審計風險防范論文
前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇審計風險防范論文范文,相信會為您的寫作帶來幫助,發現更多的寫作思路和靈感。
審計風險防范論文范文第1篇
一、問題的提出
通常而言,在非理想社會運行狀態下,契約是非完全合約。我們也可以合理推論,會計師事務所與其員工(包括合伙人)簽訂的勞動用工契約也是非完全合約。在合約的實際簽訂中,會計師事務所應用的契約多是要式合約,即契約往往是某地區勞動局按照國家法律法規的規定而制定的具有相對比較固定條款和格式的書面合約。顯而易見,這種契約缺少會計師事務所所固有的勞動用工特征,在一定程度上將帶來不可估量的審計風險,使得審計成本無限放大。雖然我們可以通過外生的約束力量來控制,比如通過審計人員對自己出具的審計報告簽字從而負相應的法律責任,但當其無需簽字時,這時候對審計人員的約束更多的只能依賴職業道德因素。特別是在審計實務中,審計外勤負責人不簽字的現象是比較普遍的。本文擬就此進行分析并提出解決方案。
為了更好地分析問題,本文按照會計師事務所運行的三級審核制架構提出研究的基本假設條件:
(1)所有合伙人都擁有該會計師事務所,而且都是該會計師事務所的實際經營者;
(2)合伙人和主管某審計項目的負責人(部門經理)都在審計報告中簽字;
(3)審計外勤負責人不在他所審計的項目報告中簽字;
(4)審計外勤負責人知悉其所審計項目中的所有重大事項;
(5)審計外勤負責人的助理人員不可能隱瞞審計重大事項。
二、會計師事務所中非完全合約產生的原因
假設我們可以推知,由于會計師事務所勞動用工合約的不完全性,會計師事務所一般存在兩層風險比較大的委托關系合約。
第一層委托關系合約是A,即會計師事務所與合伙人之間形成的委托關系合約。一方面雖然從理論上說,會計師事務所屬于合伙人,但需要強調的是會計師事務所屬于全體合伙人而不屬于單個的合伙人。然而單個合伙人又恰恰是某個審計項目的經營者。這就存在由于合伙人之間的風險偏好不同導致合伙人之間的不同行為。例如某審計事項實際上風險是比較大的,但該合伙人卻認為該事項風險可以接受,并私自決斷而不提交給合伙人委員會或類似機構討論,最后該事項卻引發了整個會計師事務所的信譽危機。于是其他非當事合伙人卻不得不被動地搭這趟苦澀的便車。
從另一方面分析,單個合伙人作為一個理性經濟人,對于其所擁有的會計師事務所應盡心盡力,盡量避免風險。但從經濟學角度上說,合伙人對于自我的行為,作為風險偏好者,只是用效用最大化來替代利潤最大化,這種替代收益與費用由他享有和承擔。但由于事務所特殊的組織框架,其他合伙人在無形中承擔了部分溢出風險。因為,畢竟公司章程或合伙人協議等合約不可能是完美無缺的,而且我國很多會計師事務所都是改制而來,起始就可能存在著事業單位遺留下來的后遺癥,很多合約簽定是利益妥協的產物,這也積聚了非完全合約所致使的審計風險。
第二層委托關系合約是B、C、D,即委托方--會計師事務所、合伙人、部門經理與方--審計外勤負責人之間形成的委托關系合約。由于審計外勤負責人直接面對客戶,因而對客戶的經營成果和各種信息的擁有,相對于會計師事務所其他人而言,是最完備的。如果審計外勤負責人能力素質低下,或者存在故意敗德行為等,甚至與被審計單位管理當局合謀隱瞞重要審計事項而出具虛假審計報告,而此時委托方由于信息不對稱完全不知曉,那么會計師事務所的審計質量就存在巨大的控制真空,相應的潛在審計風險就凸顯出來。特別是對審計外勤負責人缺乏強有力的剛性契約約束時,他就可能存在逃避責任的機會主義行為,甚至把審計風險成本全部轉嫁到會計師事務所和合伙人身上。
可見,會計師事務所非完全合約所隱藏的風險是很大的。其中引起會計師事務所合約的非完全性主要原因如下:
