论计算机财务舞弊的预防与检查
[摘 要] 财务电算化是机技术和财务管理相结合的产物。如果产生舞弊现象,将会给有关各方带来不可估量的损失。本文通过对舞弊产生的原因,舞弊者所使用的舞弊手法和特点的分析,提出了预防和检查利用计算机进行舞弊的措施。
[关键词] 计算机;舞弊;预防;检查
一、研究背景
随着计算机的迅猛和应用,人类社会正进入“电算化理财”的时代。计算机的应用极大地提高了公司财务管理效率,把财务人员从繁重的记账报账中解放出来,财务部门也在信息的处理和反馈中发挥着更大的作用。
但是,技术是一把双刃剑,在给财务人员带来方便快捷的同时,也给一些别有用心的人提供了可乘之机。目前,国内国外利用计算机进行舞弊的案件呈日趋上升的态势,计算机舞弊也称计算机犯罪,是指以计算机为手段,通过故意掩盖真相、制造假相等方式,达到其实施不法行为的目的。对计算机犯罪及其防治予以高度重视,已成世界各国不争事实。
自1966年美国查处的第一起计算机犯罪案算起,世界范围内的计算机犯罪以惊人的速度在增长。与传统的犯罪相比,计算机犯罪所造成的损失要严重得多。美国的统计资料表明:银行欺诈案的平均损失只有1.9万美元,而平均每起计算机犯罪造成的损失则高达45万美元。正如美国Inter Pact公司的通讯顾问温·施瓦图所警告的: “……他们轻敲一下键盘,损失就可能降临到数以百万计的人们身上。”
由于计算机应用于我国商业企业领域,是近十年发生的事,相应法制不健全、内部控制制度不完善及工作人员综合素质低等各种因素,导致计算机犯罪的案件层出不穷且犯罪手法越来越高明。我国于1986年首次发现计算机犯罪,计算机犯罪呈迅猛增长态势。有专家预测,“在今后 5~10年左右,我国的计算机犯罪将会大量发生,从而成为社会危害性最大、最危险的一种犯罪。”
这迫使我们财务人员和领导者必须去了解和研究计算机舞弊的情况,掌握和不断发展新的审计技术来对付这类问题,防范于未然。本文将从计算机舞弊行为发生的原因及其常用的手法分析入手,寻求有效的预防和检查措施。
二、计算机舞弊发生的原因
1.人为方面的原因
(1)舞弊者自身的心态和目的。如果舞弊者有着贪财、报复、制造混乱、自我满足,解决困难、帮助他人等心态和目的,就有可能诱发舞弊行为。如受利益驱动、报复单位、展示才华等等。
(2)财务操作人员和审计人员综合素质低。当前,财务操作人员的计算机应用能力普遍较差,有的甚至不会操作,更谈不上对计算机舞弊行为的辨识;同时,大量的审计人员也不懂或不精通计算机技术,面对当前电算化程度日益提高的审计实务,往往显得力不从心。
(3)内部控制制度不完善。原来手工操作中一些有效的内部控制制度已不起作用,原有的办法和制度更加不适应新形势的发展需要。
(4)相关不健全。目前我国在计算机方面特别是财务电算化方面的法律可操作性不强,对财务电算化违法行为缺乏有效的约束力。
2.计算机自身方面的原因
(1)财务软件自身存在缺陷。我国已通过财政部门鉴定批准的财务软件多达几十种,有的财务软件操作过程缺乏性,数据安全保密性较差,密码容易被破解。同时,一些别有用心的程序员在进行软件开发时可能私下会对程序做出不法行为,如留下后门、设置逻辑炸弹等。
(2)计算机病毒的攻击。计算机病毒能够破坏计算机系统的正常运行和所储存的数据资料,甚至能破坏计算机主板。尤其是财务电算化现在已由单机系统发展到系统,病毒一旦入侵,就可以导致整个网络的瘫痪。
