怎樣防范會計網(wǎng)絡(luò)化系統(tǒng)的舞弊

　　一、 計算機環(huán)境下舞弊的方法和手段

    （一）針對系統(tǒng)硬件的舞弊。

      （1）非法操作。計算機系統(tǒng)的操作人員對硬件設(shè)備的不正確操作即不按規(guī)定的程度使用硬件設(shè)備可以引起系統(tǒng)的損壞，從而危害系統(tǒng)的安全至系統(tǒng)完全毀滅。

      （2）毀壞、盜竊硬件設(shè)施、掩蓋舞弊。有些破壞者出于某種目的，如發(fā)泄私憤或謀取不法利益或竊取對方企業(yè)的重要信息或掩蓋舞弊罪行，用暴力的方式破壞、盜竊計算機設(shè)備，后果嚴(yán)重。

      （3）非法插入硬件裝置。在原有的計算機系統(tǒng)中，非法加入硬件設(shè)備，如一筆收入記賬時后臺人員出于非法目的接入備用機運行，操作者在前臺終端看到該收入已經(jīng)入賬，實際并未入賬，資金被轉(zhuǎn)移或者在通訊設(shè)備中裝入一定裝置截取機密。

      （4）破壞傳輸系統(tǒng)。對于網(wǎng)絡(luò)系統(tǒng)來說，傳輸系統(tǒng)無疑是生命線，破壞傳輸系統(tǒng)可以使系統(tǒng)中斷甚至癱瘓。

　　（二）針對軟件系統(tǒng)的舞弊。

      （1）在計算機程序中，暗地編進非法指令，使之執(zhí)行未經(jīng)授權(quán)的功能，這些指令能夠在被保護或限定的程序范圍內(nèi)接觸所有供程序使用的文件。這是最常見的軟件舞弊而且不易被發(fā)現(xiàn)和預(yù)防。

      （2）通過在單位的軟件系統(tǒng)中加入非法的程序，從系統(tǒng)處理的大數(shù)量的資財中截取一小部分轉(zhuǎn)入預(yù)先設(shè)計好的數(shù)據(jù)文件中，在總體上不易被發(fā)現(xiàn)。

      （3）有些應(yīng)用系統(tǒng)開發(fā)時，程序員插進密碼和為程度調(diào)試手段或以后維護和改系統(tǒng)時使用，稱作“天窗”，在正常情況下，程序終止編輯時，天窗即被取消，如果系統(tǒng)中有意插入或無意留下的天窗被利用，則系統(tǒng)必然存在安全隱患。

      （4）軟件程序中加入“邏輯炸彈”。邏輯炸彈是計算機系統(tǒng)中適時或安定期執(zhí)行的一種破壞性程序，它通過設(shè)定系統(tǒng)中未經(jīng)授權(quán)的有害事件的發(fā)生條件，當(dāng)系統(tǒng)運行過程中引發(fā)或滿足其具體條件時產(chǎn)生破壞的行為。

      （5）聯(lián)機實時系統(tǒng)中，計算機系統(tǒng)自動驗證用戶身份，如果某隱蔽的終端通過電話接轉(zhuǎn)設(shè)備與同一線路連接，并在合法用戶沒有使用終端之前運行，則計算機有可能無法進行區(qū)分，只能認定前者為合法用戶，使作弊者乘虛而入。

      （6）冒名頂替是作弊者通過各種方法獲得被作弊系統(tǒng)合法用戶的口令、指紋等系統(tǒng)用以驗證身份的信息，然后以合法身份登錄系達到舞弊目的的方法。

　　（三）針對數(shù)據(jù)發(fā)生的舞弊。

      （1）篡改輸入是計算機舞弊中最簡單、最常用的方法。它是指數(shù)據(jù)在輸入計算機之前或輸入過程中被篡改，使舞弊數(shù)據(jù)進入系統(tǒng)。