1.人類的有限理性。由于人類在神經生理和語言方面的局限性以及外在事物的不確定性、復雜性,雖然從事經濟活動中的人在愿望上是追求理性的,但會計師事務所對員工所從事的審計活動的故意消極性不可能全面預見。而且,審計風險表現形式多種多樣,即使再高明的管理者也不可能在合約中對員工的審計活動進行完善的細化。自然這就肇始了合約的不完全性。當然,這除了人的思維和行為是有限理性外,還與交易成本息息相關。
2.交易成本的存在。在會計師事務所的員工合約中描述大量外在的隨機狀況要耗費大量成本。如果把這種情況細化,描述員工在審計時所應遵守的行為標準等特性,或者合約當事人各方為此必然采取行動,都需要花費成本。而且當勞動合約的限制條款太多,可能阻止某些業務精專、品德高尚的人才進入注冊會計師行業,就會產生劣幣驅逐良幣的現象。這就可能與初衷背道而馳,甚至阻礙會計師事務所的良性發展。正因為博弈雙方完善合約可能要耗費大量交易成本。會計師事務所及其員工只好作次優選擇,省略與主要情況相關條款,使之處于模糊狀態。這種不完備的合約卻從一開始就累積了后發審計風險。
3.非對稱信息。根據非對稱信息理論,市場上買賣雙方各自掌握的信息是有差異的,通常供方是有較完全的信息,需方有不完全的信息。在這種情況下,有信息優勢的一方就希望通過輸出對自己有利的信息使自己獲利,從而存在機會主義行為。這在會計師事務所的合約中其實是內生的非對稱信息,即會計師事務所在合約簽訂后無法完備地觀察和監督到審計人員的所有行為。也就是在合約中,無法推測審計人員在合約后的行為而導致信息不對稱。另外,在合伙人之間,正是因為信息的非對稱而使合伙人對風險的判斷產生差異,直接導致了會計師事務所第一層委托關系的形成。
4.違約成本低廉。由于審計外勤負責人沒有簽字承擔責任的約束,他就有可能存在逆向選擇和道德風險,甚至與管理當局合謀增大會計師事務所的風險,但他可能獲得大量造假收益。如果事件敗露,在目前的市場和文化環境中,受到的處罰可能僅是被會計師事務所解雇。可見,合約的不完全性造成違約成本非常低廉,甚至會誘致某些審計人員鋌而走險。
5.對合約認識的局限性。絕大部分會計師事務所簽定的合約只是把勞動局所制作的要式合約直接運用,而對要式合約中的可自由發揮的部分視而不見。例如深圳經濟特區勞動合同書,其中第九條第三款和第十一條就分別有如下文句:“雙方另外約定以下違約責任(空白)、雙方認為需要約定的其他事項或對原對條款需要變更重新約定的事項(空白)。”會計師事務所本來可利用這兩條彈性款項進一步完善合約,但大部分合約雙方都是一叉了事,沒有發揮合約應有的作用。正是缺乏對合約效力的充分認識,從而在某種意義上先天決定了合約的非完全性。
三、不完全合約所產生的審計風險防范
鑒于在中國目前所存在的經濟發展環境,注冊會計師的執業門檻很低,行業人員良莠不齊,那么通過合約的完善來對審計人員進行約束就顯得很必要了。但在注冊會計師實務中,這方面常常被忽略,會計師事務所通常很少關注用勞動合約去約束審計人員的行為,而過多地依賴職業道德。既然會計師事務所存在兩層風險比較大的委托關系合約,則我們可以根據不完全合約產生的原因提出相應的解決方案。
(一)對于第一層委托關系合約
1.建立審計風險硬性約束機制。會計師事務所各合伙人應統一認識,建立以風險基礎審計模式,對審計風險的評估盡可能數量化。特別是會計師事務所應對審計重要性水平,按不同客戶、不同資產分門別類的確定重要性金額,以便各合伙人在一個相對固定的重要性水平上確定應提交給合伙人委員會討論的重大事項。同時,因為審計重要性受到以往審計經驗、相關法規、客戶的經營規模和業務性質、內部控制與審計風險的評估結果以及會計報表各項目金額性質等多種因素的影響,所以各會計師事務所在制定本所的重要性水平時,應盡量遵循謹慎性原則。對另外一些與金額無關,但性質非常重要的非期望出現的錯報和漏報,如管理層舞弊等,則可以采取列舉法,把可能發生的性質嚴重影響審計報告的事項分類列舉出來,形成條款,并可以在會計師事務所與合伙人之間的合約中提及,以便合伙人不因偶然的疏忽而鑄成大的審計風險后果。通過對審計重要性水平的相對書面化,使合伙人的風險偏好形式化,從而更好地規范審計風險控制,而不因個人偏好因子影響整個會計師事務所的聲譽。
