企业主管利用系统漏洞 虚增客户员工骗取105万

　　案例

　　北京外企人力资源服务公司(简称FESCO)业务主管孙某利用诸多漏洞，在客户单位名下虚增员工，短短一年内以发工资、年终奖等名义骗取105万余元，直到自己病休同事临时替班，才东窗事发。

　　FESCO的主要业务是为中外企业客户提供人力资源服务，包括为客户代理缴纳员工社保、住房公积金及代发工资等。孙某是FESCO的老员工，历任客户服务代表、业务助理、业务代表，2012年起担任业务主管。

　　四川利星汽车销售有限公司是孙某负责的客户之一，FESCO为其员工办理人事手续，并提供社保、福利及工资发放等服务。2010年孙某接手时，FESCO财务通知他这家公司账目有问题，上面有两三百万没有销账。FESCO从客户账上扣除费用是与打印发票相关联的。利星一直不要发票，导致FESCO给利星的员工发放工资后，系统却没扣除金额。

　　孙某得到朋友王某的身份证号等个人信息后，开始钻FESCO管理的漏洞。首先，孙某在财务系统违规添加王某的姓名和身份证信息。

　　FESCO方面向办案人员提供的书面材料证实，在2010年7月转岗为业务员前，孙某在服务中心工作，并拥有登录的个人权限。转岗之后，本应停止该权限，但“由于内部流程衔接出现问题”，孙某离开后仍能登录系统。

　　其次，孙某把王某加到四川利星这个客户名下。据孙某讲，这一步要输机员完成，他没有权限。

　　FESCO工作人员证实，在正常情况下，业务员要给输机员派出单，并且附上与客户的往来邮件或者客户的委托书。但实践中业务员只是把相关内容写在一张纸上，甚至直接口头下达指示。案发后输机员解释：“孙某当时也算是业务部的领导，他让我派出，我就派出了，后来也没让他把材料补给我。”

　　临近发工资的日子，利星公司会把真实员工的工资款汇给FESCO，并给孙某发邮件。收到邮件后，孙某在工资表格中加入“王某”，生成收费通知单。据FESCO工作人员说，收费通知单由业务员下载后发给客户，目的是与客户确认本月收费的情况。但在实际操作中，这一步被省略了。

　　FESCO财务部经理说，寄不寄收费通知单、怎么寄，都由业务员定。

　　孙某把经过他篡改的工资表格发给负责发放工资的财务小组，再履行签字等手续。办完后孙某通知王某，王某便等着打款到账。

　　2012年3月至2013年3月短短一年内，孙某以离职补偿金、代发工资、年终奖等名义汇款9笔，累计105万余元。

　　评述

　　本案件背后所反映的管理漏洞值得我们重视和反省，在此我们共同探讨一下产生这些漏洞的原因及其防范措施。

　　首先，信息系统存在漏洞，FESCO从客户账上扣除费用与打印发票相关联。利星一直不要发票，导致FESCO给利星的员工发放工资后，系统却没扣除金额，这就造成利星账面上一直有长期挂账的金额存在。其原因可能是利星本身不要发票，也可能是FESCO未提示客户及时取票，并且未定期与利星进行财务对账所引发的。之后，公司也意识到该客户长期挂账的问题，所以让孙某来接手处理利星的事情，然而账务清理问题却没有下文，公司也没有对最后剩余的30万元历史糊涂账有明确的说法或处置方案，因而给孙某作案埋下祸根。这主要是流程设计有所缺失。

　　其次，问题出在公司服务中心信息系统的权限管理上。孙某在转岗之前是服务中心的工作人员，拥有登录的个人权限，但是转岗后，服务中心并未及时关闭孙某在系统中的权限，使得孙某在离开后仍能登录系统。这导致孙某可以利用服务中心系统违规添加王某的姓名和身份证信息。体现了员工岗位异动流程执行的不到位。

　　第三，就是公司业务流程执行不规范。其一，新增客户资料业务员需要给输机员派出单，并且附上与客户的往来邮件或者客户的委托书。但在本案中，作为业务部门领导的孙某直接口头下达指示，让输机员把王某的信息添加到利星的人员名单中，跳过了输机员需要审核客户委托书的程序。其二，业务人员应该将收费通知单下载后发给客户，与客户确认本月收费的情况。但在实际操作中，孙某并未与客户进行收费确认，而是把经过他篡改的工资表格发给负责发放工资的财务小组，而财务小组也未核对客户确认信息就办理了工资发放手续，造就了本案的发生。从这点可以看出，该公司业务流程设计其实并无不妥，主要还是操作人员漠视“规则”，不严格执行制度所致。

　　综上所述，本案的问题来源于四个方面：系统漏洞、与客户往来对账的流程设计缺失、员工岗位异动管理以及具体业务流程执行的不严格和不规范。因此，针对上述类似问题，我们给出以下几点内控管理意见：

　　第一，加强票据管理与往来款对账工作。销售发票是办理业务和往来交易的重要凭证之一，公司应该建立票据台账，做好开票记录和交接工作，同时这也是公司用来进行对账的书面依据。定期与客户进行往来对账，加强付款流程中的信息核对工作，不仅有利于交易双方明确往来余额，明晰账目，也能及时发现诸如伪造人员名单以及收费通知等付款凭证中的欺诈信息。

　　第二，及时更新系统权限，减少系统漏洞。如本案中所发生，孙某岗位变动后，如果公司及时将其在服务中心的系统权限关闭的话，那么孙某就无法轻易在系统中添加王某的信息。当公司发生人事变动时，所在部门领导应及时通知系统管理员，将其原有的系统权限进行调整变更，从而减少利用系统权限漏洞所引发的风险。

　　第三，公司员工应严格执行业务审核流程，不得掉以轻心。本案中输机员应在确认客户邮件或委托书后才能录入客户信息，业务员应将收费通知单与客户确认，或者直接由财务人员与客户进行收费确认后进行工资发放，加强职能监督，有效降低业务人员利用职务之便徇私舞弊给公司造成的重大损失。

　　当然，最根本的问题还是信息系统的漏洞，公司如果在日常操作中发现系统存在漏洞，应及时联系信息开发商进行漏洞的修补或者立即制定其他补救性措施进行严格控制。

　　文 石磊、陈皓、高垚