论企业信息系统的舞弊及应对策略.doc

1论企业信息系统的舞弊及应对策略[论文关键词]信息系统；舞弊；应对策略 [论文摘要]计算机在企业管理及会计信息处理中的迅速普及和广泛应用，给人们带来了极大的方便和效益计算机加快了企业信息的处理速度，提高了信息的质量，减轻了企业处理数据的负担但任何事情有利必有弊，信息系统舞弊案件层出不穷，并且造成损失之大触目惊心在我国，随着计算机应用的普及，信息系统舞弊案件时有发生，因此，认识和了解信息系统舞弊的主要方法和手段有利于评估与揭示被审计信息系统的风险 早在 20 世纪 40 年代最早应用计算机的军事和科学工程领域中就开始出现了利用计算机进行犯罪活动只是较为罕见，未引起注意；到 70 年代中后期，计算机在全球开始普及，随着操作系统简化，人机对话功能增强，越来越多的人开始使用与掌握计算机；特别是进入 90 年代后，计算机的应用领域扩展到了银行、保险、证券、商务等领域，计算机犯罪呈滋生蔓延趋势我国从 1986 年开始，每年至少出现几起或几十起计算机犯罪案件，近几年利用计算机犯罪的案件以每年 30％的速度递增，有专家预言， “在今后的 5 至 10 年时间里，我国的信息系统舞弊案件将会大量发生”因此，信息系统舞弊是当今社会一个值得注意的重大问题。

一、问题的提出 1、信息系统舞弊 目前国内一些学者认为：信息系统舞弊是指破坏或者盗窃计算机及其部件，或者利用计算机进行贪污、盗窃的行为我国公安部计算机管理监察司提出的信息2系统舞弊的定义是：以计算机为工具或以计算机资产为对象实施的犯罪行为前一种舞弊是利用计算机作为实现舞弊的基本工具，利用计算机编程进入其他系统进行骗取钱财、盗取计算机程序或机密信息的犯罪活动其作案手法多种多样如利用计算机将别人的存款转到作案人自己的账户中；利用计算机设置假的账户，将钱从合法的账户转到假的账户中去；掌握单位顾客的订单密码，开出假订单，骗取单位的产品等1979 年美国《新闻周刊》曾报道，计算机专家 S，M·里夫肯通过计算机系统，把他人的存款转到自己的账户中，骗走公司 1000 万美元后一种舞弊是把计算机当作目标，以计算机硬件、计算机系统中的数据和程序、计算机的辅助设施和资源为对象分为破坏和偷窃等破坏是因为舞弊者出于某种目的去破坏计算机的硬件和软件，可以用暴力方式破坏计算机的设备，也可以用高技术破坏操作系统及数据，导致系统运行中断或毁灭；偷窃是指舞弊者利用各种手段偷取计算机硬件、软件、数据和信息 结合以上的论述，本文将信息系统舞弊定义为：以计算机或其相应设备、程序或数据为对象，通过虚构、制造假象或其他不正当的方式欺骗他人，掠取他人财务而实施的任何不诚实的故意行为，也叫计算机犯罪。

2、信息系统舞弊的特点 信息系统舞弊呈现如下特点：智能化；隐蔽性；获利大；跨国化；危害大 网络的普及程度越高，计算机犯罪的危害也就越大，不仅造成财产损失，而且也会危及公共安全与国家安全有资料指出目前计算机犯罪的年增长率高达30％，其中发达国家和地区远远超过这个比率，如法国达 200％，美国的硅谷地区达 400％与传统的犯罪行为相比，计算机犯罪所造成的损失更为严重例如，美国的统计表明：平均每起计算机犯罪造成的损失高达 45 万美元，而传统的银行欺3诈与侵占案平均损失只有 1.9 万美元，一般的抢劫案的平均损失仅 370 美元正如美国 Inter-Pact 公司的通信顾问温·施瓦图所说的：“一场电子战的珍珠港事件时时都有可能发生”因此，计算机犯罪将成为社会危害性最大，也是最危险的犯罪行为之一 二、信息系统舞弊的一般问题 (一)成因 1、个人因素 大部分涉及信息系统舞弊案件的人属于这类情况随着社会的快速发展，很多人认为压力越来越大，负担也越来越重，认为收入和生活所需已“入不敷出”；也有人是染上了不良的嗜好，如赌博，而欠下了巨额债务需要偿还；还有人是感到单位领导不公正，对上级不满，而进行伺机报复。