2.會計師事務所實行合伙制。由于有些名義上的合伙事務所實際上工商登記的是有限責任制,使得外部環境約束合伙人的資源減少。真正的合伙制度可以使得合伙人的審計行為更為謹慎,每一個合伙人都有互相監督的意識。因為每個合伙人都要對其他合伙人的業務活動負責,每個合伙人也就有互相監督的內在動機。這種相互監督增強了單個合伙人的風險意識,而承擔無限責任的巨大風險更是使合伙人對審計風險更加敏感。因而,如果要降低第一層委托制度的成本,根本的解決方案是實行中國會計師事務所第二次改制,把有限責任制改為合伙制,以避免由于會計師事務所先天不足造成合約的非完全性而衍生審計風險。
(二)對于第二層委托關系合約
1.完善相關法律。由于目前注冊會計師執業環境不好,因為有必要通過法規對審計外勤負責人的審計行為作出約束,規定審計外勤負責人也需要對其所審計的項目承擔一定的相應責任。如果行為特別惡劣,則可以規定已經有該種行為的人為財務審計職位的市場禁入者,當他被解雇后,其再尋找職位的成本無窮大,從而加大審計外勤負責人的違規成本。
2.完善勞動合約。在會計師事務所與審計人員簽訂審計勞動合約時,雙方可以充分討論,并盡量挖掘合約剛性約束潛力,以便在風險收益中相互求得最佳平衡點。從而做到合約既可以盡可能降低審計風險,又能夠吸引優秀人才加盟會計師事務所。
審計風險防范論文范文第2篇
(一)企業應加強內部控制
隨著市場經濟的深入發展,企業逐步成為自主經營、自我約束、自我發展、自我完善的商品生產者和經營者。在“優勝劣汰、適者生存”的市場經濟中,企業要想真正的做到“自主經營、自我約束、自我發展、自我完善”,必須要加強內部控制,建立有效、完善的內部控制制度,這樣才能在一個絕對的高度上,對企業進行高瞻遠矚的控制,才能做出與時俱進的決策。
(二)內部審計是企業內部監督機制的重要組成部分
內部審計也是企業內部控制的一個重要的組成部分,是監督內部控制其他環節的主要力量。內部審計通過對控制環境和控制程序的有效性進行監督,評估企業的內部控制是否被執行,是否及時反饋有關執行結果的信息,是否幫助企業更有效地實現預期控制目標。同時,在監控過程中,內部審計可以促進控制環境的建立和改善,為改進控制制度提供建設性的意見,為企業建立健全所需要的內部控制水平服務。在內部控制的監督過程中,內部審計發揮著越來越重要的作用。
二、內部審計在防范信息系統風險中面臨的問題
(一)信息系統安全管理機制不健全
企業信息系統風險的存在,很多是由于管理不善或控制不嚴造成的。一方面,缺乏一套統一的安全策略體系來指導安全管理工作,無法建立系統內部明確、全面的安全規范要求。從現有管理制度規范來看,主要存在的問題是可操作性差,條理不清、重疊或遺漏等;另一方面,現有安全管理制度的管理對象基本是網絡系統管理員等技術部人員,管理對象沒有全面涵蓋所有信息系統技術相關人員,包括所有網絡系統上的內部終端人員和外部人員。
(二)內部審計在信息系統風險防范中的角色缺乏獨立性
內部審計的角色發生了轉變。從傳統的事后審計而逐漸轉向事前和事中審計,主動參與內部控制系統的建立和完善。內部審計人員即承擔著評價硬件和應用信息系統安全的任務,如果又同時有參與了系統的開發和實施過程,那么內部審計人員就卻乏獨立性。反之,如果處于對喪失獨立性的擔心,內部審計人員有可能會拒絕參與系統和軟件的開發,那么系統開發過程中存在的風險又無法得到控制。
(三)內審部門技術力量薄弱造成對信息系統審計形成風險
審計稽核部門的技術力量薄弱,不熟悉業務系統的流程和功能,對信息系統缺乏必要的認證能力和標準。突出表現為以下幾個方面:一是實施審計稽核的手段和方法沒有得到及時更新,不適應信息系統管理的要求,大部分仍停留在手工審計階段;二是審計稽核部門對計算機賬務系統實施審計的依據僅依賴于被審計單位提供的打印資料或事后資料,計算機賬務的真實性審計很難得到保證。
三、加強風險防范的措施和對策
(一)構建信息系統安全管理組織及規范體系
