计算机信息系统舞弊的控制和审计

答：计算机舞弊作为信息时代的社会表征之一，始于20世纪60年代的美国，到20世纪90年代已经蔓延到世界各地。

舞弊（Fraud）是指为了掠夺他人财物或者达到其他不正当的目的而通过故意掩盖真相、制造假象或者其他方式施行的任何偷窃、伪造、盗用、挪用以及其他欺骗行为。计算机舞弊（Computer Fraud）是指利用计算机系统或者对计算机系统实施的舞弊行为，其目的具有非正当性。前一种舞弊是利用计算机系统作为实施舞弊的基本工具，利用各种手段进入计算机系统进行的舞弊行为；后者则是将计算机系统当做目标，对计算机硬件、软件、数据和程序、计算机辅助设备和资源进行的舞弊行为。

性质严重的计算机舞弊行为可以构成计算机犯罪。对于计算机犯罪的定义理论界有不同的认识，我国公安部计算机管理监察司的定义是：以计算机为工具或以计算机资产为对象实施的犯罪行为；中国政法大学信息技术立法课题组的定义是：与计算机相关的危害社会并应当处以刑罚的行为；美国司法部的定义是：在导致成功起诉的非法行为中，计算机技术知识起了基础作用的非法行为；美国律师协会刑事司法处的定义是：直接针对计算机的行为和计算机被用作犯罪工具的犯罪行为。

本书认为，计算机犯罪是指行为人利用计算机操作所实施的危害计算机信息系统（包括内存数据和程序）安全和其他严重危害社会的犯罪行为。

可见计算机犯罪是计算机舞弊的一种形式，它除了具有计算机舞弊的所有特征以外，最明显的特点是其危害性远远高于一般的舞弊行为，给社会带来的损失巨大，其行为已经触犯了刑法，必须受到刑事处罚。

需要特别说明的是，由于审计监督的客体是经济单位的经济活动，所以本书对计算机舞弊的内涵限定于针对经济单位计算机信息系统的舞弊。我们认为的计算机信息系统舞弊（Computer Information System Fraud）是指通过篡改计算机程序、数据文件、设备配置以及中间媒介进行相关的信息欺诈以及资源盗用的行为。这里的信息系统应当包括整个企业所有的信息资源，有时也特指会计信息系统。后果严重的计算机信息系统舞弊行为属于欺诈或者贪污，要追究刑事责任。

本书认定的计算机信息系统舞弊包括以下六种行为：

①篡改输入。这是最简单也是最常用的信息系统舞弊手法，该方法通过在经济信息数据录入前或加入期间对数据做手脚来达到个人目的，例如虚构经济业务数据、修改收入支出数据以及删除某些业务数据。

②篡改文件。是指通过特定的维护程序或者直接通过计算机终端来修改经济信息文件中的数据。

③篡改程序。是指通过对程序做非法改动，以便达到某种不法目的。例如将小量资金（可以是计算中的四舍五入部分）逐笔累计起来，通过暗中设计的程序将这些资金划入某个账户，表面上却难以发现任何蛛丝马迹。

④违法操作。指操作人员或其他人员不按操作规程或者不经允许上机操作，改变计算机的执行路径。如系统人员未经过批准擅自启动现金支票签发程序，生成一张现金支票到银行支取现金。

⑤篡改输出。通过非法修改、销毁输出报表、将输出报表送给公司竞争对手，利用终端窃取输出的机密信息等手段来达到舞弊的目的。

⑥其他手法。例如通过物理接触、电子窃听、译码、拍照、拷贝、复印等方法来舞弊。

以上这些是信息系统舞弊的主要手段。在实际案例中，这些手段的使用和舞弊主体的角色密切相关。一般来说，系统维护人员大多采用篡改系统程序软件和应用程序、非法操作等手段舞弊；内部用户一般采用篡改输入的方法达到舞弊目的，也有铤而走险者直接篡改输出数据；外部舞弊者采用的手法则以终端篡改输入为主，有时也采用盗窃、破坏的手段。

答：计算机信息系统舞弊作为一种新的舞弊行为，和传统的舞弊行为相比，有着自己的特点。由于是高技术领域的舞弊行为，所以它总是与计算机技术和企业计算机信息网络密切联系在一起，舞弊主体一般利用计算机专业知识、信息系统权限、企业网络漏洞等实施舞弊行为。这些行为具有以下共同点：

（1）智能性

舞弊手段的技术性和专业化使得计算机信息系统舞弊具有极强的智能性，主要表现在：

①大多数信息系统舞弊的实施者都掌握了相当高的计算机技术和网络技术，以及娴熟的操作技能。他们或是信息系统的编程人员，或是系统管理、操作、维修、保养人员，有接近和使用系统的便利条件，例如负责系统程序的编写，拥有修改系统资料的权限，掌握信息系统的口令，或者掌握了可以破译系统密码的技术等。

②实施舞弊者大多采用高技术手段，或多种舞弊形式并用。他们有时直接或通过他人间接向计算机输入非法指令，其犯罪过程主要由系统直接完成；有时借助全球范围的电话、微波通信卫星等系统的计算机数据传输来远距离操纵舞弊行为；有时通过制造、传播计算机病毒破坏计算机软件、信息数据；有时伪造他人的信用卡、磁卡、存折等盗用信息系统涉及的资金。

