企業信息系統的舞弊及應對策略

[摘要]計算機在企業管理及會計信息處理中的迅速普及和廣泛應用，給人們帶來了極大的方便和效益。計算機加快了企業信息的處理速度，提高了信息的質量，減輕了企業處理數據的負擔。但任何事情有利必有弊，信息系統舞弊案件層出不窮，并且造成損失之大觸目驚心。在我國，隨著計算機應用的普及，信息系統舞弊案件時有發生，因此，認識和了解信息系統舞弊的主要方法和手段。有利于評估與揭示被審計信息系統的風險。

[關鍵詞]信息系統；舞弊；應對策略

[中圖分類號]F239.1 [文獻標識碼]A [文章編號]1673-0194(2008)08-0072-05

早在20世紀40年代。最早應用計算機的軍事和科學工程領域中就開始出現了利用計算機進行犯罪活動。只是較為罕見，未引起注意；到70年代中后期，計算機在全球開始普及，隨著操作系統簡化，人機對話功能增強，越來越多的人開始使用與掌握計算機；特別是進入90年代后，計算機的應用領域擴展到了銀行、保險、證券、商務等領域，計算機犯罪呈滋生蔓延趨勢。我國從1986年開始，每年至少出現幾起或幾十起計算機犯罪案件，近幾年利用計算機犯罪的案件以每年30％的速度遞增，有專家預言，“在今后的5至10年時間里，我國的信息系統舞弊案件將會大量發生”。因此，信息系統舞弊是當今社會一個值得注意的重大問題。

一、問題的提出

1、信息系統舞弊

目前國內一些學者認為：信息系統舞弊是指破壞或者盜竊計算機及其部件，或者利用計算機進行貪污、盜竊的行為。我國公安部計算機管理監察司提出的信息系統舞弊的定義是：以計算機為工具或以計算機資產為對象實施的犯罪行為。前一種舞弊是利用計算機作為實現舞弊的基本工具，利用計算機編程進入其他系統進行騙取錢財、盜取計算機程序或機密信息的犯罪活動。其作案手法多種多樣。如利用計算機將別人的存款轉到作案人自己的賬戶中；利用計算機設置假的賬戶，將錢從合法的賬戶轉到假的賬戶中去；掌握單位顧客的訂單密碼，開出假訂單，騙取單位的產品等。1979年美國《新聞周刊》曾報道，計算機專家S，M·里夫肯通過計算機系統，把他人的存款轉到自己的賬戶中，騙走公司1000萬美元。后一種舞弊是把計算機當作目標，以計算機硬件、計算機系統中的數據和程序、計算機的輔助設施和資源為對象。分為破壞和偷竊等。破壞是因為舞弊者出于某種目的去破壞計算機的硬件和軟件，可以用暴力方式破壞計算機的設備，也可以用高技術破壞操作系統及數據，導致系統運行中斷或毀滅；偷竊是指舞弊者利用各種手段偷取計算機硬件、軟件、數據和信息。

結合以上的論述，本文將信息系統舞弊定義為：以計算機或其相應設備、程序或數據為對象，通過虛構、制造假象或其他不正當的方式欺騙他人，掠取他人財務而實施的任何不誠實的故意行為，也叫計算機犯罪。

2、信息系統舞弊的特點

信息系統舞弊呈現如下特點：智能化；隱蔽性；獲利大；跨國化；危害大。

網絡的普及程度越高，計算機犯罪的危害也就越大，不僅造成財產損失，而且也會危及公共安全與國家安全。有資料指出。目前計算機犯罪的年增長率高達30％，其中發達國家和地區遠遠超過這個比率，如法國達200％，美國的硅谷地區達400％。與傳統的犯罪行為相比，計算機犯罪所造成的損失更為嚴重。例如，美國的統計表明：平均每起計算機犯罪造成的損失高達45萬美元，而傳統的銀行欺詐與侵占案平均損失只有1.9萬美元，一般的搶劫案的平均損失僅370美元。正如美國Inter-Pact公司的通信顧問溫·施瓦圖所說的：“一場電子戰的珍珠港事件時時都有可能發生”。因此，計算機犯罪將成為社會危害性最大，也是最危險的犯罪行為之一。

