摘要分析了利用計算機進行會計舞弊的含義、動機、特點，在此基礎(chǔ)上就系統(tǒng)輸入、輸出、軟件方面的會計電算化舞弊行為如何開展審計和安全監(jiān)督進行了研究，提出了防止會計電算化舞弊的一些方法。

　　關(guān)鍵詞：會計；審計；計算機舞弊；非法程序；控制

　　20世紀40年代電子計算機的出現(xiàn)，使人類社會發(fā)生了劃時代的變化。1954年美國首次將電子計算機用于工資計算，標志著電子計算機進入了會計和管理領(lǐng)域。90年代下半葉網(wǎng)絡(luò)技術(shù)迅猛發(fā)展，進一步顯示出人類社會正在向信息社會過渡。而隨著會計電算化的普及，計算機舞弊和犯罪也越來越嚴重。美國計算機審計專家帕克1986年的兩個研究報告表明，在計算機數(shù)據(jù)處理環(huán)境下的舞弊金額是手工數(shù)據(jù)處理情況下的6倍，已給企業(yè)造成了巨大的經(jīng)濟損失，甚至危害到國家和地區(qū)的安全。本文就此對利用計算機進行會計信息舞弊的審計和安全防范問題作一些探討。

　　1、計算機舞弊的含義計算機舞弊包含兩個方面含義。一是指對計算機系統(tǒng)的舞弊。即把計算機系統(tǒng)當(dāng)作目標，對計算機硬件、計算機系統(tǒng)中的數(shù)據(jù)和程序、計算機的輔助設(shè)施和資源進行破壞或偷盜；二是利用計算機進行舞弊活動。即利用計算機作為實現(xiàn)舞弊的基本工具，利用計算機編制程序?qū)ζ渌到y(tǒng)進行犯罪活動。

　　2、計算機舞弊的動機舞弊者進行計算機舞弊大多出于以下幾種目的。

　　2 1　報復(fù)性舞弊

　　這是一種惡劣的舞弊。通常，舞弊者在計算機系統(tǒng)中安放一顆邏輯炸彈。一旦設(shè)定的“引信”被觸動，這顆邏輯炸彈就自動引發(fā)，使得有關(guān)文件全部被清除干凈。這種舞弊具有不良目的。他們故意作假，明知自己的行為是違法的，仍鋌而走險以身試法。

　　2 2　貪圖錢財?shù)奈璞?br>
　　舞弊者為了謀求私利，經(jīng)過預(yù)謀，周密策劃，采用公開或隱秘的非法手段進行舞弊。這類舞弊不易被發(fā)現(xiàn)。2 3自我滿足的舞弊這類舞弊者一般是被計算機的挑戰(zhàn)性所誘惑，利用自己的計算機技能進行非法的纂改程序和破壞程序的活動，以此證實自己的能力。

　　3、計算機舞弊的特點

　　從法律上來說，舞弊是一種民事犯罪行為。計算機舞弊是一種新的社會犯罪現(xiàn)象，它總是與計算機技術(shù)緊密聯(lián)系在一起的。與其他犯罪相比，計算機舞弊具有許多新的特點。

　　3 1　智能性高

　　首先，大多數(shù)計算機舞弊者具有相當(dāng)高的計算機專業(yè)技術(shù)知識和熟練的計算機操作技能。如，計算機程序員、管理員、操作員，等等。其次，舞弊者大多采用高科技手段。例如：直接或通過他人向計算機輸入非法指令，從而貪污、盜竊、詐騙錢款；借助電話、微波通信、衛(wèi)星、電臺等系統(tǒng)的傳輸，以遙控手段進行；通過制造、傳播計算機病毒，破壞計算機硬件設(shè)備和軟件功能、信息數(shù)據(jù)，等等。最后，舞弊者作案前一般都經(jīng)過周密的計劃和精心的準備，選擇最佳時機。這一切均說明計算機舞弊具有極高的智能性。

　　3 2　隱蔽性強

　　首先，計算機舞弊大多是通過程序和數(shù)據(jù)之類的電子信息操作來實現(xiàn)，直接目的往往也是這些電子數(shù)據(jù)和信息。其次，所需時間短。計算機執(zhí)行一項指令，長則幾秒鐘，短則零點幾秒或幾微秒，可見一般不受時間和空間限制。在全國、全球聯(lián)網(wǎng)的情況下，其操作可以在任何時間、地點進行。最后，舞弊后對計算機硬件和信息載體可不造成任何損壞，甚至未發(fā)生絲毫的改變，不留痕跡，因此也不易識別。

　　3 3　危害性大

　　由于計算機系統(tǒng)應(yīng)用的普遍性和計算機處理信息的重要性，因而對計算機舞弊的危害極其嚴重。由于計算機應(yīng)用普及面廣，涉及到金融、軍事、政治等方面，因而社會資產(chǎn)計算機化的程度越高，計算機作用越大，那么發(fā)生計算機舞弊的機率也就越高，社會危害性也就越大。

