IT领域舞弊的特点

      去年在不丹举行的第十四届年会上，中国审计署申请参与IT领域舞弊的研究。近一年来，我们组织的一个课题组——这个课题组的专家来自中国审计署的IT部门、专业审计部门、法律部门和对IT审计有深入研究的大学——进行了初步的研究。

      我们的研究主要是基于中国审计的实践。中国虽然是一个发展中国家，但是IT技术的应用与世界发展水平大致相当，在人民享受现代文明的同时，突如其来的IT领域舞弊也给中国审计机关带来了严峻挑战。近十年来，中国审计署注重计算机技术在审计中的应用，在中国政府的大力支持下，建设了金审工程，审计工作的IT技术含量有所提高，应对IT领域舞弊的能力有所增强，揭示并查处了一些舞弊行为。这也是中国审计署提出参与本项目研究的原因之一。

      一年来，我们的研究包括了IT舞弊的概念及其理解、IT舞弊的特点、IT舞弊的防范及处理、IT舞弊治理的组织机构等方面并取得初步的研究成果。我们这里所讲的IT舞弊的特点基于以下四点：1．从审计的视角进行观察；2．被审计单位可能是IT舞弊的实施者(主体)，也可能是IT舞弊的被侵害者(客体)；3．相对于传统的审计环境(纸质账目资料、管理中采用IT较少)条件下；4．基于中国审计机关的审计实践。

      特点一：IT舞弊更具隐蔽性

      隐蔽性应当是舞弊的共性，但IT领域的舞弊更加隐蔽。IT领域舞弊的对象是存储于磁性介质中的电子数据和应用程序，舞弊发生与否，对计算机信息系统并不造成任何损坏，电子数据载体的外观不会丝毫改变，仅凭目力观察让人难以发现。而且舞弊者对于计算机信息系统的侵害并不以物理临近为前提，也就是说实施人可以通过内部网络甚至互联网，不需要靠近系统即可实施舞弊。

      中国审计机关在审计实践中，曾发现多起利用会计核算软件的“后门”，违规改动账目的案例，改动后的账目，无论是从计算机界面看，还是打印纸质账簿，都可以确保“数字准确、借贷平衡”。这比手工记录纸质账簿条件下，对一笔经济业务的篡改更难发现。

      特点二：IT舞弊智能性十分突出

      舞弊和反舞弊从来都是博弈，是在相互挑战对方的智能。IT领域的舞弊运用了大量的计算机、数据库、网络等专业知识技能，使其智能性十分突出。在犯罪学领域，智能性是与暴力性相对而言，我们在研究IT领域的舞弊时引入智能性的概念，主要是强调突出舞弊实施者比一般审计人员掌握了更多的IT知识技能。

      中国最近查处的虚假交易套取银行资金的事件很能说明IT舞弊智能性。套取资金者为了套取现金并且绕开申请贷款的复杂程序，与不法商家勾结，利用虚假交易将透支的款项打入商家账户，商家扣取一定的好处费后，或是通过转账将资金打入套取资金者另外的银行账户，或是直接付给现金。在传统条件下，类似套取银行资金的操作，一定是一个涉及多个方面兴师动众的过程，但在信息化条件下，具体操作只是双方注视下的刷POS机、数钞票。

      在中国，信息技术发展历史较短，具有一定学历、涉猎知识广泛、钻研信息技术、对业务流程稔熟在一定程度上成为IT舞弊的必要条件，IT领域舞弊的实施者低龄化的特征十分明显。

      特点三：IT舞弊主体呈现多元化

      传统条件下审计人员更关注被审计对象为主体的舞弊，“查错纠弊”、“揭示问题”，针对的是被审计单位。IT环境下，被审计单位为主体的舞弊，一是领导者有组织所为，如中国审计署通过检查会计师事务所执业质量发现的上市公司财务信息作假。二是内部单个人员或部分人员所为。据统计，中国的计算机涉案犯罪集中在金融与证券业，银行或证券公司职员内部犯罪占78％，他们大多数是计算机操作与管理人员。

      由于网络技术的普及应用，IT领域舞弊的主体从被审计单位内部扩展到外部。当对被审计单位的IT系统进行审计的时候，不得不更多地关注对外部侵害的防范。近年来中国审计署在检查被审计单位信息系统安全的探索中，深深感到对防止外部侵害的审计力不从心，审计人员缺乏相关知识，也缺乏行之有效的检查工具，我们期待与各国同行分享经验。

      特点四：IT舞弊日趋复杂

      IT领域舞弊的复杂性是隐蔽性、智能性、主体多元化复合作用的结果。摆在审计人员面前的IT领域舞弊复杂性可以用四句话形容：不知道怎么干的；不知道谁干的；不知道在哪儿干的；不知道为谁干的。按照目前审计人员具备的IT知识和技能水平，在这种复杂性面前几乎是束手无策。

      隐蔽性和智能性的结合，使IT领域的舞弊更多地利用了信息系统的非法功能。中国审计署在对某个银行分支机构的审计时，发现这个分支机构的资金流水中，有频繁而大量的单笔只有0.66元的资金流向同一个特定账户。经过对系统的检查发现，当一种每笔只有2元的手续费收入出现时，经过改动的计算机程序会自动将其1/3转入特定账户，从而揭示了一例计算机系统舞弊。

      IT舞弊主体多元化条件下，由于外部人员的参与，隐蔽性和智能性结合的舞弊情形更为复杂。最典型的就是众所周知的“黑客”。在中国，“黑客”利用间谍软件，侵入客户计算机抓取账户口令输入动作、界面，造成大到银行存款被冒取，小到网上游戏积分被盗用等IT舞弊事件每每发生，中国公安部门官员估计全国每年可能有超过上百万起。

      内部职工和外部人员勾结，进行IT领域舞弊的事情也多有发生，舞弊侵犯的大多是本企业的利益。在中国，比较典型的案例多发生在大型企业或连锁经营的分支机构。如超市、加油站员工篡改收款机程序，少报销售多报损耗，甚至直接亏空库存，私分销货款；公路收费站员工集体作弊，篡改计算机程序，减少过往车辆记录，贪污截留过路费。