（2）隐蔽性

由于网络的开放性、不确定性、虚拟性和超时空性等特征，使得信息系统舞弊具有极高的隐蔽性，主要表现在：

①信息系统舞弊大多通过对程序和数据这些无形信息的操作实现，其舞弊的直接对象也往往是这些无形的电子数据和信息。

②舞弊行为实施之后对机器硬件和信息载体可以不造成任何损坏，甚至未使其发生丝毫的改变。

③舞弊行为的范围一般不受时间和空间的限制，在全国和全球联网的情况下，通过通信设施可以在任何时间、任何地点侵入信息系统实施舞弊。

（3）复杂性

计算机信息系统舞弊的复杂性主要表现在：

①舞弊主体的复杂性。任何舞弊行为只要通过一台联网的计算机便可以在电脑的终端和整个网络合成一体，调阅、下载、发布各种信息，实施舞弊行为。

②舞弊客体的复杂性。计算机舞弊作为行为人利用计算机系统或者直接对计算机系统进行的舞弊行为，对个人、企业和社会都具有危害性。由于其影响的广泛，舞弊客体也越来越复杂多样。有利用系统权限输入虚假经济数据的舞弊、随意篡改企业财务信息的舞弊、盗用或伪造各种网上支付账户的舞弊、电子商务诈骗的舞弊犯罪行为、侵犯知识产权的舞弊、非法侵入电子商务认证机构、金融机构的信息系统舞弊、通过破坏电子商务计算机信息系统达成的舞弊、针对电子商务计算机信息系统的舞弊、以虚假认证达成的舞弊等。

（4）损失大且涉及面广

计算机舞弊始于20世纪60年代，70年代迅速增长，80年代形成威胁。美国因计算机舞弊（包括计算机犯罪）造成的损失已在千亿美元以上，年损失达几十亿美元，英、德等发达国家也是如此。随着社会的网络化，计算机舞弊的对象从金融系统到企业信息、国家安全、信用卡密码、军事机密等，无所不包，而且发展迅速。计算机舞弊从原来的金融系统舞弊发展为现在的商业、生产、科研、卫生、邮电等几乎所有存在计算机信息系统的领域。我国从1986年开始出现计算机犯罪（计算机舞弊则在20世纪80年代初期就已经发生），每年这类案件都以30%的速度递增，其中金融行业占61%，每年造成的直接经济损失近千亿元人民币，而且计算机舞弊和计算机犯罪的危害领域和范围将越来越大，危害的程度也将更加严重。

（5）社会危害极大

网络的普及程度越高，计算机舞弊的危害就越大，而且计算机舞弊的危害远非传统舞弊行为可比，不仅会造成财产损失，而且可能影响社会经济环境，危及国家公共安全。据美国联邦调查局统计测算，一起刑事案件的平均损失仅仅为2000美元，而一起计算机犯罪的平均损失高达50万美元。据计算机安全专家估计，2005年因计算机舞弊和犯罪给总部在美国的公司带来的损失已经超过2500亿美元。

在科技迅猛发展的今天，各国对网络的利用和依赖将会越来越多，因而网络安全的维护变得越来越重要，也因此受到越来越多的攻击。美国每年因信息与网络安全问题所受到的经济损失高达75亿美元，企业电脑安全受到侵犯的比例为50%，美国国防部全球计算机网络平均每天遭到两次攻击。据《时代周刊》报道，美国国防部安全专家对其挂接在Internet网络上的12000台计算机进行了一次安全测试，结果88%入侵成功，96%的尝试破坏没有被发现。

答：对信息系统舞弊行为进行分类研究的意义在于，从多个角度认识计算机舞弊的形式、特征，丰富对计算机舞弊内涵和外延的认识，并从各个侧面为防范、治理计算机舞弊提供条件。计算机舞弊的类型从不同角度可以划分为：

（1）根据在舞弊行为中计算机是否受到侵害划分

①将计算机信息系统作为舞弊工具而实施的舞弊。此类舞弊又可以分为两种：一是直接舞弊，即具备计算机专业知识的行为人利用便利条件，直接把计算机作为舞弊工具实施舞弊或犯罪。二是间接舞弊，即行为人通过具备计算机专业知识的中间人把计算机作为舞弊工具而实施的舞弊。

②以计算机资产和信息系统本身为攻击对象的舞弊。包括两种：一是计算机的硬件破坏，即通过采用纵火、爆炸、枪击等方式破坏计算机硬件系统和辅助设施，这类行为其实已经属于计算机犯罪；二是软件破坏，即使用能够产生破坏作用的程序，使正常的计算机信息系统发生紊乱、失控甚至崩溃。

（2）根据计算机信息系统舞弊的目的划分

①计算机操纵。在于牟利、更改或者盗用计算机存储的信息资料。

②计算机破坏。破坏计算机操作程序和计算机硬件系统。

③计算机窃密。非法取得或者运作计算机信息和资料，有目的地窃取他人机密（包括商业、军事以及个人秘密）。

（3）根据计算机信息系统舞弊指向的具体对象划分

①向计算机信息系统输入欺骗性的虚假数据和记录。

②未经过批准手续就使用计算机信息系统资源。

③篡改或者窃取信息或文件。

④盗窃或诈骗系统中的电子货币。

⑤破坏计算机资产。

（4）根据计算机信息系统舞弊的目的划分

①程序、数据以及各种设备实体的物理性破坏。

②用计算机盗窃现金。

③更改程序或者数据。

④盗用计算机资源。

⑤利用计算机进行信用卡犯罪。

（5）根据计算机信息舞弊侵入系统的途径划分

①输入类舞弊（Import Fraud）。指发生在系统输入环节的舞弊行为，通过伪造、篡改、冒充他人身份或输入虚假数据达到非法目的。

②程序类舞弊（Program Fraud）。指利用程序软件手段，通过篡改、添加或删除系统达到舞弊目的的行为。

③输出类舞弊（Export Fraud）。指发生在系统输出环节的舞弊行为，大多通过篡改系统输出报告、盗窃系统重要信息、窃取系统机密等方式实现其目的。

④接触类舞弊（Operations Fraud）。又叫操作类舞弊，指通过非法接触计算机信息系统达到舞弊目的的行为。

答：计算机信息处理的威胁大致可以分成四类。第一类威胁是物质性毁坏，甚至是设备、数据或者程序的破坏。第二类威胁属于交易行为，例如冒名顶替和乘虚而入。冒名顶替是指借用别人名义或者权利去获得进入信息系统的机会，或者开始一次非法的交易。乘虚而入则是通过别的正在使用的终端做非法的第二手的使用而进入系统。第三类威胁是电子威胁，包括线路窃听或者电子线路改造，这能产生与软件篡改同样的效果，以及非法访问、错误信息或是被污染的输出。第四类威胁就是常见的对系统信息或者系统软件的篡改，一般由系统程序员和操作员施行。信息系统舞弊的实施者大都是利用这四类威胁中的一种或者多种，设计出舞弊的具体手段。

