论企业信息系统的舞弊及应对策略

[论文关键词]信息系统；舞弊；应对策略

[论文摘要]在企业及信息处理中的迅速普及和广泛应用，给人们带来了极大的方便和效益。计算机加快了企业信息的处理速度，提高了信息的质量，减轻了企业处理数据的负担。但任何事情有利必有弊，信息系统舞弊案件层出不穷，并且造成损失之大触目惊心。在我国，随着的普及，信息系统舞弊案件时有发生，因此，认识和了解信息系统舞弊的主要方法和手段。有利于评估与揭示被信息系统的风险。

早在20世纪40年代。最早应用计算机的军事和科学工程领域中就开始出现了利用计算机进行犯罪活动。只是较为罕见，未引起注意；到70年代中后期，计算机在全球开始普及，随着操作系统简化，人机对话功能增强，越来越多的人开始使用与掌握计算机；特别是进入90年代后，计算机的应用领域扩展到了、、、商务等领域，计算机犯罪呈滋生蔓延趋势。我国从1986年开始，每年至少出现几起或几十起计算机犯罪案件，近几年利用计算机犯罪的案件以每年30％的速度递增，有专家预言，“在今后的5至10年时间里，我国的信息系统舞弊案件将会大量发生”。因此，信息系统舞弊是当今一个值得注意的重大问题。

一、问题的提出

1、信息系统舞弊

目前国内一些学者认为：信息系统舞弊是指破坏或者盗窃计算机及其部件，或者利用计算机进行贪污、盗窃的行为。我国公安部计算机管理监察司提出的信息系统舞弊的定义是：以计算机为工具或以计算机资产为对象实施的犯罪行为。前一种舞弊是利用计算机作为实现舞弊的基本工具，利用计算机编程进入其他系统进行骗取钱财、盗取计算机程序或机密信息的犯罪活动。其作案手法多种多样。如利用计算机将别人的存款转到作案人自己的账户中；利用计算机设置假的账户，将钱从合法的账户转到假的账户中去；掌握单位顾客的订单密码，开出假订单，骗取单位的产品等。1979年美国《周刊》曾报道，计算机专家S，M·里夫肯通过计算机系统，把他人的存款转到自己的账户中，骗走公司1000万美元。后一种舞弊是把计算机当作目标，以计算机硬件、计算机系统中的数据和程序、计算机的辅助设施和资源为对象。分为破坏和偷窃等。破坏是因为舞弊者出于某种目的去破坏计算机的硬件和软件，可以用暴力方式破坏计算机的设备，也可以用高技术破坏操作系统及数据，导致系统运行中断或毁灭；偷窃是指舞弊者利用各种手段偷取计算机硬件、软件、数据和信息。

结合以上的论述，本文将信息系统舞弊定义为：以计算机或其相应设备、程序或数据为对象，通过虚构、制造假象或其他不正当的方式欺骗他人，掠取他人而实施的任何不诚实的故意行为，也叫计算机犯罪。

2、信息系统舞弊的特点

信息系统舞弊呈现如下特点：智能化；隐蔽性；获利大；跨国化；危害大。

网络的普及程度越高，计算机犯罪的危害也就越大，不仅造成财产损失，而且也会危及安全与国家安全。有资料指出。目前计算机犯罪的年增长率高达30％，其中发达国家和地区远远超过这个比率，如法国达200％，美国的硅谷地区达400％。与传统的犯罪行为相比，计算机犯罪所造成的损失更为严重。例如，美国的表明：平均每起计算机犯罪造成的损失高达45万美元，而传统的银行欺诈与侵占案平均损失只有1.9万美元，一般的抢劫案的平均损失仅370美元。正如美国Inter-Pact公司的顾问温·施瓦图所说的：“一场战的珍珠港事件时时都有可能发生”。因此，计算机犯罪将成为社会危害性最大，也是最危险的犯罪行为之一。

二、信息系统舞弊的一般问题

(一)成因

1、个人因素

大部分涉及信息系统舞弊案件的人属于这类情况。随着社会的快速发展，很多人认为压力越来越大，负担也越来越重，认为收入和生活所需已“入不敷出”；也有人是染上了不良的嗜好，如赌博，而欠下了巨额需要偿还；还有人是感到单位领导不公正，对上级不满，而进行伺机报复。如美国一家银行的计算机专业人员，预先输入了一个程序，其含义为：一旦自己的名字在人事数据库中查不到(即被解雇)，则对计算机系统进行破坏。当他被辞退后，银行计算机系统不久就陷入了瘫痪。