加強信息系統的自我風險評估體系,讓信息系統的管理和技術人員在自身的職責范圍之內正確識別和評估潛在操作風險,主要包括內控制度的查漏補缺、工作流程的整理和規范、應急預案完善和演練等。同時加強對操作人員的管理,規范操作程序。一是加強密碼管理,明確規定操作人員的權限,操作員必須在規定的權限內辦理業務,用戶口令及密碼必須專人專用,嚴禁公開口令及密碼;二是要建立健全操作員崗位目標責任制,對網絡操作人員要明確目標任務,規范操作程序,嚴格落實獎懲制度。三是要嚴格崗位設置,不相容職務進行分離。嚴禁系統管理人員、網絡技術人員、程序開發人員和前臺操作人員混崗、代崗或一人多崗。四是要加強系統內部的稽核監督檢查。稽核監督應貫穿于網絡操作的全過程,重點是加強對系統設計開發、內控管理制度落實、操作運行等方面的(二)關注信息系統的穩定性、安全性和有效性審計
首先,審計人員應運用用一定的技術方法識別系統的完整性,該過程包括檢查、測試、評估系統的內制,以保證系統的穩定性;其次,審計人員應評價系統存在的風險和可能產生的后果將成為審計的核心工作和基本內容,保證信息系統的安全性。應根據審計的標準和準則,評價控制環境的和IT基礎設施的安全,確保系統滿足組織的業務需要,保護信息資產的安全完整,以防非授權使用、泄露、修改、損壞或丟失;最后,還應鑒別信息系統的有效性。內部審計必須理解并熟悉操作環境,了解系統技術的復雜性及其對決策的影響;對來自內部的安全隱患,采用一定的方法進行系統診斷、檢驗、測試,評價其有效性及效率,以支持組織業務目標的實現
(三)改善內審機構,提高內審人員素質,培養信息系統審計師
為了信息系統的安全、可靠與有效,由獨立于審計對象的信息系統審計師,以第三方的客觀立場對以計算機為核心的信息系統進行綜合的檢查與評價。信息系統審計師也稱lS審計師或IT審計師,是指那些既通曉信息系統的軟件和硬件(包括信息系統的開發、運營、維護、管理和安全等),又熟悉經濟管理的內部審計人才。
(四)聘請專家進行協助
內部審計人員的知識、技能和經驗雖然有助于信息系統的風險防御,但現實中必須承認,在企業中同時具備計算機技術和審計專業知識的人才非常短缺。再出色的內部審計人員可能面臨一些系統內的專業問題卻無法解決,因此有必要聘請外部專家。可以通過專家的協助測試運用其專業技能測試系統安全,進一步防范和解決信息系統風險的存在。
論文關鍵詞:內部審計信息系統風險防范
論文摘要:內部控制是社會經濟發展到一定階段的產物,其內容在不斷的發展與變化,而內部審計是內部監督機制的重要組成部分。目前計算機信息系統已在企業中廣泛使用,而在內部審計過程中如何加強計算機信息系統的風險防范,是企業內部控制過程中迫切需要解決的問題。
企業信息系統化的運用,原來的手工控制則變為手工與電腦控制相結合或全部由電腦自動進行控制。計算機信息系統的廣泛使用,與技術管理相對薄弱和稽核監督的長期空白已形成了尖銳的矛盾。信息系統風險控制能力差的現狀,迫切需要我們加強風險管理和監控。
審計風險防范論文范文第3篇
摘 要 本文首先對審計風險的概念進行了界定,從內部和外部兩個方面分析了我國會計師事務所審計風險產生的原因,并針對這些原因提出了會計師事務所防范審計風險的幾點建議,使會計師事務所在執業過程中加強對審計風險的控制,從而使整個社會的審計業務更加規范和健康地發展。
關鍵詞 審計風險 風險控制 會計師事務所
隨著現代審計業務的日益復雜,審計項目的風險水平越來越高。審計風險的存在必然會使會計師事務所發生風險損失,因此,實施審計風險管理顯得尤為重要。加強審計風險的管理和控制,對我國的會計師事務所提高審計質量,降低審計責任,增強自身的競爭力具有非常重要的意義。
一、審計風險的概念
審計風險是指當財務報表存在重大錯誤或漏報,注冊會計師對其進行審計后發表不恰當審計意見的可能性。對于盈虧自負、風險自擔的會計師事務所來說,既要在激烈的市場競爭中招攬業務,又要防范審計業務可能帶來的審計風險,這就使對審計風險的防范和控制成為會計師事務所的核心問題。
