jī)關(guān)審計(jì)使命所決定的。如何將效益審計(jì)與經(jīng)濟(jì)責(zé)任審計(jì)有效結(jié)合，筆者將作出初步的探討。

［關(guān)鍵詞］ 經(jīng)濟(jì)責(zé)任；效益；審計(jì)；結(jié)合

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2011 . 18. 030

［中圖分類號(hào)］F239.1 ［文獻(xiàn)標(biāo)識(shí)碼］A ［文章編號(hào)］1673 - 0194（2011）18- 0046- 02

信息系統(tǒng)審計(jì)是審計(jì)全過程的一個(gè)組成部分，它是一個(gè)獲取并評(píng)價(jià)證據(jù)，判斷信息系統(tǒng)是否能保證資產(chǎn)安全、數(shù)據(jù)完整及有效利用組織資源實(shí)現(xiàn)目標(biāo)的過程。它是立足于組織戰(zhàn)略目標(biāo)并為有效實(shí)現(xiàn)，而采取的一切活動(dòng)過程。

由于我國(guó)的信息系統(tǒng)審計(jì)工作尚未完全開展，一些計(jì)算機(jī)審計(jì)的探索與嘗試仍局限在電子數(shù)據(jù)的采集與處理階段，對(duì)信息系統(tǒng)安全與控制問題還未充分認(rèn)識(shí)。計(jì)算機(jī)信息系統(tǒng)管理的復(fù)雜性與軟件的先天不足等因素導(dǎo)致信息系統(tǒng)安全性降低、信息與財(cái)富的集中性，計(jì)算機(jī)犯罪風(fēng)險(xiǎn)的巨大誘惑性，法律對(duì)于計(jì)算機(jī)犯罪模式、計(jì)算機(jī)道德的滯后性等原因，造成計(jì)算機(jī)舞弊伴隨計(jì)算機(jī)廣泛應(yīng)用而產(chǎn)生并且迅速蔓延。

計(jì)算機(jī)舞弊可分為輸入類、程序類、輸出類和接觸類4種類型。

一、輸入類信息系統(tǒng)舞弊的審計(jì)

對(duì)輸入數(shù)據(jù)進(jìn)行舞弊是信息系統(tǒng)舞弊中最常見的方法。這類計(jì)算機(jī)舞弊主要是在系統(tǒng)輸入環(huán)節(jié)做文章，通過偽造、篡改、冒充他人身份或輸入虛假數(shù)據(jù)達(dá)到非法目的。我國(guó)目前發(fā)現(xiàn)的計(jì)算機(jī)舞弊現(xiàn)象多數(shù)為此類型。它主要利用了內(nèi)部控制的下列弱點(diǎn)：

（１）職責(zé)分工不明確。

（２）無嚴(yán)格操作權(quán)限控制。信息系統(tǒng)處理和存儲(chǔ)著本單位全部或大部分業(yè)務(wù)數(shù)據(jù)，一般應(yīng)根據(jù)數(shù)據(jù)的重要程度設(shè)不同等級(jí)權(quán)限。

（３）沒有建立控制日志?？刂迫罩灸軐?duì)所有接觸信息系統(tǒng)的企業(yè)及操作進(jìn)行監(jiān)督記錄。

（４）其他輸入控制的不完善。作案者主要是系統(tǒng)的內(nèi)部用戶和計(jì)算機(jī)操作員，他們比較了解系統(tǒng)的運(yùn)行狀況和內(nèi)部控制的薄弱環(huán)節(jié)，利用工作上的便利實(shí)施犯罪。

可能實(shí)施這類舞弊的人員包括：參與業(yè)務(wù)處理、數(shù)據(jù)準(zhǔn)備、原數(shù)據(jù)提供、能夠接觸數(shù)據(jù)但不參與業(yè)務(wù)處理的人員。

針對(duì)輸入篡改類舞弊，審計(jì)人員可以采用如下方法審查：

（１）可以用傳統(tǒng)方法審查工作記賬憑證與原始憑證的合法性。首先，審計(jì)人員應(yīng)抽查部分原始單據(jù)，重點(diǎn)使用審閱法確定業(yè)務(wù)發(fā)生的真實(shí)性，判斷原始單據(jù)來源是否合法，其數(shù)據(jù)有無被篡改，金額是否公允等。其次，采用核對(duì)法將記賬憑證和原始單據(jù)內(nèi)容、數(shù)據(jù)進(jìn)行核對(duì)，審計(jì)計(jì)算機(jī)處理起點(diǎn)是否正確。最后再進(jìn)行賬賬核對(duì)。

（２）應(yīng)用抽查審計(jì)技術(shù)，將機(jī)內(nèi)部分與手工賬憑證進(jìn)行核對(duì)，審查輸入憑證的真實(shí)性。根據(jù)被審對(duì)象所輸入的憑證通過手工操作，將處理的結(jié)果與計(jì)算機(jī)處理系統(tǒng)的輸出結(jié)果進(jìn)行對(duì)比，檢驗(yàn)其是否一致。

（３）測(cè)試數(shù)據(jù)的完整性。審計(jì)人員模擬一組被審計(jì)單位的計(jì)算機(jī)數(shù)據(jù)處理系統(tǒng)的數(shù)據(jù)輸入，使該系統(tǒng)在審計(jì)人員的親自操作和控制下，根據(jù)數(shù)據(jù)處理系統(tǒng)所能達(dá)到的功能要求，完成處理過程，得到的數(shù)據(jù)與事先計(jì)算機(jī)處理得到的結(jié)果相比較，檢驗(yàn)原來數(shù)據(jù)與現(xiàn)有數(shù)據(jù)之間是否保持一致。