二、信息系統舞弊的一般問題

(一)成因

1、個人因素

大部分涉及信息系統舞弊案件的人屬于這類情況。隨著社會的快速發展，很多人認為壓力越來越大，負擔也越來越重，認為收入和生活所需已“入不敷出”；也有人是染上了不良的嗜好，如賭博，而欠下了巨額債務需要償還；還有人是感到單位領導不公正，對上級不滿，而進行伺機報復。如美國一家銀行的計算機專業人員，預先輸入了一個程序，其含義為：一旦自己的名字在人事檔案數據庫中查不到(即被解雇)，則對計算機系統進行破壞。當他被辭退后，銀行計算機系統不久就陷入了癱瘓。

2、環境因素

一方面單位沒有公開的政策。所以有時員工不知道自己的行為是否正確，錯誤的行為會導致什么樣的后果；另一方面，單位沒有合理的人事制度，這樣有可能會導致企業內部沒有良好的溝通渠道。員工的工作業績沒有得到充分的認可，沒有合理的報酬。從而降低了員工對單位的忠誠度，信息系統舞弊的案件也就有可能隨之發生。

3、單位內部制度不完善

比如單位職責分工不明確，如果由一個人既負責業務交易，又有權接觸電子數據處理，那么就存在舞弊的風險；沒有嚴格的操作權限；系統的維護控制不嚴，如程序員可隨時調用機內程序進行修改；系統的開發控制不嚴格。如用戶單位沒有對開發過程進行監督。沒有詳細檢查系統開發過程中產生的文檔；接觸控制不完善，如應當避免控制系統的內部用戶或計算機操作人員接觸到系統的設計文檔；輸出控制不健全；傳輸控制不完善等。

4、被計算機的挑戰性所誘惑

現在越是秘密的地方維護安全的技術投入的就越大，對于那些黑客而言，這無疑更能夠刺激他們，使他們有種新奇感，并激起其挑戰的欲望。美國國防部全球計算機網絡平均每天遭受兩次襲擊，美國《時代》周刊報道，美國國防部安全專家對其掛接在Internet網上的12000臺計算機系統進行了一次安全測試，結果88％入侵成功，96％的嘗試破壞行為未被發現。而且現在越來越多的黑客敢于通過病毒與殺毒軟件公司“溝通”。甚至公然“叫板”殺毒軟件商。

(二)信息系統舞弊的類型與手段

1、信息系統舞弊的類型

(1)非法占有財產

這類案件最常見，也是較難察覺的，并極有可能造成巨額資金損失。因此不論是對會計師、審計師還是對企業管理者來說。都是最為嚴重的一種犯罪。這類案件有的是利用掌管計算機系統之便，虛開賬戶，偽造轉賬交易，將資金轉出。如1997年3月原寧波證券公司深圳業務部的曾定文博士。利用他負責管理電腦程序編制和修改工作。從而掌握密碼系統的便利條件，通過密碼進入交易程序，在自己所掌握的股東賬戶上直接下買單，透支本單位資金累計人民幣928萬元；有的是采用一種“取零技術”，國外也稱之為“意大利香腸技術”，每次都將交易的零星小數從總額中扣下，存到一個非法的賬戶中，這樣不易察覺，而且時間久了也可達到一個可觀的數目。

(2)非法利用計算機系統

這類案件比較復雜，出現的問題和作案手法也各不相同。例如，有些程序員會借調試程序的時候，非法聯通網路，進行非法轉賬；有些內部設備維修人員借維修之便，偷竊數據，甚至非法拷貝軟件包，或者輸入某些錯誤信息，以攪亂數據信息。2001年11月，上海市查獲全國首例利用計算機非法操縱證券價格案，案犯為了使自己和朋友獲利，在2001年4月16日。通過某證券營業部的電腦非法侵入該證券公司的內部計算機信息系統，對待發送的委托數據進行修改，造成當天下午開市后，“興業房產”，“蓮花味精”兩種股票的價格被拉至漲停板價位，造成該證券營業部遭受損失295萬余元；有些程序員在設計程序時，會設計某些特定條件。并秘密地安置在計算機系統中，當滿足特定條件時。這種破壞程序就會破壞計算機系統的數據或程序。如在美國港口城市米爾沃基市有一個青年團伙，他們以該城市的電話地區代號414自我命名，采用非法手段，將這個代號輸入到許多企業、公司和政府的計算機網絡中去，雖該代號最終被各單位的計算機系統識別而沒有造成重大損失，但也產生了不少麻煩。