      （2）非法操作是包括合法用戶不按操作規(guī)程操作系統(tǒng)或非法用戶非法操作系統(tǒng)、改變計算機系統(tǒng)的執(zhí)行路徑從而可能破壞數(shù)據(jù)安全的行為。

      （3）篡改輸出。由于數(shù)據(jù)存儲在磁盤、光盤、膠片之類的信息媒體上，人的肉眼無法直接識別，操作者通過篡改輸出以蒙蔽檢查而數(shù)據(jù)文件中的實際數(shù)據(jù)已被更改的舞弊。

      （4）數(shù)據(jù)傳輸泄露。計算機要通過電話線、網(wǎng)絡(luò)、衛(wèi)星等傳輸媒介來傳輸信息。如不采取有效的安全保護措施，都存在著傳輸泄露。如通過一定設(shè)備在網(wǎng)絡(luò)數(shù)據(jù)傳輸過程中直接截取信息、接收計算機設(shè)備和通訊線路輻射出的電磁波信號等是高技術(shù)環(huán)境下不能忽視的。

      （5）數(shù)據(jù)存儲泄露。計算機和各種網(wǎng)絡(luò)隨時不斷向軟磁盤、硬盤、光盤等介質(zhì)上存放信息，包括保密信息。如沒有有效的保護，就有丟失和被人竊取的可能。

      （6）廢載體信息泄露。計算機系統(tǒng)的信息都存儲在芯片、軟盤、硬盤等載體上，由于操作不當(dāng)或機器發(fā)生故障等原因，可能造成這些信息載體的報廢。報廢的載體若管理不當(dāng)經(jīng)某種技術(shù)處理就可以獲得其內(nèi)部信息而被利用。

　�。ㄋ模┯嬎銠C病毒。網(wǎng)絡(luò)化系統(tǒng)中，計算機病毒不再主要靠磁盤或光盤傳播，開始通過網(wǎng)絡(luò)傳播。各種軟件的頻繁安裝、卸載、互聯(lián)網(wǎng)收發(fā)郵件、下載各種軟件及訪問各種站點都成了病毒的可能來源，對會計信息系統(tǒng)構(gòu)成了極大的威脅。

　�。ㄎ澹┚W(wǎng)絡(luò)黑客。黑客是指非授權(quán)侵入網(wǎng)絡(luò)的用戶或程序，它是網(wǎng)絡(luò)系統(tǒng)最大的外界威脅，主要通過各種方式捕獲合法用戶的信息尤其是口令、信用卡密碼等或者對系統(tǒng)進行強行攻擊，登陸系統(tǒng)后進行非法活動。

　　二、防范舞弊應(yīng)該注意的問題對于計算機舞弊應(yīng)堅持預(yù)防為主、及時發(fā)現(xiàn)、消除隱患、設(shè)法補救、減少損失的原則。

　�。ㄒ唬┫到y(tǒng)本身施加必要的控制。首先，通過設(shè)置“防火墻”，使用入侵檢測軟件，檢測出互聯(lián)網(wǎng)上非法入侵的黑客，并將它拒內(nèi)部網(wǎng)絡(luò)之外；其次，可以采用磁盤雙工和磁盤鏡像或者雙機熱備份等補救措施；同時軟件功能上施加必要的控制，比如用戶誤操作時增加必要的提示并自動中斷程序的執(zhí)行；突然斷電、程序運用戶的突然干擾等偶發(fā)事故時能自動保護好原有的文件；設(shè)計適用計算機處理的會計程序；對輸入系統(tǒng)的數(shù)據(jù)、代碼等進行必要檢驗；對憑證、財務(wù)報表、基礎(chǔ)數(shù)據(jù)等的修改進行必要限制等。

　�。ǘ�）做好管理工作，防止舞弊的發(fā)生。

     （1）實行用戶分級授權(quán)管理，按照網(wǎng)絡(luò)化會計系統(tǒng)業(yè)務(wù)的需求各會計崗位，建立崗位責(zé)任制，并通過為每個用戶進行系統(tǒng)功能授權(quán)落實其責(zé)任和權(quán)限。

