为了更好地分析问题,本文按照会计师事务所运行的三级审核制架构提出研究的基本假设条件:
(1)所有合伙人都拥有该会计师事务所,而且都是该会计师事务所的实际经营者;
(2)合伙人和主管某审计项目的负责人(部门经理)都在审计报告中签字;
(3)审计外勤负责人不在他所审计的项目报告中签字;
(4)审计外勤负责人知悉其所审计项目中的所有重大事项;
(5)审计外勤负责人的助理人员不可能隐瞒审计重大事项。
二、会计师事务所中非完全合约产生的原因
假设我们可以推知,由于会计师事务所劳动用工合约的不完全性,会计师事务所一般存在两层风险比较大的委托关系合约。
第一层委托关系合约是A,即会计师事务所与合伙人之间形成的委托关系合约。一方面虽然从理论上说,会计师事务所属于合伙人,但需要强调的是会计师事务所属于全体合伙人而不属于单个的合伙人。然而单个合伙人又恰恰是某个审计项目的经营者。这就存在由于合伙人之间的风险偏好不同导致合伙人之间的不同行为。例如某审计事项实际上风险是比较大的,但该合伙人却认为该事项风险可以接受,并私自决断而不提交给合伙人委员会或类似机构讨论,最后该事项却引发了整个会计师事务所的信誉危机。于是其他非当事合伙人却不得不被动地搭这趟苦涩的便车。
从另一方面分析,单个合伙人作为一个理性经济人,对于其所拥有的会计师事务所应尽心尽力,尽量避免风险。但从经济学角度上说,合伙人对于自我的行为,作为风险偏好者,只是用效用最大化来替代利润最大化,这种替代收益与费用由他享有和承担。但由于事务所特殊的组织框架,其他合伙人在无形中承担了部分溢出风险。因为,毕竟公司章程或合伙人协议等合约不可能是完美无缺的,而且我国很多会计师事务所都是改制而来,起始就可能存在着事业单位遗留下来的后遗症,很多合约签定是利益妥协的产物,这也积聚了非完全合约所致使的审计风险。
第二层委托关系合约是B、C、D,即委托方--会计师事务所、合伙人、部门经理与方--审计外勤负责人之间形成的委托关系合约。由于审计外勤负责人直接面对客户,因而对客户的经营成果和各种信息的拥有,相对于会计师事务所其他人而言,是最完备的。如果审计外勤负责人能力素质低下,或者存在故意败德行为等,甚至与被审计单位管理当局合谋隐瞒重要审计事项而出具虚假审计报告,而此时委托方由于信息不对称完全不知晓,那么会计师事务所的审计质量就存在巨大的控制真空,相应的潜在审计风险就凸显出来。特别是对审计外勤负责人缺乏强有力的刚性契约约束时,他就可能存在逃避责任的机会主义行为,甚至把审计风险成本全部转嫁到会计师事务所和合伙人身上。
可见,会计师事务所非完全合约所隐藏的风险是很大的。其中引起会计师事务所合约的非完全性主要原因如下:
3.非对称信息。根据非对称信息理论,市场上买卖双方各自掌握的信息是有差异的,通常供方是有较完全的信息,需方有不完全的信息。在这种情况下,有信息优势的一方就希望通过输出对自己有利的信息使自己获利,从而存在机会主义行为。这在会计师事务所的合约中其实是内生的非对称信息,即会计师事务所在合约签订后无法完备地观察和监督到审计人员的所有行为。也就是在合约中,无法推测审计人员在合约后的行为而导致信息不对称。另外,在合伙人之间,正是因为信息的非对称而使合伙人对风险的判断产生差异,直接导致了会计师事务所第一层委托关系的形成。
4.违约成本低廉。由于审计外勤负责人没有签字承担责任的约束,他就有可能存在逆向选择和道德风险,甚至与管理当局合谋增大会计师事务所的风险,但他可能获得大量造假收益。如果事件败露,在目前的市场和文化环境中,受到的处罚可能仅是被会计师事务所解雇。可见,合约的不完全性造成违约成本非常低廉,甚至会诱致某些审计人员铤而走险。
5.对合约认识的局限性。绝大部分会计师事务所签定的合约只是把劳动局所制作的要式合约直接运用,而对要式合约中的可自由发挥的部分视而不见。例如深圳经济特区劳动合同书,其中第九条第三款和第十一条就分别有如下文句:“双方另外约定以下违约责任(空白)、双方认为需要约定的其他事项或对原对条款需要变更重新约定的事项(空白)。”会计师事务所本来可利用这两条弹性款项进一步完善合约,但大部分合约双方都是一叉了事,没有发挥合约应有的作用。正是缺乏对合约效力的充分认识,从而在某种意义上先天决定了合约的非完全性。