计算机信息系统舞弊的类型虽然不外乎以上几种，但是具体的手段却是五花八门。每一种类型都有着不同的舞弊手法。其中很多手段是极其专业化和智能化，需要极高的专业技巧，显得非常高明和复杂。这是信息系统舞弊区别于传统舞弊手法的最明显特点。只有了解这些手段，才能对症下药，采取有效的措施预防和控制这些舞弊行为。

（1）利用非法程序进行舞弊活动

在计算机信息系统中，业务与信息的处理由计算机根据编定的程序自动执行。实施舞弊者正是利用计算机信息系统的这一特点，通过篡改系统的应用程序或在系统开发时留有舞弊程序，以达到其舞弊乃至犯罪的目的。这种方法需要较高的专业技能，同时其隐蔽性也很强，审计人员很难发现。通常，利用非法程序进行舞弊的方式主要有以下几种：

①截尾术。通过截取数据中小数位一定位数后的尾数从大量的资财中窃取不为人注意的一小部分，这种作案手法称为截尾术。这种方法只对构成总数的明细项目进行截尾，而保持总数的不变，以达到取走一小部分而又不会在总体上被发现的目的。常用的一种截尾术被称做“近似法”。例如在计算利息或外币兑换时，计算结果只包括货币中的最小一位，如“分”，而小于“分”的部分采取“四舍五入”的方法处理。这就形成了尾差。严格来说。在计算机不断进行“四舍五入”的运算过程中，每一个尾差都应予以记录和累计，当某个银行存款账户的尾差累计超过一分时，无论正负，都要对该账户的余额进行调整。但储户一般很少去注意利息的尾数，程序员只需对程序稍加修改，就可把各账户的累计尾数记入自己的账户，而不是分别记入各储户的账户。因为银行的账户非常多。程序员通过这个舞弊程序可为自己积累数量可观的钱财，并使账户总数仍然维持平衡，不易引起注意或被审计人员发现。

②特洛伊木马术。这是在计算机应用程序中隐藏作案所需的计算机指令，使计算机仍能在完成正常指定任务的情况下，执行非授权的功能进行舞弊活动。在日本发生的PC-VAN事件就是典型案例。PCVAN是日本最大的个人计算机通讯网络。在1988年8月中旬，网络中成员都可以在屏幕上看到意义不明的文章。经过跟踪调查，确认这一意义不明的文章是一种暗号，是罪犯用以盗窃其他成员口令（密码文字）的一种手段。罪犯通过电子邮件把带有“机关”的程序从网络中发送给用户，网络成员只要一启动个人计算机，这一“机关”便立即潜入该机的操作系统，并在屏幕上出现意义不明的文章。为了弄清其含义，用户往往输入自己的密码，以寻求系统的帮助。这样，罪犯便能窃取到对方的密码。

③逻辑炸弹。逻辑炸弹是有意设置并插入系统中的一组程序编码。它能在触发事件发生条件时，引发未经授权的有害程序运行，对系统进行破坏活动，而且这种破坏的结果往往是严重恶性的。例如，某程序员在人事管理系统中安放一颗逻辑炸弹，一旦其名字从人事文件中被删除（解雇），该程序将会自动引发，从而将系统的人事文件全部删除。又如，在一个案件中，一颗逻辑炸弹被嵌入计算机系统，此“炸弹”的功能是当计算机系统时钟的日期和时间为两年后某日下午3时，将删除整个系统的应用程序和数据文件。逻辑炸弹的触发条件不满足时，系统运行一切正常，但炸弹一旦被触发，后果非常严重。

④活动天窗。活动天窗是指在程序中设立一个未说明的秘密进入程序模块的入口。设立此入口的最初意图是在系统正式投入运行之后，方便程序员对有关的程序和数据进行查错和修改。但此入口留下了非常严重的控制隐患。第一，设此天窗的人可以轻易地绕过系统的控制通过此入口访问系统，篡改系统的程序和数据；第二，外部的黑客可以找到此系统的漏洞，并从此缺口攻破系统。活动天窗不影响系统的正常运行，表面上看不出什么症状，要查出可疑的活动天窗比较困难，必须进行各种可能的测试，同时调查人员还需具备丰富的经验和高超的专业技能。

⑤后门。在大型计算机应用程序的开发过程中，程序员一般要插进一些调试手段，即在密码中加进空隙，以便日后增加密码并使之具有中期输出能力，这种方法就是所谓的“开后门”。“后门”本质上是由软件工作者以维护或者其他理由设置的一个隐藏或者伪装的程序或系统的一个入口。例如，一个操作系统的口令机构可能隐含这样一个后门，它可以使一定序列的控制字符允许访问经历的账号。当一个后门被有意实施舞弊者发现后，就可能被未授权的用户作为漏洞进入系统。

⑥超级法。超级法是通过超级冲杀程序实现的。这是一个只在特殊情况下（当计算机出现故障、运转异常时）使用的计算机系统干扰程序。这种程序可以越过所有控制，修改或者暴露计算机信息数据。超级冲杀程序一般仅限于系统程序员和系统维护员使用，如果被舞弊者掌握就有可能强行进入系统，进行篡改、盗窃、破坏等舞弊活动。

