4. Комп’ютерне шахрайство: визначення та ознаки

 

Аудитор повинен виявити слабкі місця контролю системи ком­п'ютерного обліку, а також організаційні заходи перевірки цілісності даних і відсутності комп'ютерних вірусів.

У процесі аудиту необхідно проаналізувати систему контролю підготовки бухгалтерських даних, перевірити, які заходи вживає клі­єнт, щоб запобігти появі помилок і фальсифікацій.

Аудитору необхідно враховувати, що застосування програмного забезпечення господарюючим суб'єктом значно впливає на ризик появи помилок і відхилень в обліку (рис. 3).

Рис. 3. Класифікація помилок в автоматизованій системі бухгалтерського обліку

 

На підставі вивчення спеціальної зарубіжної і вітвизняної літера­тури (А. Романов, Б. Одінцов, С. Івахненко, В. Вирганенко, Ю. Михайлов) можна подати найбільш загальну характеристику заходів конторолю в автоматизованому режимі опрацювання інфор­мації. При виконанні операцій автоматизованої системи бухгал­терського обліку в автоматичному режимі заходи можуть бути на­ступними.

Заходи контролю за доступом – це процедури, призначені для обмеження доступу до онлайнових терміналів, програм і даних. За­ходи контролю за доступом складаються з "розпізнавання користу­вача" та "санкціонування користувача". "Розпізнавання користува­ча", як правило, ідентифікує користувача за допомогою засобів іден­тифікації користувача при вході в систему, паролів, карток доступу або біометричних даних. "Санкціонування користувача" складається з правил доступу для визначення того, до яких з ресурсів комп'ютера кожен користувач має право доступу. Зокрема, такі процедури призначені для унеможливлення або виявлення:

•          несанкціонованого доступу до онлайнових терміналів, про­грам та даних;

•          проводки несанкціонованої операції;

•          несанкціонованих змін файлів даних;

•          використання комп'ютерних програм несанкціонованим пер­соналом;

•          використання несанкціонованих комп'ютерних програм.

Заходи контролю за змінами програм - це процедури, призначені для унеможливлення або виявлення некоректних змін до комп'ютерних програм, доступ до яких здійснюється через онлайнові термінали. Доступ можна обмежити такими заходами контролю, як використання окремих операційних бібліотек, бібліотек розробки програм та застосування спеціалізованого про­грамного забезпечення бібліотеки програм. Важливо належним чи­ном документувати й контролювати онлайнові зміни до програм, а також управляти ними.

Заходи контролю прикладних програм у комп'ютерних інформаційних системах - це конкретні заходи контролю за відповідними бухгалтерськими комп'ютерними прикладними про­грамами. Призначення контролю прикладних програм - запровадити конкретні заходи контролю за бухгалтерськими прикладними про­грамами для забезпечення обгрунтованої впевненості в тому, що всі операції санкціоновані, відображені та оброблені в повному обсязі, точно та своєчасно.

У більшість бухгалтерських програм контрольна діагностика об­межена і неадекватна вимогам відносно дієвості і надійності внутрішнього комп'ютерного контролю.

Достатньо проблем виникає, коли бухгалтерські програми мають розвітлений аппарат автоматичного ініціювання деяких операцій (наприклад формування показників фінансової звітності). Тому ви­никає необхідність з'ясувати адекватність розмежування контроль­них функцій між посадовими особами (бухгалтерами, менеджерами, фахівцями за комп'ютерними системами), ступінь виконання обов'язків програмістів по наладці програм з метою виключення можливостей перевищення прав під час внесення змін у програмне забезпечення обліку.

Наслідком невирішення цих проблем є зростання випадків комп'ютерного шахрайства. Відома достатня кількість способів зло­вживання типу: "підміна даних", "прибирання сміття", "троянський кінь", "люк", "асинхронна атака", "комп'ютерний вірус" тощо. Так, "люк" - це прийом, який передбачає необхідність "розірвати" про­граму в будь-якому місці і вставити туди додатково одну або декіль­ка команд, які дозволять їй здійснювати нові, незаплановані розроб­ником функції, але одночасно зберігати і минулу роботоздатність. "Асинхронна атака" - прийом, заснований на можливості змішати команди двох або декількох користувачів, чиї програми комп'ютер виконує одночасно.

Щоб локалізувати і встановити джерело і механізм комп'ютерних зловживань, необхідно знати умови які їм сприяють, а саме:

•        доступ безпосередньо до комп'ютера або терміналу, до файлів даних, до комп'ютерних програм, до системної інформації;

•        наявність часу і можливостей для використання комп'ютерних засобів в особистих цілях.

В МСА 315 "Розуміння суб'єкта господарювання та його сере­довища та оцінювання ризиків суттєвого викривлення" опису­ються загальні заходи контролю в системі інформаційних технологій, які спрямовані на підтримку ефективного функціонування про­цедур контролю за прикладними програмами шляхом забезпечення безперервної і належної роботи інформаційних систем. Такі проце­дури контролю стосуються головного комп 'ютера, міні-машин та середовища кінцевого користувача. Прикладами таких загальних заходів є: контроль за змінами в програмі; процедури контролю, що обмежують доступ до програм і даних; за впровадженням нових версій пакетів прикладного програмного забезпечення, за систем­ним програмним забезпеченням, яке обмежує доступ або контро­лює використання утиліт систем, які можуть внести зміни до фінансової інформації, не залишаючи можливість їх відстеження в ході аудиторської перевірки.