2、因素

一方面单位没有公开的政策。所以有时员工不知道自己的行为是否正确，错误的行为会导致什么样的后果；另一方面，单位没有合理的人事制度，这样有可能会导致企业内部没有良好的沟通渠道。员工的工作业绩没有得到充分的认可，没有合理的报酬。从而降低了员工对单位的忠诚度，信息系统舞弊的案件也就有可能随之发生。

3、单位内部制度不完善

比如单位职责分工不明确，如果由一个人既负责业务交易，又有权接触电子数据处理，那么就存在舞弊的风险；没有严格的操作权限；系统的维护控制不严，如程序员可随时调用机内程序进行修改；系统的开发控制不严格。如用户单位没有对开发过程进行监督。没有详细检查系统开发过程中产生的文档；接触控制不完善，如应当避免控制系统的内部用户或计算机操作人员接触到系统的设计文档；输出控制不健全；传输控制不完善等。

4、被计算机的挑战性所诱惑

现在越是秘密的地方维护安全的技术投入的就越大，对于那些黑客而言，这无疑更能够刺激他们，使他们有种新奇感，并激起其挑战的欲望。美国国防部全球平均每天遭受两次袭击，美国《时代》周刊报道，美国国防部安全专家对其挂接在Internet网上的12000台计算机系统进行了一次安全测试，结果88％入侵成功，96％的尝试破坏行为未被发现。而且现在越来越多的黑客敢于通过病毒与杀毒软件公司“沟通”。甚至公然“叫板”杀毒软件商。

(二)信息系统舞弊的类型与手段

1、信息系统舞弊的类型

(1)非法占有财产

(2)非法利用计算机系统

(3)非法占有信息

利用计算机操作人员或管理人员。买通其收集经济信息：利用计算机系统网络和其他电子技术，窃取侦听到有价值的经济信息，如1997年10月，广州“好又多”百货公司电脑部副科长李建新。利用电脑技能窃取公司商业资料。并高价卖给竞争对手，最后被公安机关逮捕归案。

(4)未经许可使用他人的计算机资源

从事这些活动的人俗称“黑客”。2007年3月30日，美国《华盛顿邮报》报道，全球折扣零售业巨头TJX公司承认。在过去的1年半时间里，公司的数据库不断遭到黑客的侵袭。导致超过4500万名公司顾客的信用卡信息和个人资料外泄。黑客获取到这些信息后伪造信用卡大肆消费挥霍：有些黑客会侵入公司的电脑系统中窃取机密资料，然后向受害公司勒索，VISA信用卡公司就曾被勒索高达1000万英镑，黑客声明，如果VISA公司不合作，就会使其整个系统瘫痪，VISA公司有8亿个信用卡客户，每年营业额近1万亿英镑，只要其瘫痪一天，便有可能损失数千万英镑。

2、信息系统舞弊的手段

通常来说信息系统舞弊主要是以计算机为工具，运用违法违规的手段来谋取组织或个人的经济利益。其直接的舞弊对象是信息。在某些情况下。舞弊是专门针对计算机本身的，通过改变计算机的硬件和软件设施，使信息系统暂停、中断，甚至导致整个系统瘫痪。按入侵系统实施犯罪的途径来划分，可将信息系统舞弊的手段分为以下几类：

(1)篡改输入数据舞弊

这是最简单、最安全、最常用的方法。这种舞弊方法并不要求舞弊者有多么高的计算机技能。只需要懂得当数据进入系统时如何伪造、删除、修改就可以了。主要采用的手段包括：虚构业务数据；修改业务数据；删除业务数据。

(2)利用程序舞弊

主要采用的手段包括：木马计；截尾术；越级术；仿造与模拟。

(3)偷窃数据舞弊

在计算机系统中经常出现重要的数据被窃，作为商业秘密泄露给需要这种信息的个人或机构，偷窃数据者从中得到经济利益。主要采用的手段包括：拾遗；数据泄漏。

(4)计算机病毒 除此之外，还有天窗、炸弹、野兔、乘虚而入、冒充、通讯窃取、后门、陷阱门等舞弊手段。

三、信息系统舞弊的与控制

由于信息系统舞弊具有的高智能性、高隐蔽性、高危害性等特点，如何有效地审计和控制变得非常重要。这需要采取多方面的措施。不仅要经常开展信息系统舞弊的审计，掌握各种舞弊类型的审计方法，还要完善对犯罪的立法，完善内部控制制度，加强内部控制的，采取技术防范，积极开展信息系统审计，提高人员素质，实现技术、人和制度三者间的有效结合。

1、信息系统舞弊的审计

对信息系统舞弊的审计，首先是对被审计单位内部控制体系进行评价，根据信息系统舞弊的可能途径，找出其内部控制的弱点。确定被审单位可能存在的信息系统舞弊手段。审查时除了借鉴传统的审计方法，如分析性复核、审阅与核对法、盘点实物、查询及函证外，最有效的是根据网络系统的特点有针对性地进行审查。