⑦计算机病毒与黑客攻击。目前，计算机病毒和黑客程序已经成为计算机犯罪的一种常用手段，也是对计算机信息系统攻击破坏最严重的方法之一。

计算机病毒是一种可自我复制的特殊程序，它一般具有以下特点：破坏性。凡是用软件手段能触及计算机资源的地方，均可能受到计算机病毒的破坏。隐蔽性。病毒程序大多夹在正常程序之中，很难被发现。潜伏性。计算机病毒入侵后，一般不立即活动，需要等到条件成熟后才动作。传染性。传染是计算机病毒的重要特征，它通过修改、替换、复制等手段达到扩散的目的。计算机病毒会造成计算机运行异常，如使系统运行速度缓慢、无故死机、破坏系统程序或数据、破坏硬盘分区表或引导程序，甚至造成整个系统崩溃，直接危害计算机信息系统的安全。据统计，目前全球有180000多种病毒，其中很多病毒的破坏性都非常大，稍有不慎，就会造成严重后果。更为严重的是，带有病毒的计算机连接在计算机网络上，通过网络会造成病毒的广泛传播，造成大范围的计算机信息破坏。

黑客程序是一种利用计算机网络对别人的计算机系统进行攻击和破坏的程序。黑客一般通过Internet对开放系统进行攻击，或者使系统无法正常运行（如阻塞型攻击），或者破坏、篡改系统的数据或网页。黑客程序对开放系统的危害极大。

（2）通过输入、篡改或窃取系统数据进行舞弊活动

计算机信息系统的数据是用户的重要资源，而且系统数据往往与财物相连，所以，有相当大一部分的计算机犯罪是针对系统的数据进行的，常见的包括输入虚假的数据、篡改输入和输出的数据，窃取系统机密资料等。

①输入虚假数据与篡改输入数据。最常见、最普遍的一种计算机舞弊方法就是向系统输入虚假数据或者篡改输入数据。这种方法不需要很高的计算机知识和技巧，即使不知道计算机系统如何运作，不懂得软件语言，也可以虚构或篡改输入的数据以达到其舞弊的目的。此类犯罪方法的形式有：

A.虚构业务数据。操作人员虚构经济业务，通过输入虚构的虚假数据达到其个人目的。例如，1994年5月，深圳国际投资基金部电脑部副经理通过虚设股东账户和虚增其资金账户的资金，参与股票操作并提取其舞弊资金2万元。

B.篡改业务数据。操作人员通过篡改已有的业务数据来达到其不法目的。例如，某银行柜员将客户存款单的账号篡改成自己的账号，以图把别人的存款转入自己的账户中去。再比如，信息系统操作员可以利用工作之便修改工资主文件中自己的工资数据。

C.删除业务数据。操作人员将输入计算机内的数据擅自删除。例如，操作人员通过删除本期结转的成本明细资料可以使审计人员在审查当期收入时无据可循。

②篡改文件或输出数据。计算机信息系统中，会计数据都存放在数据库文件中，数据库文件若没有加密，则可直接进行读写，只要懂得数据库知识的人，就可以绕过计算机信息系统对其数据文件进行非法篡改、删除或复制。由于电子信息具有删改不留痕迹的特点，一般不易被发现，更难以追查。此外，还有一些计算机犯罪是通过直接篡改系统打印输出资料进行的。常见的篡改数据的手段有：

A.直接更改文件中的参数数据。例如，某信息系统操作员准备购买本公司某种商品，他在开单程序运行前，私自修改存货文件中该商品的销售价格，以达到少付货款的目的。

B.另造结构相同、数据不同的文件覆盖原有文件。用这种篡改方法，舞弊者有足够的时间在私人计算机上构造覆盖文件，编制自动覆盖的程序指令，实施覆盖时仅需极短的时间就可以达到其犯罪意图而且不留痕迹。

C.篡改系统打印输出资料。在计算机信息处理条件下，系统打印输出的资料往往是有价值的。一些计算机犯罪人员是通过篡改系统打印输出的资料来牟取私利的。例如，把系统输出的工资支票从30美元改为130美元以此窃取了100美元的工资。又如，把系统输出的领取300台笔记本电脑的提货单改为800台，从而多领了无须付款的500台。要篡改文件中的数据，需要了解数据存放的文件和路径，要懂得数据库的操作，但篡改系统打印输出的资料不需要熟悉系统的文件，也无须较高的计算机知识。因此，打印输出设计要注意输出的资料不能被插入其他内容，打印必须清晰，使涂改易被发现。

③窃取系统数据。计算机信息系统，尤其是网络系统，经常出现重要的数据信息被偷窃，作为商业秘密泄露给需要这种信息的人，偷窃数据者就可从中得到经济收益。窃取信息系统数据的方法主要有以下几种：

A.直接从计算机系统中窃取数据。不管舞弊手段多么高明，直接从计算机系统中取走数据都需要冒很大的风险。为此，舞弊分子往往把机密的数据隐藏在普通的报告中输出，或者更高明的方法是将机密数据编码化，使检查者很难发现一些重要数据已被秘密窃取。

B.清扫术。清扫术是从计算机系统或机器周围的废弃物中获取数据的一种方法。它是在某项工作执行后搜集在计算机中或其周围的数据。最值得注意的是，磁盘等存储介质上的信息尽管已被删除，但只要没有被新的信息所覆盖，仍可以通过某些命令重现。例如，使用DOS中DEL命令删除的文件，可以用UNDELETE命令使文件重现，用FORMAT命令来清除磁盘上的文件，可以用UNFORMAT恢复磁盘上的内容。因此，曾经用于存储机密信息的介质一定要妥善处理。

（3）通过非法操作进行舞弊和犯罪

非法操作是指未经允许的人员非法操作计算机系统或合法的操作人员越权操作系统，以窃取和破坏计算机信息。例如，信息系统操作员擅自启动支票签发程序，生成一张现金支票，从而窃取企业资金。

