【中华财税网北京11/16/2001信息】 计算机舞弊是指以计算机及相应设备、程 序或数据为对象，通过制造假相或其他方式欺骗他人，掠取他人财物或达到其他不正 当目的而施行的不诚实、欺诈的故意行为。从法律上进，包括偷窃、伪造、盗用、挪 用及其他欺骗行为，都属于故意的恶行。计算机舞弊含有两层意思：一是针对计算机 系统进行的舞弊活动；一是利用计算机系统进行的舞弊活动。前一种舞弊活动是把计 算机系统当作目标；后者则是把它当作一种工具和手段。 一、计算机舞弊的类型和手法 （一）以计算机为手段的舞弊。以计算机为手段的舞弊是利用计算机来骗取钱财、 盗窃计算机程序或机密和信息。在会计电算化的条件下，数据是构成记录、指令、程 序和其他信息的主体，因此，财务领域中的数据便成为此类舞弊或犯罪行为的直接对 象。 （二）以计算机为目标的舞弊。这类舞弊是随着计算机的产生而出现的。它是针 对计算机设备、计算机运行环境或计算机运行所产生的文件的。这类舞弊行为又可分 为： 1．破坏。这种舞弊行为可以是用暴力的方式来破坏电脑设备，也可以是用高超 的技术毁坏操作系统或其他硬件和软件设备或数据。对计算机设备及其运行环境施行 破坏的活动，可能致使其部分的硬、软件设备产生物理破坏，也可能通过修改软件和 数据库或改变硬件配置而达到无形破坏的目的。2．盗窃。作案者采用各种手段盗窃 计算机硬件、软件和数据、信息，其手段之一是利用电子计算机进行电子偷窃；另一 种是人工行窃。 舞弊者利用计算机进行舞弊的方法一般有以下几种： 一是篡改输入。这是不法分子最常利用的手法。它可以通过虚构、修改或删除有 关业务数据。而将假存款单输入银行的系统中，增加舞弊者的银行存款；将存款单的 账号改写成舞弊者的账号，把别的人的存款转移到自己的账户中去；通过某些数据删 除，如消除购货业务凭证，将别人的货物据为已有。 二是篡改文件。篡改文件一般有两种方式：一是直接更改文件中的参数数据；一 种是另造结构相同、数据不同的文件覆盖原有文件。由于前者容易留下痕迹，所以大 多数犯罪分子都是采用后者进行舞弊的。 三是篡改程序。常的见的手法有：1．木马术。在一个计算机程序中秘密地编入 一个作案所需要的计算机指令，使计算机在仍能完成原先指定任务的情况下，能够执 行未经授权的功能。为掩盖作案目的，整个程序编写一般都比较松散，从而留出余地 增加新的指令。2．逻辑炸弹。是指有意设置并插入系统中的一组程序编码，这些编 码只能在特定的条件下才能执行日后以系统时钟或以某种特定事务处理作为触发信号 而发生“爆炸”，它可能删除或破坏数据文件，或者破坏系统功能，使整个系统瘫痪。 四是非法操作。如改变计算机的执行路径，操作人员或其他未经批准人员擅自启 动支票签发程序，生成一张现金支票，以便支取假报酬或收入。 五是篡改输出。通过非法修改、销毁输出报表，以掩盖其舞弊行为，利用终端窃 取输出的机密信息等手段来达到作案目的。 二、审计对策 （一）完善有关计算机安全与犯罪法的建设。法律及其实施既可以惩罚违法者， 保护受害者，同时又能以法律的威严阻止人们以身试法。因此，法制的建设和实施是 对付计算机犯罪行为的有力措施。有关计算机犯罪的法律建设，应从两个方面进行： 一是建立针对利用计算机的犯罪活动的法律；二是建立计算机系统本身的保护法律。 前者明确利用或针对计算机进行的哪些行为属于犯罪和违法行为，以及对这些行为的 处罚办法；后者明确计算机系统中哪些东西或哪些方面受法律保护，应受何种法律保 护。 （二）完善内部控制系统。