前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇审计风险防范论文范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
一、问题的提出
通常而言,在非理想社会运行状态下,契约是非完全合约。我们也可以合理推论,会计师事务所与其员工(包括合伙人)签订的劳动用工契约也是非完全合约。在合约的实际签订中,会计师事务所应用的契约多是要式合约,即契约往往是某地区劳动局按照国家法律法规的规定而制定的具有相对比较固定条款和格式的书面合约。显而易见,这种契约缺少会计师事务所所固有的劳动用工特征,在一定程度上将带来不可估量的审计风险,使得审计成本无限放大。虽然我们可以通过外生的约束力量来控制,比如通过审计人员对自己出具的审计报告签字从而负相应的法律责任,但当其无需签字时,这时候对审计人员的约束更多的只能依赖职业道德因素。特别是在审计实务中,审计外勤负责人不签字的现象是比较普遍的。本文拟就此进行分析并提出解决方案。
为了更好地分析问题,本文按照会计师事务所运行的三级审核制架构提出研究的基本假设条件:
(1)所有合伙人都拥有该会计师事务所,而且都是该会计师事务所的实际经营者;
(2)合伙人和主管某审计项目的负责人(部门经理)都在审计报告中签字;
(3)审计外勤负责人不在他所审计的项目报告中签字;
(4)审计外勤负责人知悉其所审计项目中的所有重大事项;
(5)审计外勤负责人的助理人员不可能隐瞒审计重大事项。
二、会计师事务所中非完全合约产生的原因
假设我们可以推知,由于会计师事务所劳动用工合约的不完全性,会计师事务所一般存在两层风险比较大的委托关系合约。
第一层委托关系合约是A,即会计师事务所与合伙人之间形成的委托关系合约。一方面虽然从理论上说,会计师事务所属于合伙人,但需要强调的是会计师事务所属于全体合伙人而不属于单个的合伙人。然而单个合伙人又恰恰是某个审计项目的经营者。这就存在由于合伙人之间的风险偏好不同导致合伙人之间的不同行为。例如某审计事项实际上风险是比较大的,但该合伙人却认为该事项风险可以接受,并私自决断而不提交给合伙人委员会或类似机构讨论,最后该事项却引发了整个会计师事务所的信誉危机。于是其他非当事合伙人却不得不被动地搭这趟苦涩的便车。
从另一方面分析,单个合伙人作为一个理性经济人,对于其所拥有的会计师事务所应尽心尽力,尽量避免风险。但从经济学角度上说,合伙人对于自我的行为,作为风险偏好者,只是用效用最大化来替代利润最大化,这种替代收益与费用由他享有和承担。但由于事务所特殊的组织框架,其他合伙人在无形中承担了部分溢出风险。因为,毕竟公司章程或合伙人协议等合约不可能是完美无缺的,而且我国很多会计师事务所都是改制而来,起始就可能存在着事业单位遗留下来的后遗症,很多合约签定是利益妥协的产物,这也积聚了非完全合约所致使的审计风险。
第二层委托关系合约是B、C、D,即委托方--会计师事务所、合伙人、部门经理与方--审计外勤负责人之间形成的委托关系合约。由于审计外勤负责人直接面对客户,因而对客户的经营成果和各种信息的拥有,相对于会计师事务所其他人而言,是最完备的。如果审计外勤负责人能力素质低下,或者存在故意败德行为等,甚至与被审计单位管理当局合谋隐瞒重要审计事项而出具虚假审计报告,而此时委托方由于信息不对称完全不知晓,那么会计师事务所的审计质量就存在巨大的控制真空,相应的潜在审计风险就凸显出来。特别是对审计外勤负责人缺乏强有力的刚性契约约束时,他就可能存在逃避责任的机会主义行为,甚至把审计风险成本全部转嫁到会计师事务所和合伙人身上。
可见,会计师事务所非完全合约所隐藏的风险是很大的。其中引起会计师事务所合约的非完全性主要原因如下:
1.人类的有限理性。由于人类在神经生理和语言方面的局限性以及外在事物的不确定性、复杂性,虽然从事经济活动中的人在愿望上是追求理性的,但会计师事务所对员工所从事的审计活动的故意消极性不可能全面预见。而且,审计风险表现形式多种多样,即使再高明的管理者也不可能在合约中对员工的审计活动进行完善的细化。自然这就肇始了合约的不完全性。当然,这除了人的思维和行为是有限理性外,还与交易成本息息相关。
2.交易成本的存在。在会计师事务所的员工合约中描述大量外在的随机状况要耗费大量成本。如果把这种情况细化,描述员工在审计时所应遵守的行为标准等特性,或者合约当事人各方为此必然采取行动,都需要花费成本。而且当劳动合约的限制条款太多,可能阻止某些业务精专、品德高尚的人才进入注册会计师行业,就会产生劣币驱逐良币的现象。这就可能与初衷背道而驰,甚至阻碍会计师事务所的良性发展。正因为博弈双方完善合约可能要耗费大量交易成本。会计师事务所及其员工只好作次优选择,省略与主要情况相关条款,使之处于模糊状态。这种不完备的合约却从一开始就累积了后发审计风险。
3.非对称信息。根据非对称信息理论,市场上买卖双方各自掌握的信息是有差异的,通常供方是有较完全的信息,需方有不完全的信息。在这种情况下,有信息优势的一方就希望通过输出对自己有利的信息使自己获利,从而存在机会主义行为。这在会计师事务所的合约中其实是内生的非对称信息,即会计师事务所在合约签订后无法完备地观察和监督到审计人员的所有行为。也就是在合约中,无法推测审计人员在合约后的行为而导致信息不对称。另外,在合伙人之间,正是因为信息的非对称而使合伙人对风险的判断产生差异,直接导致了会计师事务所第一层委托关系的形成。
4.违约成本低廉。由于审计外勤负责人没有签字承担责任的约束,他就有可能存在逆向选择和道德风险,甚至与管理当局合谋增大会计师事务所的风险,但他可能获得大量造假收益。如果事件败露,在目前的市场和文化环境中,受到的处罚可能仅是被会计师事务所解雇。可见,合约的不完全性造成违约成本非常低廉,甚至会诱致某些审计人员铤而走险。
5.对合约认识的局限性。绝大部分会计师事务所签定的合约只是把劳动局所制作的要式合约直接运用,而对要式合约中的可自由发挥的部分视而不见。例如深圳经济特区劳动合同书,其中第九条第三款和第十一条就分别有如下文句:“双方另外约定以下违约责任(空白)、双方认为需要约定的其他事项或对原对条款需要变更重新约定的事项(空白)。”会计师事务所本来可利用这两条弹性款项进一步完善合约,但大部分合约双方都是一叉了事,没有发挥合约应有的作用。正是缺乏对合约效力的充分认识,从而在某种意义上先天决定了合约的非完全性。
三、不完全合约所产生的审计风险防范