这类舞弊类型的情况比较复杂，实施手法也不尽相同。其中，乘虚而入和冒名顶替是进行非法操作的典型手段。乘虚而入的舞弊方法可以是有形的，也可以是电子化的。有形的乘虚而入是指舞弊者未经许可直接进入被控制区域，对系统进行有目的的接触。如舞弊者乘机房人员不注意之机，溜入机房进行非法操作。电子化的乘虚而入是指在网络系统中，舞弊人利用高超的技术攻破系统的防火墙或解读使用的口令。达到未经授权运行系统软件和存取数据的目的。例如，1995年两名俄罗斯人用这种方法在本国操纵计算机，闯入了花旗银行在纽约华尔街的电脑系统进行盗窃。一个月后，罪犯故伎重演，在圣彼得堡再次闯入花旗银行的电脑系统，两次共窃取了278万美元。

答：如何防范计算机犯罪已经成为世界性难题。有效预防和阻止计算机犯罪要求多管齐下，采取多方面的措施。在社会的宏观层面要完善与计算机犯罪有关的立法，加强打击的力度；从计算机系统微观层面来说则要强化计算机信息系统的内部控制，积极开展计算机审计，加强人员管理，提高安全意识和防范技术。

（1）加强和完善计算机安全和反舞弊的法制建设

完善计算机安全与犯罪立法是防范计算机舞弊的重要措施，一方面可以使计算机安全措施法律化、规范化、制度化，从而遏制计算机舞弊；另一方面可以为打击计算机犯罪提供有力的法律依据，并对犯罪分子起到一定的威慑作用。

事实上，从20世纪60年代开始，各国逐渐对计算机安全法重视起来。到目前为止，已有三十多个国家先后从不同的侧面制定了有关计算机安全的法律和法规。例如，1986年，美国国会通过了《计算机诈骗与滥用法》，对计算机使用做出了严格的规定，1987年又颁布了《联邦计算机安全处罚条例》。瑞典早在1973年就颁布了世界上第一部保护计算机数据的《数据法》。我国也于1994年正式发布了《中华人民共和国计算机信息系统的安全保护条例》，该条例最大的特点是既有安全管理，又有安全监察，以管理与监察相结合的办法保护计算机资产。

反计算机舞弊的法制建设，可以从两个方面入手：一是建立针对利用计算机犯罪活动的法律，明确规定哪些行为属于计算机舞弊行为及其惩处方法；二是建立信息系统本身的保护法律，明确计算机系统中哪些东西或哪些方面受到法律保护（硬件、软件、数据）及受到何种保护。目前，我国关于计算机信息系统管理方面的法规有：《计算机信息系统安全保护条例》、《计算机信息网络国际联网管理暂行规定》、《中国公用计算机互联网国际联网管理办法》、《专用网与公用网联网的暂行规定》等。同时，新《刑法》第286条规定了破坏计算机信息系统功能罪、破坏计算机数据和应用程序罪，以及传播破坏性程序罪等罪名，对计算机舞弊和犯罪分子起到了震慑作用。

（2）建立健全有效的信息系统内部控制制度

信息系统舞弊能得逞的内因就是其内部控制缺陷。运用计算机信息系统进行商务运营的企业和其他有系统架构的单位，均应建立健全信息系统的内部控制措施。有效的信息系统内部控制体系可以防范计算机舞弊的发生。一个完善的信息系统内部控制体系应该具有强有力的一般控制和应用控制措施，两者缺一不可。从某种意义上说，内部控制的好坏直接决定了信息系统的安全、可靠的运行，决定能否有效防止计算机舞弊的问题。另外，内部控制不仅对预防和检测欺诈有价值，并且对保证整个会计系统的完整性至关重要。从国内外的计算机舞弊和犯罪案件来看，相当一部分计算机舞弊都是从输入环节做文章，利用输入控制的薄弱点来达到犯罪的目的。因此，输入控制极为重要。信息系统应有的内部控制在本书第二章已经详细介绍过了，具体的注意事项可以参照前文相关内容。但是，要确保内部控制体系能够切实发挥作用，防范计算机舞弊的发生，还应当注意：

①各种规章制度的制定要做到切实、有效、具体、有针对性和可操作性。

②内部控制制度要严格控制，从管理层做起，不能因人而异，搞特殊化。

③管理层应当切实认识教育所有员工了解到计算机信息系统安全的重要性及计算机犯罪的危害性，使整个组织高度重视系统的安全问题。

④及时听取内外部审计人员的建议，对内部控制系统的薄弱环节加以完善。

⑤实行轮岗制度，定期调整内部控制人员的监管权限，避免少数人钻制度的空子，防止发生内外合谋行为。

（3）发挥计算机信息系统审计的作用

审计工作的目的之一就是查错防弊。因此，审计人员在防范与发现计算机犯罪中的作用也是不可低估。为防范和及时发现计算机犯罪行为，审计人员，尤其是内部审计人员应采取的有效措施包括：

①积极开展计算机信息系统的事前审计。通过在系统开发阶段的事前监查，对系统建立的内部控制的严密完整性、系统的合规合法性以及系统的可审性等进行监督评价，保证系统的合法性和正确性，防止和减少舞弊行为的发生。

②定期对系统进行风险评估和对系统的内部控制进行审计。现代内部审计的重要发展是风险审计，审计人员通过分析组织的风险，对高风险的环节加强审计监督，保障组织资产的安全和经营目标的实现。在计算机和网络化的条件，内部审计人员定期对计算机信息系统进行风险分析，对内部控制进行审查和评价。对一些重要的网络系统，例如金融企业的计算机系统，可以组织专业人员进行对系统的模拟攻击，寻找系统的漏洞，以便及时给漏洞打上补丁。通过对信息系统内部控制的健全性调查和实际执行情况的符合性测试，审计人员可以找出控制的弱点和风险所在，提出强化内部控制的措施，督促被审计单位完善内部控制体系。

③重视计算机系统日常运行的监督和审计。由于计算机犯罪的智能性和隐蔽性，审计人员只进行事前的开发审计和定期的内部控制审计是远远不够的。内审人员还应当对系统日常处理及其结果实行有效的监督，经常查看系统操作日志，注意发现异常的操作和交易以及资产调度情况，防范或及时发现可能的计算机舞弊行为。