　　4、對計算機舞弊的審計和安全監(jiān)督

　　由于計算機資產(chǎn)本身高價值的吸引力，由于計算機舞弊所面臨的法律上的取證困難、審判困難情況，由于計算機安全技術(shù)水平的落后，再加上計算機系統(tǒng)本身的薄弱環(huán)節(jié)，如計算機信息容易泄露，安全存取控制功能還不完善，致使計算機舞弊行為越來越猖獗。要想有效地控制計算機舞弊，必須完善有關(guān)計算機安全與犯罪的立法，積極開展計算機系統(tǒng)的審計與安全監(jiān)督，完善各單位的內(nèi)部控制系統(tǒng)。另外，審查計算機舞弊首先要對被審單位內(nèi)部控制系統(tǒng)進行評價，找出其內(nèi)控的薄弱環(huán)節(jié)，確定其可能采用的舞弊手段，有針對性地實施技術(shù)性審查和取證。在此，我們希望能探討出一些有效審查計算機舞弊，控制和防止計算機舞弊的方法。

　　由于舞弊者主要通過輸入、輸出、軟件這

　　三個途徑入侵系統(tǒng)，下面就從這三方面來探討對計算機舞弊的審計方法。

　　4 1　系統(tǒng)輸入類舞弊的審計目前，通過計算機系統(tǒng)的輸入進行舞弊的情況在我國發(fā)生比較多。而這些系統(tǒng)內(nèi)部控制的弱點比較明顯：職責(zé)分工不明確，對不相容職責(zé)沒有適當(dāng)?shù)姆止?；接觸控制不完善，不能有效地防止未經(jīng)授權(quán)批準的人接觸計算機，口令大家都知道；無嚴格的操作權(quán)限控制，沒有設(shè)置不同等級的權(quán)限；系統(tǒng)缺乏輸入核對控制；輸入環(huán)節(jié)的程序化控制不完善，等等。而舞弊者大多是參與業(yè)務(wù)處理的人員、源數(shù)據(jù)提供人員、能夠接觸但不參與業(yè)務(wù)的人員，包括企業(yè)外部的“黑客”。因此我們可以從以下幾點來控制和審計。

　　4 1 1　應(yīng)用傳統(tǒng)方式審查手工記帳憑證與原始憑證的合法性。

　　4 1 2　人工控制和自動校檢相結(jié)合。要進行責(zé)任分工，使不相容職務(wù)相分離。將業(yè)務(wù)員經(jīng)辦的業(yè)務(wù)和數(shù)據(jù)記錄、審核、批準分開，輸入的關(guān)鍵數(shù)據(jù)要采用分批總數(shù)控制法。對輸入的數(shù)據(jù)可分開在兩臺電腦上輸入以控制校驗，也可以用輸入的時間和其他有關(guān)鑒別符進行控制；輸入后要及時作備份，留有修改的審計線索。

　　4 1 3　測試數(shù)據(jù)的完整性，提供差異的情況。

　　41 4　對輸出報告進行分析，核實例外情況，看有無異常情況或涂改行為。

　　4 1 5因為仿真舞弊者有計算機設(shè)計專長并與熟悉仿真對象系統(tǒng)的專業(yè)人員配合，所以必須審查仿真運行的記錄日記，了解計算機專業(yè)人員參與仿真的情況。

　　4 2　系統(tǒng)軟件類舞弊的審計

　　這類舞弊者大部分是計算機專家，因此具有高智能、隱蔽性的特點，對系統(tǒng)的破壞也極大。他們通常采用截尾術(shù)、隱藏邏輯炸彈、活動天窗、計算機病毒來作案。

　　通常，舞弊者主要利用以下內(nèi)部控制的弱點：電算部門與用戶部門的職責(zé)分離不恰當(dāng)，如程序員兼任操作員；系統(tǒng)開發(fā)控制不嚴，如用戶單位沒有對開發(fā)過程進行監(jiān)督，沒有詳細檢查系統(tǒng)開發(fā)過程中產(chǎn)生的文檔，容易被留下“活動天窗”或埋下“邏輯炸彈”；系統(tǒng)維護控制不嚴，如程序員可隨時調(diào)用機內(nèi)程序進行修改；接觸控制不完善，如操作員可接觸系統(tǒng)的源程序及系統(tǒng)的設(shè)計文檔。因此我們可以采用以下審計和控制方法。

　　4 2 1　對有可能接觸程序修改和開發(fā)的人員進行嚴格的職業(yè)道德教育，并在開發(fā)、維護和使用過程中，嚴格實行開發(fā)管理制度。

　　4 2 2　用特殊的數(shù)據(jù)進行測試。應(yīng)用模擬數(shù)據(jù)或真實數(shù)據(jù)測試被審系統(tǒng)，檢查其處理結(jié)果與預(yù)期結(jié)果是否一致；檢查源程序，重新計算并注意截尾數(shù)據(jù)的取證。