(一)对于第一层委托关系合约
2.会计师事务所实行合伙制。由于有些名义上的合伙事务所实际上工商登记的是有限责任制,使得外部环境约束合伙人的资源减少。真正的合伙制度可以使得合伙人的审计行为更为谨慎,每一个合伙人都有互相监督的意识。因为每个合伙人都要对其他合伙人的业务活动负责,每个合伙人也就有互相监督的内在动机。这种相互监督增强了单个合伙人的风险意识,而承担无限责任的巨大风险更是使合伙人对审计风险更加敏感。因而,如果要降低第一层委托制度的成本,根本的解决方案是实行中国会计师事务所第二次改制,把有限责任制改为合伙制,以避免由于会计师事务所先天不足造成合约的非完全性而衍生审计风险。
(二)对于第二层委托关系合约
2.完善劳动合约。在会计师事务所与审计人员签订审计劳动合约时,双方可以充分讨论,并尽量挖掘合约刚性约束潜力,以便在风险收益中相互求得最佳平衡点。从而做到合约既可以尽可能降低审计风险,又能够吸引优秀人才加盟会计师事务所。
(一)企业应加强内部控制
随着市场经济的深入发展,企业逐步成为自主经营、自我约束、自我发展、自我完善的商品生产者和经营者。在“优胜劣汰、适者生存”的市场经济中,企业要想真正的做到“自主经营、自我约束、自我发展、自我完善”,必须要加强内部控制,建立有效、完善的内部控制制度,这样才能在一个绝对的高度上,对企业进行高瞻远瞩的控制,才能做出与时俱进的决策。
(二)内部审计是企业内部监督机制的重要组成部分
内部审计也是企业内部控制的一个重要的组成部分,是监督内部控制其他环节的主要力量。内部审计通过对控制环境和控制程序的有效性进行监督,评估企业的内部控制是否被执行,是否及时反馈有关执行结果的信息,是否帮助企业更有效地实现预期控制目标。同时,在监控过程中,内部审计可以促进控制环境的建立和改善,为改进控制制度提供建设性的意见,为企业建立健全所需要的内部控制水平服务。在内部控制的监督过程中,内部审计发挥着越来越重要的作用。
二、内部审计在防范信息系统风险中面临的问题
(一)信息系统安全管理机制不健全
(二)内部审计在信息系统风险防范中的角色缺乏独立性
内部审计的角色发生了转变。从传统的事后审计而逐渐转向事前和事中审计,主动参与内部控制系统的建立和完善。内部审计人员即承担着评价硬件和应用信息系统安全的任务,如果又同时有参与了系统的开发和实施过程,那么内部审计人员就却乏独立性。反之,如果处于对丧失独立性的担心,内部审计人员有可能会拒绝参与系统和软件的开发,那么系统开发过程中存在的风险又无法得到控制。
(三)内审部门技术力量薄弱造成对信息系统审计形成风险
审计稽核部门的技术力量薄弱,不熟悉业务系统的流程和功能,对信息系统缺乏必要的认证能力和标准。突出表现为以下几个方面:一是实施审计稽核的手段和方法没有得到及时更新,不适应信息系统管理的要求,大部分仍停留在手工审计阶段;二是审计稽核部门对计算机账务系统实施审计的依据仅依赖于被审计单位提供的打印资料或事后资料,计算机账务的真实性审计很难得到保证。
三、加强风险防范的措施和对策
(一)构建信息系统安全管理组织及规范体系
(三)改善内审机构,提高内审人员素质,培养信息系统审计师
为了信息系统的安全、可靠与有效,由独立于审计对象的信息系统审计师,以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价。信息系统审计师也称lS审计师或IT审计师,是指那些既通晓信息系统的软件和硬件(包括信息系统的开发、运营、维护、管理和安全等),又熟悉经济管理的内部审计人才。
(四)聘请专家进行协助
内部审计人员的知识、技能和经验虽然有助于信息系统的风险防御,但现实中必须承认,在企业中同时具备计算机技术和审计专业知识的人才非常短缺。再出色的内部审计人员可能面临一些系统内的专业问题却无法解决,因此有必要聘请外部专家。可以通过专家的协助测试运用其专业技能测试系统安全,进一步防范和解决信息系统风险的存在。
论文关键词:内部审计信息系统风险防范
论文摘要:内部控制是社会经济发展到一定阶段的产物,其内容在不断的发展与变化,而内部审计是内部监督机制的重要组成部分。目前计算机信息系统已在企业中广泛使用,而在内部审计过程中如何加强计算机信息系统的风险防范,是企业内部控制过程中迫切需要解决的问题。