(3)非法占有經濟信息

利用計算機操作人員或管理人員。買通其收集經濟信息：利用計算機系統網絡和其他電子技術，竊取偵聽到有價值的經濟信息，如1997年10月，廣州“好又多”百貨公司電腦部副科長李建新。利用電腦技能竊取公司商業資料。并高價賣給競爭對手，最后被公安機關逮捕歸案。

(4)未經許可使用他人的計算機資源

從事這些活動的人俗稱“黑客”。2007年3月30日，美國《華盛頓郵報》報道，全球折扣零售業巨頭TJX公司承認。在過去的1年半時間里，公司的金融數據庫不斷遭到黑客的侵襲。導致超過4500萬名公司顧客的信用卡信息和個人資料外泄。黑客獲取到這些信息后偽造信用卡大肆消費揮霍：有些黑客會侵入公司的電腦系統中竊取機密資料，然后向受害公司勒索，VISA信用卡公司就曾被勒索高達1000萬英鎊，黑客聲明，如果VISA公司不合作，就會使其整個系統癱瘓，VISA公司有8億個信用卡客戶，每年營業額近1萬億英鎊，只要其癱瘓一天，便有可能損失數千萬英鎊。

2、信息系統舞弊的手段

通常來說信息系統舞弊主要是以計算機為工具，運用違法違規的手段來謀取組織或個人的經濟利益。其直接的舞弊對象是信息。在某些情況下。舞弊是專門針對計算機本身的，通過改變計算機的硬件和軟件設施，使信息系統暫停、中斷，甚至導致整個系統癱瘓。按入侵系統實施犯罪的途徑來劃分，可將信息系統舞弊的手段分為以下幾類：

(1)篡改輸入數據舞弊

這是最簡單、最安全、最常用的方法。這種舞弊方法并不要求舞弊者有多么高的計算機技能。只需要懂得當數據進入系統時如何偽造、刪除、修改就可以了。主要采用的手段包括：虛構業務數據；修改業務數據；刪除業務數據。

(2)利用程序舞弊

主要采用的手段包括：木馬計；截尾術；越級術；仿造與模擬。

(3)偷竊數據舞弊

在計算機系統中經常出現重要的數據被竊，作為商業秘密泄露給需要這種信息的個人或機構，偷竊數據者從中得到經濟利益。主要采用的手段包括：拾遺；數據泄漏。

(4)計算機病毒

這是一種軟件，能造成計算機文件丟失、甚至死機。2007年某殺毒軟件公司反病毒監測中心的報告顯示，3月以來。病毒數量又創新高，3月新增病毒達16000種，感染計算機1300多萬臺。根據《計算機經濟》的報道，最具有殺傷力的病毒和蠕蟲是在最近幾年給計算機經濟造成了重大經濟損失的病毒，code red(2001)造成損失26.2億美元，sincam(2001)造成損失115億美元。2000年5月1日接連作亂的“I LOVE YOU”病毒通過題為“我愛你”的電子郵件傳播，在極短的時間內襲擊了亞洲、歐洲和北美洲的20多個國家，侵入電腦電子郵件系統的“愛蟲”被激活后，會自我復制并自動發往受害電腦里電子郵件通訊錄上的所有地址，造成全世界近4500萬電腦操作者受到攻擊，因電腦系統癱瘓或關閉造成的損失約為100億美元。2006年10月16日武漢的李俊編寫了“熊貓燒香”，并將此病毒賣給他人，非法獲利10萬多元，“熊貓燒香”又稱“武漢男生”，隨后又化身為“金豬報喜”，這是一個感染型的蠕蟲病毒，能感染系統中的exe、com、html、asp等文件，還能中止大量的反病毒軟件進程并且會刪除擴展名為.gho的文件，被感染的用戶系統所有.exe可執行文件全部被改成熊貓舉著三根香的模樣。