（４）對(duì)輸出報(bào)告進(jìn)行分析，檢查有無異常或涂改情況。如與審計(jì)相關(guān)的賬冊(cè)、報(bào)表、操作日志、上機(jī)記錄等要打印備查。

（５）對(duì)數(shù)據(jù)進(jìn)行安全性審查。審查數(shù)據(jù)在輸入前后是否接受了各種驗(yàn)證。包括：責(zé)任分工，如網(wǎng)絡(luò)電子數(shù)據(jù)處理部門內(nèi)部，以及與用戶部門是否職責(zé)分明、職權(quán)分離；其目的是保證不相容職責(zé)由不同的人擔(dān)任，以及相互間的監(jiān)督；經(jīng)辦人員分別負(fù)責(zé)制作、檢查、簽字工作、或者實(shí)行雙重負(fù)責(zé)制。

（６）對(duì)操作權(quán)限進(jìn)行審查。審查是否有非法越權(quán)或泄密行為。包括：身份檢驗(yàn)，驗(yàn)證訪問者身份是否與被賦權(quán)限一致；存取控制權(quán)限的控制情況，密級(jí)——絕密、機(jī)密、秘密、內(nèi)部、敏感，分工——系統(tǒng)開發(fā)人員、系統(tǒng)管理員、操作員、用戶等。

二、對(duì)程序類信息系統(tǒng)舞弊的審計(jì)

這類舞弊主要通過非法改動(dòng)計(jì)算機(jī)程序，或在程序開發(fā)階段預(yù)先留下非法指令，使得系統(tǒng)運(yùn)行時(shí)處理功能出現(xiàn)差錯(cuò)，或程序控制功能失效，以達(dá)到破壞系統(tǒng)、謀取私利的目的。實(shí)施這類舞弊需要計(jì)算機(jī)專業(yè)知識(shí)和較高的編程技術(shù)，所以該類舞弊實(shí)施主體只能是計(jì)算機(jī)專業(yè)人員。這類舞弊活動(dòng)主要利用內(nèi)部控制下列弱點(diǎn)：信息系統(tǒng)數(shù)據(jù)處理部門與業(yè)務(wù)部門職責(zé)分離不當(dāng)；系統(tǒng)維護(hù)、開發(fā)接觸不嚴(yán)等。

三、對(duì)輸出類信息系統(tǒng)舞弊的審計(jì)

輸出類信息系統(tǒng)舞弊主要通過篡改系統(tǒng)輸出報(bào)告、盜竊或截取機(jī)密文件、商業(yè)秘密來實(shí)施舞弊。這類舞弊的主體，除了篡改輸出報(bào)告為內(nèi)部用戶外，其余多為外來者，有簡(jiǎn)單的“撿垃圾者”，更多是間諜人員。

如與輸出相關(guān)的內(nèi)部控制措施不健全，就可能出現(xiàn)此類型。

對(duì)此類舞弊活動(dòng)的一般審查方法有：

（１）詢問能觀察到敏感數(shù)據(jù)運(yùn)動(dòng)的數(shù)據(jù)處理人員。

（２）檢查計(jì)算機(jī)硬件設(shè)施附近是否有竊聽裝置或無線電發(fā)射裝置。

（３）檢查計(jì)算機(jī)系統(tǒng)使用日志，看數(shù)據(jù)文件是否被存取過，是否屬于正常工作。

（４）檢查無關(guān)或作廢打印資料是否被及時(shí)銷毀，暫時(shí)不用的磁盤、磁帶上是否還殘留有數(shù)據(jù)。

四、對(duì)接觸類信息系統(tǒng)舞弊的審計(jì)

大多數(shù)計(jì)算機(jī)舞弊都與接觸信息系統(tǒng)有關(guān)，而此類舞弊則是只要有機(jī)會(huì)接觸計(jì)算機(jī)，即使其他控制措施非常嚴(yán)格，也能實(shí)施舞弊。

審查此類舞弊的方法有：

（１）檢查系統(tǒng)的物理安全措施，查明無關(guān)人員能否接觸計(jì)算機(jī)系統(tǒng)。

（２）檢查計(jì)算機(jī)硬件設(shè)施附近是否有竊聽或無線電發(fā)射裝置。

（３）注意使用殺毒軟件查殺病毒。

由于計(jì)算機(jī)舞弊具有高智能的特點(diǎn)，對(duì)其審查也需要高深的計(jì)算機(jī)專業(yè)技能。對(duì)審計(jì)人員來說，信息系統(tǒng)審計(jì)中最關(guān)鍵是要發(fā)現(xiàn)可疑之處，并取得有足夠說服力的審計(jì)證據(jù)。對(duì)于一些技術(shù)性審查，可請(qǐng)計(jì)算機(jī)專家協(xié)助。

前面已講過，計(jì)算機(jī)舞弊可以分為輸入類、程序類、輸出類和接觸類。對(duì)付這些不同手段的舞弊行為，審計(jì)人員必須掌握不同手法，既依靠自身經(jīng)驗(yàn)知識(shí)，又借助計(jì)算機(jī)系統(tǒng)輔助功能，才能最大限度保證審計(jì)工作的質(zhì)量。