計算機審計 第八章

計算機審計第八章第1頁，共37頁，2023年，2月20日，星期四第八章計算機舞弊的控制與審計8.1計算機犯罪概述8.2計算機犯罪的手段和特征

8.3計算機犯罪的防范8.4計算機犯罪的審計第2頁，共37頁，2023年，2月20日，星期四8.1計算機舞弊概述

8.1.1計算機犯罪的危害

8.1.2計算機犯罪的概念

8.1.3計算機犯罪的類型第3頁，共37頁，2023年，2月20日，星期四8.1.1計算機犯罪的危害據(jù)美國聯(lián)邦調(diào)查局統(tǒng)計測算，一起刑事案件的平均損失僅為2000美元，而一起計算機犯罪案件的平均損失高達50萬美元。美國因計算機犯罪造成的損失已在千億美元以上，年損失達幾十億，甚至上百億美元，英、德的年損失也達幾十億美元。我國計算機犯罪產(chǎn)生的歷史雖然不長，但發(fā)展速度卻相當(dāng)驚人。近年來，利用計算機網(wǎng)絡(luò)進行的違法犯罪活動正以每年30%的速度遞增。由于計算機犯罪的隱蔽性和匿名性等特點使得對計算機犯罪的偵查非常困難。據(jù)統(tǒng)計，在美國，計算機犯罪的破案率還不到10%，其中定罪的則不到3%。第4頁，共37頁，2023年，2月20日，星期四8.1.2計算機犯罪的概念

經(jīng)濟合作與發(fā)展組織的定義：在自動數(shù)據(jù)處理過程中，任何非法的、違反職業(yè)道德的、未經(jīng)批準的行為都是計算機犯罪。

美國司法部：在導(dǎo)致成功起訴的非法行為中，計算機技術(shù)與知識起了基本作用的非法行為。美國斯坦福安全研究所計算機專家唐·B·帕克認為，計算機犯罪包括：計算機濫用(ComputerAbuse)計算機犯罪(ComputerCrime)與計算機有關(guān)的犯罪(ComputerRelatedCrime)我國公安部計算機管理監(jiān)察司：以計算機為工具或以計算機資產(chǎn)為對象實施的犯罪行為。它有兩層含義：針對計算機系統(tǒng)進行的犯罪活動。

利用計算機系統(tǒng)進行的犯罪活動。第5頁，共37頁，2023年，2月20日，星期四8.1.3計算機犯罪的類型計算機犯罪的類型可從不同角度劃分：根據(jù)計算機是否受到侵害和計算機犯罪的基本概念劃分根據(jù)計算機犯罪的目的劃分根據(jù)計算機犯罪指向的具體對象和造成的危害劃分根據(jù)刑事司法實踐及計算機犯罪的特點等因素劃分從計算機犯罪實踐上劃分第6頁，共37頁，2023年，2月20日，星期四根據(jù)計算機是否受到侵害和計算機犯罪的基本概念劃分將計算機作為犯罪工具而實施的犯罪直接法。間接法。以計算機資產(chǎn)為攻擊對象的犯罪硬件破壞。軟件破壞。第7頁，共37頁，2023年，2月20日，星期四根據(jù)計算機犯罪的目的劃分計算機操縱計算機破壞計算機竊密第8頁，共37頁，2023年，2月20日，星期四根據(jù)計算機犯罪指向的具體對象和造成的危害劃分向計算機信息系統(tǒng)輸入欺騙性數(shù)據(jù)、記錄未經(jīng)批準使用計算機信息系統(tǒng)資源篡改或竊取信息或文件盜竊或詐騙系統(tǒng)中的電子貨幣破壞計算機資產(chǎn)第9頁，共37頁，2023年，2月20日，星期四根據(jù)刑事司法實踐及計算機犯罪的特點等因素劃分以計算機技術(shù)作為犯罪手段的犯罪以計算機系統(tǒng)內(nèi)存儲或使用的技術(shù)成果作為對象的犯罪以毀壞計算機設(shè)備為內(nèi)容的犯罪第10頁，共37頁，2023年，2月20日，星期四從計算機犯罪實踐上劃分程序、數(shù)據(jù)及各種設(shè)備實體的物理性破壞用計算機盜竊資金盜竊數(shù)據(jù)或程序更改程序或數(shù)據(jù)盜用計算機資源信用卡方面的犯罪等第11頁，共37頁，2023年，2月20日，星期四8.2計算機犯罪的手段和特征