鉴于在中国目前所存在的经济发展环境,注册会计师的执业门槛很低,行业人员良莠不齐,那么通过合约的完善来对审计人员进行约束就显得很必要了。但在注册会计师实务中,这方面常常被忽略,会计师事务所通常很少关注用劳动合约去约束审计人员的行为,而过多地依赖职业道德。既然会计师事务所存在两层风险比较大的委托关系合约,则我们可以根据不完全合约产生的原因提出相应的解决方案。
(一)对于第一层委托关系合约
1.建立审计风险硬性约束机制。会计师事务所各合伙人应统一认识,建立以风险基础审计模式,对审计风险的评估尽可能数量化。特别是会计师事务所应对审计重要性水平,按不同客户、不同资产分门别类的确定重要性金额,以便各合伙人在一个相对固定的重要性水平上确定应提交给合伙人委员会讨论的重大事项。同时,因为审计重要性受到以往审计经验、相关法规、客户的经营规模和业务性质、内部控制与审计风险的评估结果以及会计报表各项目金额性质等多种因素的影响,所以各会计师事务所在制定本所的重要性水平时,应尽量遵循谨慎性原则。对另外一些与金额无关,但性质非常重要的非期望出现的错报和漏报,如管理层舞弊等,则可以采取列举法,把可能发生的性质严重影响审计报告的事项分类列举出来,形成条款,并可以在会计师事务所与合伙人之间的合约中提及,以便合伙人不因偶然的疏忽而铸成大的审计风险后果。通过对审计重要性水平的相对书面化,使合伙人的风险偏好形式化,从而更好地规范审计风险控制,而不因个人偏好因子影响整个会计师事务所的声誉。
2.会计师事务所实行合伙制。由于有些名义上的合伙事务所实际上工商登记的是有限责任制,使得外部环境约束合伙人的资源减少。真正的合伙制度可以使得合伙人的审计行为更为谨慎,每一个合伙人都有互相监督的意识。因为每个合伙人都要对其他合伙人的业务活动负责,每个合伙人也就有互相监督的内在动机。这种相互监督增强了单个合伙人的风险意识,而承担无限责任的巨大风险更是使合伙人对审计风险更加敏感。因而,如果要降低第一层委托制度的成本,根本的解决方案是实行中国会计师事务所第二次改制,把有限责任制改为合伙制,以避免由于会计师事务所先天不足造成合约的非完全性而衍生审计风险。
(二)对于第二层委托关系合约
1.完善相关法律。由于目前注册会计师执业环境不好,因为有必要通过法规对审计外勤负责人的审计行为作出约束,规定审计外勤负责人也需要对其所审计的项目承担一定的相应责任。如果行为特别恶劣,则可以规定已经有该种行为的人为财务审计职位的市场禁入者,当他被解雇后,其再寻找职位的成本无穷大,从而加大审计外勤负责人的违规成本。
2.完善劳动合约。在会计师事务所与审计人员签订审计劳动合约时,双方可以充分讨论,并尽量挖掘合约刚性约束潜力,以便在风险收益中相互求得最佳平衡点。从而做到合约既可以尽可能降低审计风险,又能够吸引优秀人才加盟会计师事务所。
(一)企业应加强内部控制
随着市场经济的深入发展,企业逐步成为自主经营、自我约束、自我发展、自我完善的商品生产者和经营者。在“优胜劣汰、适者生存”的市场经济中,企业要想真正的做到“自主经营、自我约束、自我发展、自我完善”,必须要加强内部控制,建立有效、完善的内部控制制度,这样才能在一个绝对的高度上,对企业进行高瞻远瞩的控制,才能做出与时俱进的决策。
(二)内部审计是企业内部监督机制的重要组成部分
内部审计也是企业内部控制的一个重要的组成部分,是监督内部控制其他环节的主要力量。内部审计通过对控制环境和控制程序的有效性进行监督,评估企业的内部控制是否被执行,是否及时反馈有关执行结果的信息,是否帮助企业更有效地实现预期控制目标。同时,在监控过程中,内部审计可以促进控制环境的建立和改善,为改进控制制度提供建设性的意见,为企业建立健全所需要的内部控制水平服务。在内部控制的监督过程中,内部审计发挥着越来越重要的作用。
二、内部审计在防范信息系统风险中面临的问题
(一)信息系统安全管理机制不健全
企业信息系统风险的存在,很多是由于管理不善或控制不严造成的。一方面,缺乏一套统一的安全策略体系来指导安全管理工作,无法建立系统内部明确、全面的安全规范要求。从现有管理制度规范来看,主要存在的问题是可操作性差,条理不清、重叠或遗漏等;另一方面,现有安全管理制度的管理对象基本是网络系统管理员等技术部人员,管理对象没有全面涵盖所有信息系统技术相关人员,包括所有网络系统上的内部终端人员和外部人员。
(二)内部审计在信息系统风险防范中的角色缺乏独立性
内部审计的角色发生了转变。从传统的事后审计而逐渐转向事前和事中审计,主动参与内部控制系统的建立和完善。内部审计人员即承担着评价硬件和应用信息系统安全的任务,如果又同时有参与了系统的开发和实施过程,那么内部审计人员就却乏独立性。反之,如果处于对丧失独立性的担心,内部审计人员有可能会拒绝参与系统和软件的开发,那么系统开发过程中存在的风险又无法得到控制。
(三)内审部门技术力量薄弱造成对信息系统审计形成风险
审计稽核部门的技术力量薄弱,不熟悉业务系统的流程和功能,对信息系统缺乏必要的认证能力和标准。突出表现为以下几个方面:一是实施审计稽核的手段和方法没有得到及时更新,不适应信息系统管理的要求,大部分仍停留在手工审计阶段;二是审计稽核部门对计算机账务系统实施审计的依据仅依赖于被审计单位提供的打印资料或事后资料,计算机账务的真实性审计很难得到保证。
三、加强风险防范的措施和对策
(一)构建信息系统安全管理组织及规范体系
加强信息系统的自我风险评估体系,让信息系统的管理和技术人员在自身的职责范围之内正确识别和评估潜在操作风险,主要包括内控制度的查漏补缺、工作流程的整理和规范、应急预案完善和演练等。同时加强对操作人员的管理,规范操作程序。一是加强密码管理,明确规定操作人员的权限,操作员必须在规定的权限内办理业务,用户口令及密码必须专人专用,严禁公开口令及密码;二是要建立健全操作员岗位目标责任制,对网络操作人员要明确目标任务,规范操作程序,严格落实奖惩制度。三是要严格岗位设置,不相容职务进行分离。严禁系统管理人员、网络技术人员、程序开发人员和前台操作人员混岗、代岗或一人多岗。四是要加强系统内部的稽核监督检查。稽核监督应贯穿于网络操作的全过程,重点是加强对系统设计开发、内控管理制度落实、操作运行等方面的(二)关注信息系统的稳定性、安全性和有效性审计
首先,审计人员应运用用一定的技术方法识别系统的完整性,该过程包括检查、测试、评估系统的内制,以保证系统的稳定性;其次,审计人员应评价系统存在的风险和可能产生的后果将成为审计的核心工作和基本内容,保证信息系统的安全性。应根据审计的标准和准则,评价控制环境的和IT基础设施的安全,确保系统满足组织的业务需要,保护信息资产的安全完整,以防非授权使用、泄露、修改、损坏或丢失;最后,还应鉴别信息系统的有效性。内部审计必须理解并熟悉操作环境,了解系统技术的复杂性及其对决策的影响;对来自内部的安全隐患,采用一定的方法进行系统诊断、检验、测试,评价其有效性及效率,以支持组织业务目标的实现
