信息系統(tǒng)舞弊行為分析及審計(jì)策略

1、信息系統(tǒng)舞弊行為分析及審計(jì)策略 當(dāng)今，隨著信息化技術(shù)的高速發(fā)展，不僅被審計(jì)單位會(huì)計(jì)實(shí)現(xiàn)了電算化管理，而且計(jì)劃、采購、銷售、保管、績效管理等業(yè)務(wù)環(huán)節(jié)也都實(shí)現(xiàn)了信息化管理方式。信息系統(tǒng)改變了內(nèi)部控制，即內(nèi)控重點(diǎn)、方式和范圍有所變化；信息系統(tǒng)使傳統(tǒng)的審計(jì)內(nèi)容發(fā)生了改變，增加系統(tǒng)控制是否合規(guī)、系統(tǒng)數(shù)據(jù)是否真實(shí)完整、系統(tǒng)開發(fā)是否存在缺陷、應(yīng)用程序是否存在問題等。正是如此，信息系統(tǒng)使審計(jì)線索發(fā)生根本性變化。 在這種情況下，國家審計(jì)則不可避免地受到信息技術(shù)迅猛發(fā)展所帶來的沖擊與挑戰(zhàn)。如針對(duì)社會(huì)普遍反映“看病難、看病貴”，醫(yī)療費(fèi)用大幅度攀升，衛(wèi)生資源利用率低下、醫(yī)療服務(wù)顯失公平等問題。傳統(tǒng)的審計(jì)方法已無力應(yīng)對(duì)

2、，為了規(guī)避審計(jì)風(fēng)險(xiǎn)，確保審計(jì)質(zhì)量，審計(jì)要及時(shí)“跟進(jìn)”，只有對(duì)整個(gè)系統(tǒng)進(jìn)行全面了解，才能把握審計(jì)對(duì)象的總體情況，才能實(shí)現(xiàn)審計(jì)成果最大化，確?！懊裆焙椭C而實(shí)惠。因此，探索信息系統(tǒng)審計(jì)已成為當(dāng)前重要的課題。 信息系統(tǒng)舞弊行為分析 信息系統(tǒng)舞弊是指信息系統(tǒng)或行為人利用信息系統(tǒng)為達(dá)到獲取不當(dāng)利益，或者其他不當(dāng)愿望的目的，以不合規(guī)方法并采取各種隱蔽的非合法手段，去掩蓋事實(shí)的行為。 信息系統(tǒng)舞弊的主體。信息系統(tǒng)舞弊主體是指舞弊行為的載體，一般分為系統(tǒng)和人。體現(xiàn)在可能是系統(tǒng)設(shè)計(jì)客觀或主觀存在漏洞，也可能是人的主觀或者客觀行為因素導(dǎo)致；有時(shí)信息系統(tǒng)舞弊并非單一主體行為構(gòu)成，或者系統(tǒng)因素加人的客觀行為所致，或者

3、是系統(tǒng)因素加人的主觀行為因素所致，或者是系統(tǒng)因素加人的主、客觀行為因素所致。 信息系統(tǒng)舞弊的動(dòng)機(jī)。分為有動(dòng)機(jī)舞弊和無動(dòng)機(jī)舞弊。有動(dòng)機(jī)舞弊是指系統(tǒng)設(shè)計(jì)時(shí)按照業(yè)主需要在設(shè)計(jì)流程上存在主觀缺陷或漏洞，或者行為人利用系統(tǒng)進(jìn)行舞弊，人為舞弊往往是舞弊人的精心設(shè)計(jì)；無動(dòng)機(jī)舞弊一般發(fā)生在系統(tǒng)自身不完善所致。 信息系統(tǒng)舞弊的類型。已突破傳統(tǒng)單一的舞弊類型，可分為業(yè)務(wù)管理舞弊行為、財(cái)務(wù)管理舞弊行為、信息系統(tǒng)管理舞弊行為；也可能是三種舞弊行為的交叉。 信息系統(tǒng)舞弊的內(nèi)容。它是舞弊類型的具體細(xì)化。1.業(yè)務(wù)方面的舞弊內(nèi)容。如醫(yī)療信息系統(tǒng)舞弊內(nèi)容常見有藥品及診療收費(fèi)項(xiàng)目、收費(fèi)標(biāo)準(zhǔn)、收費(fèi)數(shù)量三個(gè)方面。具體為系統(tǒng)是否存在藥