企业信息系统化的运用,原来的手工控制则变为手工与电脑控制相结合或全部由电脑自动进行控制。计算机信息系统的广泛使用,与技术管理相对薄弱和稽核监督的长期空白已形成了尖锐的矛盾。信息系统风险控制能力差的现状,迫切需要我们加强风险管理和监控。
摘要本文首先对审计风险的概念进行了界定,从内部和外部两个方面分析了我国会计师事务所审计风险产生的原因,并针对这些原因提出了会计师事务所防范审计风险的几点建议,使会计师事务所在执业过程中加强对审计风险的控制,从而使整个社会的审计业务更加规范和健康地发展。
关键词审计风险风险控制会计师事务所
随着现代审计业务的日益复杂,审计项目的风险水平越来越高。审计风险的存在必然会使会计师事务所发生风险损失,因此,实施审计风险管理显得尤为重要。加强审计风险的管理和控制,对我国的会计师事务所提高审计质量,降低审计责任,增强自身的竞争力具有非常重要的意义。
一、审计风险的概念
审计风险是指当财务报表存在重大错误或漏报,注册会计师对其进行审计后发表不恰当审计意见的可能性。对于盈亏自负、风险自担的会计师事务所来说,既要在激烈的市场竞争中招揽业务,又要防范审计业务可能带来的审计风险,这就使对审计风险的防范和控制成为会计师事务所的核心问题。
二、会计师事务所审计风险产生的原因
会计师事务所审计风险的产生由很多因素造成,以下从外部原因和内部原因两个方面来探讨我国会计师事务所审计风险产生的原因。
(一)外部原因
1.我国的法制体系不完善
2.被审计单位内部控制制度方面的原因
企业在经营管理时必须遵守成本收益原则,无论做出什么决策都必须考虑成本与收益的关系。企业实行内部控制固然能够减少会计处理过程中错弊的发生,降低会计师事务所的审计风险,提高审计效率,但如果内部控制的成本超过了发生错弊时造成的损失,企业管理人员便会想尽一切办法减少控制程序,这就使内部控制总会存在一定的缺陷。
(二)内部原因
1.审计收费比较低
2.缺乏独立性
3.审计方法的落后
《中国注册会计师独立审计准则》提出了运用风险基础审计方法的要求。然而在实践中审计方法仍停留在账项基础审计向制度基础审计过渡的阶段,许多审计项目的大小都是由注册会计师依靠主观来判断的。同时,审计中广泛采用的抽样技术只限于抽样审计,并不能发现财务报表中的全部错误,这会导致某些隐蔽较好的欺诈极难侦破。由于审计成本的限制,又迫使注册会计师不得不放弃部分审计程序,会丧失应有的职业谨慎,难以做到全面的审计工作,风险自然由此而生。
三、审计风险的防范对策
为了防范审计风险,会计师事务所可以从以下几方面来加以控制,尽最大努力拒审计风险于门外。
(一)保持独立性
注册会计师执行审计或其他鉴定业务时,应当保持形式上和实质上的独立。只有保持了独立性后,会计师事务所和注册会计师在执行具体的审计业务时才不会受到被审计单位的影响,才能更好地出具客观公正的审计影响。审计独立性是会计师事务所和注册会计师在执业过程中必须遵守的最重要的原则。只有保证了审计独立性后,才能降低审计风险的产生。
(二)改革审计方法
现时国内的审计方法,主要是采用账项基础审计或制度基础审计的模式,审计的整个过程主要集中在期末余额的细节测试,进行抽样测试时,审计人员没有什么可以依据的科学方法,往往只凭自己的经验任意抽样而缺乏客观性。这种习惯性做法,往往会让有意舞弊者有机可乘。面对这种状况,会计师事务所要学会转换思考角度,改变传统的审计理念和方法,树立现代的审计意识、技术和方法,降低审计风险。
(三)谨慎选择客户
谨慎地选择客户也是会计师事务所防范审计风险的一个重要措施。对于那些可能存在重大经营风险或公司管理层舞弊风险等高审计风险的公司,会计师事务所要慎重考虑是否接受其委托。在接受一个新客户时,应先做一个风险评估报告,当风险较高时就要多加留意,有时宁愿放弃该项审计收入。但也不能因为风险的存在就不敢承接客户,会计师事务所可以通过客户风险评估报告,识别风险领域,采取相应的措施加以降低审计风险。
参考文献:
[1]吕继英.王竹南会计师事务所审计风险的防范与控制.EconomicandTradeUpdate.2008(6).