(3)计算机网络系统增加了风险。一方面,数据在传输过程中,由于使用的是开放式的TCP/IP协议,电算化系统的信息数据有可能在局域网或互联网上遭到非法拦截、修改;另一方面,通过破解密码和利用操作系统本身的漏洞,计算机系统也可能遭到“黑客”的非法入侵和攻击,导致信息泄漏或系统瘫痪。
三、计算机舞弊手法及特点分析
根据计算机舞弊手法的技术含量、难易程度,本文将其分为初级、中级、高级舞弊手法。下面分别进行介绍:
1.初级舞弊手法及特点分析
初级舞弊手法包括篡改输入和输出、篡改程序设置、篡改数据库文件等手法。其特点是利用内部控制薄弱点宋达到非法牟利目的,这是舞弊人员最常用的手法。该舞弊手法的“缺点”是隐蔽性不强,容易被识破。
(1)篡改输入和输出
篡改输入是指舞弊者在将经济业务数据输入到财务信息系统的过程中,通过对虚构、修改和删除业务数据来达到舞弊目的的一种手法。篡改输出是指将财务信息系统中已存在的数据资料进行非法输出,以达到舞弊目的。
(2)篡改程序设置
篡改程序设置是指舞弊者通过篡改软件初始化设置的途径来达到舞弊目的的一种手法。例如,财务软件内都有对金额计算的四舍五入位的控制,舞弊者将计算中的四舍五入部分逐笔积累起来,然后通过某种途径将这些小零头数据,转移到其他账户中,表面上却看不出任何违规之处。
(3)篡改数据文件
篡改数据文件是指通过维护程序或直接通过终端来修改数据文件来达到舞弊目的的一种手法。舞弊者利用数据库文件的某些缺陷,通过直接修改数据文件的内容,进行虚构、修改和删除业务数据等舞弊活动。
2.中级舞弊手法及特点分析
中级舞弊手法包括篡改硬件和篡改程序。篡改硬件是指舞弊者对计算机硬件进行盗窃、更换和破坏等不法行为来达到舞弊的一种手法。该手法要求舞弊者对计算机结构和硬件知识较熟悉,容易被发现,这里就不详细叙述了。篡改程序是指通过对程序作非法改动的方式,进行舞弊或试图为舞弊做准备的一种手法。由于电脑是依靠程序指令进行工作,它本身无法判断程序的合法性,因此该舞弊手法的隐蔽性较强。篡改程序的常用手段有:
(1)设置程序后门
“程序后门”又被称为“活动天窗”,是指程序员为了某种目的,在开发系统时特地留下的后门,从而为其日后侵入系统访问有关程序提供便利。通过“程序后门”,程序员可以很轻松地让软件系统执行未经授权的功能,例如舞弊者窃取密码进入软件系统,进而进行舞弊活动。
(2)设置逻辑炸弹
“逻辑炸弹”是隐藏在软件系统中适时或定期执行的一段应用程序。它能在促发未经授权有害事件发生条件形成时,引发相应的程序,对软件系统进行破坏,而这种破坏结果往往是恶性的。
3.高级舞弊手法及特点分析
高级舞弊手法即网络舞弊手法,它是指舞弊者通过 Internet或企业内部局域网,利用软件工具对网络内部的计算机进行非法数据盗窃或攻击。采取此类舞弊手法的人员都是计算机高手,即所谓的“黑客”。黑客有针对性地窃取计算机系统的数据资料和攻击计算机系统,导致被入侵的计算机系统信息泄漏、操作系统或网络系统的瘫痪。主要方式有:
(1)计算机病毒
计算机病毒是一组隐藏于计算机系统中的人为蓄意编制的寄生性的计算机程序,具有破坏性、隐蔽性、传染性、潜伏性,它不仅能够破坏计算机系统的正常运行和所储存的数据资料,甚至能破坏计算机主板。在财务软件已发展到网络系统的今天,计算机病毒更是无孔不入,一旦入侵,就可以通过网络从一个计算机系统传染到另一个计算机系统,甚至导致整个网络的瘫痪。
(2)计算机木马