8.2.1計算機犯罪的手段

8.2.2計算機犯罪的途徑

8.2.3計算機犯罪的特點第12頁，共37頁，2023年，2月20日，星期四8.2.1計算機犯罪的手段從以往發(fā)生的計算機犯罪分析，主要有以下手段：特洛伊木馬術(shù)數(shù)據(jù)欺騙意大利香腸術(shù)截收活動天窗邏輯炸彈數(shù)據(jù)泄露清掃術(shù)瀏覽順手牽羊冒名頂替計算機病毒信用卡犯罪第13頁，共37頁，2023年，2月20日，星期四8.2.2計算機犯罪的途徑計算機犯罪的途徑有多種，從廣義上講，無非是以計算機設(shè)施、輸入、軟件、輸出這四個“入口”實施犯罪。對于不同的犯罪主體，從上述各個入口實施犯罪的機會或可能性也不同。下表是英國對設(shè)計計算機犯罪的33個案例的調(diào)查分析：第14頁，共37頁，2023年，2月20日，星期四8.2.3計算機犯罪的特點與社會上常規(guī)犯罪相比，計算機犯罪有以下特點：智能性隱蔽性復(fù)雜性損失大、涉及面廣主體低齡化和內(nèi)部人員多嚴重的危害性第15頁，共37頁，2023年，2月20日，星期四智能性舞弊手段的技術(shù)性和專業(yè)化使得計算機犯罪具有極強的智能性，主要表現(xiàn)在：大多數(shù)計算機犯罪分子掌握相當(dāng)高的計算機技術(shù)和網(wǎng)絡(luò)技術(shù)，以及嫻熟的操作技能。作案者多采用高技術(shù)犯罪手段，或多種手段并用。第16頁，共37頁，2023年，2月20日，星期四隱蔽性由于網(wǎng)絡(luò)的開放性、不確定性、虛擬性和超越時空性等特點，使得計算機犯罪具有極高的隱蔽性，主要表現(xiàn)在：計算機犯罪大多數(shù)通過對程序和數(shù)據(jù)這些無形信息的操作來實現(xiàn)，其作案的直接對象也往往是這些無形的電子數(shù)據(jù)和信息。犯罪后對機器硬件和信息載體可不造成任何損壞，甚至未使其發(fā)生絲毫的改變，作案后可不留痕跡。作案范圍一般不受時間和空間的限制，在全國和全球聯(lián)網(wǎng)的情況下，通過通訊設(shè)施可以在任何時間、任何地點進行作案。第17頁，共37頁，2023年，2月20日，星期四復(fù)雜性計算機犯罪的復(fù)雜性的主要表現(xiàn)為：犯罪主體的復(fù)雜性。犯罪對象的復(fù)雜性。第18頁，共37頁，2023年，2月20日，星期四損失大、涉及面廣美國因計算機犯罪造成的損失在千億美元以上，年損失達到上百億美元；英國、德國的年損失也達到幾十億美元。隨著社會的網(wǎng)絡(luò)化，計算機犯罪的對象從金融到個人隱私、國家安全、信用卡、軍事機密等，無所不包，而且犯罪發(fā)展迅速。我國從1986年開始出現(xiàn)，1993年發(fā)生了上百起，并以每年30%的速度遞增。第19頁，共37頁，2023年，2月20日，星期四主體低齡化和內(nèi)部人員多計算機犯罪的作案人員年齡越來越小，從目前發(fā)現(xiàn)的計算機犯罪來看，犯罪分子大多是具有一定學(xué)歷、知識面較寬、了解計算機系統(tǒng)、對業(yè)務(wù)比較熟悉的年輕人。此外，計算機犯罪主體中內(nèi)部人員占有相當(dāng)比重。據(jù)統(tǒng)計，計算機犯罪的犯罪主體集中在金融與證券業(yè)，身為銀行或證券公司職員而犯罪的占78%，并且絕大多數(shù)為單位內(nèi)部的計算機操作與管理人員；利用電腦搞破壞的的絕大多數(shù)是對企業(yè)心懷不滿的企業(yè)內(nèi)部人員，通常他們掌握企業(yè)計算機系統(tǒng)內(nèi)情。第20頁，共37頁，2023年，2月20日，星期四嚴重的危害由于計算機應(yīng)用的普遍性和計算機處理信息的重要性，使計算機犯罪具有危害性嚴重的特點。計算機信息系統(tǒng)的社會作用越大，應(yīng)用面越廣，發(fā)生犯罪案件的機率就越高，社會危害性也就越大。在科技發(fā)展迅速的今天，世界各國對網(wǎng)絡(luò)的利用和依賴將越來越多，因而，網(wǎng)絡(luò)安全所面臨的現(xiàn)實與潛在的危害也越來越大，網(wǎng)絡(luò)安全的維護也變得越來越重要。第21頁，共37頁，2023年，2月20日，星期四8.3計算機犯罪的防范