一、什么是现代风险导向审计
风险导向审计是在账项基础审计、制度基础审计的基础上产生的,现代风险导向审计产生的主要标志是:2003年10月,国际审计和鉴证准则委员会(iaasb)对审计风险准则进行了修订,并执行新的风险导向模型“审计风险=重大错报风险x检查风险”,我国在2006年2月对审计准则进行大幅度调整,将传统审计风险模型修改为新的审计风险模型。现代风险导向审计是以系统论和战略管理理论为指导,以降低信息风险为根本目的,以控制审计业务风险为中心,以降低审计风险为根本途径,以经营风险的分析评估为导向,采用“自上而下,自下而上”审计思路的一种审计方法。
二、对现代风险导向审计本质的认识
(二)现代风险导向审计摒弃了传统审计简化主义的认知模式,代之以复杂系统的认知模式,并引入战略管理分析工具。现代风险导向审计的思考方法是系统理论所指导的复杂系统认知模式。审计要有效地把握会计报表的错报风险,就必须从企业的战略管理活动着手分析,对战略管理活动进行分析,必须将企业置于广泛的经济网络中进行系统分析。从方法论上讲,现代风险导向审计要比传统的制度基础审计站得更高,看得更远,对企业了解得更透。
三、现代风险导向内部审计的理解
而从第二种观点的描述上看,所谓的“风险”不是单纯意义的“审计风险”,在更大意义上是指企业在生产经营过程中面临的各种企业风险。由此可见,此时的内部审计已经成为结合内部审计和风险管理的一种有效工具,审计计划与公司最高层的风险战略连接在一起,内部审计人员通过对当前的风险分析确保其审计计划与经营计划相一致,将风险管理原则贯穿于审计的全过程,内部审计重点不再是测试控制,而是确认风险及测试管理风险。用这种观点来界定风险导向内部审计,会与内部审计具体准则对审计风险的定义相背。
笔者认为,在现有准则下,以第一种观点作为现代风险导向内部审计比较恰当,而第二种观点与其说是现代风险导向内部审计,还不如说是企业风险管理中的内部审计作用。
四、现代风险导向审计运用于内部审计的必要性及其实施
我们姑且不去定论现代风险导向内部审计的定义,但是在内部审计中实施现代风险导向审计既是基于降低审计风险,又是为降低企业经营风险,进行风险管理的一种有效工具。
(一)内部审计实施现代风险导向审计的必要性
随着内部审计的监督职能向服务管理职能的转变,企业需要内部审计对整体的风险管理、内部控制及治理程序提供有效的审计监督和建设性评价,以帮助企业控制风险,实现目标。因此,内部审计不应停留在传统审计模式上,而应在此基础上进一步开展现代风险导向审计,将关口前移,充分发挥预警性作用。综上所述,在企业内部审计中实施现代风险导向审计有着非常重要的现实意义。
(二)现代风险导向审计在内部审计中的运用
2.以《内部审计实务标准》为指导,执行现代风险导向审计的程序,使风险管理与内部审计程序之间协调一致,产生协同增效的作用。一是在制定审计计划时,针对可能影响风险评估的基础,制定审计计划,确定审计项目。二是编制审计方案时,在评估风险优先次序的基础上安排审计工作。三是确定审计范围时,要考虑并反映整个企业的战略性计划目标,每年对审计范围进行一次评估,以反映最新战略和方针。四是在审计实施过程中,通过评价内部控制制度,查找其中的疏漏和薄弱环节。五是在编制审计报告时,应对风险管理状况进行评价,指出风险管理中存在的漏洞和不足,提出加强管理的建议。六是以风险大小作为确定追踪审计范围的重要因素。