二、會計師事務所審計風險產生的原因
會計師事務所審計風險的產生由很多因素造成,以下從外部原因和內部原因兩個方面來探討我國會計師事務所審計風險產生的原因。
(一)外部原因
1.我國的法制體系不完善
改革開放以來,盡管我國在審計立法上取得了很大的發展并形成了一套審計法制體系,但隨著社會主義市場經濟的發展,審計執法過程中某些方面仍無法可依,另外,一些舊的審計法律法規已經不能適應新形勢的發展而需做出修改。這種情況加大了相關部門審計監督的難度,也加大了會計師事務所的審計風險。
2.被審計單位內部控制制度方面的原因
企業在經營管理時必須遵守成本收益原則,無論做出什么決策都必須考慮成本與收益的關系。企業實行內部控制固然能夠減少會計處理過程中錯弊的發生,降低會計師事務所的審計風險,提高審計效率,但如果內部控制的成本超過了發生錯弊時造成的損失,企業管理人員便會想盡一切辦法減少控制程序,這就使內部控制總會存在一定的缺陷。
(二)內部原因
1.審計收費比較低
目前,我國會計師事務所的審計收費普遍較低。如果會計師事務所的審計收費過低,就會迫使事務所和注冊會計師采用一些方法來降低審計成本,比如簡化審計程序、減少業務人員、縮短審計時間等。這種做法勢必會導致審計質量的降低和審計風險的增大。審計費用太低,會計師事務所就不可能花費大量人力和物力去審計某一項目,審計質量就不可能提高。
2.缺乏獨立性
實際中,事務所的聘用、續聘和費用支付等相關事項多是由企業管理層來決定的。也就是說,公司管理層可按其意愿來選擇事務所,這也決定了注冊會計師在出具審計報告時可能不得不考慮管理層的意見,審計的獨立性得不到保障。會計師事務所喪失了獨立性,到處受到四周環境的限制,當然就不能出具公正客觀的審計意見。
3.審計方法的落后
《中國注冊會計師獨立審計準則》提出了運用風險基礎審計方法的要求。然而在實踐中審計方法仍停留在賬項基礎審計向制度基礎審計過渡的階段,許多審計項目的大小都是由注冊會計師依靠主觀來判斷的。同時,審計中廣泛采用的抽樣技術只限于抽樣審計,并不能發現財務報表中的全部錯誤,這會導致某些隱蔽較好的欺詐極難偵破。由于審計成本的限制,又迫使注冊會計師不得不放棄部分審計程序,會喪失應有的職業謹慎,難以做到全面的審計工作,風險自然由此而生。
三、審計風險的防范對策
為了防范審計風險,會計師事務所可以從以下幾方面來加以控制,盡最大努力拒審計風險于門外。
(一)保持獨立性
注冊會計師執行審計或其他鑒定業務時,應當保持形式上和實質上的獨立。只有保持了獨立性后,會計師事務所和注冊會計師在執行具體的審計業務時才不會受到被審計單位的影響,才能更好地出具客觀公正的審計影響。審計獨立性是會計師事務所和注冊會計師在執業過程中必須遵守的最重要的原則。只有保證了審計獨立性后,才能降低審計風險的產生。
(二)改革審計方法
現時國內的審計方法,主要是采用賬項基礎審計或制度基礎審計的模式,審計的整個過程主要集中在期末余額的細節測試,進行抽樣測試時,審計人員沒有什么可以依據的科學方法,往往只憑自己的經驗任意抽樣而缺乏客觀性。這種習慣性做法,往往會讓有意舞弊者有機可乘。面對這種狀況,會計師事務所要學會轉換思考角度,改變傳統的審計理念和方法,樹立現代的審計意識、技術和方法,降低審計風險。
(三)謹慎選擇客戶
謹慎地選擇客戶也是會計師事務所防范審計風險的一個重要措施。對于那些可能存在重大經營風險或公司管理層舞弊風險等高審計風險的公司,會計師事務所要慎重考慮是否接受其委托。在接受一個新客戶時,應先做一個風險評估報告,當風險較高時就要多加留意,有時寧愿放棄該項審計收入。但也不能因為風險的存在就不敢承接客戶,會計師事務所可以通過客戶風險評估報告,識別風險領域,采取相應的措施加以降低審計風險。
參考文獻:
[1]呂繼英.王竹南會計師事務所審計風險的防范與控制.Economic and Trade Update.2008(6).
