联通营业厅的营业员辛某和身为联通代理商的丈夫铁某，将只能给中铝集团内部使用的流量包，擅自添加给销售的近千个手机号，造成联通北京分公司资费损失45万余元，以盗窃罪名义被判处有期徒刑两年半。

辛某于2011年被劳务派遣至联通公司左家庄营业厅工作，负责前台办理业务，于2013年5月辞职。她的主要工作内容为收电话费、安装座机电话、装宽带、销售手机号卡等，其工号具备添加流量包的权限，但公司没有授权她添加。辛某的丈夫铁某是联通公司的代理商，办理手机、固话业务及手机号码的销售等，没有为集团客户添加流量包的权限。

2013年，联通北京分公司定向给予中国铝业股份有限公司月最低消费294元，包括286元iPhone标准套餐+8元定向流量套包（1.9G），该套餐仅限在中铝集团内部使用，不能擅自给公众客户办理。

然而在2013年3月8日，铁某伙同辛某，擅自使用辛某的工号和密码登录联通公司网络系统，为铁某销售的493个手机号码非法添加仅针对中铝集团内部使用的定向数据流量包，造成联通北京分公司资费损失共计21.69万余元。2013年3月12日，铁某又使用辛某的工号和密码，为其销售的500个手机号码非法添加前述流量包，造成联通北京分公司资费损失共计23.67万余元。

辛某辞职后，公司发现其工号违规给很多手机号添加流量包，遂报警。2013年6月18日，辛某和铁某被警方羁押。

开庭时，夫妻俩均认罪。铁某称，2013年3月，卡贩子张某在他的经营点购买了500张手机号卡。张某得知他的妻子辛某在联通营业厅工作，就提出为这些卡号加装中铝集团8元1.9G的流量包，演示了添加程序，他和辛某同意了。后张某到营业厅找辛某对上述卡号中的493张添加了流量包。过了几天，张某再次找他购买500张手机号卡，提出全部加装中铝集团8元1.9G的流量包，他就利用辛某的工号和密码登录联通公司网络系统进行了操作。

铁某、辛某擅自为出售的手机卡号添加资费优惠的定向数据流量包，属于盗窃互联网上网流量的行为，侵犯了相关单位的财产所有权，已构成盗窃罪。铁某盗窃数额巨大，辛某盗窃数额较大。法院一审判处铁某有期徒刑2年6个月，并处罚金3000元；判处辛某有期徒刑8个月，缓刑1年，并处罚金1000元。

联通公司作为国内通信行业的垄断性企业，其高效的信息化办公使广大用户体会到快捷便利服务的同时，也将一些风险进行了固化，隐蔽性较强。一旦有心的人借此从事某些不法的行为，将很可能给公司带来很大的损失，正如本案例中辛某。辛某及其丈夫利用联通的系统漏洞，将本不该给予非客户的流量加油包私自加装给了他人，直接给公司带来了45万元的损失。下面将根据案例细节内容详细分析联通公司内控中存在的问题：

案例细节显示，辛某“工号具备添加流量包的权限，但公司并没有授权她添加”，即辛某的实际信息系统权限大于公司赋予她的工作权限。系统权限设置存在漏洞，这是很多企业在管理中非常容易忽略也经常疏忽的，尤其是信息技术在企业管理中的应用不断创新，很多企业的信息化管理水平也在逐步提升。信息系统增多，但相应的风险理念、防范意识却未能与之匹配，这在很大程度上增加了系统的固有风险。

信息系统权限大于实际工作权限的危害性很大，极有可能导致：其一，不具备操作权限的员工进行违规操作；其二，违规操作不易被发现；其三，原本应由多人完成的不相容职责由一人完成等情况发生。在企业经营管理中，一方面需要管理层能意识到系统权限设置的重要性，对于系统管理人员的选任，应选择合适、能够信任的人员；另一方面需要设置监督的岗位，定期对系统管理员的权限授予、更改等操作行为进行审计，检查其进行权限操作的行为是否得到了相应的授权审批。当然，对于权限授予是否合理，也是必须进行评估的，如发现不当授权导致权限超出职权范围或不相容岗位在权限上未进行有效分离时，可进一步追溯检查，审计该岗位是否进行过不合规的系统操作。

案例细节显示，张某第一次要求铁某和辛某为其电话卡增加流量包时，是由辛某在营业厅完成相关操作，而张某第二次要求铁某为其电话卡增加流量包则是“铁某直接利用辛某的工号和密码登陆联通公司网络系统进行了操作”。由此可见，辛某工号的相关操作不仅可以在办公地点的内网进行，还可以在非办公地点通过外网进行，直接反映了给用户增添上网流量的系统在设置上存在着漏洞，即未能关闭在限定IP地址以外的地方进行操作的功能。

系统权限或功能的授予或关闭是否合理，不应该是某位领导一拍脑袋说给就可以给，说不给就不能给的，而应该评估该指令下达后可能带来的风险大小，以及是否有其他补偿性措施来降低或防范该风险。同样，对于联通公司而言，其一项很重要的收入来源就是话费以及上网流量的收费，业务人员能随意给大量非现有用户增添流量加油包本身就显示缺乏了必要的系统审批控制，可能会直接影响公司的收入，更何况是能在公司以外的地方进行此项系统操作。这些功能的设置是存在着较大风险的。因此，从内控风险防范的角度来看，联通应当禁止员工通过外网登陆企业内部系统进行相关信息浏览和业务操作的行为，以确保企业信息系统和资金资产的安全性及商业机密的保密性。

信息系统对现代企业来说是一把双刃剑，用的好能大大提升企业的经营效率，用的不好也能在一夕之间给企业造成巨大损失。本案例中的金额对联通来说确实不大，但是反观“光大的乌龙指”所造成的后果，令人瞠目。因此，在信息系统上线运行前以及日常管理过程中，企业都应该认真审核与审计信息系统及各系统岗位的功能与权限，以确保公司资金资产和信息数据的安全性。

Copyright©2014-2015 风控在线

该素材文章为风控在线微信公众号原创内容，为风控在线版权所有，如需转载，请注明转载自风控在线微信公众号。如未注明内容出处，我们将联系微信官方进行处理，谢谢！