信息系统舞弊行为分析及审计策略.docx

信息系统舞弊行为分析及审计策略 当今，随着信息化技术的高速发展，不仅被审计单位 会计实现了电算化管理，而且计划、采购、销售、保管、 绩效管理等业务环节也都实现了信息化管理方式。信息系 统改变了内部控制，即内控重点、方式和范围有所变化； 信息系统使传统的审计内容发生了改变，增加系统控制是 否合规、系统数据是否真实完整、系统开发是否存在缺陷、 应用程序是否存在问题等。正是如此，信息系统使审计线 索发生根本性变化。 在这种情况下，国家审计则不可避免地受到信息技术 迅猛发展所带来的冲击与挑战。如针对社会普遍反映“看 病难、看病贵”，医疗费用大幅度攀升，卫生资源利用率 低下、医疗服务显失公平等问题。传统的审计方法已无力 应对，为了规避审计风险，确保审计质量，审计要及时 “跟进”，只有对整个系统进行全面了解，才能把握审计 对象的总体情况，才能实现审计成果最大化，确保“民生” 和谐而实惠。因此，探索信息系统审计已成为当前重要的 课题。 信息系统舞弊行为分析 信息系统舞弊是指信息系统或行为人利用信息系统为 达到获取不当利益，或者其他不当愿望的目的，以不合规 方法并采取各种隐蔽的非合法手段，去掩盖事实的行为。 信息系统舞弊的主体。信息系统舞弊主体是指舞弊行 为的载体，一般分为系统和人。体现在可能是系统设计客 观或主观存在漏洞，也可能是人的主观或者客观行为因素 导致；有时信息系统舞弊并非单一主体行为构成，或者系 统因素加人的客观行为所致，或者是系统因素加人的主观 行为因素所致，或者是系统因素加人的主、客观行为因素 所致。 信息系统舞弊的动机。分为有动机舞弊和无动机舞弊。 有动机舞弊是指系统设计时按照业主需要在设计流程上存 在主观缺陷或漏洞，或者行为人利用系统进行舞弊，人为 舞弊往往是舞弊人的精心设计；无动机舞弊一般发生在系 统自身不完善所致。 信息系统舞弊的类型。已突破传统单一的舞弊类型， 可分为业务管理舞弊行为、财务管理舞弊行为、信息系统 管理舞弊行为；也可能是三种舞弊行为的交叉。 信息系统舞弊的内容。它是舞弊类型的具体细化。1. 业务方面的舞弊内容。如医疗信息系统舞弊内容常见有药 品及诊疗收费项目、收费标准、收费数量三个方面。具体 为系统是否存在药品超规定加价、药品多计数量，诊疗项 目超收费用、多计次数，诊疗项目超规定加收、捆绑收费、 肢解收费项目、重复收费、自立项目收费、应取消未取消 收费、应降未降标准收费、无依据收费，医药回扣、任意 减免收费等； 2.内部控制标准及管理方面舞弊行为。如系统是否存 在内控漏洞和缺陷，指标是否健全，有无非法和错误处理 及薄弱环节等；系统安全、可靠、合法性方面，如有无设 计缺陷、程序错误，用户操作造成经济损失，灾难性恢复， 有无业务数据外泄、破坏、非法修改、非法入侵及抗灾能 力； 3.资产管理及财务核算方面舞弊行为。如有无帐外资 产、材料报损账实不符、收入不实以等； 4.绩效管理方面舞弊行为。如资源是否存在浪费、管 理运营费用如何等内容。 信息系统舞弊的原因。宏观体制层面上，存在粗框、 滞后、政策约束性不强等；法规层面上，存在宽泛、不具 体，配套措施不及时等；地方制度层面上，存在缺少细化 措施，考核机制不完善，道德教育机制有待加强等；另外， 主客体之间存在信息不对称性现象。 信息系统舞弊的审计策略 审前精心准备。首先，审计机关要树立好信息系统审 计观念，适时做好信息系统审计的学习、培训等工作；其 次，需要被审计单位做好的配合工作。如准备提供系统开 发说明书、操作指南、数据字典、信息管理规章制度、保 密措施等文档资料，作为审计依据的部分构成要件；三是 做好审前调查。审计人员要重点了解系统管理模块结构与 流程，了解被审计单位业务、系统、环境等，识别并评估 风险，检查是否存在足够的控制来补偿这些风险，以此确 定审计目标、重点内容、审计范围等。要搜集所有与信息 系统相关的纸质及电子资料，下载业务与财务数据。制定 的审计实施方案尽可能翔实、便于操作；要选配精简、高 效的审计组成员，能够合理搭配做好组织保障。根据审前 调查结果，审计人员还要绘制系统业务流程图，初步对系 统在业务与财务管理的双套电子数据进行双向交互分析。 构建审计模型。审计人员通过分析业务流程及数据特 征，进一步了解审计数据管理存在舞弊的状况。