④加强内部审计监控。内部审计是企业内部控制的重要组成部分，旨在对企业中的各种内部控制制度和各个职能部门所从事的各种业务行为进行独立评价。在信息技术环境下，内部审计更有其独特的重要作用。企业不应该把对业务结果的审查作为一项日常的工作任务，而应该由独立的内部审计机构在信息系统的开发、维护过程中进行严格的审查，并且定期检查信息系统的处理逻辑。内部审计机构是信息系统控制最重要的执行者之一，在保证信息系统的完整性和一致性方面起着重要的作用。

在建立信息系统控制的实践中，内部审计机构是主要的推动者。内部审计机构定期对内部控制进行评价，因此能够最直接地感受信息技术所引起的冲击，并了解企业内部控制所遇到的具体细节问题。内部审计机构能够与管理层进行直接的沟通，能够通过反映情况来提高管理层对信息系统控制的重视程度。内部审计机构能够学习和吸收最新研究成果，保证在日新月异的信息技术环境中自动化业务控制和信息系统控制的有效性。所以，在信息技术环境中，企业应该加强内部审计机构的建设工作。

⑤采用技术防范措施。采用技术防范措施是防止计算机犯罪行为的有效方法。犯罪分子可以利用高科技犯罪，我们也可以利用高科技来防范或侦破犯罪，正所谓“魔高一尺，道高一丈”。常见的技术方法措施包括：

A.数据加密。所谓数据加密，就是按照确定的加密变换方法（加密算法）对未经加密的数据（明文）做处理，使其成为难以识别读取的数据（密文）。通过给数据加密，可以使外来者无法识别数据，从而使截获的数据失去价值，使篡改和伪造不可能实现。加密不仅能够提高数据的保密性，也能加强会计数据的完备性，还可验证用户的合法性。可见，加密技术是防范计算机犯罪的重要工具。

B.数据处理功能保护。采取专门的措施，保证数据处理过程中数据的完备性和正确性。对重要的账目和文件可以采取读写保护或者时间锁定，只有在规定时间且有相应权限的人才能访问这些文件。对于任何被保护的数据的存取操作，系统进行详细记录。如进退联机终端的时间、地点和用户身份；输入了多少次不正确的口令；使用了哪些输入输出设备；存取、增删或者更新了哪些文件等。任何非法存取应当被立即反映到系统主控台上，以使系统管理人员及时采取对策。远程终端操作可采用回叫技术、密码技术进行身份的辨认等。

C.漏洞扫描技术和入侵检测技术。漏洞扫描技术是自动监测远端和本地主机安全脆弱点的技术。它主要是针对系统可能有的一些漏洞（比如“活动天窗”、抑制有漏洞软件的配置错误、置于不安全状态下的系统管理型错误等），用已知的常用攻击方法对系统进行扫描，以发现系统存在的脆弱点。入侵检测技术是对计算机和网络资源恶意使用行为进行识别和响应的处理技术。它通过寻找系统当前行为偏离正常行为的情况或根据已定义好的入侵模式判断这些模式的入侵是否出现，来检测入侵是否发生。它不但可以用于检测来自于外部的入侵行为，也可以检测内部用户未经授权的行为活动。

D.防火墙技术和防病毒技术。现代企业普遍建立了局域网，并通过局域网和互联网相连接，这样就为外部舞弊者提供了可乘之机。为了防止外部用户进入到企业内部网舞弊，目前使用最广的是防火墙技术。防火墙是建立在局域网和外部网络之间的电子系统，用于实现访问的控制和信息的过滤，阻止外部入侵者进入内部网。此外，为了防止计算机病毒的感染和破坏，企业应当安装防病毒软件。目前防病毒软件的种类很多，在选用防病毒软件时，应当采取已经通过了ICSA国际认证、具有实时监控功能并能处理压缩文件功能的软件，而且还应该及时升级版本和病毒库。

（4）提高人员素质，加强人员管理

在控制系统中，人的因素是最重要的。如果对组织内人员没有良好的教育、管理和监控，就会大大增加计算机舞弊的概率。计算机信息系统的开发与维护人员最熟悉情况，有可能在系统开发和维护的过程中留下舞弊程序；系统操作人员是系统和信息资料的直接接触者，最有机会来利用工作之便进行舞弊。因此，要预防计算机舞弊必须要做好人的工作，加强人员管理。

①对计算机系统的开发人员、操作人员和管理人员要严格挑选，选择正直、忠诚且胜任的人员承担系统工作。系统人员要明确职责，不相容的职责要互相分离，达到互相牵制的目的。

②要积极开展计算机安全和职业道德的宣传和教育工作。企业要经常对员工进行系统安全知识、计算机犯罪的立法和职业道德素质的教育。宣传教育要本着舆论导向和典型示范相结合的原则，增强系统人员的安全意识和遵守职业道德的自觉性，提高人员素质。

③加强人员的管理和监督。对系统人员的工作要有监督制度，实行轮岗制度，及时发现非法行为及时采取措施，防范舞弊行为的发生。

答：对于计算机信息系统舞弊，审计人员可以在两个方面发挥作用：一是在审计中直接查出信息系统舞弊；二是在审核和评估被审计单位信息系统内部控制的弱点，提请被审计单位改善内部控制制度，通过完善内部控制系统来预防和查处信息系统舞弊活动。前一种是直接作用，后一种是间接作用，即预防作用。

审查计算机舞弊的总体思路一般是：首先通过对被审计单位信息系统内部控制的评审，找出系统内部控制的漏洞，根据计算机舞弊各种手段的特征及其与有关内部控制的关系，确定可能的舞弊手段，然后针对可能的舞弊手段，实施深入的技术型审查和取证，最后出具审计报告和管理建议书。