(三)改善内审机构,提高内审人员素质,培养信息系统审计师
为了信息系统的安全、可靠与有效,由独立于审计对象的信息系统审计师,以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价。信息系统审计师也称lS审计师或IT审计师,是指那些既通晓信息系统的软件和硬件(包括信息系统的开发、运营、维护、管理和安全等),又熟悉经济管理的内部审计人才。
(四)聘请专家进行协助
内部审计人员的知识、技能和经验虽然有助于信息系统的风险防御,但现实中必须承认,在企业中同时具备计算机技术和审计专业知识的人才非常短缺。再出色的内部审计人员可能面临一些系统内的专业问题却无法解决,因此有必要聘请外部专家。可以通过专家的协助测试运用其专业技能测试系统安全,进一步防范和解决信息系统风险的存在。
论文关键词:内部审计信息系统风险防范
论文摘要:内部控制是社会经济发展到一定阶段的产物,其内容在不断的发展与变化,而内部审计是内部监督机制的重要组成部分。目前计算机信息系统已在企业中广泛使用,而在内部审计过程中如何加强计算机信息系统的风险防范,是企业内部控制过程中迫切需要解决的问题。
企业信息系统化的运用,原来的手工控制则变为手工与电脑控制相结合或全部由电脑自动进行控制。计算机信息系统的广泛使用,与技术管理相对薄弱和稽核监督的长期空白已形成了尖锐的矛盾。信息系统风险控制能力差的现状,迫切需要我们加强风险管理和监控。
摘 要 本文首先对审计风险的概念进行了界定,从内部和外部两个方面分析了我国会计师事务所审计风险产生的原因,并针对这些原因提出了会计师事务所防范审计风险的几点建议,使会计师事务所在执业过程中加强对审计风险的控制,从而使整个社会的审计业务更加规范和健康地发展。
关键词 审计风险 风险控制 会计师事务所
随着现代审计业务的日益复杂,审计项目的风险水平越来越高。审计风险的存在必然会使会计师事务所发生风险损失,因此,实施审计风险管理显得尤为重要。加强审计风险的管理和控制,对我国的会计师事务所提高审计质量,降低审计责任,增强自身的竞争力具有非常重要的意义。
一、审计风险的概念
审计风险是指当财务报表存在重大错误或漏报,注册会计师对其进行审计后发表不恰当审计意见的可能性。对于盈亏自负、风险自担的会计师事务所来说,既要在激烈的市场竞争中招揽业务,又要防范审计业务可能带来的审计风险,这就使对审计风险的防范和控制成为会计师事务所的核心问题。
二、会计师事务所审计风险产生的原因
会计师事务所审计风险的产生由很多因素造成,以下从外部原因和内部原因两个方面来探讨我国会计师事务所审计风险产生的原因。
(一)外部原因
1.我国的法制体系不完善
改革开放以来,尽管我国在审计立法上取得了很大的发展并形成了一套审计法制体系,但随着社会主义市场经济的发展,审计执法过程中某些方面仍无法可依,另外,一些旧的审计法律法规已经不能适应新形势的发展而需做出修改。这种情况加大了相关部门审计监督的难度,也加大了会计师事务所的审计风险。
2.被审计单位内部控制制度方面的原因
企业在经营管理时必须遵守成本收益原则,无论做出什么决策都必须考虑成本与收益的关系。企业实行内部控制固然能够减少会计处理过程中错弊的发生,降低会计师事务所的审计风险,提高审计效率,但如果内部控制的成本超过了发生错弊时造成的损失,企业管理人员便会想尽一切办法减少控制程序,这就使内部控制总会存在一定的缺陷。
(二)内部原因
1.审计收费比较低
目前,我国会计师事务所的审计收费普遍较低。如果会计师事务所的审计收费过低,就会迫使事务所和注册会计师采用一些方法来降低审计成本,比如简化审计程序、减少业务人员、缩短审计时间等。这种做法势必会导致审计质量的降低和审计风险的增大。审计费用太低,会计师事务所就不可能花费大量人力和物力去审计某一项目,审计质量就不可能提高。
2.缺乏独立性
实际中,事务所的聘用、续聘和费用支付等相关事项多是由企业管理层来决定的。也就是说,公司管理层可按其意愿来选择事务所,这也决定了注册会计师在出具审计报告时可能不得不考虑管理层的意见,审计的独立性得不到保障。会计师事务所丧失了独立性,到处受到四周环境的限制,当然就不能出具公正客观的审计意见。
3.审计方法的落后
《中国注册会计师独立审计准则》提出了运用风险基础审计方法的要求。然而在实践中审计方法仍停留在账项基础审计向制度基础审计过渡的阶段,许多审计项目的大小都是由注册会计师依靠主观来判断的。同时,审计中广泛采用的抽样技术只限于抽样审计,并不能发现财务报表中的全部错误,这会导致某些隐蔽较好的欺诈极难侦破。由于审计成本的限制,又迫使注册会计师不得不放弃部分审计程序,会丧失应有的职业谨慎,难以做到全面的审计工作,风险自然由此而生。
三、审计风险的防范对策
为了防范审计风险,会计师事务所可以从以下几方面来加以控制,尽最大努力拒审计风险于门外。
(一)保持独立性
注册会计师执行审计或其他鉴定业务时,应当保持形式上和实质上的独立。只有保持了独立性后,会计师事务所和注册会计师在执行具体的审计业务时才不会受到被审计单位的影响,才能更好地出具客观公正的审计影响。审计独立性是会计师事务所和注册会计师在执业过程中必须遵守的最重要的原则。只有保证了审计独立性后,才能降低审计风险的产生。
(二)改革审计方法
现时国内的审计方法,主要是采用账项基础审计或制度基础审计的模式,审计的整个过程主要集中在期末余额的细节测试,进行抽样测试时,审计人员没有什么可以依据的科学方法,往往只凭自己的经验任意抽样而缺乏客观性。这种习惯性做法,往往会让有意舞弊者有机可乘。面对这种状况,会计师事务所要学会转换思考角度,改变传统的审计理念和方法,树立现代的审计意识、技术和方法,降低审计风险。
(三)谨慎选择客户
谨慎地选择客户也是会计师事务所防范审计风险的一个重要措施。对于那些可能存在重大经营风险或公司管理层舞弊风险等高审计风险的公司,会计师事务所要慎重考虑是否接受其委托。在接受一个新客户时,应先做一个风险评估报告,当风险较高时就要多加留意,有时宁愿放弃该项审计收入。但也不能因为风险的存在就不敢承接客户,会计师事务所可以通过客户风险评估报告,识别风险领域,采取相应的措施加以降低审计风险。
参考文献:
[1]吕继英.王竹南会计师事务所审计风险的防范与控制.Economic and Trade Update.2008(6).