審計風險防范論文范文第4篇
論文摘要:現代風險導向審計是對傳統審計方式的突破和創新,是內部審計發展的最新動向。企業推行現代風險導向審計,能將內部審計自身的職能與企業的目標有機地結合起來,充分發揮內部審計在企業風險管理中的重要作用。本文在闡明現代風險導向審計相關概念的基礎上,進一步闡述了企業內部審計開展現代風險導向審計的必要性以及現代風險導向審計的實施。
一、什么是現代風險導向審計
風險導向審計是在賬項基礎審計、制度基礎審計的基礎上產生的,現代風險導向審計產生的主要標志是:2003年10月,國際審計和鑒證準則委員會(iaasb)對審計風險準則進行了修訂,并執行新的風險導向模型“審計風險=重大錯報風險x檢查風險”,我國在2006年2月對審計準則進行大幅度調整,將傳統審計風險模型修改為新的審計風險模型。現代風險導向審計是以系統論和戰略管理理論為指導,以降低信息風險為根本目的,以控制審計業務風險為中心,以降低審計風險為根本途徑,以經營風險的分析評估為導向,采用“自上而下,自下而上”審計思路的一種審計方法。
二、對現代風險導向審計本質的認識
(一)現代風險導向審計是一種新的審計基本方法。傳統審計風險模型的審計方法實質上仍然是制度基礎審計方法的延伸,它從分析客戶會計報表的固有風險和內部控制風險著手,根據內部控制測試的結果決定實質性測試的性質、時間和范圍。而現代風險導向審計則是從企業的戰略分析入手,通過“戰略分析——環節分析——會計報表剩余風險分析”的基本思路,決定實質性審計程序的性質、時間和范圍,并建立了企業會計報表風險與企業戰略風險之間的邏輯聯系,使這一方法更科學、更有效。
(二)現代風險導向審計摒棄了傳統審計簡化主義的認知模式,代之以復雜系統的認知模式,并引入戰略管理分析工具。現代風險導向審計的思考方法是系統理論所指導的復雜系統認知模式。審計要有效地把握會計報表的錯報風險,就必須從企業的戰略管理活動著手分析,對戰略管理活動進行分析,必須將企業置于廣泛的經濟網絡中進行系統分析。從方法論上講,現代風險導向審計要比傳統的制度基礎審計站得更高,看得更遠,對企業了解得更透。
(三)現代風險導向審計運用“自上而下”和“自下而上”相結合的審計思路。它運用“自上而下”,“自下而上”相結合的手段,對會計報表錯報風險做出合理的專業判斷,要從企業的戰略管理分析入手,通過經營風險導向和嚴密的邏輯推理,一步一步地推導和落實審計的范圍和重點,確定相關的審計目標和審計程序。通過實施審計程序及取證的結果,并結合重要性的判斷,歸納和判斷整個會計報表的風險并形成最終的審計意見。
三、現代風險導向內部審計的理解
內部審計下的現代風險導向審計目前尚無統一的定義。第一種觀點認為,把社會審計中的現代風險導向審計運用于內部審計就是現代風險導向內部審計,即內部審計人員立足于對審計風險的分析和評價,并以此為出發點,制定審計計劃,實施審計行為的一種審計方法。第二種觀點認為,現代風險導向內部審計是指內審人員在審計過程自始至終都關注企業風險(不是審計風險),依據風險選擇項目,識別風險,測試管理者降低風險的方法,并以企業風險為中心做審計報告,協助企業管理風險。
而從第二種觀點的描述上看,所謂的“風險”不是單純意義的“審計風險”,在更大意義上是指企業在生產經營過程中面臨的各種企業風險。由此可見,此時的內部審計已經成為結合內部審計和風險管理的一種有效工具,審計計劃與公司最高層的風險戰略連接在一起,內部審計人員通過對當前的風險分析確保其審計計劃與經營計劃相一致,將風險管理原則貫穿于審計的全過程,內部審計重點不再是測試控制,而是確認風險及測試管理風險。用這種觀點來界定風險導向內部審計,會與內部審計具體準則對審計風險的定義相背。
筆者認為,在現有準則下,以第一種觀點作為現代風險導向內部審計比較恰當,而第二種觀點與其說是現代風險導向內部審計,還不如說是企業風險管理中的內部審計作用。
四、現代風險導向審計運用于內部審計的必要性及其實施
我們姑且不去定論現代風險導向內部審計的定義,但是在內部審計中實施現代風險導向審計既是基于降低審計風險,又是為降低企業經營風險,進行風險管理的一種有效工具。
(一)內部審計實施現代風險導向審計的必要性
