《信息系统舞弊行为分析及审计策略》

信息系统舞弊行为分析及审计策略

当今，随着信息化技术的高速发展，不仅被审计单位会计实现了电算化管理，而且计划、采购、销售、保管、绩效管理等业务环节也都实现了信息化管理方式。信息系统改变了内部控制，即内控重点、方式和范围有所变化；信息系统使传统的审计内容发生了改变，增加系统控制是否合规、系统数据是否真实完整、系统开发是否存在缺陷、应用程序是否存在问题等。正是如此，信息系统使审计线索发生根本性变化。

在这种情况下，国家审计则不可避免地受到信息技术迅猛发展所带来的冲击与挑战。如针对社会普遍反映“看病难、看病贵”，医疗费用大幅度攀升，卫生资源利用率低下、医疗服务显失公平等问题。传统的审计方法已无力应对，为了规避审计风险，确保审计质量，审计要及时“跟进”，只有对整个系统进行全面了解，才能把握审计对象的总体情况，才能实现审计成果最大化，确保“民生”和谐而实惠。因此，探索信息系统审计已成为当前重要的课题。

信息系统舞弊行为分析

信息系统舞弊是指信息系统或行为人利用信息系统为达到获取不当利益，或者其他不当愿望的目的，以不合规方法并采取各种隐蔽的非合法手段，去掩盖事实的行为。

信息系统舞弊的主体。信息系统舞弊主体是指舞弊行为的载体，一般分为系统和人。体现在可能是系统设计客观或主观存在漏洞，也可能是人的主观或者客观行为因素导致；有时信息系统舞弊并非单一主体行为构成，或者系统因素加人的客观行为所致，或者是系统因素加人的主观行为因素所致，或者是系统因素加人的主、客观行为因素所致。

信息系统舞弊的动机。分为有动机舞弊和无动机舞弊。有动机舞弊是指系统设计时按照业主需要在设计流程上存在主观缺陷或漏洞，或者行为人利用系统进行舞弊，人为舞弊往往是舞弊人的精心设计；无动机舞弊一般发生在系统自身不完善所致。

信息系统舞弊的类型。已突破传统单一的舞弊类型，可分为业务管理舞弊行为、财务管理舞弊行为、信息系统管理舞弊行为；也可能是三种舞弊行为的交叉。

信息系统舞弊的内容。它是舞弊类型的具体细化。

1.业务方面的舞弊内容。如医疗信息系统舞弊内容常见有药品及诊疗收费项目、收费标准、收费数量三个方面。具体为系统是否存在药品超规定加价、药品多计数量，诊疗项目超收费用、多计次数，诊疗项目超规定加收、捆绑收费、肢解收费项目、重复收费、自立项目收费、应取消未取消收费、应降未降标准收费、无依据收费，医药回扣、任意减免收费等；

2.内部控制标准及管理方面舞弊行为。如系统是否存在内控漏洞和缺陷，指标是否健全，有无非法和错误处理及薄弱环节等；系统安全、可靠、合法性方面，如有无设计缺陷、程序错误，用户操作造成经济损失，灾难性恢复，有无业务数据外泄、破坏、非法修改、非法入侵及抗灾能力；

3.资产管理及财务核算方面舞弊行为。如有无帐外资产、材料报损账实不符、收入不实以等；

4.绩效管理方面舞弊行为。如资源是否存在浪费、管理运营费用如何等内容。

信息系统舞弊的原因。宏观体制层面上，存在粗框、滞后、政策约束性不强等；法规层面上，存在宽泛、不具体，配套措施不及时等；地方制度层面上，存在缺少细化措施，考核机制不完善，道德教育机制有待加强等；另外，主客体之间存在信息不对称性现象。

审计结果。根据上述分析方法，充分利用ao系统，查出上年度一系列收费、加价等违规违纪及绩效管理方面的问题，查出信息系统违纪违规金额达2200多万元，主要问题如下：药品超规定加价602.71万元；恶意刷卡支付自费项目当年达930.95万元，增加了财政负担；存在重复收取项目费用41.90万元；超标准收费138.80万元；自立项目收费12.54；商业贿赂–药品回扣13.76万元；账面收入调剂348.94元；不具备处方权医生擅自给病人开药达151.09万元等。

审计成效。案例项目审计建议6条被审计单位基本采纳予以整改，针对软件存在的控制功能等缺陷进行更新设计，清理停止收费项目，降低相关收费标准，补充新收费条目，完善系统收费编码；对功能、内控、作用等进行增修补；从设计程序、源头代码上，堵塞系统数据不真实或不准确及系统操作舞弊行为。更新设计后，促使信息系统的可靠性增强、安全性提高、效率性提升；促使该院出台了《信息系统管理办法》、《xx医院内部控制制度（试行）》等文件。

当年，根据审计项目编写的《运用ao对医疗信息系统舞弊的审计》荣获20xx年度审计署ao应用实例最高奖–优秀奖。