首先对独 立的审计方法进行分析研究，使每个审计方法要素对应信 息系统舞弊审计相关问题；其次，审计人员设计计算公式 或编写 SQL 语句，配合相关法律政策，创建审计数据中间 表；再之，对信息系统的特征和行为进行分类描述，把系 统静态特征及动态行为表示为一个对象并对应为相关类别 的一个审计模型，组成审计模型群。如我们在医院业务流 程图基础上，绘制审计模型图，完成审计模型的构建。把 审计模型分配给审计组成员，以便实施审计时实现审计模 型共享，可以提高审计效率和质量，有效降低审计风险。 审计实施方法。在信息系统审计实施阶段，审计人员 所开展的工作大概分为三个层次，即描述、测试和实证分 析。通过详细分析，能够发现传统审计方式下无法查到的 重大问题。 1信息系统舞弊审计采取的方法既包括一般方法，也 包括应用计算机审计的方法。信息系统审计的一般方法主 要用于对信息系统的了解和描述，它包括：面谈法、文档 审阅法、文字描述法、表格描述法、图形描述法等。应用 计算机方法一般用于对信息系统的控制测试和实证分析， 它包括：数据测试法、程序审计、审计模块、代码比较、 受控处理法等。 充分利用技术分析方法。借助内控测试和数据审计对 选定的信息系统进行分析，将被审计单位业务数据与财务 数据进行关联，排查信息系统存在的漏洞或缺陷，作出风 险评价。利用技术分析方法能迅速找出信息系统存在的瑕 疵，尤其是借助信息系统人为进行舞弊的线索。 2信息系统舞弊审计关注的重点环节。数据。必须使 用一种能够向前、向后追踪查询单笔业务记录的方法，以 便使审计人员选择重点对其进行详细检查，确认业务记录 是否符合一般审计目标。如对医院会计事项信息的检查， 要检查它的完整性、时效性、合规性和信息披露等方面。 对信息的分析可以采用 AO 辅助审计，按照审计模型和法规 标准对数据进行汇总、分类、排序、比较和选择，并进行 各种运算。内部控制。主要是对信息系统的一般控制和应 用控制等两个方面的审计。一般控制审计包括组织管理的 控制、数据资源管理的控制、系统环境安全管理的控制和 系统运行管理控制等审计；应用控制审计它包括输入控制、 处理控制、数据库控制等审计。数据传输转移。有些数据 需要在财务信息系统和收费系统模块或财务信息系统与业 务信息系统模块之间相互转移，传递过程中很可能存在舞 弊行为。因此，数据传输转移环节也是审计重点。 3构建信息系统绩效的综合评价机制。一般信息系统 审计很少对系统操作生命周期中管理收益的关注，目前尚 未从绩效的角度来评价信息系统。构建信息系统绩效的综 合评价机制，也是分析信息系统舞弊行为审计对策之一。 指标体系建立从以下两方面考虑。法规层面指标体系， 目前如对医疗机构主要是依据卫生部颁发的医疗机构信 息系统基本功能规范相关指标；业务层面指标体系，主 要是依据被审计单位历史情况、管理职能、医院业务特点 等选取相关指标。评价指标具有综合性，语言要平实，用 词要公允。 信息系统舞弊审计案例实证 基本情况。XX 年 5 月，徐州市审计局对 XX 医院信息系 统及财务收支进行了审计。该医院所使用的信息系统由 XXXX 科技有限公司提供，后台数据库为 SQL-ServerXX，业 务流程涉及五大类收费项目计 3966 项，年采购药品达 4880 种。审计共采集业务数据及财务备份数据账套 2 套，年业 务数据记录量达 400 多万条，总量约 4.8GB，信息存放表单 150 多张。 审计结果。根据上述分析方法，充分利用 AO 系统，查 出上年度一系列收费、加价等违规违纪及绩效管理方面的 问题，查出信息系统违纪违规金额达 2200 多万元，主要问 题如下：药品超规定加价 602.71 万元；恶意刷卡支付自费 项目当年达 930.95 万元，增加了财政负担；存在重复收取 项目费用 41.90 万元；超标准收费 138.80 万元；自立项目 收费 12.54；商业贿赂-药品回扣 13.76 万元；账面收入调 剂 348.94 元；不具备处方权医生擅自给病人开药达 151.09 万元等。 审计成效。案例项目审计建议 6 条被审计单位基本采 纳予以整改，针对软件存在的控制功能等缺陷进行更新设 计，清理停止收费项目，降低相关收费标准，补充新收费 条目，完善系统