隨著內部審計的監督職能向服務管理職能的轉變,企業需要內部審計對整體的風險管理、內部控制及治理程序提供有效的審計監督和建設性評價,以幫助企業控制風險,實現目標。因此,內部審計不應停留在傳統審計模式上,而應在此基礎上進一步開展現代風險導向審計,將關口前移,充分發揮預警性作用。綜上所述,在企業內部審計中實施現代風險導向審計有著非常重要的現實意義。
(二)現代風險導向審計在內部審計中的運用
1.準確確定審計的重點和范圍。運用現代風險導向審計理論,從分析風險入手,準確確定審計的重點和范圍,在審計準備階段,就加大防范力度,即通過對被審計單位基本情況的了解和分析性測試的結果,充分關注被審單位的特殊風險,確定總體審計風險概率和評估的重大錯報風險概率,將審計風險減少到最小程度,確保內部審計能夠發現業務經營活動中的重大違法違規問題及存在的風險隱患,達到實現防范風險的目的。
2.以《內部審計實務標準》為指導,執行現代風險導向審計的程序,使風險管理與內部審計程序之間協調一致,產生協同增效的作用。一是在制定審計計劃時,針對可能影響風險評估的基礎,制定審計計劃,確定審計項目。二是編制審計方案時,在評估風險優先次序的基礎上安排審計工作。三是確定審計范圍時,要考慮并反映整個企業的戰略性計劃目標,每年對審計范圍進行一次評估,以反映最新戰略和方針。四是在審計實施過程中,通過評價內部控制制度,查找其中的疏漏和薄弱環節。五是在編制審計報告時,應對風險管理狀況進行評價,指出風險管理中存在的漏洞和不足,提出加強管理的建議。六是以風險大小作為確定追蹤審計范圍的重要因素。
3.實施控制測試和實質性測試。現代風險導向審計強調從宏觀上對風險進行評估,但并不是說可以忽視微觀層面的操作風險。因此,應繼續實施內部控制測試,并分析重點,實施實質性測試。在控制測試和實質性測試兩階段中,審計資源的合理配置是關鍵,也是風險導向審計理論的出發點與歸宿。因此,應結合重大風險各因素的綜合分析與判斷,將審計資源向重點風險領域傾斜,以實現“全面審計、突出重點”,在提高審計效率與效果的同時,強化企業風險管理。
4.實現審計手段電子化,提高審計工作質量。一要運用計算機技術,進行內部控制風險的評估,確定標準內部控制的模型,并經常調整、完善,以提高內部控制風險的評估效率及其準確性。二要運用計算機軟件進行分析性測試,提高分析的速度和準確性,擴展分析的范圍。三要運用計算機進行統計抽樣,避免人工抽樣檢查的不足,有效降低審計風險。四要構建完整的審計信息系統,推進風險導向審計與非現場審計有機結合,提高內部審計的質量和效率。
(三)內部審計實施現代風險導向審計的措施
現代風險導向審計模式是為適應企業經營高風險的特點而產生的,同時也是為量化審計風險、減輕審計責任、提高審計效率和質量的一種審計方法。為加強現代風險導向審計在內部審計中的運用,筆者認為要從以下幾方面努力:
1.建立內部控制評價的新模式。在現代風險導向審計中,內部審計更加關心的問題主要是:控制風險的目標是什么,控制要解決的問題,這種控制是否先進有效,控制風險有多大,是否影響管理當局的決策等。隨著市場競爭的加劇,新的審計環境要求審計人員應通過與企業管理層進行有效溝通的方式,采用新的評價模式,為企業提供更有價值的服務。
2.加強內部審計工作的實效性。在審計技術方面,風險分析和計算機應用甚少,由此降低了審計工作效率。因此,內部審計在轉變目標定位,樹立管理理念的同時,更要重視審計工作的實效性,以確保審計建議的落實。
3.提高內部審計人員的素質。對企業而言,需要界定風險范圍、理順風險責任、建立風險模型和風險防范機制,這就是要靠實施現代風險導向審計走出一條迎接風險、化解風險之路。因此要求內審人員都應懂得風險語言,加強風險意識和風險管理技能,提高內審人員對風險的敏感度,以風險為導向做好內部審計工作。
五、結束語
企業內部審計開展現代風險導向審計是內部審計的必然發展趨勢,既是職業自身發展的需要,也是當前形勢發展的需要。企業內部審計堅持開展對企業風險管理過程的充分性和有效性的檢查、評價和報告,促進企業改進管理、實現目標和增加價值,無疑是企業內部的一種最好資源。在實踐中,尚無完整的模式可參照執行,即使有關現代風險導向內部審計的準則出臺后,也需要在實踐中不斷完善。因此,內部審計師在現階段,應首先接受現代風險導向審計的理念,在執行過程中,將風險評估貫穿審計的全過程,不斷探索現代風險導向審計的方法,將審計風險降低到最低可接受水平。
參考文獻:
[1]馬文成,王有良.基于風險導向審計的內部審計創新研究[j].會計師,2009(06).
