信息系统审计是审计全过程的一个组成部分,它是一个获取并评价证据,判断信息系统是否能保证资产安全、数据完整及有效利用组织资源实现目标的过程。它是立足于组织战略目标并为有效实现,而采取的一切活动过程。 由于我国的信息系统审计工作尚未完全开展,一些计算机审计的探索与尝试仍局限在电子数据的采集与处理阶段,对信息系统安全与控制问题还未充分认识。计算机信息系统管理的复杂性与软件的先天不足等因素导致信息系统安全性降低、信息与财富的集中性,计算机犯罪风险的巨大诱惑性,法律对于计算机犯罪模式、计算机道德的滞后性等原因,造成计算机舞弊伴随计算机广泛应用而产生并且迅速蔓延。 计算机舞弊可分为输入类、程序类、输出类和接触类4种类型。 一、输入类信息系统舞弊的审计 对输入数据进行舞弊是信息系统舞弊中最常见的方法。这类计算机舞弊主要是在系统输入环节做文章,通过伪造、篡改、冒充他人身份或输入虚假数据达到非法目的。我国目前发现的计算机舞弊现象多数为此类型。它主要利用了内部控制的下列弱点: (1)职责分工不明确。 (2)无严格操作权限控制。信息系统处理和存储着本单位全部或大部分业务数据,一般应根据数据的重要程度设不同等级权限。 (3)没有建立控制日志。控制日志能对所有接触信息系统的企业及操作进行监督记录。 (4)其他输入控制的不完善。作案者主要是系统的内部用户和计算机操作员,他们比较了解系统的运行状况和内部控制的薄弱环节,利用工作上的便利实施犯罪。 可能实施这类舞弊的人员包括:参与业务处理、数据准备、原数据提供、能够接触数据但不参与业务处理的人员。 针对输入篡改类舞弊,审计人员可以采用如下方法审查: (1)可以用传统方法审查工作记账凭证与原始凭证的合法性。首先,审计人员应抽查部分原始单据,重点使用审阅法确定业务发生的真实性,判断原始单据来源是否合法,其数据有无被篡改,金额是否公允等。其次,采用核对法将记账凭证和原始单据内容、数据进行核对,审计计算机处理起点是否正确。最后再进行账账核对。 (2)应用抽查审计技术,将机内部分与手工账凭证进行核对,审查输入凭证的真实性。根据被审对象所输入的凭证通过手工操作,将处理的结果与计算机处理系统的输出结果进行对比,检验其是否一致。 (3)测试数据的完整性。审计人员模拟一组被审计单位的计算机数据处理系统的数据输入,使该系统在审计人员的亲自操作和控制下,根据数据处理系统所能达到的功能要求,完成处理过程,得到的数据与事先计算机处理得到的结果相比较,检验原来数据与现有数据之间是否保持一致。 (4)对输出报告进行分析,检查有无异常或涂改情况。如与审计相关的账册、报表、操作日志、上机记录等要打印备查。 (5)对数据进行安全性审查。审查数据在输入前后是否接受了各种验证。包括:责任分工,如网络电子数据处理部门内部,以及与用户部门是否职责分明、职权分离;其目的是保证不相容职责由不同的人担任,以及相互间的监督;经办人员分别负责制作、检查、签字工作、或者实行双重负责制。 (6)对操作权限进行审查。审查是否有非法越权或泄密行为。包括:身份检验,验证访问者身份是否与被赋权限一致:存取控制权限的控制情况,密级——绝密、机密、秘密、内部、敏感,分工——系统开发人员、系统管理员、操作员、用户等。 二、对程序类信息系统舞弊的审计 这类舞弊主要通过非法改动计算机程序,或在程序开发阶段预先留下非法指令,使得系统运行时处理功能出现差错,或程序控制功能失效,以达到破坏系统、谋取私利的目的。实施这类舞弊需要计算机专业知识和较高的编程技术,所以该类舞弊实施主体只能是计算机专业人员。这类舞弊活动主要利用内部控制下列弱点:信息系统数据处理部门与业务部门职责分离不当;系统维护、开发接触不严等。 三、对输出类信息系统舞弊的审计 输出类信息系统舞弊主要通过篡改系统输出报告、盗窃或截取机密文件、商业秘密来实施舞弊。这类舞弊的主体,除了篡改输出报告为内部用户外,其余多为外来者,有简单的“捡垃圾者”,更多是间谍人员。 如与输出相关的内部控制措施不健全,就可能出现此类型。 对此类舞弊活动的一般审查方法有: (1)询问能观察到敏感数据运动的数据处理人员。 (2)检查计算机硬件设施附近是否有窃听装置或无线电发射装置。 (3)检查计算机系统使用日志,看数据文件是否被存取过,是否属于正常工作。 (4)检查无关或作废打印资料是否被及时销毁,暂时不用的磁盘、磁带上是否还残留有数据。 四、对接触类信息系统舞弊的审计 大多数计算机舞弊都与接触信息系统有关,而此类舞弊则是只要有机会接触计算机,即使其他控制措施非常严格,也能实施舞弊。 审查此类舞弊的方法有: (1)检查系统的物理安全措施,查明无关人员能否接触计算机系统。 (2)检查计算机硬件设施附近是否有窃听或无线电发射装置。 (3)注意使用杀毒软件查杀病毒。 由于计算机舞弊具有高智能的特点,对其审查也需要高深的计算机专业技能。对审计人员来说,信息系统审计中最关键是要发现可疑之处,并取得有足够说服力的审计证据。对于一些技术性审查,可请计算机专家协助。