论文摘要:现代风险导向审计是对传统审计方式的突破和创新,是内部审计发展的最新动向。企业推行现代风险导向审计,能将内部审计自身的职能与企业的目标有机地结合起来,充分发挥内部审计在企业风险管理中的重要作用。本文在阐明现代风险导向审计相关概念的基础上,进一步阐述了企业内部审计开展现代风险导向审计的必要性以及现代风险导向审计的实施。
一、什么是现代风险导向审计
风险导向审计是在账项基础审计、制度基础审计的基础上产生的,现代风险导向审计产生的主要标志是:2003年10月,国际审计和鉴证准则委员会(iaasb)对审计风险准则进行了修订,并执行新的风险导向模型“审计风险=重大错报风险x检查风险”,我国在2006年2月对审计准则进行大幅度调整,将传统审计风险模型修改为新的审计风险模型。现代风险导向审计是以系统论和战略管理理论为指导,以降低信息风险为根本目的,以控制审计业务风险为中心,以降低审计风险为根本途径,以经营风险的分析评估为导向,采用“自上而下,自下而上”审计思路的一种审计方法。
二、对现代风险导向审计本质的认识
(一)现代风险导向审计是一种新的审计基本方法。传统审计风险模型的审计方法实质上仍然是制度基础审计方法的延伸,它从分析客户会计报表的固有风险和内部控制风险着手,根据内部控制测试的结果决定实质性测试的性质、时间和范围。而现代风险导向审计则是从企业的战略分析入手,通过“战略分析——环节分析——会计报表剩余风险分析”的基本思路,决定实质性审计程序的性质、时间和范围,并建立了企业会计报表风险与企业战略风险之间的逻辑联系,使这一方法更科学、更有效。
(二)现代风险导向审计摒弃了传统审计简化主义的认知模式,代之以复杂系统的认知模式,并引入战略管理分析工具。现代风险导向审计的思考方法是系统理论所指导的复杂系统认知模式。审计要有效地把握会计报表的错报风险,就必须从企业的战略管理活动着手分析,对战略管理活动进行分析,必须将企业置于广泛的经济网络中进行系统分析。从方法论上讲,现代风险导向审计要比传统的制度基础审计站得更高,看得更远,对企业了解得更透。
(三)现代风险导向审计运用“自上而下”和“自下而上”相结合的审计思路。它运用“自上而下”,“自下而上”相结合的手段,对会计报表错报风险做出合理的专业判断,要从企业的战略管理分析入手,通过经营风险导向和严密的逻辑推理,一步一步地推导和落实审计的范围和重点,确定相关的审计目标和审计程序。通过实施审计程序及取证的结果,并结合重要性的判断,归纳和判断整个会计报表的风险并形成最终的审计意见。
三、现代风险导向内部审计的理解
内部审计下的现代风险导向审计目前尚无统一的定义。第一种观点认为,把社会审计中的现代风险导向审计运用于内部审计就是现代风险导向内部审计,即内部审计人员立足于对审计风险的分析和评价,并以此为出发点,制定审计计划,实施审计行为的一种审计方法。第二种观点认为,现代风险导向内部审计是指内审人员在审计过程自始至终都关注企业风险(不是审计风险),依据风险选择项目,识别风险,测试管理者降低风险的方法,并以企业风险为中心做审计报告,协助企业管理风险。
而从第二种观点的描述上看,所谓的“风险”不是单纯意义的“审计风险”,在更大意义上是指企业在生产经营过程中面临的各种企业风险。由此可见,此时的内部审计已经成为结合内部审计和风险管理的一种有效工具,审计计划与公司最高层的风险战略连接在一起,内部审计人员通过对当前的风险分析确保其审计计划与经营计划相一致,将风险管理原则贯穿于审计的全过程,内部审计重点不再是测试控制,而是确认风险及测试管理风险。用这种观点来界定风险导向内部审计,会与内部审计具体准则对审计风险的定义相背。
笔者认为,在现有准则下,以第一种观点作为现代风险导向内部审计比较恰当,而第二种观点与其说是现代风险导向内部审计,还不如说是企业风险管理中的内部审计作用。
四、现代风险导向审计运用于内部审计的必要性及其实施
我们姑且不去定论现代风险导向内部审计的定义,但是在内部审计中实施现代风险导向审计既是基于降低审计风险,又是为降低企业经营风险,进行风险管理的一种有效工具。
(一)内部审计实施现代风险导向审计的必要性
随着内部审计的监督职能向服务管理职能的转变,企业需要内部审计对整体的风险管理、内部控制及治理程序提供有效的审计监督和建设性评价,以帮助企业控制风险,实现目标。因此,内部审计不应停留在传统审计模式上,而应在此基础上进一步开展现代风险导向审计,将关口前移,充分发挥预警性作用。综上所述,在企业内部审计中实施现代风险导向审计有着非常重要的现实意义。
(二)现代风险导向审计在内部审计中的运用
1.准确确定审计的重点和范围。运用现代风险导向审计理论,从分析风险入手,准确确定审计的重点和范围,在审计准备阶段,就加大防范力度,即通过对被审计单位基本情况的了解和分析性测试的结果,充分关注被审单位的特殊风险,确定总体审计风险概率和评估的重大错报风险概率,将审计风险减少到最小程度,确保内部审计能够发现业务经营活动中的重大违法违规问题及存在的风险隐患,达到实现防范风险的目的。
2.以《内部审计实务标准》为指导,执行现代风险导向审计的程序,使风险管理与内部审计程序之间协调一致,产生协同增效的作用。一是在制定审计计划时,针对可能影响风险评估的基础,制定审计计划,确定审计项目。二是编制审计方案时,在评估风险优先次序的基础上安排审计工作。三是确定审计范围时,要考虑并反映整个企业的战略性计划目标,每年对审计范围进行一次评估,以反映最新战略和方针。四是在审计实施过程中,通过评价内部控制制度,查找其中的疏漏和薄弱环节。五是在编制审计报告时,应对风险管理状况进行评价,指出风险管理中存在的漏洞和不足,提出加强管理的建议。六是以风险大小作为确定追踪审计范围的重要因素。
3.实施控制测试和实质性测试。现代风险导向审计强调从宏观上对风险进行评估,但并不是说可以忽视微观层面的操作风险。因此,应继续实施内部控制测试,并分析重点,实施实质性测试。在控制测试和实质性测试两阶段中,审计资源的合理配置是关键,也是风险导向审计理论的出发点与归宿。因此,应结合重大风险各因素的综合分析与判断,将审计资源向重点风险领域倾斜,以实现“全面审计、突出重点”,在提高审计效率与效果的同时,强化企业风险管理。
4.实现审计手段电子化,提高审计工作质量。一要运用计算机技术,进行内部控制风险的评估,确定标准内部控制的模型,并经常调整、完善,以提高内部控制风险的评估效率及其准确性。二要运用计算机软件进行分析性测试,提高分析的速度和准确性,扩展分析的范围。三要运用计算机进行统计抽样,避免人工抽样检查的不足,有效降低审计风险。四要构建完整的审计信息系统,推进风险导向审计与非现场审计有机结合,提高内部审计的质量和效率。
(三)内部审计实施现代风险导向审计的措施
现代风险导向审计模式是为适应企业经营高风险的特点而产生的,同时也是为量化审计风险、减轻审计责任、提高审计效率和质量的一种审计方法。为加强现代风险导向审计在内部审计中的运用,笔者认为要从以下几方面努力:
1.建立内部控制评价的新模式。在现代风险导向审计中,内部审计更加关心的问题主要是:控制风险的目标是什么,控制要解决的问题,这种控制是否先进有效,控制风险有多大,是否影响管理当局的决策等。随着市场竞争的加剧,新的审计环境要求审计人员应通过与企业管理层进行有效沟通的方式,采用新的评价模式,为企业提供更有价值的服务。
2.加强内部审计工作的实效性。在审计技术方面,风险分析和计算机应用甚少,由此降低了审计工作效率。因此,内部审计在转变目标定位,树立管理理念的同时,更要重视审计工作的实效性,以确保审计建议的落实。
3.提高内部审计人员的素质。对企业而言,需要界定风险范围、理顺风险责任、建立风险模型和风险防范机制,这就是要靠实施现代风险导向审计走出一条迎接风险、化解风险之路。因此要求内审人员都应懂得风险语言,加强风险意识和风险管理技能,提高内审人员对风险的敏感度,以风险为导向做好内部审计工作。
五、结束语
企业内部审计开展现代风险导向审计是内部审计的必然发展趋势,既是职业自身发展的需要,也是当前形势发展的需要。企业内部审计坚持开展对企业风险管理过程的充分性和有效性的检查、评价和报告,促进企业改进管理、实现目标和增加价值,无疑是企业内部的一种最好资源。在实践中,尚无完整的模式可参照执行,即使有关现代风险导向内部审计的准则出台后,也需要在实践中不断完善。因此,内部审计师在现阶段,应首先接受现代风险导向审计的理念,在执行过程中,将风险评估贯穿审计的全过程,不断探索现代风险导向审计的方法,将审计风险降低到最低可接受水平。
参考文献:
[1]马文成,王有良.基于风险导向审计的内部审计创新研究[j].会计师,2009(06).