4、品超規(guī)定加價(jià)、藥品多計(jì)數(shù)量，診療項(xiàng)目超收費(fèi)用、多計(jì)次數(shù)，診療項(xiàng)目超規(guī)定加收、捆綁收費(fèi)、肢解收費(fèi)項(xiàng)目、重復(fù)收費(fèi)、自立項(xiàng)目收費(fèi)、應(yīng)取消未取消收費(fèi)、應(yīng)降未降標(biāo)準(zhǔn)收費(fèi)、無依據(jù)收費(fèi)，醫(yī)藥回扣、任意減免收費(fèi)等； 2.內(nèi)部控制標(biāo)準(zhǔn)及管理方面舞弊行為。如系統(tǒng)是否存在內(nèi)控漏洞和缺陷，指標(biāo)是否健全，有無非法和錯(cuò)誤處理及薄弱環(huán)節(jié)等；系統(tǒng)安全、可靠、合法性方面，如有無設(shè)計(jì)缺陷、程序錯(cuò)誤，用戶操作造成經(jīng)濟(jì)損失，災(zāi)難性恢復(fù)，有無業(yè)務(wù)數(shù)據(jù)外泄、破壞、非法修改、非法入侵及抗災(zāi)能力； 3.資產(chǎn)管理及財(cái)務(wù)核算方面舞弊行為。如有無帳外資產(chǎn)、材料報(bào)損賬實(shí)不符、收入不實(shí)以等； 4.績效管理方面舞弊行為。如資源是否存在浪費(fèi)、管理運(yùn)營費(fèi)用

5、如何等內(nèi)容。 信息系統(tǒng)舞弊的原因。宏觀體制層面上，存在粗框、滯后、政策約束性不強(qiáng)等；法規(guī)層面上，存在寬泛、不具體，配套措施不及時(shí)等；地方制度層面上，存在缺少細(xì)化措施，考核機(jī)制不完善，道德教育機(jī)制有待加強(qiáng)等；另外，主客體之間存在信息不對(duì)稱性現(xiàn)象。 信息系統(tǒng)舞弊的審計(jì)策略 審前精心準(zhǔn)備。首先，審計(jì)機(jī)關(guān)要樹立好信息系統(tǒng)審計(jì)觀念，適時(shí)做好信息系統(tǒng)審計(jì)的學(xué)習(xí)、培訓(xùn)等工作；其次，需要被審計(jì)單位做好的配合工作。如準(zhǔn)備提供系統(tǒng)開發(fā)說明書、操作指南、數(shù)據(jù)字典、信息管理規(guī)章制度、保密措施等文檔資料，作為審計(jì)依據(jù)的部分構(gòu)成要件；三是做好審前調(diào)查。審計(jì)人員要重點(diǎn)了解系統(tǒng)管理模塊結(jié)構(gòu)與流程，了解被審計(jì)單位業(yè)務(wù)、系統(tǒng)、環(huán)

6、境等，識(shí)別并評(píng)估風(fēng)險(xiǎn)，檢查是否存在足夠的控制來補(bǔ)償這些風(fēng)險(xiǎn)，以此確定審計(jì)目標(biāo)、重點(diǎn)內(nèi)容、審計(jì)范圍等。要搜集所有與信息系統(tǒng)相關(guān)的紙質(zhì)及電子資料，下載業(yè)務(wù)與財(cái)務(wù)數(shù)據(jù)。制定的審計(jì)實(shí)施方案盡可能翔實(shí)、便于操作；要選配精簡、高效的審計(jì)組成員，能夠合理搭配做好組織保障。根據(jù)審前調(diào)查結(jié)果，審計(jì)人員還要繪制系統(tǒng)業(yè)務(wù)流程圖，初步對(duì)系統(tǒng)在業(yè)務(wù)與財(cái)務(wù)管理的雙套電子數(shù)據(jù)進(jìn)行雙向交互分析。 構(gòu)建審計(jì)模型。審計(jì)人員通過分析業(yè)務(wù)流程及數(shù)據(jù)特征，進(jìn)一步了解審計(jì)數(shù)據(jù)管理存在舞弊的狀況。首先對(duì)獨(dú)立的審計(jì)方法進(jìn)行分析研究，使每個(gè)審計(jì)方法要素對(duì)應(yīng)信息系統(tǒng)舞弊審計(jì)相關(guān)問題；其次，審計(jì)人員設(shè)計(jì)計(jì)算公式或編寫sql語句，配合相關(guān)法律政策，