3.实施控制测试和实质性测试。现代风险导向审计强调从宏观上对风险进行评估,但并不是说可以忽视微观层面的操作风险。因此,应继续实施内部控制测试,并分析重点,实施实质性测试。在控制测试和实质性测试两阶段中,审计资源的合理配置是关键,也是风险导向审计理论的出发点与归宿。因此,应结合重大风险各因素的综合分析与判断,将审计资源向重点风险领域倾斜,以实现“全面审计、突出重点”,在提高审计效率与效果的同时,强化企业风险管理。
4.实现审计手段电子化,提高审计工作质量。一要运用计算机技术,进行内部控制风险的评估,确定标准内部控制的模型,并经常调整、完善,以提高内部控制风险的评估效率及其准确性。二要运用计算机软件进行分析性测试,提高分析的速度和准确性,扩展分析的范围。三要运用计算机进行统计抽样,避免人工抽样检查的不足,有效降低审计风险。四要构建完整的审计信息系统,推进风险导向审计与非现场审计有机结合,提高内部审计的质量和效率。
(三)内部审计实施现代风险导向审计的措施
现代风险导向审计模式是为适应企业经营高风险的特点而产生的,同时也是为量化审计风险、减轻审计责任、提高审计效率和质量的一种审计方法。为加强现代风险导向审计在内部审计中的运用,笔者认为要从以下几方面努力:
1.建立内部控制评价的新模式。在现代风险导向审计中,内部审计更加关心的问题主要是:控制风险的目标是什么,控制要解决的问题,这种控制是否先进有效,控制风险有多大,是否影响管理当局的决策等。随着市场竞争的加剧,新的审计环境要求审计人员应通过与企业管理层进行有效沟通的方式,采用新的评价模式,为企业提供更有价值的服务。
2.加强内部审计工作的实效性。在审计技术方面,风险分析和计算机应用甚少,由此降低了审计工作效率。因此,内部审计在转变目标定位,树立管理理念的同时,更要重视审计工作的实效性,以确保审计建议的落实。
3.提高内部审计人员的素质。对企业而言,需要界定风险范围、理顺风险责任、建立风险模型和风险防范机制,这就是要靠实施现代风险导向审计走出一条迎接风险、化解风险之路。因此要求内审人员都应懂得风险语言,加强风险意识和风险管理技能,提高内审人员对风险的敏感度,以风险为导向做好内部审计工作。
五、结束语
企业内部审计开展现代风险导向审计是内部审计的必然发展趋势,既是职业自身发展的需要,也是当前形势发展的需要。企业内部审计坚持开展对企业风险管理过程的充分性和有效性的检查、评价和报告,促进企业改进管理、实现目标和增加价值,无疑是企业内部的一种最好资源。在实践中,尚无完整的模式可参照执行,即使有关现代风险导向内部审计的准则出台后,也需要在实践中不断完善。因此,内部审计师在现阶段,应首先接受现代风险导向审计的理念,在执行过程中,将风险评估贯穿审计的全过程,不断探索现代风险导向审计的方法,将审计风险降低到最低可接受水平。
参考文献:
[1]马文成,王有良.基于风险导向审计的内部审计创新研究[j].会计师,2009(06).
[2]聂海斌.风险导向审计在应用中的问题及完善[j].当代经济,2009(16).
[3]汪寿成.现代风险导向审计[m].大连出版社,2009.
[4]汪文文.论新形势下的风险导向审计[j].经济研究导刊,2009(04).