[2]聂海斌.风险导向审计在应用中的问题及完善[j].当代经济,2009(16).
[3]汪寿成.现代风险导向审计[m].大连出版社,2009.
[4]汪文文.论新形势下的风险导向审计[j].经济研究导刊,2009(04).
[作者简介]王会金(1962― ),男,浙江东阳人,南京审计学院副校长,教授,博士,从事信息系统审计研究。
[摘 要]当前,我国急需一套完善的中观信息系统审计风险控制体系。这是因为我国的中观经济主体在控制信息系统审计风险时需要一套成熟的管理流程,且国家有关部门在制定信息系统审计风险防范标准方面也需要完善的控制体系作为支撑。在阐述COBIT与数据挖掘基本理论的基础上,借鉴COBIT框架,构建中观信息系统审计风险的明细控制框架,利用数据挖掘技术有针对性地探索每一个明细标准的数据挖掘路径,创建挖掘流程,建立适用于我国中观经济特色的信息系统审计风险控制体系。
[关键词]中观信息系统审计;COBIT框架;数据挖掘;风险控制;中观审计
[中图分类号]F239.4 [文献标识码]A [文章编号]10044833(2012)01001608
中观信息系统审计是中观审计的重要组成部分,它从属于中观审计与信息系统审计的交叉领域。中观信息系统审计是指IT审计师依据特定的规范,运用科学系统的程序方法,对中观经济主体信息系统的运行规程与应用政策所实施的一种监督活动,旨在增强中观经济主体特定信息网络的有效性、安全性、机密性与一致性[1]。与微观信息系统相比,中观信息系统功能更为复杂,且区域内纷乱的个体间存在契约关系。中观信息系统的复杂性主要体现在跨越单个信息系统边界,参与者之间在信息技术基础设施水平、信息化程度和能力上存在差异,参与者遵循一定的契约规则,依赖通信网络支持,对安全性的要求程度很高等方面。中观信息系统审计风险是指IT审计师在对中观信息系统进行审计的过程中,由于受到某些不确定性因素的影响,而使审计结论与经济事实不符,从而受到相关关系人指控或媒体披露并遭受经济损失以及声誉损失的可能性。中观信息系统审计风险控制的研究成果能为我国大型企业集团、特殊的经济联合体等中观经济主体保持信息系统安全提供强有力的理论支持与实践指导。
一、 相关理论概述与回顾
(一) COBIT
信息及相关技术的控制目标(简称COBIT)由美国信息系统审计与控制协会(简称ISACA)颁布,是最先进、最权威的安全与信息技术管理和控制的规范体系。COBIT将IT过程、IT资源及信息与企业的策略及目标联系于一体,形成一个三维的体系框架。COBIT框架主要由执行工具集、管理指南、控制目标和审计指南四个部分组成,它主要是为管理层提供信息技术的应用构架。COBIT对信息及相关资源进行规划与处理,从信息技术的规划与组织、采集与实施、交付与支持以及监控等四个方面确定了34个信息技术处理过程。
ISACA自1976年COBIT1.0版以来,陆续颁布了很多版本,最近ISACA即将COBIT5.0版。ISACA对COBIT理论的研究已趋于成熟,其思路逐步由IT审计师的审计工具转向IT内部控制框架,再转向从高管层角度来思考IT治理。大多数国际组织在采纳COSO框架时,都同时使用COBIT控制标准。升阳电脑公司等大型国际组织成功应用COBIT优化IT投资。2005年,欧盟也选择将COBIT作为其审计准则。国内学者对COBIT理论的研究则以借鉴为主,如阳杰、张文秀等学者解读了COBIT基本理论及其评价与应用方法[23];谢羽霄、黄溶冰等学者尝试将COBIT理论应用于银行、会计、电信等不同的信息系统领域[45]。我国信息系统审计的研究目前正处于起步阶段,因而将COBIT理论应用于信息系统的研究也不够深入。王会金、刘国城研究了COBIT理论在中观信息系统重大错报风险评估中的运用,金文、张金城研究了信息系统控制与审计的模型[1,6]。
(二) 数据挖掘
数据挖掘技术出现于20世纪80年代,该技术引出了数据库的知识发现理论,因此,数据挖掘又被称为“基于数据库的知识发现(KDD)”。1995年,在加拿大蒙特利尔召开的首届KDD & Date Mining 国际学术会议上,学者们首次正式提出数据挖掘理论[7]。当前,数据挖掘的定义有很多,但较为公认的一种表述是:“从大型数据库中的数据中提取人们感兴趣的知识。这些知识是隐含的、事先未知的潜在有用信息,提取的知识表现为概念、规则、规律、模式等形式。数据挖掘所要处理的问题就是在庞大的数据库中寻找有价值的隐藏事件,加以分析,并将有意义的信息归纳成结构模式,供有关部门在进行决策时参考。”[7]1995年至2010年,KDD国际会议已经举办16次;1997年至2010年,亚太PAKDD会议已经举办14次,众多会议对数据挖掘的探讨主要围绕理论、技术与应用三个方面展开。
目前国内外学者对数据挖掘的理论研究已趋于成熟。亚太PAKDD会议主办方出版的论文集显示,2001年至2007年仅7年时间共有32个国家与地区的593篇会议论文被论文集收录。我国学者在数据挖掘理论的研究中取得了丰硕的成果,具体表现在两个方面:一是挖掘算法的纵深研究。李也白、唐辉探索了频繁模式挖掘进展,邓勇、王汝传研究了基于网络服务的分布式数据挖掘,肖伟平、何宏研究了基于遗传算法的数据挖掘方法[810]。二是数据挖掘的应用研究。我国学者对于数据挖掘的应用研究也积累了丰富的成果,并尝试将数据挖掘技术应用于医学、通讯、电力、图书馆、电子商务等诸多领域。2008年以来,仅在中国知网查到的关于数据挖掘应用研究的核心期刊论文就多达476篇。近年来,国际软件公司也纷纷开发数据挖掘工具,如SPSS Clementine等。同时,我国也开发出数据挖掘软件,如上海复旦德门公司开发的Dminer,东北大学软件中心开发的Open Miner等。2000年以来,我国学者将数据挖掘应用于审计的研究成果很多,但将数据挖掘应用于信息系统审计的研究成果不多,且主要集中于安全审计领域具体数据挖掘技术的应用研究。
二、 中观信息系统审计风险控制体系的构想
本文将中观信息系统审计风险控制体系(图1)划分为以下三个层次。
(一) 第一层次:设计中观信息系统审计风险的控制框架与明细控制标准