如美国一家银行的计算机专业人员，预先输入了一个程序，其含义为：一旦自己的名字在人事档案数据库中查不到(即被解雇)，则对计算机系统进行破坏当他被辞退后，银行计算机系统不久就陷入了瘫痪 2、环境因素 一方面单位没有公开的政策所以有时员工不知道自己的行为是否正确，错误的行为会导致什么样的后果；另一方面，单位没有合理的人事制度，这样有可能会导致企业内部没有良好的沟通渠道员工的工作业绩没有得到充分的认可，没有合理的报酬从而降低了员工对单位的忠诚度，信息系统舞弊的案件也就有可能随之发生 3、单位内部制度不完善 比如单位职责分工不明确，如果由一个人既负责业务交易，又有权接触电子数4据处理，那么就存在舞弊的风险；没有严格的操作权限；系统的维护控制不严，如程序员可随时调用机内程序进行修改；系统的开发控制不严格如用户单位没有对开发过程进行监督没有详细检查系统开发过程中产生的文档；接触控制不完善，如应当避免控制系统的内部用户或计算机操作人员接触到系统的设计文档；输出控制不健全；传输控制不完善等 4、被计算机的挑战性所诱惑 现在越是秘密的地方维护安全的技术投入的就越大，对于那些黑客而言，这无疑更能够刺激他们，使他们有种新奇感，并激起其挑战的欲望。

美国国防部全球计算机网络平均每天遭受两次袭击，美国《时代》周刊报道，美国国防部安全专家对其挂接在 Internet 网上的 12000 台计算机系统进行了一次安全测试，结果 88％入侵成功，96％的尝试破坏行为未被发现而且现在越来越多的黑客敢于通过病毒与杀毒软件公司“沟通”甚至公然“叫板”杀毒软件商 (二)信息系统舞弊的类型与手段 1、信息系统舞弊的类型 (1)非法占有财产 这类案件最常见，也是较难察觉的，并极有可能造成巨额资金损失因此不论是对会计师、审计师还是对企业管理者来说都是最为严重的一种犯罪这类案件有的是利用掌管计算机系统之便，虚开账户，伪造转账交易，将资金转出如 1997年 3 月原宁波证券公司深圳业务部的曾定文博士利用他负责管理电脑程序编制和修改工作从而掌握密码系统的便利条件，通过密码进入交易程序，在自己所掌握的股东账户上直接下买单，透支本单位资金累计人民币 928 万元；有的是采用一种“取零技术”，国外也称之为“意大利香肠技术”，每次都将交易的零星小数从5总额中扣下，存到一个非法的账户中，这样不易察觉，而且时间久了也可达到一个可观的数目 (2)非法利用计算机系统 这类案件比较复杂，出现的问题和作案手法也各不相同。

例如，有些程序员会借调试程序的时候，非法联通网路，进行非法转账；有些内部设备维修人员借维修之便，偷窃数据，甚至非法拷贝软件包，或者输入某些错误信息，以搅乱数据信息2001 年 11 月，上海市查获全国首例利用计算机非法操纵证券价格案，案犯为了使自己和朋友获利，在 2001 年 4 月 16 日通过某证券营业部的电脑非法侵入该证券公司的内部计算机信息系统，对待发送的委托数据进行修改，造成当天下午开市后， “兴业房产”， “莲花味精”两种股票的价格被拉至涨停板价位，造成该证券营业部遭受损失 295 万余元；有些程序员在设计程序时，会设计某些特定条件并秘密地安置在计算机系统中，当满足特定条件时这种破坏程序就会破坏计算机系统的数据或程序如在美国港口城市米尔沃基市有一个青年团伙，他们以该城市的地区代号 414 自我命名，采用非法手段，将这个代号输入到许多企业、公司和政府的计算机网络中去，虽该代号最终被各单位的计算机系统识别而没有造成重大损失，但也产生了不少麻烦 (3)非法占有经济信息 利用计算机操作人员或管理人员买通其收集经济信息：利用计算机系统网络和其他电子技术，窃取侦听到有价值的经济信息，如 1997 年 10 月，广州“好又多”百货公司电脑部副科长李建新。