     （2）建立一定的內(nèi)部牽制，系統(tǒng)的所有崗位要職責(zé)范圍清楚，同時做到不相容職務(wù)的分離，有一定的內(nèi)部牽制作保障。

     （3）建立必要的上機操作控制和系統(tǒng)運行記錄。嚴(yán)格安裝、操作硬件規(guī)程，操作員進入系統(tǒng)后執(zhí)行程序的規(guī)程，硬件設(shè)備、數(shù)據(jù)文件和程序文件的使用要求，處理系統(tǒng)偶發(fā)事故的操作要求；同時通過系統(tǒng)自動記錄和人工記錄對各用戶操作系統(tǒng)的活動予以登記。

     （4）嚴(yán)格硬件管理，確保硬件設(shè)備的正常運行。系統(tǒng)人員各自管理和使用職責(zé)范圍內(nèi)的硬件設(shè)備，不得越權(quán)使用；禁止非計算機操作人員使用計算機系統(tǒng)。

     （5）系統(tǒng)的所有程序文件、軟、硬件技術(shù)資料、會計數(shù)據(jù)文件等應(yīng)作為檔案加強管理，嚴(yán)格限制無權(quán)用戶、有權(quán)用戶非正常時間等對其不正常接觸，正常使用也應(yīng)進行詳細的登記。

     （6）建立預(yù)防病毒和黑客的措施。堅持使用正版軟件，不打開和閱讀來歷不明的電子郵件，經(jīng)常對計算機磁盤進行病毒檢測；抓好網(wǎng)內(nèi)主機的管理，嚴(yán)格限制用戶在其進行非業(yè)務(wù)操作活動；盡量做到有條件的限制（允許）網(wǎng)上訪問；加強對包括路由、連接調(diào)制解調(diào)器的電腦號碼及所用的通信軟件和種類、網(wǎng)內(nèi)的用戶名等重要資料的保密。

     （7）制定適用、有效的網(wǎng)絡(luò)安全策略和計劃并保證其有效實施，提高企業(yè)領(lǐng)導(dǎo)對信息系統(tǒng)安全的認識，提高使用人員的業(yè)務(wù)素質(zhì)修養(yǎng)，使其能夠自覺遵守各種規(guī)章制度和操作規(guī)程，減少工作中的差錯，增強保護系統(tǒng)安全的自覺性，培養(yǎng)知識結(jié)構(gòu)全面的網(wǎng)絡(luò)系統(tǒng)管理員等都是保證系統(tǒng)安全的重要因素。

　　（三）加強系統(tǒng)審計，及時發(fā)現(xiàn)錯弊。

首先，提高查弊的實時性，加強在線審計。網(wǎng)絡(luò)系統(tǒng)中應(yīng)預(yù)留接口，審計時，審計人員通過終端聯(lián)機直接調(diào)用系統(tǒng)中的有關(guān)資料和數(shù)據(jù)然后采用有關(guān)的審核、模擬處理、假設(shè)黑客攻擊等多種法方法測試、審核、分析、評價會計軟件、網(wǎng)絡(luò)的安全性；其次，堅持人工審查和計算機審核相結(jié)合，手工填制的原始單據(jù)、簡單業(yè)務(wù)的處理、非軟件程序控制制度和措施的有效性等仍然采用原來手工審計的方法，而特定業(yè)務(wù)處理和重要數(shù)據(jù)、復(fù)雜的處理過程、程序化的控制措施的有效性等的審計利用計算機系統(tǒng)進行；第三，系統(tǒng)投入使用前對硬件、系統(tǒng)軟件、會計軟件的可靠性，網(wǎng)絡(luò)的安全體系，會計軟件是否具有保留和提供審計線索及必要的控制和功能等進行必要的審計。