8.3.1建立健全有效的內(nèi)部控制系統(tǒng)

8.3.2積極開展計算機系統(tǒng)的審計

8.3.3加強技術(shù)性防范8.3.4加強人事管理及其他有關(guān)人員素質(zhì)

8.3.5完善有關(guān)計算機安全與犯罪的立法第22頁，共37頁，2023年，2月20日，星期四8.3.1計算機犯罪的防范

建立一個健全有效的內(nèi)部控制系統(tǒng)可以防止錯誤和犯罪的發(fā)生。數(shù)據(jù)高度集中

責(zé)任高度集中

信息系統(tǒng)內(nèi)部控制包括兩個方面：一般控制應(yīng)用控制第23頁，共37頁，2023年，2月20日，星期四8.3.2積極開展計算機系統(tǒng)的審計

審計的目的之一就是查錯防弊，審計人員在對付計算機犯罪方面，可以采用的有效措施包括：積極開展計算機系統(tǒng)的事前審計定期地對被審單位的內(nèi)部控制制度進行審計重視計算機系統(tǒng)的事后審計第24頁，共37頁，2023年，2月20日，星期四8.3.3加強技術(shù)性防范

技術(shù)性自我保護是發(fā)現(xiàn)和預(yù)防計算機犯罪的有效措施。最普遍的方法是限制進入計算機程序和限制進入計算機操作。技術(shù)性防范包括：數(shù)據(jù)處理功能保護跟蹤檢測技術(shù)第25頁，共37頁，2023年，2月20日，星期四8.3.4加強人事管理及其他有關(guān)人員素質(zhì)

預(yù)防計算機犯罪主要是做好人的工作和加強管理。開展計算機安全的宣傳和教育工作，對計算機操作人員和管理人員嚴格挑選，嚴明職責(zé)，互相制約，使計算機工作人員僅能在授權(quán)范圍內(nèi)工作。管好有關(guān)計算機業(yè)務(wù)人員的思想素質(zhì)、職業(yè)道德教育和業(yè)務(wù)素質(zhì)。對濫用計算機而并未意識到這種行為是違法犯罪的業(yè)務(wù)人員，更應(yīng)使他們建立模范的職業(yè)道德和安全保密的觀念。第26頁，共37頁，2023年，2月20日，星期四8.3.5完善有關(guān)計算機安全與犯罪的立法

計算機安全與犯罪立法，是防范計算機犯罪的一個重要措施。使計算機安全措施法律化、規(guī)范化和制度化

對犯罪分子起到一定的威懾作用

國外普遍認為，必須從法律和國家政策上采取有效措施，才能有效的防止計算機犯罪。已有30多個國家先后從不同側(cè)面制定了有關(guān)計算機安全的法律和規(guī)范，有的還對刑事法典做了補充修改

我國關(guān)于計算機信息系統(tǒng)管理方面的法規(guī)不斷健全第27頁，共37頁，2023年，2月20日，星期四8.4計算機犯罪的審計審查計算機犯罪的總體思路是：首先通過對被審信息系統(tǒng)內(nèi)部控制的評審，找出系統(tǒng)內(nèi)部控制的突破口，根據(jù)計算機犯罪各種手段的特征及其與有關(guān)內(nèi)部控制的關(guān)系，確定可能的犯罪手段，然后針對可能的犯罪手段，實施深入的技術(shù)性審查和取證，最后寫出審計報告及管理建議書。