中观信息系统审计的对象包括信息安全、数据中心运营、技术支持服务、灾难恢复与业务持续、绩效与容量、基础设施、硬件管理、软件管理、数据库管理、系统开发、变革管理、问题管理、网络管理、中观系统通信协议与契约规则等共计14个主要方面[11]。中观信息系统审计风险控制体系的第一层次是根据COBIT三维控制框架设计的。这一层次需要构架两项内容:(1)中观信息系统审计风险的控制框架。该控制框架需要完全融合COBIT理论的精髓,并需要考虑COBIT理论的每一原则、标准、解释及说明。该控制框架由14项风险防范因子组成,这14个因子必须与中观信息系统审计的14个具体对象相对应。框架中的每一个因子也应该形成与自身相配套的风险控制子系统,且子系统应该包含控制的要素、结构、种类、目标、遵循的原则、执行概要等内容。(2)中观信息系统审计风险的明细控制标准。控制框架中的14项风险防范因子需要具备与自身相对应的审计风险明细控制规则,IT审计师只有具备相应的明细规范,才能在中观信息系统审计实施过程中拥有可供参考的审计标准。每个因子的风险控制标准的设计需要以COBIT三维控制框架为平台,以4个域、34个高层控制目标、318个明细控制目标为准绳。
(二) 第二层次:确定风险控制框架下的具体挖掘流程以及风险控制的原型系统
第一层次构建出了中观信息系统审计风险控制的明细标准Xi(i∈1n)。在第一层次的基础上,第二层次需要借助于数据挖掘技术,完成两个方面的工作。一是针对Xi,设计适用于Xi自身特性的数据挖掘流程。这一过程的完成需要数据资料库的支持,因而,中观经济主体在研讨Xi明细控制标准下的数据挖掘流程时,必须以多年积累的信息系统控制与审计的经历为平台,建立适用于Xi的主题数据库。针对明细标准Xi的内在要求以及主题数据库的特点,我们就可以选择数据概化、统计分析、聚类分析等众多数据挖掘方法中的一种或若干种,合理选取特征字段,分层次、多角度地进行明细标准Xi下的数据挖掘实验,总结挖掘规律,梳理挖掘流程。二是将适用于Xi的n个数据挖掘流程体系完善与融合,开发针对本行业的中观信息系统审计风险控制的原型系统。原型系统是指系统生命期开始阶段建立的,可运行的最小化系统模型。此过程通过对n个有关Xi的数据挖掘流程的融合,形成体系模型,并配以详细的说明与解释。对该模型要反复验证,多方面关注IT审计师对该原型系统的实际需求,尽可能与IT审计师一道对该原型系统达成一致理解。
(三) 第三层次:整合前两个步骤,构建中观信息系统风险控制体系
第三层次是对第一层次与第二层次的整合。第三层次所形成的中观信息系统风险控制体系包括四部分内容:(1)中观信息系统审计风险控制框架;(2)中观信息系统审计风险控制参照标准;(3)中观信息系统审计风险控制明细标准所对应的数据挖掘流程集;(4)目标行业的中观信息系统审计风险控制的原型系统。在此过程中,对前三部分内容,需要归纳、验证、总结,并形成具有普遍性的中观审计风险控制的书面成果;对第四部分内容,需要在对原型系统进行反复调试的基础上将其开发成软件,以形成适用于目标行业不同组织单位的“软性”成果。在设计中观信息系统风险控制体系的最后阶段,需要遵循控制体系的前三部分内容与第四部分内容相互一致、相互补充的原则。相互一致表现在控制体系中的框架、明细控制标准、相关控制流程与原型系统中的设计规划、属项特征、挖掘原则相协调;相互补充表现在控制体系中的框架、明细控制标准及相关控制流程是IT审计师在中观信息系统审计中所参照的一般理念,而原型系统可为IT审计师提供审计结论测试、理念指导测试以及验证结论。 三、 COBIT框架对中观信息系统审计风险控制的贡献
(一) COBIT框架与中观信息系统审计风险控制的契合分析
现代审计风险由重大错报风险与检查风险两个方面组成,与传统审计风险相比,现代审计风险拓展了风险评估的范围,要求考虑审计客体所处的行业风险。但从微观层面看,传统审计风险与现代审计风险的主要内容都包括固有风险、控制风险与检查风险。COBIT框架与中观信息系统审计风险控制的契合面就是中观信息系统的固有风险与控制风险。中观信息系统的固有风险是指“假定不存在内部控制情况下,中观信息系统存在严重错误或不法行为的可能性”;中观信息系统的控制风险是指“内部控制体系未能及时预防某些错误或不法行为,以致使中观信息系统依然存在严重错误或不法行为的可能性”;中观信息系统的检查风险是指“因IT审计师使用不恰当的审计程序,未能发现已经存在重大错误的可能性”。IT审计师若想控制中观信息系统的审计风险,必须从三个方面着手:(1)对不存在内部控制的方面,能够辨别和合理评价被审系统的固有风险;(2)对存在内部控制的方面,能够确认内部控制制度的科学性、有效性、健全性,合理评价控制风险;(3)IT审计师在中观信息系统审计过程中,能够更大程度地挖掘出被审系统“已经存在”的重大错误。我国信息系统审计的理论研究起步较晚,IT审计师在分辨被审系统固有风险,确认控制风险,将检查风险降低至可接受水平三个方面缺乏成熟的标准加以规范,因此我国的中观信息系统审计还急需一套完备的流程与指南 当前我国有四项信息系统审计标准,具体为《审计机关计算机辅助审计办法》、《独立审计具体准则第20号――计算机信息系统环境下的审计》、《关于利用计算机信息系统开展审计工作有关问题的通知》(88号文件)以及《内部审计具体准则第28号――信息系统审计》。。
图2 中观信息系统审计风险的控制框架与控制标准的设计思路
COBIT框架能够满足IT审计师的中观信息系统审计需求,其三维控制体系,4个控制域、34个高层控制目标、318个明细控制目标为IT审计师辨别固有风险,分析控制风险,降低检查风险提供了绝佳的参照样板与实施指南。COBIT控制框架的管理理念、一般原则完全可以与中观信息系统审计风险的控制实现完美契合。通过对COBIT框架与中观信息系统审计的分析,笔者认为COBIT框架对中观信息系统审计风险控制的贡献表现在三个方面(见图2):(1)由COBIT的管理指南,虚拟中观信息系统的管理指南,进而评价中观主体对自身信息系统的管理程度。COBIT的管理指南由四部分组成,其中成熟度模型用来确定每一控制阶段是否符合行业与国际标准,关键成功因素用来确定IT程序中最需要控制的活动,关键目标指标用来定义IT控制的目标绩效水准,关键绩效指标用来测量IT控制程序是否达到目标。依据COBIT的管理指南,IT审计师可以探寻被审特定系统的行业与国际标准、IT控制活动的重要性层次、IT控制活动的目标绩效水平以及评价IT控制活动成效的指标,科学地拟定被审系统的管理指南。(2)由COBIT的控制目标,构建中观信息系统的控制目标体系,进而评价中观信息系统的固有风险与检查风险。