　　4 2 3　檢查程序編碼，核對源程序的基本功能，測試可疑的程序，看其是否有非法的源程序，是否埋下“邏輯炸彈”和“活動天窗”。同時，注意程序的設(shè)計邏輯和處理功能是否恰當(dāng)、正確，以檢查是否存在截尾術(shù)舞弊。

　　4 2 4　進行程序比較。將實際運行中的應(yīng)用軟件的目標代碼或源代碼與經(jīng)過審計的相應(yīng)備份軟件相比較，以確定是否有未經(jīng)授權(quán)的程序變動。

　　4 2 5　進行程序追蹤。追蹤那些潛在的可能成為其他非法目的所利用的編碼段；在平時的使用過程中，對可疑的人獲取的收入應(yīng)進行追蹤。

　　4 2 6　利用防火墻、漏洞掃描技術(shù)或入侵檢測系統(tǒng)來保障系統(tǒng)數(shù)據(jù)的安全，防止計算機病毒的入侵。

　　4 3　系統(tǒng)輸出類舞弊的審計

　　該類舞弊者除了篡改輸出報告的為內(nèi)部用戶外，大多為外來者。有簡單的“拾遺者”，更多的是間諜。他們主要通過拾遺、突破密鑰、篡改輸出報告、盜竊或截取機密文件等手段作案。例如：美國德克薩斯計算機計時服務(wù)部有幾家石油公司顧客，某顧客使用計算機服務(wù)時，總是要求將暫存磁帶裝入磁帶驅(qū)動器。計算機操作員發(fā)現(xiàn)讀帶燈總是在寫帶燈亮之前亮起，引起該操作員的警覺。經(jīng)過調(diào)查，發(fā)現(xiàn)該顧客想竊取各石油公司存在暫存帶上的地震數(shù)據(jù)，然后賣給某石油公司賺取巨額收益。他們主要利用了以下內(nèi)部控制的弱點：輸出控制不健全，如對廢棄的打印輸出信息沒有及時送到指定的人員手中；接觸控制不完善，如無關(guān)人員可隨便進入機房，無專人保管系統(tǒng)輸出的數(shù)據(jù)磁盤，或雖有專人保管無借用手續(xù)；傳輸控制不完善，如網(wǎng)絡(luò)系統(tǒng)的遠程傳輸數(shù)據(jù)沒有經(jīng)過加密傳輸，容易被截取。因此我們可以采用以下審計和控制方法。

　　4 3 1　檢查無關(guān)或作廢的打印資料是否及時銷毀，暫時不用的磁盤、磁帶是否還殘留數(shù)據(jù)。

　　4 3 2　審查計算機運行的記錄日記和拷貝傳送數(shù)據(jù)的時間和內(nèi)容，了解訪問會計數(shù)據(jù)處理人員，分析數(shù)據(jù)失竊的可能性，追蹤審計線索。

　　4 3 3　對有可能接觸程序修改和開發(fā)的人員進行嚴格的職業(yè)道德教育，在使用過程中實行嚴格的計算機使用日記管理制度，并對重要的原始數(shù)據(jù)實行多種隱蔽性的備份制度。

　　4 3 4　向計算機重要數(shù)據(jù)的管理人員了解原始備份文件和被拷貝的內(nèi)容，分析特殊的數(shù)據(jù)舞弊線索。

　　4 3 5　采用一些先進的數(shù)據(jù)加密技術(shù)來保障系統(tǒng)的安全。當(dāng)今的數(shù)據(jù)加密技術(shù)可分為三類：一類為單鑰體制（對稱型加密）。該技術(shù)使用單個密鑰對數(shù)據(jù)進行加密或解密。其計算量小，加密效率高，但密鑰管理困難，使用成本較高，保密安全性能也不容易保證；另一類為雙鑰體制（不對稱型加密）。該技術(shù)采用兩個密鑰將加密、解密分開。公用密鑰在網(wǎng)上公布，為數(shù)據(jù)源對數(shù)據(jù)加密使用，而用于解密的相應(yīng)私用密鑰則由數(shù)據(jù)的收集方妥善保管。這種不對稱的算法特別適合于分布式系統(tǒng)中的數(shù)據(jù)加密。還有一種叫不可逆加密。這種方法的加密過程不需要密鑰，只有同樣的輸入數(shù)據(jù)經(jīng)過同樣的不可逆算法才能得到相同的值。該加密系統(tǒng)開銷較大，時間較長。

　　5、結(jié)束語計算機在數(shù)據(jù)處理方面已成為一種不可缺少的工具，它給廣大的會計人員和數(shù)據(jù)處理人員所帶來的便利是無庸置疑的。而在我國，由于計算機審計剛剛起步，審計的理論和技術(shù)方法遠遠跟不上會計電算化的發(fā)展。這就促使我們對于頻繁出現(xiàn)的計算機舞弊和犯罪案件必須研究如何采取有效的方法進行防范和揭露，以保障計算機系統(tǒng)的安全，維護企業(yè)、國家、社會的正當(dāng)利益。