高建英
[摘 要] 为了适应环境的变化,更好地利用网络的优势,网络化会计信息系统应运而生,成为会计发展的新方向。由于计算机信息系统管理很复杂,会计信息系统软件的先天不足导致信息系统的安全性降低。本文将从网络化会计信息系统舞弊的角度进行分析,对舞弊现象提出相应对策和措施。
[关键词] 网络;会计信息系统;舞弊
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2014 . 22. 018
[中图分类号] F232 [文献标识码] A [文章编号] 1673 - 0194(2014)22- 0031- 02
1 网络化会计信息系统舞弊的特点
1.1 智能性
舞弊手段的专业化和技术性使得网络化信息系统的舞弊具有很强的智能性。一部分舞弊者就是掌握了相当高的计算机技术和网络技术,以及娴熟的操作技能,稍稍修改一下程序的编写就可能实现了舞弊且不被察觉。
1.2 隐蔽性
由于网络的开放性、不确定性、虚拟性使得会计信息系统的舞弊具有极高的隐蔽性。比如对软件实施破坏后,对机器等硬件不会造成任何损害,甚至未使其发生丝毫的改变。再如对数据进行篡改后不会像原始的手工记账方法似的留下痕迹。
1.3 复杂性
任何舞弊行为只要通过一台联网的计算机,就可以扩散到整个网络。而且舞弊的种类多种多样,例如,有利用系统权限输入虚假经济数据的舞弊,随意篡改企业财务信息的舞弊,盗用或者伪造各种网上支付账户的舞弊,金融机构的信息系统舞弊等等。
2 网络化会计信息系统舞弊的手段
2.1 通过人为输入、篡改或窃取系统数据进行舞弊活动
(1)输入虚假数据与篡改业务数据。虚构数据是操作人员虚构经济业务,通过输入虚构的假数据或者篡改输入数据。篡改、删除业务数据是操作人员通过篡改、删除已有的业务数据来达到其不法目的。
(2)篡改文件或输出数据。直接更改文件中的参数数据。例如,某信息系统操作员准备购买本公司的某种商品,他在开单程序运行前,私自修改存货文件中该商品的销售价格,以达到少付货款的目的。另造相同结构、数据不同的文件覆盖原有的文件。用这种篡改方法,舞弊者有足够的时间在私人计算机上构造覆盖文件,编制自动覆盖的程序指令,实施覆盖仅需极短的时间就可以达到其犯罪意图而且不留痕迹。篡改系统打印输出资料。在计算机信息处理条件下,系统打印输出的资料是有价值的。一些犯罪人员是通过篡改系统打印输出的资料来谋取私利。
(3)窃取系统数据。直接从计算机系统中窃取数据。不管舞弊手段多么高明,直接从计算机系统中取走数据都需要冒很大的风险。为此,舞弊分子往往把机密的数据隐藏在普通的报告中输出,或者更高明的方法是将机密数据编码化,使检查者很难发现一些重要数据被秘密窃取。
2.2 通过非法操作进行舞弊和犯罪
非法操作是指未经允许的人员非法操作计算机系统或合法的操作人员越权操作系统,以窃取和破坏计算机信息。这类舞弊的情况比较复杂,实施手法也不尽相同。其中,趁虚而入和冒名顶替是进行非法操作的典型手段。趁虚而入的舞弊方法可以是有形的,也可以是电子化的。有形的趁虚而入是指舞弊者未经许可直接进入到被控制区域,对系统进行有目的的接触。如舞弊者趁着机房人员不注意之机,溜入机房进行非法操作。电子化的趁虚而入是指在网络系统中,舞弊人利用高超的技术攻破系统的防火墙或解读使用的口令,达到未经授权运行系统软件和存取数据的目的。
2.3 利用计算机程序进行舞弊活动
在计算机信息系统中,业务与信息的处理由计算机根据编定的程序自动执行。实施舞弊者正是利用计算机信息系统的这一特点,通过篡改系统的应用程序或在系统开发时留有舞弊程序,以达到其舞弊乃至犯罪的目的。这种方法需要较高的专业技能,同时其隐蔽性也很强,审计人员很难发现。通常,利用非法程序进行舞弊。
2.4 计算机病毒和黑客的攻击
