基于IT审计视角反欺诈程序.docVIP

基于IT审计视角反欺诈程序一、IT审计人员在欺诈控制中的角色 审计人员不管是否在为欺诈而从事审计工作，都必须承担鉴别欺诈的责任，同时必须评估反欺诈程序。在美国注册会计师协会关于99号审计准则的公告中，强调审计人员必须对由于欺诈而存在的风险保持职业怀疑态度；美国公共事业公司会计监督委员会(PCAOB)同样也要求审计人员把评估与欺诈相关的活动作为内部审计功能的一个组成部分。 (一)IT过程界定信息及相关技术的控制对象(COBIT)界定了IT过程的范围，根据COBIT的规定，一个IT过程可以被归类为以下四个基本领域中的一个：计划与组织、获取与执行、传播与支持及监控与评估。 表1给出了这四个领域的34个具体的11I过程。 欺诈是否在每一个IT过程中都可能发生，目前还没有定论。为了更好的理解欺诈是否发生，所有的审计人员都应该更好地理解由犯罪学家唐纳德博士提出的欺诈三角假设。表2对他的三个因素进行了简单描述，任何人只要实施欺诈必然与这三个因素相关联。因为在任何IT过程中，不管IT系统的自动化程度如何，只要有一个以上人的参与，就必须慎重考虑欺诈发生的问题。 (二)欺诈的类型描述一般来讲，职业欺诈可以分为如下三种类型：资产挪用：任何涉及组织资产偷窃与误用的计划，如将软件及软件许可用于个人目的以获取收益。贿赂：一个人利用在商务交易中的影响力来获得与他，她对上司的责任向背的利益，例如将In殳备维护服务外报给提供回扣的服务商。虚假的陈述：财务报表的虚假陈述以使组织看起来盈利更好或更坏，如电信提供商通过虚假报告来调节每户平均收益。以上每一种欺诈还可以细分。不同类型的欺诈的知识以及跨行业的欺诈阴谋的识别大大地提高了欺诈风险评估的精确性与适用性。 二、欺诈风险评估及预防措施 欺诈风险评估开始于对与IT过程相关的欺诈活动可能性及其显著性的分级量化。只有对其工作评估的性质进行评估才能采取有效的防范措施。 (一)欺诈风险评估模型PCAOB第2号审计准则提供了一个风险或然性的样本以及相应的显著性，并具体化了三种风险水平：细微的、中度细微的及很可能的。PCAOB准则同时也将风险的显著性与影响分为三个层次：非实质性的、轻度实质性的及实质性的。图1阐述了风险的显著性与或然性之间的关系。 完成与IT过程相关的欺诈活动分级量化后，欺诈风险评估程序就能建立IT过程与各种现行的欺诈与控制之间的映射，如表3所示。欺诈风险评估使得组织能够容易的可视化欺诈的发生领域，并优先配置资源对这些潜在的欺诈高发领域加以控制与建设。随着企业、业务及IT环境的迅速改变，欺诈风险评估应该成为一项常规性的工作，或者随时确保IT过程跟上变化。甚至，为了风险评估而在识别具体的IT过程与环节时，审计人员在公司内部可以运用欺诈的历史模式作为标杆参考。 (二)欺诈的预防措施为了阻止欺诈的发生而进行的，预防是不言而喻的。如果等到产品、项目或者IT应用设计生产完成后，再采取措施代价是高昂的，也就是说在最初就应加以卓越的设计。欺诈预防现在已在审计活动中得到了实施，审计人员对组织早期的业务、过程和IT应用具备了越来越大的影响力。不管用来防范欺诈风险的控制措施是否充分，也不管欺诈风险的水平是细微还是显著，都应该设计、选择、集成相应的手段来及时地最小化欺诈风险与损失(可参考图1)。这些措施既可以内部化到内部控制中(BICs)，作为常规的欺诈检测程序的一部分，或者作为欺诈风险发生的早期预警信号(EWSs)的一部分。表4提供了一些例子。 (三)欺诈的鉴别方法在完成与IT过程及相应的鉴别措施相关的欺诈风险评估后，IT审计人员便可设计ICQs来评估并测试所采取的控制措施，包括反欺诈程序。财务人员一般应评估与财务记录相关的措施以及商业运作的合规性。然而IT审计人员应该关注内部控制技术(ICTs)体系及其相关的过程。不过，欺诈鉴别中的ICQs的质量却在很大程度受到审计人员的技术胜任能力、对IT以及企业运作的洞察力和特定领域的专业知识(如软件开发编程能力、数据库管理能力、网络规划与实施技巧、IT安全等)的严重影响。而IcOs的开发很有可能成为已经建立的程序的参照物，最佳的实践以及监管的标准。 三、欺诈的调查分析殛结论 随着ICTs在商业组织中的广泛利用，这意味着当欺诈发生时，用于确认稽核的证据很容易获得。基于ICTs的审计模式中，IT审计人员只需要具备IT系统的专业知识即可，他们的任务仅仅是能否鉴别风险。从这个意义上讲，IT审计人员可以通过如下措施来调查欺诈活动：报告的生成与稽核、证据的鉴别和计算机系统使用记录的检索、实施计算机互动分析。 IT审计人员期望能够直接或间接介入欺诈审计，本文提供了一种通用的、通过IT审计进行欺诈风险评估的技术，具