利用电脑技能窃取公司商业资料并高价卖给竞争对手，最后被公安机关逮捕归案 (4)未经许可使用他人的计算机资源 6从事这些活动的人俗称“黑客”2007 年 3 月 30 日，美国《华盛顿邮报》报道，全球折扣零售业巨头 TJX 公司承认在过去的 1 年半时间里，公司的金融数据库不断遭到黑客的侵袭导致超过 4500 万名公司顾客的信用卡信息和个人资料外泄黑客获取到这些信息后伪造信用卡大肆消费挥霍：有些黑客会侵入公司的电脑系统中窃取机密资料，然后向受害公司勒索，VISA 信用卡公司就曾被勒索高达 1000 万英镑，黑客声明，如果 VISA 公司不合作，就会使其整个系统瘫痪，VISA 公司有 8 亿个信用卡客户，每年营业额近 1 万亿英镑，只要其瘫痪一天，便有可能损失数千万英镑 2、信息系统舞弊的手段 通常来说信息系统舞弊主要是以计算机为工具，运用违法违规的手段来谋取组织或个人的经济利益其直接的舞弊对象是信息在某些情况下舞弊是专门针对计算机本身的，通过改变计算机的硬件和软件设施，使信息系统暂停、中断，甚至导致整个系统瘫痪按入侵系统实施犯罪的途径来划分，可将信息系统舞弊的手段分为以下几类： (1)篡改输入数据舞弊 这是最简单、最安全、最常用的方法。

这种舞弊方法并不要求舞弊者有多么高的计算机技能只需要懂得当数据进入系统时如何伪造、删除、修改就可以了主要采用的手段包括：虚构业务数据；修改业务数据；删除业务数据 (2)利用程序舞弊 主要采用的手段包括：木马计；截尾术；越级术；仿造与模拟 (3)偷窃数据舞弊 在计算机系统中经常出现重要的数据被窃，作为商业秘密泄露给需要这种信息的个人或机构，偷窃数据者从中得到经济利益主要采用的手段包括：拾遗；数7据泄漏 (4)计算机病毒 这是一种软件，能造成计算机文件丢失、甚至死机2007 年某杀毒软件公司反病毒监测中心的报告显示，3 月以来病毒数量又创新高，3 月新增病毒达 16000种，感染计算机 1300 多万台根据《计算机经济》的报道，最具有杀伤力的病毒和蠕虫是在最近几年给计算机经济造成了重大经济损失的病毒，codered(2001)造成损失 26.2 亿美元，sincam(2001)造成损失 115 亿美元2000 年 5 月 1 日接连作乱的“ILOVEYOU”病毒通过题为“我爱你”的电子邮件传播，在极短的时间内袭击了亚洲、欧洲和北美洲的 20 多个国家，侵入电脑电子邮件系统的“爱虫”被激活后，会自我复制并自动发往受害电脑里电子邮件通讯录上的所有地址，造成全世界近4500 万电脑操作者受到攻击，因电脑系统瘫痪或关闭造成的损失约为 100 亿美元。

2006 年 10 月 16 日武汉的李俊编写了“熊猫烧香”，并将此病毒卖给他人，非法获利 10 万多元， “熊猫烧香”又称“武汉男生”，随后又化身为“金猪报喜”，这是一个感染型的蠕虫病毒，能感染系统中的 exe、com、html、asp 等文件，还能中止大量的反病毒软件进程并且会删除扩展名为.gho 的文件，被感染的用户系统所有.exe 可执行文件全部被改成熊猫举着三根香的模样 除此之外，还有天窗、逻辑炸弹、野兔、乘虚而入、冒充、通讯窃取、后门、陷阱门等舞弊手段 三、信息系统舞弊的审计与控制 由于信息系统舞弊具有的高智能性、高隐蔽性、高危害性等特点，如何有效地审计和控制变得非常重要这需要采取多方面的措施不仅要经常开展信息系统舞弊的审计，掌握各种舞弊类型的审计方法，还要完善对计算机犯罪的立法，完善内部控制制度，加强内部控制的管理，采取技术防范，积极开展信息系统审计，提8高人员素质，实现技术、人和制度三者间的有效结合 1、信息系统舞弊的审计 对信息系统舞弊的审计，首先是对被审计单位内部控制体系进行评价，根据信息系统舞弊的可能途径，找出其内部控制的弱点确定被审单位可能存在的信息系统舞弊手段。

审查时除了借鉴传统的审计方法，如分析性复核、审阅与核对法、盘点实物、查询及函证外，最有效的是根据网络会计系统的特点有针对性地进行审查 (1)对输入数据舞弊的审计 对输入数据进行舞弊是计算机系统中最常见和最普遍的一种舞弊方法输入类舞弊通常。