目前计算机病毒和黑客程序已经成为网络化会计信息系统舞弊的一种手段,也是对系统攻击最严重的方法之一。计算机病毒会造成计算机运行异常,如使系统运行速度缓慢、无故死机、破坏系统程序或数据,甚至造成整个系统崩溃,直接危害计算机信息系统的安全。据统计,目前全球有180 000多种病毒,其中很多病毒的破坏性都非常大,稍有不慎,就会造成严重后果。更为严重的是,带有病毒的计算机连接在计算机网络上,通过网络,会造成病毒的广泛传播,造成大范围的计算机信息破坏。黑客程序是指黑客通过Internet对开放系统进行攻击,或者使系统无法正常运行,或者破坏和篡改系统的数据。
3 防止网络化会计信息系统舞弊的对策
3.1 对会计信息系统的技术进行改良
提高会计软件的安全性能、实用性能,在技术上克服和弥补一些舞弊者可能钻的漏洞,正所谓“魔高一尺,道高一丈”,我们可以采取以下的一些技术措施。
(1)数据加密。通过给重要的数据或系统加密,可以使外来的人员无法识别和修改数据,从而使截获的数据没有价值,伪造和篡改也就实现不了。而且通过加密可以提升系统和数据的安全性和保密性,也加强了数据的完整性,还可以验证用户的合法性。
(2)数据处理保护功能。保护数据处理中的数据的完整和正确。对重要的文件和账户进行读写保护或时间锁定,规定一定时间和特有的权限的人才能访问这些文件。对于被保护的重要数据,存取时要进行详细的记录。比如进入退出的时间、地点和人物都要进行记录,再有输入了多少次不正确口令,使用的是什么输入输出设备、所为何用,新增和删除了那些文件数据等等。如果有非法存取行为要立即报警反映到主控台上。
(3)系统漏洞扫描和入侵检测技术。会计信息系统会自动对软件的漏洞进行扫描并升级。外来人员入侵系统窃取信息时可以由入侵检测系统发现并予以警示和阻隔。
(4)防病毒技术。企业应当安装防病毒软件。
3.2 加强审计及员工教育
(1)积极开展事前审计。在系统开发阶段时通过事前监察,对系统内部控制的完整性和严密性进行提升,同时保证系统的合法性和正确性,防止和减少舞弊行为的发生。
(2)定期对系统的内部控制进行审计。首先对内部控制进行风险测评,对高风险的环节要加强审计监督,对一些特别重要的网络系统,如金融企业的会计信息系统,可以聘用专业的技术人员进行模拟攻击,发现和寻找系统漏洞,及时打上补丁,从而提高系统的安全性。
(3)对计算机日常运行的监督和审计加强重视。由于网络化会计信息系统舞弊的智能性和隐蔽性,审计人员若只进行事前的审计和定期系统内控审计是远远不足的,还应当对系统的日常处理及其结果实行有效的监督,被系统操作的日志要经常查看,注意一些异常操作和交易以及资产的调度情况防范而且要及时发现可能的会计信息系统的舞弊行为。
(4)加强内部审计监控。内部审计是企业内部控制的一部分,在建立信息系统控制的实践中,内部审计机构是主要的推动者,因此能够最直接地体会到技术的变革。内部审计机构能够直接和管理者沟通,通过经常跟高层反应情况来提高高层对内控的重视,所以,在日新月异的技术环境中,企业应该加强内部审计机构的建设工作。
3.3 健全会计信息系统的内部控制制度
制定的各种规章制度要从管理层做起,以高层示范底层,不能因人而异,搞特殊,这样便没有什么效果。管理层应当教育员工让他们了解到计算机信息系统安全的重要性及舞弊的严重后果。同时,还要及时听取审计人员的建议,对内控系统的薄弱环节加以完善。实行轮岗制度,定期调整内部控制人员的监管权限,避免发生内外合谋行为。
3.4 加强和完善会计信息系统舞弊的法制建设
完善计算机安全和犯罪立法是防止计算机舞弊的重大措施。一方面可以使计算机安全措施达到法制化的水平,从而遏制会计信息系统的舞弊;另一方面可以为打击计算机犯罪提供有利的法律依据,对舞弊分子起到威慑作用。反舞弊的法制建设可以从两方面入手,一是建立利用计算机互联网犯罪的法律法规,明确规定什么程度的舞弊将会受到什么样的代价和责罚;二是建立会计信息系统本身的保护法律,明确系统本身的哪些东西是受到法律保护的。
主要参考文献
[1]宋洁.浅析网络环境下会计信息系统的风险与防范 [J].计算机研究,2007(2).
[2]靳少华.浅谈会计信息失真的原因[J].中小企业管理与科技,2009(21).
[3]王谦.会计信息失真的危害、原因及其对策[J].财会通讯:综合版,2008(4).