可能的舞弊者絕大部分是計算機高手,包括系統管理員、網路管理員、系統操作員、網路黑客等。
可能的證據包括:源檔案、資料庫檔案。
二、計算機舞弊的審查
對計算機舞弊的審查除了借鑑傳統審計方法,如:分析性覆核,審閱與核對法,盤點實物,查詢及函證外,最有效的是根據網路會計系統的特點有針對性地進行審查。
(一)篡改輸入的審查
1、套用傳統方法審查手工記賬憑證與原始憑證的合法性。首先,審計人員應抽查部分原始單據,重點使用審閱法確定業務發生的真實性,判斷原始單據的來源是否合法,其數據有無被篡改,金額是否公允等。其次,採用核對法,將記賬憑證的內容和數據與其原始單據的內容和數據進行核對,審查計算機處理的起點是否正確。最後再進行賬賬核對。
2、套用抽樣審計技術,將機內部分記賬憑證與手工記賬憑證進行核對,審查輸入憑證的真實性。根據被審對象所輸入的憑證,通過手工操作,將處理的結果與計算機處理系統的輸出結果進行對比,檢驗其是否一致。
3、測試數據的完整性。審計人員模擬一組被審單位的計算機數據處理系統的數據輸入,使該系統在審計人員的親自操作或控制下,根據數據處理系統所能達到的功能要求,完成處理過程,得到的數據與事先計算得到的結果相比較,檢驗原來數據與現有數據之間是否保持完全一致。
4、對輸出報告進行分析,檢查有無異常情況或塗改情況。如與審計相關的賬冊、報表、操作日誌、上機記錄等要列印備查。
5、數據的安全性審查。檢查數據在輸入前後是否接受了各種驗證。包括:(1)責任分工:網路電子數據處理部門與用戶部門是否職責分離,如果有一個人既負責業務交易,又有權接觸電子數據處理,企業就存在舞弊和過失的雙重風險;網路電子數據處理部門內部是否有職責分工,在電子數據處理部門內部進行職責劃分,其目的是保證不相容職責由不同的人擔任,以及保證一個人能對其他人的工作進行檢查。(2)經辦人員分別負責製作、檢查、簽字工作,或者實行雙重負責制。
6、總量計算,建立輸入批控制核算。在這種方法中,審計人員首先根據控制要點選擇數據,建立批處理總數,然後將數據輸入,將輸出結果與批處理總數相核對。採用這一方法,數據被分為小組,加總得到的合計數,即為控制總數。數據可以是正常的,也可以是非正常的。對於非正常數據,可以檢查程式對輸入錯誤的更正以及校驗的過程,以確認輸入校驗措施的可靠性。
7、對操作許可權進行審查。檢查是否有非法越權行為或泄密行為。包括:(1)身份驗證。驗證訪問者的身份是否與賦權者的身份一致。(2)存取控制許可權的控制情況。密級——絕密、機密、秘密、內部、敏感。分工——系統開發人員、系統管理員、操作員、用戶。
8、檢查上機日誌。作業系統的日誌檔案中包含了詳細的用戶信息和系統調用數據的信息。在網路會計中,由於用戶可隨機從不同的客戶機上登錄,主機間也經常需要交換信息,對留下的記錄進行分析判斷的難度是很大的。做這項工作需要正確的職業敏感和職業判斷。