[作者简介]王会金(1962―),男,浙江东阳人,南京审计学院副校长,教授,博士,从事信息系统审计研究。
[摘要]当前,我国急需一套完善的中观信息系统审计风险控制体系。这是因为我国的中观经济主体在控制信息系统审计风险时需要一套成熟的管理流程,且国家有关部门在制定信息系统审计风险防范标准方面也需要完善的控制体系作为支撑。在阐述COBIT与数据挖掘基本理论的基础上,借鉴COBIT框架,构建中观信息系统审计风险的明细控制框架,利用数据挖掘技术有针对性地探索每一个明细标准的数据挖掘路径,创建挖掘流程,建立适用于我国中观经济特色的信息系统审计风险控制体系。
[关键词]中观信息系统审计;COBIT框架;数据挖掘;风险控制;中观审计
(一)COBIT
ISACA自1976年COBIT1.0版以来,陆续颁布了很多版本,最近ISACA即将COBIT5.0版。ISACA对COBIT理论的研究已趋于成熟,其思路逐步由IT审计师的审计工具转向IT内部控制框架,再转向从高管层角度来思考IT治理。大多数国际组织在采纳COSO框架时,都同时使用COBIT控制标准。升阳电脑公司等大型国际组织成功应用COBIT优化IT投资。2005年,欧盟也选择将COBIT作为其审计准则。国内学者对COBIT理论的研究则以借鉴为主,如阳杰、张文秀等学者解读了COBIT基本理论及其评价与应用方法[23];谢羽霄、黄溶冰等学者尝试将COBIT理论应用于银行、会计、电信等不同的信息系统领域[45]。我国信息系统审计的研究目前正处于起步阶段,因而将COBIT理论应用于信息系统的研究也不够深入。王会金、刘国城研究了COBIT理论在中观信息系统重大错报风险评估中的运用,金文、张金城研究了信息系统控制与审计的模型[1,6]。
(二)数据挖掘
数据挖掘技术出现于20世纪80年代,该技术引出了数据库的知识发现理论,因此,数据挖掘又被称为“基于数据库的知识发现(KDD)”。1995年,在加拿大蒙特利尔召开的首届KDD&DateMining国际学术会议上,学者们首次正式提出数据挖掘理论[7]。当前,数据挖掘的定义有很多,但较为公认的一种表述是:“从大型数据库中的数据中提取人们感兴趣的知识。这些知识是隐含的、事先未知的潜在有用信息,提取的知识表现为概念、规则、规律、模式等形式。数据挖掘所要处理的问题就是在庞大的数据库中寻找有价值的隐藏事件,加以分析,并将有意义的信息归纳成结构模式,供有关部门在进行决策时参考。”[7]1995年至2010年,KDD国际会议已经举办16次;1997年至2010年,亚太PAKDD会议已经举办14次,众多会议对数据挖掘的探讨主要围绕理论、技术与应用三个方面展开。
二、中观信息系统审计风险控制体系的构想
本文将中观信息系统审计风险控制体系(图1)划分为以下三个层次。
(一)第一层次:设计中观信息系统审计风险的控制框架与明细控制标准
中观信息系统审计的对象包括信息安全、数据中心运营、技术支持服务、灾难恢复与业务持续、绩效与容量、基础设施、硬件管理、软件管理、数据库管理、系统开发、变革管理、问题管理、网络管理、中观系统通信协议与契约规则等共计14个主要方面[11]。中观信息系统审计风险控制体系的第一层次是根据COBIT三维控制框架设计的。这一层次需要构架两项内容:(1)中观信息系统审计风险的控制框架。该控制框架需要完全融合COBIT理论的精髓,并需要考虑COBIT理论的每一原则、标准、解释及说明。该控制框架由14项风险防范因子组成,这14个因子必须与中观信息系统审计的14个具体对象相对应。框架中的每一个因子也应该形成与自身相配套的风险控制子系统,且子系统应该包含控制的要素、结构、种类、目标、遵循的原则、执行概要等内容。(2)中观信息系统审计风险的明细控制标准。控制框架中的14项风险防范因子需要具备与自身相对应的审计风险明细控制规则,IT审计师只有具备相应的明细规范,才能在中观信息系统审计实施过程中拥有可供参考的审计标准。每个因子的风险控制标准的设计需要以COBIT三维控制框架为平台,以4个域、34个高层控制目标、318个明细控制目标为准绳。
(二)第二层次:确定风险控制框架下的具体挖掘流程以及风险控制的原型系统
(三)第三层次:整合前两个步骤,构建中观信息系统风险控制体系
(一)COBIT框架与中观信息系统审计风险控制的契合分析
图2中观信息系统审计风险的控制框架与控制标准的设计思路
(二)中观信息系统审计风险控制体系建设举例――构建“设备管理”控制目标体系
前文所述,中观信息系统审计的对象包括“信息安全”等14项内容,本文以“硬件管理”为例,运用COBIT的控制目标,构建“硬件管理”的控制目标体系,以利于IT审计师科学评价“硬件管理”存在的固有风险与控制风险。“设备管理”控制目标体系的构建思路参见表1。