由于计算机舞弊高智能的特点，对其审查也需要高深的计算机专业技能。对审计人员来说，信息系统审计中最关键的是要发现可疑之处，并进一步取得具有足够证明力的审计证据。对于一些技术性审查，审计人员可以利用计算机专家协助工作。

前文已经介绍过，按照入侵系统的途径为标准，计算机舞弊可以分为输入类、程序类、输出类和接触类。对付这些不同手段的舞弊行为，审计人员也必须掌握不同的手法，既依靠自身的经验和知识水平，又借重计算机系统的辅助功能，才能最大限度保证审计工作的质量。

（1）对输入类信息系统舞弊的审计

对输入数据进行舞弊是信息系统舞弊中最常见和最普通的舞弊手法。这类计算机舞弊主要是在系统的输入环节上做文章，通过伪造、篡改、冒充他人身份或输入虚假数据达到非法目的。我国目前发现的计算机舞弊大多数属于这类型。它主要是利用了内部控制的下列弱点：

①职责分工不明确。如果对相应的职责没有适当的分工，例如数据的准备或者输入与批准由一个人担任，那么输入数据的真实正确性就无法保证。

②接触控制不完善。包括机房上锁或者设专门的守卫保管，计算机终端加锁或者设置口令、身份鉴别、网络系统各个用户终端连接控制等。

③无严格的操作权限控制。信息系统处理和存储着本单位全部或大部分业务数据，一般根据数据的重要程度、操作员的权限和职责分工的考虑，应设置不同等级的权限，使得每个操作员只能从事其权限范围内的操作。

④没有建立控制日志。控制日志能对所有接触信息系统的企图及操作进行监督记录，从而确保所有经授权和未经授权的接触、使用、修改程序和数据活动都留下痕迹。如果这类控制手段不健全，犯罪分子会因为违法犯罪行为不会留下证据而为所欲为。

⑤其他输入控制的不完善。作案者主要是系统的内部用户和计算机操作员，他们比较了解系统的运行状况和内部控制的薄弱环节，利用工作上的便利实施犯罪。

可能实施这类舞弊的人员包括：参与业务处理的人员、数据准备人员、源数据提供人员、能够接触数据但不参与业务处理的人员。

针对输入篡改类舞弊，审计人员可以采用如下方法审查：

①可以应用传统方法审查手工记账凭证与原始凭证的合法性。首先，审计人员应抽查部分原始单据，重点使用审阅法确定业务发生的真实性，判断原始单据的来源是否合法，其数据有无被篡改，金额是否公允等。其次，采用核对法，将记账凭证的内容和数据与其原始单据的内容和数据进行核对，审查计算机处理的起点是否正确。最后再进行账账核对。

②应用抽样审计技术，将机内部分记账凭证与手工记账凭证进行核对，审查输入凭证的真实性。根据被审对象所输入的凭证，通过手工操作，将处理的结果与计算机处理系统的输出结果进行对比，检验其是否一致。

③测试数据的完整性。审计人员模拟一组被审单位的计算机数据处理系统的数据输入，使该系统在审计人员的亲自操作或控制下，根据数据处理系统所能达到的功能要求，完成处理过程，得到的数据与事先计算得到的结果相比较，检验原来数据与现有数据之间是否保持一致。

④对输出报告进行分析，检查有无异常情况或涂改情况。如与审计相关的账册、报表、操作日志、上机记录等要打印备查。

⑤对数据进行安全性审查。检查数据在输入前后是否接受了各种验证。包括：责任分工，如网络电子数据处理部门与用户部门是否职责分离，如果有人既负责业务交易，又有权接触电子数据处理，企业就存在舞弊和过失的双重风险；网络电子数据处理部门内部是否有职责分工，在电子数据处理部门内部进行职责划分，其目的是保证不相容职责由不同的人担任，以及保证一个人能对其他人的工作进行检查；经办人员分别负责制作、检查、签字工作，或者实行双重负责制。

⑥对操作权限进行审查。检查是否有非法越权行为或泄密行为。包括：身份验证，验证访问者的身份是否与被赋权限一致；控制权限的控制情况，密级——绝密、机密、秘密、内部、敏感，分工——系统开发人员、系统管理员、操作员、用户等。

这类舞弊的审计要点可概括如表8-1所示：

表8- 1　输入类计算机舞弊的审计要点

（2）对程序类信息系统舞弊的审计

这类计算机舞弊主要是通过非法改动计算机程序，或在程序开发阶段预先留下非法指令，使得系统运行时处理功能出现差错，或程序控制功能失效，从而达到破坏系统和牟取私利的目的。实施这类舞弊需要计算机专业知识和较高的编程技术，所以该类舞弊的实施主体只能是计算机专业人员，如系统设计员、程序员以及系统文档管理员等。

这类舞弊活动主要利用内部控制的下列弱点：信息系统的数据处理部门与业务部门的职责分离不恰当；系统的维护控制不严；系统的开发控制不严；接触控制不完善等。

利用程序进行的舞弊行为具有高智能性与隐蔽性。因为舞弊者通常是在编写应用程序时，将舞弊的程序编入系统中，具体做法有：利用程序进行错误输出；利用计算机软件中关于计算保留小数的程序按预谋方法截取尾数（截尾术），将截尾的数值累计到预先设定的账户；编制适时和定期执行的计算机程序（逻辑炸弹），根据一定的条件或时间操纵具体的破坏和舞弊活动，比如设置一条检验语句，在工资数据文件中若某人的工资记录不存在时，整个系统运行便发生混乱，这样，一旦该人员离职或被解雇，系统便会发生瘫痪。

对有预谋的舞弊的预防性审查主要是通过系统开发控制审计，另外还可用特殊的数据进行测试以及认真核对源程序（程序编码检查法、程序比较法、程序追踪法以及测试数据法）等方法，通常这些方法对注册会计师的计算机审计知识与水平要求较高。