COBIT的控制目标包括高层域控制、中层过程控制、下层任务活动控制三个方面,其中,高层域控制由规划与组织、获取与实施、交付与支持以及监控四部分组成,中层控制过程由“定义IT战略规划”在内的34个高层控制目标组成,下层任务活动控制由318个明细控制目标组成。COBIT的控制目标融合了“IT标准”、“IT资源”以及被审系统的“商业目标”,为IT审计师实施中观信息系统审计风险控制提供了层级控制体系与明细控制目标。IT审计师可以直接套用COBIT的控制层级与目标拟定中观信息系统管理与控制的层级控制体系以及明细控制目标,然后再进一步以所拟定的明细控制目标作为参照样板,合理评判中观信息系统的固有风险与控制风险。中观信息系统中“域”、“高层”、“明细”控制目标的三层结构加强了IT审计师审计风险控制的可操作性。(3)由COBIT的审计指南,设计IT审计师操作指南,进而降低中观信息系统审计的检查风险。COBIT的审计指南由基本准则、具体准则、执业指南三个部分组成。基本准则规定了信息系统审计行为和审计报告必须达到的基本要求,为IT审计师制定一般审计规范、具体审计计划提供基本依据。具体准则对如何遵循IT审计的基本标准,提供详细的规定、具体说明和解释,为IT审计师如何把握、评价中观经济主体对自身系统的控制情况提供指导。执业指南是根据基本标准与具体准则制定的,是系统审计的操作规程和方法,为IT审计师提供了审计流程与操作指南。
(二) 中观信息系统审计风险控制体系建设举例――构建“设备管理”控制目标体系
前文所述,中观信息系统审计的对象包括“信息安全”等14项内容,本文以“硬件管理”为例,运用COBIT的控制目标,构建“硬件管理”的控制目标体系,以利于IT审计师科学评价“硬件管理”存在的固有风险与控制风险。“设备管理”控制目标体系的构建思路参见表1。
注:IT标准对IT过程的影响中P表示直接且主要的,S表示间接且次要的;IT过程所涉及的IT资源中C表示涉及;空白表示关联微小。
表1以“设备管理”为研究对象,结合COBIT控制框架,并将COBIT框架中与“设备管理”不相关的中层控制过程剔除,最终构建出“设备管理”控制的目标体系。该体系由4个域控制目标、21个中层过程控制目标、149个明细控制目标三个层级构成,各个层级的关系见表1。(1)第一层级是域控制,由“P.设备管理的组织规划目标”、“A.设备管理的获取与实施目标”、“DS.设备管理的交付与支持目标”以及“M.设备管理的监控目标”构成;(2)第二层级是中层过程控制,由21个目标构成,其中归属于P的目标5个,归属于A的目标3个,归属于D的目标9个,归属于M的目标4个;(3)第三层级是下层任务活动控制,由149个明细目标构成,该明细目标体系是中层过程控制目标(P、A、DS、M)针对“IT标准”与“IT资源”的进一步细分。IT标准是指信息系统在运营过程中所应尽可能实现的规则,具体包括有效性、效率性、机密性等7项;IT资源是指信息系统在运营过程中所要求的基本要素,具体有人员、应用等5项。根据表1中“有效性”、“人员”等“IT标准”与“IT资源”合计的12个属项,每个具体中层控制目标都会衍生出多个明细控制目标。例如,中层控制目标“DS13.运营管理”基于“IT标准”与“IT资源”的特点具体能够演绎出6项明细控制目标,此7项可表述为“DS13-01.利用各项设备,充分保证硬件设备业务处理与数据存取的及时、正确与有效”,“DS13-02.充分保证硬件设备运营的经济性与效率性,在硬件设备投入成本一定的情况下,相对加大硬件设备运营所产生的潜在收益”,“DS13-03.硬件设备保持正常的运营状态,未经授权,不可以改变硬件的状态、使用范围与运营特性,保证设备运营的完整性”,“DS13-04.设备应该在规定条件下和规定时间内完成规定的功能与任务,保证设备的可用性”,“DS13-05.硬件设备运营的参与人员必须具备较高的专业素质,工作中遵循相应的行为规范”以及“DS13-06.工作人员在使用各项硬件设备时,严格遵循科学的操作规程,工作中注意对硬件设备的保护,禁止恶意损坏设备”。上述三个层级组成了完整的“硬件设备”控制目标体系,若将中观信息系统审计的14个对象都建立相应的控制目标体系,并将其融合为一体,则将会形成完备的中观信息系统审计风险控制的整体目标体系。
四、 数据挖掘技术对中观信息系统审计风险控制的贡献
(一) 数据挖掘技术与中观信息系统审计风险控制的融合分析
中观信息系统是由两个或两个以上微观个体所构成的中观经济主体所属个体的信息资源,在整体核心控制台的统一控制下,以Internet为依托,按照一定的契约规则实施共享的网状结构式的有机系统。与微观信息系统比较,中观信息系统运行复杂,日志数据、用户操作数据、监控数据的数量相对庞杂。因而,面对系统海量的数据信息,IT审计师针对前文所构建的明细控制目标Xi下的审计证据获取工作将面临很多问题,如数据信息的消化与吸收、数据信息的真假难辨等。而数据挖掘可以帮助决策者寻找数据间潜在的知识与规律,并通过关联规则实现对异常、敏感数据的查询、提取、统计与分析,支持决策者在现有的数据信息基础上进行决策[12]。数据挖掘满足了中观信息系统审计的需求,当IT审计师对繁杂的系统数据一筹莫展时,数据挖掘理论中的聚类分析、关联规则等技术却能为中观信息系统审计的方法提供创新之路。笔者认为,将数据挖掘技术应用于前文所述的明细控制目标Xi下审计证据筛选流程的构建是完全可行的。恰当的数据挖掘具体技术,科学的特征字段选取,对敏感与异常数据的精准调取,将会提高中观信息系统审计的效率与效果,进而降低审计风险。
(二) 中观信息系统审计风险控制目标Xi下数据挖掘流程的规划
数据挖掘技术在中观信息系统审计风险控制中的应用思路见图3。
注:数据仓库具体为目标行业特定中观经济主体的信息系统数据库