除此之外，還有天窗、邏輯炸彈、野兔、乘虛而入、冒充、通訊竊取、后門、陷阱門等舞弊手段。

三、信息系統舞弊的審計與控制

由于信息系統舞弊具有的高智能性、高隱蔽性、高危害性等特點，如何有效地審計和控制變得非常重要。這需要采取多方面的措施。不僅要經常開展信息系統舞弊的審計，掌握各種舞弊類型的審計方法，還要完善對計算機犯罪的立法，完善內部控制制度，加強內部控制的管理，采取技術防范，積極開展信息系統審計，提高人員素質，實現技術、人和制度三者間的有效結合。

1、信息系統舞弊的審計

對信息系統舞弊的審計，首先是對被審計單位內部控制體系進行評價，根據信息系統舞弊的可能途徑，找出其內部控制的弱點。確定被審單位可能存在的信息系統舞弊手段。審查時除了借鑒傳統的審計方法，如分析性復核、審閱與核對法、盤點實物、查詢及函證外，最有效的是根據網絡會計系統的特點有針對性地進行審查。

(1)對輸入數據舞弊的審計

對輸入數據進行舞弊是計算機系統中最常見和最普遍的一種舞弊方法。輸入類舞弊通常是利用單位內控的弱點。比如職責分工不明確、接觸控制不完善、沒有嚴格的操作權限控制、系統本身缺乏核對控制等。在這種情況下就有可能會發生以下舞弊行為：舞弊人員將假的存款輸入銀行系統。增加作案者的存款數額；將企業賬號改為個人賬號以實現存款轉移；消除購貨業務憑證，將貨款占為己有等。審計人員應重點收集輸入環節的審計證據。

首先，抽查部分原始憑證，確定業務發生的真實性，判斷原始單據的來源是否合法，其數據有無篡改。其次，將記賬憑證的內容和數據與其原始單據進行核對，最后再進行賬賬核對；利用計算機抽樣，實行計算機自動校對，將機內部分記賬憑證與手工記賬憑證進行核對，審查輸入憑證的真實性；測試數據的完整性，計算機輸出的完整性審計，審計人員模擬一組被審單位的計算機數據處理系統的數據輸入，并親自操作，根據系統能達到的功能要求完成處理過程，得到的數據與原先計算機得到的結果相比較，檢驗兩者是否完全一致；分析性審查，對輸出報告進行分析，看有無異常情況，比如與審計有關的賬冊、報表、上機記錄等要打印備查。

(2)對利用程序舞弊的審計

利用程序舞弊的人員通常具有一定的計算機知識，有的甚至精通計算機，這種舞弊有時是屬于有預謀的，如利用計算機軟件中關于計算保留小數的程序按預謀方法截取，將截尾的數值存入預先設定的賬戶；或在計算機程序中，暗地編入指令；使用越級法舞弊的人員，通常是能夠取得越級程序，并能接觸計算機，熟悉掌握計算機應用技術的人員，越級這種大能量的程序，如被作案人掌握，將十分危險，因此主要是防范與控制。對于有預謀的舞弊的預防性審查主要是通過系統開發控制審計。另外還可用特殊的數據進行預測及認真核對源程序。

(3)對偷竊數據的審計

借助高科技設備和系統的通訊設施非法轉移資金。對會計數據的安全保護構成很大威脅。通常對偷竊數據的審計的主要的方法有：檢查系統的物理安全設施。如網絡系統的遠程傳輸數據沒有經過加密后傳輸，很容易通過通信線路被截收，應查明無關人員能否接觸信息系統；檢查計算機硬件設施附近是否存在有利于舞弊者舞弊的裝置與工具。如竊聽器與通訊線路上的某部分接觸、盒式錄音機、麥克風等：查看計算機運行的記錄日志和拷貝傳送數據的時間和內容，了解和訪問數據處理人員，分析數據失竊的可能性，并追蹤其審計線索；調查及函證懷疑對象的個人交往，以便發現線索；檢查打印資料是否及時處理，暫時不用的磁盤、磁帶是否還殘留有數據。