7、創(chuàng)建審計(jì)數(shù)據(jù)中間表；再之，對(duì)信息系統(tǒng)的特征和行為進(jìn)行分類描述，把系統(tǒng)靜態(tài)特征及動(dòng)態(tài)行為表示為一個(gè)對(duì)象并對(duì)應(yīng)為相關(guān)類別的一個(gè)審計(jì)模型，組成審計(jì)模型群（庫 ）。如我們?cè)卺t(yī)院業(yè)務(wù)流程圖基礎(chǔ)上，繪制審計(jì)模型圖（見下圖），完成審計(jì)模型的構(gòu)建。把審計(jì)模型分配給審計(jì)組成員，以便實(shí)施審計(jì)時(shí)實(shí)現(xiàn)審計(jì)模型共享，可以提高審計(jì)效率和質(zhì)量，有效降低審計(jì)風(fēng)險(xiǎn)。 審計(jì)實(shí)施方法。在信息系統(tǒng)審計(jì)實(shí)施階段，審計(jì)人員所開展的工作大概分為三個(gè)層次，即描述、測(cè)試和實(shí)證分析（即數(shù)據(jù)審計(jì)）。通過詳細(xì)分析，能夠發(fā)現(xiàn)傳統(tǒng)審計(jì)方式下無法查到的重大問題。 1信息系統(tǒng)舞弊審計(jì)采取的方法既包括一般方法，也包括應(yīng)用計(jì)算機(jī)審計(jì)的方法。信息系統(tǒng)審計(jì)的一般方

8、法主要用于對(duì)信息系統(tǒng)的了解和描述，它包括：面談法、文檔審閱法、文字描述法、表格描述法、圖形描述法等。應(yīng)用計(jì)算機(jī)方法一般用于對(duì)信息系統(tǒng)的控制測(cè)試和實(shí)證分析，它包括：數(shù)據(jù)測(cè)試法、程序?qū)徲?jì)、審計(jì)模塊、代碼比較、受控處理法等。 充分利用技術(shù)分析方法。借助內(nèi)控測(cè)試和數(shù)據(jù)審計(jì)對(duì)選定的信息系統(tǒng)進(jìn)行分析，將被審計(jì)單位業(yè)務(wù)數(shù)據(jù)與財(cái)務(wù)數(shù)據(jù)進(jìn)行關(guān)聯(lián)，排查信息系統(tǒng)存在的漏洞或缺陷，作出風(fēng)險(xiǎn)評(píng)價(jià)。利用技術(shù)分析方法能迅速找出信息系統(tǒng)存在的瑕疵，尤其是借助信息系統(tǒng)人為進(jìn)行舞弊的線索。 2信息系統(tǒng)舞弊審計(jì)關(guān)注的重點(diǎn)環(huán)節(jié)。（1）數(shù)據(jù)。必須使用一種能夠向前、向后追蹤查詢單筆業(yè)務(wù)記錄的方法，以便使審計(jì)人員選擇重點(diǎn)對(duì)其進(jìn)行詳細(xì)檢查，

9、確認(rèn)業(yè)務(wù)記錄是否符合一般審計(jì)目標(biāo)。如對(duì)醫(yī)院會(huì)計(jì)事項(xiàng)信息的檢查，要檢查它的完整性、時(shí)效性、合規(guī)性和信息披露等方面。對(duì)信息的分析可以采用ao輔助審計(jì)，按照（如醫(yī)院）審計(jì)模型和（如醫(yī)療）法規(guī)標(biāo)準(zhǔn)對(duì)數(shù)據(jù)進(jìn)行匯總、分類、排序、比較和選擇，并進(jìn)行各種運(yùn)算。（2）內(nèi)部控制。主要是對(duì)（如醫(yī)院）信息系統(tǒng)的一般控制和應(yīng)用控制等兩個(gè)方面的審計(jì)。一般控制審計(jì)包括組織管理的控制、數(shù)據(jù)資源管理的控制、系統(tǒng)環(huán)境安全管理的控制和系統(tǒng)運(yùn)行管理控制等審計(jì)；應(yīng)用控制審計(jì)它包括輸入控制、處理控制、數(shù)據(jù)庫控制等審計(jì)。（3）數(shù)據(jù)傳輸轉(zhuǎn)移。有些數(shù)據(jù)需要在財(cái)務(wù)信息系統(tǒng)和收費(fèi)系統(tǒng)模塊或財(cái)務(wù)信息系統(tǒng)與業(yè)務(wù)信息系統(tǒng)模塊之間相互轉(zhuǎn)移，傳遞過程中很可