①程序编码检查法。检查全部或可疑部分源程序，分析是否有非法的源程序，以确定程序员是否留下“后门”，同时应注意程序的设计逻辑和处理功能是否恰当。这种方法的具体步骤如下：审计人员应根据自身的经验，编写测试程序必要的控制措施；分析源程序码，检查是否有必要的控制措施；对源程序调用的程序进行测试，由于一些程序设计人员会在源程序中暗藏子程序，而这些子程序往往用做不合规的会计业务。

②程序比较法。将实际应用中应用软件的目标代码或源代码与经过审计的相应备份软件相比较，以确定是否有未经授权的程序改动。具体实施时，可以借助一些系统工具。

③测试数据法。它是一种模拟某次业务数据，并将测试数据输入系统，通过系统的处理来检查系统对实际业务中同类数据处理的正确性以及对错误数据的鉴别能力的方法。主要是对各种共同的细节处理的有效性的测试，例如合理性检查、溢位检查、负号检查、校验法检查等。审计人员要根据测试的目的确定系统中必须包括的控制措施，应用模拟数据或真实数据测试被审系统，检查处理结果是否正确。

④程序追踪法。使用审计程序或审计软件包，对系统处理过程进行全方位或某一范围内的跟踪处理，得出的结果与系统处理的结果相比较，以判断系统是否安全可靠。运用该方法可以方便地找到哪次潜在的可能被不法分子利用的编码段。

对程序类舞弊行为的审查难点在于证据的掌握。暗藏程序进行舞弊的审计证据一般集中在运行效果异常和可疑的程序段中。

对于截尾术舞弊，一般可通过测试数据法进行审计，应用模拟数据或真实数据（重新计算）测试系统，检查其处理结果与预期结果是否一致，注意截尾术的取证。对于使用特洛伊木马计、截尾术以及逻辑炸弹等方法舞弊的审计要点分别如表8-2、表8-3、表8-4所示。

另外，审计人员需要重点关注系统中两种特殊程序。

一是系统“后门”的检查。因为“后门”是几乎每个系统都存在的固有漏洞。在信息系统开发过程中，开“后门”通常可分为有意和无意两种。正常情况下，系统开发完毕，要取消“后门”，但有时常常被忽视，或有意留下，以备将来接触和修改之用。有些舞弊为了日后损害计算机程序，有意插入“后门”。同时，由于设计逻辑上的薄弱，一些大型复杂程序的设计人员也会无意开设“后门”。所以，对“后门”的检查是审计中不可缺少的重要环节。“后门”的审查要点如表8-5所示：

表8- 2　针对特洛伊木马术的审计要点

二是超级冲杀程序的审查。使用超级法进行计算机舞弊的舞弊者，通常是能够取得超级程序，并能接触信息系统、使用超级程序、熟悉掌握计算机应用技术的人员。由于超级冲杀程序可以越过应用系统及其控制改动任何数据文件或计算机程序，不留任何线索，要通过技术方法检查此类舞弊几乎是不可能的。因此要特别注意防范和控制。但这类的舞弊主体范围比较小，可从舞弊的主体入手进行调查，其舞弊主体可能有两类：一类是能使用超级冲杀程序或能接触其他文件或程序的程序员；另一类是具有相应知识的系统操作员。超级法舞弊的审计要点如表8-6所示：

表8- 6　超级法舞弊的审计要点

（3）对输出类信息系统舞弊的审计

输出类信息系统舞弊主要是通过篡改系统输出报告，盗窃或截取机密文件或商业秘密来实施舞弊。这种类型的舞弊主体，除了篡改输出报告为内部用户外，其余多为外来者，有简单的“捡垃圾者”，更多的是间谍人员。其犯罪手段有废品利用、数据泄露、截收、浏览等。

如果与输出相关的内部控制措施不健全，如接触控制不完善、输出控制不健全、传输控制不完善、操作员的身份和权限控制不严密等，就可能出现输出类计算机舞弊。

①输出类舞弊活动的一般审查方法。对输出类舞弊活动的一般审查方法有：

A.询问能观察到敏感数据运动的数据处理人员。

B.检查计算机硬件设施附近是否有窃听或无线电发射装置。

C.检查计算机系统的使用日志，看数据文件是否被存取过或什么时间取过，是否属于正常工作。

D.检查无关或作废的打印资料是否被及时销毁，暂时不用的磁盘、磁带上是否还残留有数据。

②针对“盗窃或截取系统输出数据”的舞弊行为的审查方法。在输出类信息系统舞弊行为中，盗窃或截取系统输出数据是比较严重的行为，其性质已经属于计算机犯罪。对于这一类舞弊行为必须采取非常严格的检查手法。审计人员除了采取针对输出类舞弊的一般审查方法外，还应采取以下方法审查数据窃取和信息泄露的问题。

A.检查系统的物理安全设施，如网络系统的远程传输数据没有经过加密后传输，很容易通过通信线路被截收，应查明无关人员能否接触信息系统。

B.检查计算机硬件设施附近是否存在有利于舞弊者舞弊的装置与工具。

C.查看计算机运行的记录日志和拷贝传送数据的时间和内容，了解和访问会计数据处理人员，分析数据失窃的可能性，并追踪其审计线索。

D.向重要数据的管理人员了解备份文件和被拷贝的内容，分析其数据舞弊的线索等。

对于输出类舞弊中窃取和截取输出数据的审计要点如表8-7所示：

表8- 7　窃取和泄露输出数据的审计要点

（4）对接触类信息系统舞弊的审计

严格地讲，大多数计算机舞弊都与接触信息系统有关，然而这里所指的接触类计算机舞弊则是只要有机会接触计算机，即使其他控制措施非常严格，也能实施舞弊。

审查此类舞弊的方法有：

①检查系统的物理安全设施，查明无关人员能否接触计算机系统。

②检查计算机硬件设施附近是否有窃听或无线电发射装置。

③注意使用杀毒软件查杀病毒。

这类舞弊的审计要点如表8-8所示：

表8- 8　接触类信息系统舞弊的审计要点