信息系统舞弊行为分析及审计策略

2014-11-08 22:14:13 大云网　点击量：评论 (0)

当今，随着信息化技术的高速发展，不仅被审计单位会计实现了电算化管理，而且计划、采购、销售、保管、绩效管理等业务环节也都实现了信息化管理方式。信息系统改变了内部控制，即内控重点、方式和范围有所变化；

当今，随着信息化技术的高速发展，不仅被审计单位会计实现了电算化管理，而且计划、采购、销售、保管、绩效管理等业务环节也都实现了信息化管理方式。信息系统改变了内部控制，即内控重点、方式和范围有所变化；信息系统使传统的审计内容发生了改变，增加系统控制是否合规、系统数据是否真实完整、系统开发是否存在缺陷、应用程序是否存在问题等。正是如此，信息系统使审计线索发生根本性变化。

　　在这种情况下，国家审计则不可避免地受到信息技术迅猛发展所带来的冲击与挑战。如针对社会普遍反映“看病难、看病贵”，医疗费用大幅度攀升，卫生资源利用率低下、医疗服务显失公平等问题。传统的审计方法已无力应对，为了规避审计风险，确保审计质量，审计要及时“跟进”，只有对整个系统进行全面了解，才能把握审计对象的总体情况，才能实现审计成果最大化，确保“民生”和谐而实惠。因此，探索信息系统审计已成为当前重要的课题。

　　信息系统舞弊行为分析

　　信息系统舞弊是指信息系统或行为人利用信息系统为达到获取不当利益，或者其他不当愿望的目的，以不合规方法并采取各种隐蔽的非合法手段，去掩盖事实的行为。

　　信息系统舞弊的主体。信息系统舞弊主体是指舞弊行为的载体，一般分为系统和人。体现在可能是系统设计客观或主观存在漏洞，也可能是人的主观或者客观行为因素导致；有时信息系统舞弊并非单一主体行为构成，或者系统因素加人的客观行为所致，或者是系统因素加人的主观行为因素所致，或者是系统因素加人的主、客观行为因素所致。

　　信息系统舞弊的动机。分为有动机舞弊和无动机舞弊。有动机舞弊是指系统设计时按照业主需要在设计流程上存在主观缺陷或漏洞，或者行为人利用系统进行舞弊，人为舞弊往往是舞弊人的精心设计；无动机舞弊一般发生在系统自身不完善所致。

　　信息系统舞弊的类型。已突破传统单一的舞弊类型，可分为业务管理舞弊行为、财务管理舞弊行为、信息系统管理舞弊行为；也可能是三种舞弊行为的交叉。

　　信息系统舞弊的内容,它是舞弊类型的具体细化。

　　1.业务方面的舞弊内容。如医疗信息系统舞弊内容常见有药品及诊疗收费项目、收费标准、收费数量三个方面。具体为系统是否存在药品超规定加价、药品多计数量，诊疗项目超收费用、多计次数，诊疗项目超规定加收、捆绑收费、肢解收费项目、重复收费、自立项目收费、应取消未取消收费、应降未降标准收费、无依据收费，医药回扣、任意减免收费等；

　　2.内部控制标准及管理方面舞弊行为。如系统是否存在内控漏洞和缺陷，指标是否健全，有无非法和错误处理及薄弱环节等；系统安全、可靠、合法性方面，如有无设计缺陷、程序错误，用户操作造成经济损失，灾难性恢复，有无业务数据外泄、破坏、非法修改、非法入侵及抗灾能力；

　　3.资产管理及财务核算方面舞弊行为。如有无帐外资产、材料报损账实不符、收入不实以等；

　　4.绩效管理方面舞弊行为。如资源是否存在浪费、管理运营费用如何等内容。

　　信息系统舞弊的原因。宏观体制层面上，存在粗框、滞后、政策约束性不强等；法规层面上，存在宽泛、不具体，配套措施不及时等；地方制度层面上，存在缺少细化措施，考核机制不完善，道德教育机制有待加强等；另外，主客体之间存在信息不对称性现象。

　　信息系统舞弊的审计策略

　　审前精心准备。首先，审计机关要树立好信息系统审计观念，适时做好信息系统审计的学习、培训等工作；其次，需要被审计单位做好的配合工作。如准备提供系统开发说明书、操作指南、数据字典、信息管理规章制度、保密措施等文档资料，作为审计依据的部分构成要件；三是做好审前调查。审计人员要重点了解系统管理模块结构与流程，了解被审计单位业务、系统、环境等，识别并评估风险，检查是否存在足够的控制来补偿这些风险，以此确定审计目标、重点内容、审计范围等。要搜集所有与信息系统相关的纸质及电子资料，下载业务与财务数据。制定的审计实施方案尽可能翔实、便于操作；要选配精简、高效的审计组成员，能够合理搭配做好组织保障。根据审前调查结果，审计人员还要绘制系统业务流程图，初步对系统在业务与财务管理的双套电子数据进行双向交互分析。

　　构建审计模型。审计人员通过分析业务流程及数据特征，进一步了解审计数据管理存在舞弊的状况。首先对独立的审计方法进行分析研究，使每个审计方法要素对应信息系统舞弊审计相关问题；其次，审计人员设计计算公式或编写SQL语句，配合相关法律政策，创建审计数据中间表；再之，对信息系统的特征和行为进行分类描述，把系统静态特征及动态行为表示为一个对象并对应为相关类别的一个审计模型，组成审计模型群（库）。如我们在医院业务流程图基础上，绘制审计模型图，完成审计模型的构建。把审计模型分配给审计组成员，以便实施审计时实现审计模型共享，可以提高审计效率和质量，有效降低审计风险。