审计实施方法。在信息系统审计实施阶段,审计人员所开展的工作大概分为三个层次,即描述、测试和实证分析(即数据审计)。通过详细分析,能够发现传统审计方式下无法查到的重大问题。
1.信息系统舞弊审计采取的方法既包括一般方法,也包括应用计算机审计的方法。信息系统审计的一般方法主要用于对信息系统的了解和描述,它包括:面谈法、文档审阅法、文字描述法、表格描述法、图形描述法等。应用计算机方法一般用于对信息系统的控制测试和实证分析,它包括:数据测试法、程序审计、审计模块、代码比较、受控处理法等。
充分利用技术分析方法。借助内控测试和数据审计对选定的信息系统进行分析,将被审计单位业务数据与财务数据进行关联,排查信息系统存在的漏洞或缺陷,作出风险评价。利用技术分析方法能迅速找出信息系统存在的瑕疵,尤其是借助信息系统人为进行舞弊的线索。
2.信息系统舞弊审计关注的重点环节。(1)数据。必须使用一种能够向前、向后追踪查询单笔业务记录的方法,以便使审计人员选择重点对其进行详细检查,确认业务记录是否符合一般审计目标。如对医院会计事项信息的检查,要检查它的完整性、时效性、合规性和信息披露等方面。对信息的分析可以采用AO辅助审计,按照(如医院)审计模型和(如医疗)法规标准对数据进行汇总、分类、排序、比较和选择,并进行各种运算。(2)内部控制。主要是对(如医院)信息系统的一般控制和应用控制等两个方面的审计。一般控制审计包括组织管理的控制、数据资源管理的控制、系统环境安全管理的控制和系统运行管理控制等审计;应用控制审计它包括输入控制、处理控制、数据库控制等审计。(3)数据传输转移。有些数据需要在财务信息系统和收费系统模块或财务信息系统与业务信息系统模块之间相互转移,传递过程中很可能存在舞弊行为。因此,数据传输转移环节也是审计重点。
3.构建信息系统绩效的综合评价机制。一般信息系统审计很少对系统操作生命周期中管理收益的关注,目前尚未从绩效的角度来评价信息系统。构建信息系统绩效的综合评价机制,也是分析信息系统舞弊行为审计对策之一。
指标体系建立从以下两方面考虑。法规层面指标体系,目前如对医疗机构主要是依据卫生部颁发的《医疗机构信息系统基本功能规范》相关指标;业务层面指标体系,主要是依据被审计单位历史情况、管理职能、医院业务特点等选取相关指标。评价指标具有综合性,语言要平实,用词要公允。
信息系统舞弊审计案例实证
基本情况。2008年5月,徐州市审计局对XX医院信息系统及财务收支进行了审计。该医院所使用的信息系统由北京XX科技有限公司提供,后台数据库为SQL-Server2000,业务流程涉及五大类收费项目计3966项,年采购药品达4880种。审计共采集业务数据及财务备份数据账套2套,年业务数据记录量达400多万条,总量约4.8GB,信息存放表单150多张。
审计结果。根据上述分析方法,充分利用AO系统,查出上年度一系列收费、加价等违规违纪及绩效管理方面的问题,查出信息系统违纪违规金额达2200多万元,主要问题如下:药品超规定加价602.71万元;恶意刷卡支付自费项目当年达930.95万元,增加了财政负担;存在重复收取项目费用41.90万元;超标准收费138.80万元;自立项目收费12.54;商业贿赂--药品回扣13.76万元;账面收入调剂348.94元;不具备处方权医生擅自给病人开药达151.09万元等。
审计成效。案例项目审计建议6条被审计单位基本采纳予以整改,针对软件存在的控制功能等缺陷进行更新设计,清理停止收费项目,降低相关收费标准,补充新收费条目,完善系统收费编码;对功能、内控、作用等进行增修补;从设计程序、源头代码上,堵塞系统数据不真实或不准确及系统操作舞弊行为。更新设计后,促使信息系统的可靠性增强、安全性提高、效率性提升;促使该院出台了《信息系统管理办法》、《XX医院内部控制制度(试行)》等文件。
当年,根据审计项目编写的《运用AO对医疗信息系统舞弊的审计》荣获2008年度审计署AO应用实例最高奖--优秀奖。(江苏省徐州市审计局副局长、中国管理科学研究院特邀研究员)