完善的内部控制系统应该具有强有力的一般控制和应 用控制措施，两者缺一不可。1．一般控制（GCNCIAL CONTROLS）。包括组织与操作 控制、系统设计与记录控制、程序指令和数据档案控制、硬件控制等，EDP系统的一 般控制极其重要，是计算机系统有效正确运行的保证，同时也是决定其他应用控制的 有效性的前提。2．应用控制（APPLICATION CONTROLS）。包括输入控制、输出控制 等，是关于EDP系统根据使用部门需要，输入各种业务数据、加工处理及输出有关信 息的应用过程的内部控制措施和制度。 根据前述对计算机舞弊手段、人员、方法等的分析，应注意两点：一是内部控制 措施的执行不能因人而异而应一视同仁。许多单位对外来者防范严密，比较谨慎，但 对内部人员则过于宽容，结果使得内部人员有机可乘。二是领导应重视计算机系统安 全的重要性以及计算机犯罪和舞弊的危害性，督促内部控制系统的建立和健全，以及 内部控制措施的执行。 （三）充分发挥审计人员的作用。审计人员在对付计算机舞弊中可以在两个方面 发挥作用：一是在审计直接根据审计线索追踪涉嫌的计算机舞弊或犯罪。这是一种直 接的作用，若审计人员进行的审计工作符合审计准则的要求，那么，此种作用很容易 发挥。二是在审核和评估内部控制系统中发现内部控制系统的弱点，并提请被审计单 位完善内部控制系统。这个作用是间接的，是指通过完善内部控制系统来预防、查出 和处理计算机舞弊和犯罪的行为，它的作用仍然是不可低估的。 三、计算机审计的未来发展方向 （一）事前审计与事后审计相结合。信息系统的事前审计，是指审计人员在系统 没有正式投入运行前对系统开发过程中各项活动所进行的审计。对信息系统进行事前 审计，对于保障系统的安全性、可靠性、效益性以及可审性，都具有重要的意义。信 息系统的事后审计，是指在系统开发完成且投入运行以后所进行的审计。它主要是审 查系统所产生的业务记录及其所反映的业务活动的真实性、合法性、效益性以及对系 统本身的安全性、可靠性、效益性等作出评价。若没有事前审计，系统在设计时，可 能没有考虑到今后审计的需要，没有留下充分的审计线索，使得事后审计难以进行。 因此，信息系统的事前审计是事后审计的基础，事前审计必须与事后审计相结合，才 能达到事半功倍的效果。 （二）对系统所产生的业务的审计与对系统本身的安全性、可靠性、效益性审计 相结合。目前，对信息系统的审计，主要还是对系统所产生的业务信息及其所反映的 业务活动的真实性、合法性、效益性等进行审计，较少对系统本身进行审计。实际上， 系统本身的安全性、可靠性、效益性等对系统所产生业务信息的真实性、合法性等有 有关重大的影响，因此，对信息系统本身的安全性、可靠性、效益性的审计应是计算 机审计的一个重要方面。对系统安全性、可靠性、效益性的审计，主要是审查系统的 平均故障时间、平均修复时间、系统可用性、系统的利用率、响应时间、系统开发的 策略、所有的程序设计语言、设计方法、系统的日常管理和控制方面。 （三）由定期审计向实时审计方向发展。随着计算机网络技术和电子商务的发展， 未来的计算机审计人员可以将自己的计算机与被审的信息系统进行联网，通过在被审 的信息系统中嵌入为执行特定审计功能而设计的程序段，收集审计人员感兴趣的资料， 并通过网络系统将这些资料及时传送到审计人员的计算机中，进行实时审计。实时审 计可以弥补事后审计线索不充分的缺陷。实时审计要求审计人员参与被审信息系统的 分析与设计，以备在被审计的信息系统中留下缺口。 (3)