(1)对输入数据舞弊的审计

对输入数据进行舞弊是计算机系统中最常见和最普遍的一种舞弊方法。输入类舞弊通常是利用单位内控的弱点。比如职责分工不明确、接触控制不完善、没有严格的操作权限控制、系统本身缺乏核对控制等。在这种情况下就有可能会发生以下舞弊行为：舞弊人员将假的存款输入系统。增加作案者的存款数额；将企业账号改为个人账号以实现存款转移；消除购货业务凭证，将货款占为己有等。审计人员应重点收集输入环节的审计证据。

首先，抽查部分原始凭证，确定业务发生的真实性，判断原始单据的来源是否合法，其数据有无篡改。其次，将记账凭证的内容和数据与其原始单据进行核对，最后再进行账账核对；利用计算机抽样，实行计算机自动校对，将机内部分记账凭证与手工记账凭证进行核对，审查输入凭证的真实性；测试数据的完整性，计算机输出的完整性审计，审计人员模拟一组被审单位的计算机数据处理系统的数据输入，并亲自操作，根据系统能达到的功能要求完成处理过程，得到的数据与原先计算机得到的结果相比较，两者是否完全一致；分析性审查，对输出报告进行分析，看有无异常情况，比如与审计有关的账册、报表、上机记录等要打印备查。

(2)对利用程序舞弊的审计

利用程序舞弊的人员通常具有一定的计算机知识，有的甚至精通计算机，这种舞弊有时是属于有预谋的，如利用计算机软件中关于计算保留小数的程序按预谋方法截取，将截尾的数值存入预先设定的账户；或在计算机程序中，暗地编入指令；使用越级法舞弊的人员，通常是能够取得越级程序，并能接触计算机，熟悉掌握技术的人员，越级这种大能量的程序，如被作案人掌握，将十分危险，因此主要是防范与控制。对于有预谋的舞弊的性审查主要是通过系统开发控制审计。另外还可用特殊的数据进行预测及认真核对源程序。

(3)对偷窃数据的审计

借助高科技设备和系统的通讯设施非法转移资金。对会计数据的安全保护构成很大威胁。通常对偷窃数据的审计的主要的方法有：检查系统的安全设施。如网络系统的远程传输数据没有经过加密后传输，很容易通过线路被截收，应查明无关人员能否接触信息系统；检查计算机硬件设施附近是否存在有利于舞弊者舞弊的装置与工具。如窃听器与通讯线路上的某部分接触、盒式录音机、麦克风等：查看计算机运行的记录日志和拷贝传送数据的时间和内容，了解和访问数据处理人员，分析数据失窃的可能性，并追踪其审计线索；及函证怀疑对象的个人交往，以便发现线索；检查打印资料是否及时处理，暂时不用的磁盘、磁带是否还残留有数据。

(4)对计算机病毒的审计

对待计算机病毒要以预防为主。下面是预防感染病毒的一些一般性控制措施：不要使用来路不明的新软件，不要随意下载不明文件，不要访问不良网站；对磁盘加以写保护；在使用新的软件之前，对其进行检查，以防其中含有病毒：应及时更新操作系统和防病毒软件，并定期对系统进行检查。

2、信息系统舞弊的控制

(1)完善法规体系

(2)单位建立完善的内部控制制度

内部控制是企业单位在会计工作中为维护会计数据的可靠性、业务经营的有效性和财产的完整性而制定的各项规章制度、组织措施管理方法、业务处理手续等控制措施的总称。运用计算机处理会计信息和其他管理信息的单位，均应建立和健全电算化内部控制系统。一个完善的内部控制系统应具有强有力的一般控制和应用控制措施，两者缺一不可。

(3)加强技术性防范

技术性自我保护是发现和预防信息系统舞弊的有效措施。计算机安全系统的强度取决于其中最为薄弱的一环。任何一个节点，某一个软件其中的某个服务，某个用户的脆弱口令等都可能造成整个系统的失效。对于攻击者而言。只要找到一处漏洞，攻击往往就会有50％以上的成功率。据，约90％的计算机系统都被攻击过，应加强安全技术防范。可以采用数据加密技术。使舞弊者即使获取了数据也很难进行有效的处理；可以通过备份数据，对照数据或进行再处理，以此检查数据有无异样；可以通过设置防火墙来阻断来自外部网络的威胁和入侵。

(4)提高员工素质 信息系统舞弊案件的发生呈日益上升的趋势。所以评估与揭示被审计信息系统的风险十分重要。加强审查和预防的力度是解决这类案件发生的主要途径。这样不论是对企业还是对国家都会产生一些积极的作用，才能更好地维护国家和人民的利益。