计算机木马又名特洛伊木马,叫做“Trojan ho- use",其名称取自希腊神话的特洛伊木马记,它是一种基于远程控制的黑客工具。计算机木马类似于计算机病毒,也是一组寄生性的计算机程序,它一般不具有破坏性。典型的木马是窃取别人的账号和口令,如网上银行的用户密码等,它甚至可以控制硬件,如鼠标,键盘等。计算机系统一旦被木马控制,计算机系统将毫无秘密可言,这是相当危险的。
(3)网络非法入侵和攻击
所谓网络非法入侵是指舞弊者通过网络,破解登录密码,非法登录系统,对计算机进行入侵和攻击活动的一种舞弊手法,其特点是隐蔽性极强。并且黑客事先进行了伪装,一旦被发现,也不易追查到其来源。可以想象计算机一旦被入侵,就如同被计算机木马所控制一样。网络攻击是指舞弊者通过网络,对远程计算机系统发起攻击的非法活动。可能的手段如向远程计算机发送大量的垃圾邮件,导致被攻击企业邮件受阻、网络阻塞,严重影响企业的日常办公活动。
(4)通讯非法拦截
由于目前网络使用的是开放式的TCP/IP协议,电算化系统的信息数据有可能在网络上遭到非法拦截、修改。企业计算机处理信息中很大一部分是通过电缆传送的,这些信息可能通过因特网在不同国家之间传送,这些线路容易受到非法拦截、修改。
对于利用计算机进行舞弊活动,我们不能等闲视之,应该采取积极、有效的方法进行预防和检查。针对前述叙及的舞弊行为发生的原因、对舞弊手法和特点的分析,本文认为预防和检查舞弊应从以下方面入手:
1.完善和实施相应的法规
目前,虽然我国制定了一些相关方面的法律法规,如《计算机信息系统安全保护条例》,但在预防、惩治财务电算化舞弊方面还是一个空白。明确规定哪些行为属于财务电算化舞弊行为和具体惩处办法,明确计算机系统中哪些东西或哪些方面受法律保护及受何种保护,使得执法部门在惩治财务电算化舞弊时有法可依,违法必究,同时对舞弊者起到震慑的作用。
2.进一步完善和健全内部控制系统
电算化条件下,内部控制转变为对人和计算机两方面的控制,大量数据都由计算机处理,职能部门只负责数据的生成、审核、编码及分析处理输出结果,人工处理并掌握的信息越来越少。因此,内部控制的实现还得依靠对计算机系统的控制,同时决定着能否有效地预防利用计算机舞弊。针对本文前述叙及的三级舞弊手法,提出以下相应的控制与防范措施:
(1)对环境和安全的控制
注意做好防盗、防窃听等检查工作;机房内要安装摄像头及UPS等设施;对进入机房的人员及其携带的磁介质载体等事项做出限制和检查;在使用新软件之前,要对其进行必要的检查,以防其中含有病毒;对磁盘加以写保护;不要将数据或应用程序存在系统盘上:专机专用,一台计算机只能做授权的上机操作;重要数据应及时进行备份,并采取磁盘双工或磁盘镜像等补救措施。
(2)初级舞弊手法的控制与防范
①严格操作控制。凡上机操作人员必须经过授权,禁止其他无关人员包括高岗人员进入机房;根据数据的重要程度、操作员的权限和职责分工,设置不同等级的权限;及时注销离岗人员的用户名和密码;建立系统登录密码定期更改制度;采取严密的监控措施(如摄像等),以便及时发现和收集舞弊证据。
②建立职责划分和岗位轮换制度。合理划分职责,对每一项可能引起舞弊或欺诈的业务,都不能由一个人或一个部门经手到底,必须分别由几个人或几个部门承担;定期进行岗位轮换,可以预防和较早发现舞弊行为。
(3)中级舞弊手法的控制与防范
①检查程序编码,核对源程序的基本功能,测试可疑的程序,看其是否有非法的源程序,是否埋下“程序后门” 和“逻辑炸弹”。同时,注意程序的设计逻辑和处理功能是否恰当、正确,以检查是否存在程序舞弊。