中观信息系统审计明细控制目标Xi下数据挖掘流程设计具体可分为六个过程:(1)阐明问题与假设。本部分的研究是在一个特定的应用领域中完成的,以“中观信息系统审计风险明细控制目标Xi”为主旨,阐明相关问题、评估“控制目标Xi”所处的挖掘环境、详尽的描述条件假设、合理确定挖掘的目标与成功标准,这些将是实现“控制目标Xi下”挖掘任务的关键。(2)数据收集。图3显示,本过程需要从原始数据、Web记录与日志文件等处作为数据源采集数据信息,采集后,还需要进一步描述数据特征与检验数据质量。所采集数据的特征描述主要包括数据格式、关键字段、数据属性、一致性,所采集数据的质量检验主要考虑是否满足“控制目标Xi”下数据挖掘的需求,数据是否完整,是否存有错误,错误是否普遍等。(3)数据预处理。该过程是在图3的“N.异构数据汇聚数据库”与“U.全局/局部数据仓库”两个模块下完成的。N模块执行了整合异构数据的任务,这是因为N中的异构数据库由不同性质的异构数据组合而成,数据属性、数据一致性彼此间可能存在矛盾,故N模块需要通过数据转换与数据透明访问实现异构数据的共享。U模块承载着实现数据清理、数据集成与数据格式化的功能。“控制目标Xi”下的数据挖掘技术实施前,IT审计师需要事先完成清理与挖掘目标相关程度低的数据,将特征字段中的错误值剔除以及将缺省值补齐,将不同记录的数据合并为新的记录值以及对数据进行语法修改形成适用于挖掘技术的统一格式数据等系列工作。(4)模型建立。在“V.数据挖掘与知识发现”过程中,选择与应用多种不同的挖掘技术,校准挖掘参数,实现最优化挖掘。“控制目标Xi”下的数据挖掘技术可以将分类与聚类分析、关联规则、统计推断、决策树分析、离散点分析、孤立点检测等技术相结合,用多种挖掘技术检查同一个“控制目标Xi”的完成程度[12]。选择挖掘技术后,选取少部分数据对目标挖掘技术的实用性与有效性进行验证,并以此为基础,以参数设计、模型设定、模型描述等方式对U模块数据仓库中的数据开展数据挖掘与进行知识发现。(5)解释模型。此过程在模块“W.模式解释与评价”中完成,中观信息系统审计风险领域专家与数据挖掘工程师需要依据各自的领域知识、数据挖掘成功标准共同解释模块V,审计领域专家从业务角度讨论模型结果,数据挖掘工程师从技术角度验证模型结果。(6)归纳结论。在“Z.挖掘规律与挖掘路径归纳”中,以W模块为基础,整理上述挖掘实施过程,归纳“控制目标Xi”下的挖掘规律,探究“控制目标Xi”下的挖掘流程,整合“控制目标Xi”(i∈1n)的数据挖掘流程体系,并开发原型系统。
(三) 数据挖掘流程应用举例――“访问控制”下挖掘思路的设计
如前所述,中观信息系统审计包括14个对象,其中“网络管理”对象包含“访问管理”等多个方面。结合COBIT框架下“M1.过程监控”与“IT标准-机密性”,“访问管理”可以将“M1-i.用户访问网络必须通过授权,拒绝非授权用户的访问”作为其控制目标之一。“M1-i”数据挖掘的数据来源主要有日志等,本部分截取网络日志对“M1-i”下数据挖掘流程的设计进行举例分析。
假设某中观信息系统在2011年4月20日18时至22时有如下一段日志记录。
(1) “Sep 20 19:23:06 UNIX login[1015]:FAILED LOGIN 3 FROM(null) FOR wanghua”
(2) “Sep 20 19:51:57 UNIX―zhangli[1016]:LOGIN ON Pts/1 BY zhangli FROM 172.161.11.49”
(3) “Sep 20 20:01:19 UNIX login[1017]:FAILED LOGIN 1 FROM(null) FOR wanghua”
(4) “Sep 20 20:17:23 UNIX―wanyu [1018]:LOGIN ON Pts/2 BY wanyu FROM 172.161.11.342”
(5) “Sep 20 21:33:20 UNIX―wanghua [1019]:LOGIN ON Pts/5 BY wanghua FROM 191.34.25.17”
(6) “Sep 20 21:34:39 UNIX su(pam――unix)[1020]:session opened for user root by wanghua (uid=5856)”
… … …
选取上述日志作为数据库,以前文“控制目标Xi”下数据挖掘的6个过程为范本,可以设计“M1-i.用户访问网络必须通过授权,拒绝非授权用户的访问”下的审计证据挖掘流程。该挖掘流程的设计至少包括如下思路:a.选取“授权用户”作为挖掘的“特征字段”,筛选出“非授权用户”的日志数据;b.以a为基础,以“LOGIN ON Pts BY 非授权用户”作为 “特征字段”进行挖掘;c.以a为基础,选取“opened … by …”作为“特征字段”实施挖掘。假如日志库中只有wanghua为非授权用户,则a将会挖出(1)(3)(5)(6),b会挖出(5),c将会挖掘出(6)。通过对(5)与(6)嫌疑日志的分析以及“M1-i”挖掘流程的建立,IT审计师就能够得出被审系统的“访问控制”存在固有风险,且wanghua已经享有了授权用户权限的结论。
参考文献:
[1]王会金,刘国城.COBIT及在中观经济主体信息系统审计的应用[J].审计研究,2009(1):5862.
[2]阳杰,庄明来,陶黎娟.基于COBIT的会计业务流程控制[J].审计与经济研究,2009(2):7886.
[3]张文秀,齐兴利.基于COBIT的信息系统审计框架研究[J].南京审计学院学报,2010(5):2934.
[4]谢羽霄,邱晨旭.基于COBIT的电信企业信息技术内部控制研究[J].电信科学,2009(7):3035.
[5]黄溶冰,王跃堂.商业银行信息化进程中审计风险与控制[J].经济问题探索,2008(2):134137.
[6]金文,张金城.基于COBIT的信息系统控制管理与审计[J].审计研究,2005(4):7579.
[7]陈安,陈宁.数据挖掘技术与应用[M].北京:科学工业出版社,2006.
[8]李也白,唐辉.基于改进的PE-tree的频繁模式挖掘算法[J].计算机应用,2011(1):101104.
[9]邓勇,王汝传.基于网格服务的分布式数据挖掘[J].计算机工程与应用,2010(8):610.
[10]肖伟平,何宏.基于遗传算法的数据挖掘方法及应用[J].湖南科技大学学报,2009(9):8286.
[11]孙强.信息系统审计[M].北京:机械工业出版社,2003.
[12]苏新宁,杨建林.数据挖掘理论与技术[M]. 北京:科学技术出版社,2003.
Risk Control System of MesoInformation System Audit:From the Perspective of COBIT Framework of Date Mining Technology
WANG Huijin
(Nanjing Audit University, Nanjing 211815, China)