8.4.1輸入類計算機犯罪的審查8.4.2軟件類計算機犯罪的審計

8.4.3輸出類計算機犯罪的審計8.4.4接觸類計算機犯罪的審計第28頁，共37頁，2023年，2月20日，星期四8.4.1輸入類計算機犯罪的審查

輸入類計算機犯罪主要是在系統(tǒng)的輸入環(huán)節(jié)做文章，通過偽造、篡改數(shù)據(jù)、冒充他人身份或輸入虛假數(shù)據(jù)達到非法目的。它主要是利用下列內(nèi)部控制的弱點：職責(zé)分工不明確。

接觸控制不完善。無嚴格的操作權(quán)限控制。

沒有建立控制日志。其他輸入控制的不完善。

輸入類犯罪人員包括：參與業(yè)務(wù)處理的人員、數(shù)據(jù)準備人員、源數(shù)據(jù)提供人員、能夠接觸數(shù)據(jù)但不參與業(yè)務(wù)處理的人員。第29頁，共37頁，2023年，2月20日，星期四8.4.1輸入類計算機犯罪的審查

輸入類犯罪的審查方法包括：應(yīng)用審計抽樣技術(shù)，將部分機內(nèi)記賬憑證與手工原始的憑證核對，審查輸入數(shù)據(jù)的真實性。

應(yīng)用傳統(tǒng)審計方法審查原始憑證的真實合法性。對數(shù)據(jù)文件的完整性進行測試。

對例外情況進行核實。對輸出報表進行分析，看有無異常情況或涂改行為。第30頁，共37頁，2023年，2月20日，星期四8.4.2軟件類計算機犯罪的審計

這類計算機犯罪主要是通過非法改動計算機程序，或在程序開發(fā)階段預(yù)先留下非法指令，使得系統(tǒng)運行時處理功能出現(xiàn)差錯，或程序控制功能失效，而達到破壞系統(tǒng)和謀取私利的目的。

軟件類計算機犯罪需要較強的計算機專業(yè)知識，所以其犯罪主體只能是計算機專業(yè)人員。

這類犯罪活動主要利用下列內(nèi)部控制的弱點：電算部門與用戶部門的職責(zé)分離不恰當(dāng)。

系統(tǒng)的維護控制不嚴。系統(tǒng)的開發(fā)控制不嚴。接觸控制不完善。第31頁，共37頁，2023年，2月20日，星期四8.4.2軟件類計算機犯罪的審計

對這類犯罪活動的審查方法有：程序源編碼檢查方法。

程序比較法。測試數(shù)據(jù)法。計算機輔助追蹤。平行模擬法。借助于計算機專家工作。對違法行為的可能受益者進行調(diào)查，審查其個人收入。第32頁，共37頁，2023年，2月20日，星期四8.4.3輸出類計算機犯罪的審計

輸出類計算機犯罪主要通過篡改報告，盜竊或截取機密文件或商業(yè)秘密來實施犯罪。輸出類犯罪多是進行政治、軍事和商業(yè)間諜活動。

這種類型的犯罪主體，除了篡改輸出報告為內(nèi)部用戶外，其余多為外來者，有簡單的“拾垃圾者”，更多的是間諜人員。其犯罪手段有廢品利用、數(shù)據(jù)泄露，截取、瀏覽等。

這類犯罪活動主要利用下列內(nèi)部控制的弱點：接觸控制不完善。

輸出控制不健全。傳輸控制不完善。操作員的身份和權(quán)限控制不嚴密。第33頁，共37頁，2023年，2月20日，星期四8.4.3輸出類計算機犯罪的審計

對這類犯罪活動的審查方法：詢問能觀察到敏感數(shù)據(jù)運動的數(shù)據(jù)處理人員。

檢查計算機硬件設(shè)施附近是否有竊聽或無線電發(fā)射裝置。檢查計算機系統(tǒng)的