1.5.5 欺诈、违觃和非法行为

管理层主要负责建立、实施和维护能威慑和/或及时检测欺诈的内部控制系统。内部控制可能因漏洞利用、管理层实施的控制弱点或人员串通而失效。

实施内部控制并不能杜绝欺诈行为。信息系统审计师应在工作的各个方面均遵守并奉行应有的职业谨慎，并警惕可能导致欺诈的机会。他们应当意识到实施欺诈的可能性及方式，尤其是在启用了IT的环境中利用漏洞和压制控制的欺诈行为。他们应当了解欺诈行为和欺诈迹象，并在执行审计时警惕可能出现的欺诈行为和错误。

在常规的鉴证工作中，信息系统审计师可能会遇到各种欺诈行为或迹象。信息系统审计师可在仔细评估后就是否需要详细调查与相关部门进行沟通。如果信息系统审计师发现存在严重的欺诈行为或检测风险很高，则审计管理层应考虑及时向审计委员会传达该问题。

对于欺诈行为的预防，信息系统审计师应当了解关于实施特定欺诈检测程序以及向相关部门报告欺诈行为的相关法律要求。