注:IT标准对IT过程的影响中P表示直接且主要的,S表示间接且次要的;IT过程所涉及的IT资源中C表示涉及;空白表示关联微小。
四、数据挖掘技术对中观信息系统审计风险控制的贡献
(一)数据挖掘技术与中观信息系统审计风险控制的融合分析
中观信息系统是由两个或两个以上微观个体所构成的中观经济主体所属个体的信息资源,在整体核心控制台的统一控制下,以Internet为依托,按照一定的契约规则实施共享的网状结构式的有机系统。与微观信息系统比较,中观信息系统运行复杂,日志数据、用户操作数据、监控数据的数量相对庞杂。因而,面对系统海量的数据信息,IT审计师针对前文所构建的明细控制目标Xi下的审计证据获取工作将面临很多问题,如数据信息的消化与吸收、数据信息的真假难辨等。而数据挖掘可以帮助决策者寻找数据间潜在的知识与规律,并通过关联规则实现对异常、敏感数据的查询、提取、统计与分析,支持决策者在现有的数据信息基础上进行决策[12]。数据挖掘满足了中观信息系统审计的需求,当IT审计师对繁杂的系统数据一筹莫展时,数据挖掘理论中的聚类分析、关联规则等技术却能为中观信息系统审计的方法提供创新之路。笔者认为,将数据挖掘技术应用于前文所述的明细控制目标Xi下审计证据筛选流程的构建是完全可行的。恰当的数据挖掘具体技术,科学的特征字段选取,对敏感与异常数据的精准调取,将会提高中观信息系统审计的效率与效果,进而降低审计风险。
(二)中观信息系统审计风险控制目标Xi下数据挖掘流程的规划
数据挖掘技术在中观信息系统审计风险控制中的应用思路见图3。
注:数据仓库具体为目标行业特定中观经济主体的信息系统数据库
(三)数据挖掘流程应用举例――“访问控制”下挖掘思路的设计
假设某中观信息系统在2011年4月20日18时至22时有如下一段日志记录。
(1)“Sep2019:23:06UNIXlogin[1015]:FAILEDLOGIN3FROM(null)FORwanghua”
(2)“Sep2019:51:57UNIX―zhangli[1016]:LOGINONPts/1BYzhangliFROM172.161.11.49”
(3)“Sep2020:01:19UNIXlogin[1017]:FAILEDLOGIN1FROM(null)FORwanghua”
(4)“Sep2020:17:23UNIX―wanyu[1018]:LOGINONPts/2BYwanyuFROM172.161.11.342”
(5)“Sep2021:33:20UNIX―wanghua[1019]:LOGINONPts/5BYwanghuaFROM191.34.25.17”
(6)“Sep2021:34:39UNIXsu(pam――unix)[1020]:sessionopenedforuserrootbywanghua(uid=5856)”
………
[1]王会金,刘国城.COBIT及在中观经济主体信息系统审计的应用[J].审计研究,2009(1):5862.
[2]阳杰,庄明来,陶黎娟.基于COBIT的会计业务流程控制[J].审计与经济研究,2009(2):7886.
[3]张文秀,齐兴利.基于COBIT的信息系统审计框架研究[J].南京审计学院学报,2010(5):2934.
[4]谢羽霄,邱晨旭.基于COBIT的电信企业信息技术内部控制研究[J].电信科学,2009(7):3035.
[5]黄溶冰,王跃堂.商业银行信息化进程中审计风险与控制[J].经济问题探索,2008(2):134137.
[6]金文,张金城.基于COBIT的信息系统控制管理与审计[J].审计研究,2005(4):7579.
[7]陈安,陈宁.数据挖掘技术与应用[M].北京:科学工业出版社,2006.
[8]李也白,唐辉.基于改进的PE-tree的频繁模式挖掘算法[J].计算机应用,2011(1):101104.
[9]邓勇,王汝传.基于网格服务的分布式数据挖掘[J].计算机工程与应用,2010(8):610.
[10]肖伟平,何宏.基于遗传算法的数据挖掘方法及应用[J].湖南科技大学学报,2009(9):8286.
[11]孙强.信息系统审计[M].北京:机械工业出版社,2003.
[12]苏新宁,杨建林.数据挖掘理论与技术[M].北京:科学技术出版社,2003.
RiskControlSystemofMesoInformationSystemAudit:FromthePerspectiveofCOBITFrameworkofDateMiningTechnology