②进行程序比较。这是最简单最有效的一种检查程序舞弊的方法,由于程序被篡改后其执行程序的大小一般都会发生变化,而将实际运行中的应用软件的目标代码或源代码与经过审计的相应备份软件的内容、文件大小相比较,则可以确定是否有未经授权的程序变动。
(4)高级舞弊手法的控制与防范
①安装“防火墙”和杀毒软件
网络“防火墙”是指在内部网和外部网络接口处设置访问控制系统,对跨越网络边界的信息进行过滤,防范来自外部的非法访问:杀毒软件也是防范和消除外来恶意代码程序的有效工具之一。它们一起为企业设立一道安全的屏障。
②采用信息加密技术
它是保护信息通过公共网络传输和防止电子窃听的首选方法。加密技术分为对称加密和非对称加密两类。对称加密法是指双方共享一把密钥进行加密和解密运算;非对称加密法将密钥分为加密钥和解密钥,而舞弊者无法通过加密钥算法推出解密钥,有效地解决了密钥分发的管理问题。因此,往往组合使用对称密钥法和非对称密钥法,以充分利用各种方法的优点。常用的信息加密技术有数字签名、认证技术等。
⑧对通讯非法拦截的防范
尽量不把重要信息传出计算机大楼,使窃听机会最小化:需要外传的信息,应先采取上面提到加密技术进行数据加密,有条件的单位最好使用本部门专用电缆;有些机密文件,可存入磁盘中使用邮寄方式;大楼中的电缆应包在能屏蔽电磁波的钢管中并根据保密计划布线:定期检查是否存在不明电线或电缆。
3.充分发挥审计的功能作用
审计工作的重要职能之一就是查错防弊,它在对付计算机舞弊中,可以在两个方面发挥作用。一是在审计中直接查出计算机舞弊案件;二是在审核和评价内部控制中发现内部控制系统的弱点,提请被审单位改善内部控制,间接地达到防弊的目的。审计软件结合数据挖掘是信息化时代打击计算机犯罪的趋势。
(1)审计软件是为模拟手工“查账”而编制的各种程序,分为通用审计软件和专用审计软件。通用审计软件一般不需要审计人员自己编制,可以作为标准软件购入,然后稍加修改或无需修改就可直接使用;专门审计软件需由审计人员结合要审查专题的特点和涉及的文件记录自制编制。
(2)数据挖掘也称为数据库中知识发现,是采用机器学习、统计、神经网络、遗传算法、聚类分析等方法进行数据分析的过程。在数据海量化的趋势已不可逆转的今天,数据挖掘是应对被审查单位数据日益海量化的利器。
4.培养复合型人才,提高各种人员综合素质
(1)提高财务人员综合素质。财务人员是企业财务管理活动的主体,是信息资料的接触者,最易发生舞弊行为,努力提高财务人员的职业道德素质及增强其遵守职业道德的意识和自觉性:防范他人利用计算机舞弊,就要培训财务人员掌握系统和软件的知识,懂得常用计算机语言和数据库技术,掌握并了解其与手工财务账务系统处理的不同方法和程序。
(2)提高审计人员综合素质。就现状而言,审计人员直接查出计算机舞弊的作用比完善和健全内部控制系统的作用要小,审计人员的综合素质不高是这种现象存在的根源之一。因此,为预防计算机舞弊,更大限度的发挥审计的功能作用,审计人员必须不断地完善自身的电算化素质,掌握电算化的理论知识,才能给计算机舞弊者以更有力的直接打击,将审计人员在查获和预防计算机舞弊中的作用提高到一个新的水平。
主要
[1]王海林.怎样防范网络化系统的舞弊[J].会计电算化 2000,(5).
[2]李强.计算机会计舞弊的控制方法[J].中国审计,2000,(12).
[3]曹悦.道高一尺魔高一丈—哙计电算化舞弊的风险防范[J].辽宁财税,2003,(9).
[4]刘雪晶,李丹.会计网络化的计算机舞弊与审查[J].审计与经济研究2003,(2).