10、能存在舞弊行為。因此，數(shù)據(jù)傳輸轉(zhuǎn)移環(huán)節(jié)也是審計(jì)重點(diǎn)。 3構(gòu)建信息系統(tǒng)績效的綜合評(píng)價(jià)機(jī)制。一般信息系統(tǒng)審計(jì)很少對(duì)系統(tǒng)操作生命周期中管理收益的關(guān)注，目前尚未從績效的角度來評(píng)價(jià)信息系統(tǒng)。構(gòu)建信息系統(tǒng)績效的綜合評(píng)價(jià)機(jī)制，也是分析信息系統(tǒng)舞弊行為審計(jì)對(duì)策之一。 指標(biāo)體系建立從以下兩方面考慮。法規(guī)層面指標(biāo)體系，目前如對(duì)醫(yī)療機(jī)構(gòu)主要是依據(jù)衛(wèi)生部頒發(fā)的醫(yī)療機(jī)構(gòu)信息系統(tǒng)基本功能規(guī)范相關(guān)指標(biāo)；業(yè)務(wù)層面指標(biāo)體系，主要是依據(jù)被審計(jì)單位歷史情況、管理職能、醫(yī)院業(yè)務(wù)特點(diǎn)等選取相關(guān)指標(biāo)。評(píng)價(jià)指標(biāo)具有綜合性，語言要平實(shí)，用詞要公允。 信息系統(tǒng)舞弊審計(jì)案例實(shí)證 基本情況。20_年5月，徐州市審計(jì)局對(duì)_醫(yī)院信息系統(tǒng)及財(cái)務(wù)收支進(jìn)行

11、了審計(jì)。該醫(yī)院所使用的信息系統(tǒng)由北京_科技有限公司提供，后臺(tái)數(shù)據(jù)庫為sql-server20_，業(yè)務(wù)流程涉及五大類收費(fèi)項(xiàng)目計(jì)3966項(xiàng)，年采購藥品達(dá)4880種。審計(jì)共采集業(yè)務(wù)數(shù)據(jù)及財(cái)務(wù)備份數(shù)據(jù)賬套2套，年業(yè)務(wù)數(shù)據(jù)記錄量達(dá)400多萬條，總量約4.8gb，信息存放表單150多張。 審計(jì)結(jié)果。根據(jù)上述分析方法，充分利用ao系統(tǒng)，查出上年度一系列收費(fèi)、加價(jià)等違規(guī)違紀(jì)及績效管理方面的問題，查出信息系統(tǒng)違紀(jì)違規(guī)金額達(dá)2200多萬元，主要問題如下：藥品超規(guī)定加價(jià)602.71萬元；惡意刷卡支付自費(fèi)項(xiàng)目當(dāng)年達(dá)930.95萬元，增加了財(cái)政負(fù)擔(dān)；存在重復(fù)收取項(xiàng)目費(fèi)用41.90萬元；超標(biāo)準(zhǔn)收費(fèi)138.80萬元；自立項(xiàng)目收費(fèi)12.54；商業(yè)賄賂-藥品回扣13.76萬元；賬面收入調(diào)劑348.94元；不具備處方權(quán)醫(yī)生擅自給病人開藥達(dá)151.09萬元等。 審計(jì)成效。案例項(xiàng)目審計(jì)建議6條被審計(jì)單位基本采納予以整改，針對(duì)軟件存在的控制功能等缺陷進(jìn)行更新設(shè)計(jì)，清理停止收費(fèi)項(xiàng)目，降低相關(guān)收費(fèi)標(biāo)準(zhǔn)，補(bǔ)充新收費(fèi)條目，完善系統(tǒng)收費(fèi)編