(4)對計算機病毒的審計

對待計算機病毒要以預防為主。下面是預防感染病毒的一些一般性控制措施：不要使用來路不明的新軟件，不要隨意下載不明文件，不要訪問不良網站；對磁盤加以寫保護；在使用新的軟件之前，對其進行檢查，以防其中含有病毒：應及時更新操作系統和防病毒軟件，并定期對系統進行檢查。

2、信息系統舞弊的控制

(1)完善法規體系

加強反計算機犯罪的法制建設是從宏觀上控制計算機犯罪的前提。法規不健全與不完善使計算機犯罪的控制較為困難。反計算機犯罪的法制建設可從兩方面入手：一是建立針對利用計算機犯罪活動的法律，明確規定哪些行為屬于信息系統舞弊行為及其懲罰辦法；二是信息系統本身的保護法律，明確計算機系統中哪些東西或方面是受法律保護及受何種保護。目前，我國關于計算機信息系統管理方法的法規有：《計算機信息系統安全保護條例》、《計算機信息網絡國際聯網管理暫行規定》、《計算機信息網絡國際聯網出入信道管理辦法》、《中國公用計算機互聯網國際聯網管理辦法》、《專用網與公用網聯網的暫行規定》等。我國在1997年全面修訂刑法時，在第285條規定了非法侵入計算機信息系統罪：第286條規定了破壞計算機信息系統功能罪，破壞計算機數據和應用程序罪；第287條規定了利用計算機進行傳統犯罪。同時我國計算機安全保護條例的實施細則和金卡工程安全規范等也應盡快制定。并且還應當加大宣傳法律知識的力度。以法律的威嚴震懾違法者。

(2)單位建立完善的內部控制制度

內部控制是企業單位在會計工作中為維護會計數據的可靠性、業務經營的有效性和財產的完整性而制定的各項規章制度、組織措施管理方法、業務處理手續等控制措施的總稱。運用計算機處理會計信息和其他管理信息的單位，均應建立和健全電算化內部控制系統。一個完善的內部控制系統應具有強有力的一般控制和應用控制措施，兩者缺一不可。

(3)加強技術性防范

技術性自我保護是發現和預防信息系統舞弊的有效措施。計算機安全系統的強度取決于其中最為薄弱的一環。任何一個節點，某一個軟件其中的某個服務，某個用戶的脆弱口令等都可能造成整個系統的失效。對于攻擊者而言。只要找到一處漏洞，攻擊往往就會有50％以上的成功率。據統計，約90％的計算機系統都被攻擊過，應加強安全技術防范。可以采用數據加密技術。使舞弊者即使獲取了數據也很難進行有效的處理；可以通過備份數據，對照數據或進行再處理，以此檢查數據有無異樣；可以通過設置防火墻來阻斷來自外部網絡的威脅和入侵。

(4)提高員工素質

我國公安機關的調查顯示，大部分信息系統舞弊案件的發生是由于內部人員所造成的，如2001年3月，湖北省孝感市某建行儲蓄所的操作員利用雙休日無人值班之機，獨自在化名賬戶中虛存了500多萬元。并且當天攜款潛逃。我國目前的會計人員的實際水平不適應經濟發展的步伐。與市場經濟條件下進行職業判斷的要求還存在一定的差距，對會計人員培訓方面也不規范。特別是對會計人員的思想道德素質的培養不夠規范，進入21世紀，隨著經濟的不斷發展，知識更新步伐的加快，法規體系與國際的接軌。要求會計人員需要具備較高的思想道德素質和業務素質，因此加強會計人員的綜合素質教育已勢在必行。

信息系統舞弊案件的發生呈日益上升的趨勢。所以評估與揭示被審計信息系統的風險十分重要。加強審查和預防的力度是解決這類案件發生的主要途徑。這樣不論是對企業還是對國家都會產生一些積極的作用，才能更好地維護國家和人民的利益。