一、输入类计算机舞弊的审计
输入类计算机舞弊主要是发生在系统的输入环节上,通过伪造、篡改数据,冒充他人身份或输入虚假数据达到非法目的。我国 目前 发生的计算机犯罪大多属于此类型。它主要是利用下列内部控制的弱点
1、职责分工。如果不相容的职责没有适当的分工如数据的准备或输入与批准由一人担任,那么输入数据的真实性、正确性就无法保障。
2、接触控制。包括机房上锁或设置门卫、计算机终端加锁或设置口令、身份鉴别、 网络 系统各个用户终端的联结控制等。
3、操作权限控制。信息系统处理和储存着本单位全部或大部分业务数据,一般根据数据的重要程度、操作员的权限和职责分工的考虑;应设置不同等级的权限,使得每个操作员只能从事其权限范围内的操作。
4、控制日志。控制日志能对所有接触信息系统的企图及操作进行监督记录,从而确保所有经授权的和未经授权的接触、使用、修改程序或数据的活动都留下痕迹。如果这类控制手段不健会,舞弊分子会因为没有留下舞弊证据而为所欲为。
5、其他输入控制。这种类型的潜在作案者主要是系统的内部用户和计算机操作员,他们比较了解系统的运行状态和内部控制的薄弱环节利用工作上的便利实施舞弊。
二、软件类计算机舞弊的审计
这类计算机舞弊主要是通过非法改动计算机程序,或在程序开发阶段预先留下非法指令,使得系统运行时处理功能出现差错,或程序控制功能失效,从而达到破坏系统或谋取私利的目的。该类活动主要利用下列内部控制的弱点:
1、电算部门与用户部门的职责分离。
2、系统的维护控制。所有现有系统的改进、新系统的应用都应由受益部门发起并经高级主管人员的授权包括现有应用程序的改动,未经有关部门的批准,电算部门无权擅自修改程序。
3、系统的开发控制。新开发的应用系统在投入使用前应对程序的源编码和处理功能进行严格审查;检查是否有多余的
非正当用途的程序段。
4、接触控制。主要指严格控制系统的开发员、程序员等计算机专家再接触已投入运行的系统,防止擅自修改程序。同时也包括控制系统的内部用户或计算机操作员接触系统的设计文档或源程序代码。
三、输出类计算机舞弊的审计
输出类计算机舞弊主要是通过涂改报告、盗窃或截取机密文件或商业秘密来实施的。输出类舞弊多是进行 政治 、军事或商业间谍活动,其危害性也非常严重。其舞弊手段有废品利用、数据泄露、截收、浏览等。如果下列内部控制措施不健全则
可能出现输出类 计算 机舞弊:
1、接触控制。包括机房上锁或设置门卫,防止无关人员入内;严格管理系统程序和数据磁盘防止丢失。
2、输出控制。如对无关的打印输出要及时销毁,对那些机密的数据应设置口令或加密保护,防止无关人员阅读。
3、传输控令人对于 网络 系统的远程传输数据要经过加密后再传输;防止犯罪分子通过通讯线路截收。
4、操作员的身份和权限控制。
四、接触类计算机舞弊的审计
严格地讲,大多数计算机舞弊都与接触信息系统有关,然而这里所指的接触类计算机舞弊则是指只要有机会接触计算机即使其他控制措施非常严格,也能实施舞弊。常见的舞弊手段是超级冲杀与计算机病毒。
(一)超级冲杀
(二)计算机病毒