[2]聶海斌.風險導向審計在應用中的問題及完善[j].當代經濟,2009(16).
[3]汪壽成.現代風險導向審計[m].大連出版社,2009.
[4]汪文文.論新形勢下的風險導向審計[j].經濟研究導刊,2009(04).
審計風險防范論文范文第5篇
[作者簡介]王會金(1962― ),男,浙江東陽人,南京審計學院副校長,教授,博士,從事信息系統審計研究。
[摘 要]當前,我國急需一套完善的中觀信息系統審計風險控制體系。這是因為我國的中觀經濟主體在控制信息系統審計風險時需要一套成熟的管理流程,且國家有關部門在制定信息系統審計風險防范標準方面也需要完善的控制體系作為支撐。在闡述COBIT與數據挖掘基本理論的基礎上,借鑒COBIT框架,構建中觀信息系統審計風險的明細控制框架,利用數據挖掘技術有針對性地探索每一個明細標準的數據挖掘路徑,創建挖掘流程,建立適用于我國中觀經濟特色的信息系統審計風險控制體系。
[關鍵詞]中觀信息系統審計;COBIT框架;數據挖掘;風險控制;中觀審計
[中圖分類號]F239.4 [文獻標識碼]A [文章編號]10044833(2012)01001608
中觀信息系統審計是中觀審計的重要組成部分,它從屬于中觀審計與信息系統審計的交叉領域。中觀信息系統審計是指IT審計師依據特定的規范,運用科學系統的程序方法,對中觀經濟主體信息系統的運行規程與應用政策所實施的一種監督活動,旨在增強中觀經濟主體特定信息網絡的有效性、安全性、機密性與一致性[1]。與微觀信息系統相比,中觀信息系統功能更為復雜,且區域內紛亂的個體間存在契約關系。中觀信息系統的復雜性主要體現在跨越單個信息系統邊界,參與者之間在信息技術基礎設施水平、信息化程度和能力上存在差異,參與者遵循一定的契約規則,依賴通信網絡支持,對安全性的要求程度很高等方面。中觀信息系統審計風險是指IT審計師在對中觀信息系統進行審計的過程中,由于受到某些不確定性因素的影響,而使審計結論與經濟事實不符,從而受到相關關系人指控或媒體披露并遭受經濟損失以及聲譽損失的可能性。中觀信息系統審計風險控制的研究成果能為我國大型企業集團、特殊的經濟聯合體等中觀經濟主體保持信息系統安全提供強有力的理論支持與實踐指導。
一、 相關理論概述與回顧
(一) COBIT
信息及相關技術的控制目標(簡稱COBIT)由美國信息系統審計與控制協會(簡稱ISACA)頒布,是最先進、最權威的安全與信息技術管理和控制的規范體系。COBIT將IT過程、IT資源及信息與企業的策略及目標聯系于一體,形成一個三維的體系框架。COBIT框架主要由執行工具集、管理指南、控制目標和審計指南四個部分組成,它主要是為管理層提供信息技術的應用構架。COBIT對信息及相關資源進行規劃與處理,從信息技術的規劃與組織、采集與實施、交付與支持以及監控等四個方面確定了34個信息技術處理過程。
ISACA自1976年COBIT1.0版以來,陸續頒布了很多版本,最近ISACA即將COBIT5.0版。ISACA對COBIT理論的研究已趨于成熟,其思路逐步由IT審計師的審計工具轉向IT內部控制框架,再轉向從高管層角度來思考IT治理。大多數國際組織在采納COSO框架時,都同時使用COBIT控制標準。升陽電腦公司等大型國際組織成功應用COBIT優化IT投資。2005年,歐盟也選擇將COBIT作為其審計準則。國內學者對COBIT理論的研究則以借鑒為主,如陽杰、張文秀等學者解讀了COBIT基本理論及其評價與應用方法[23];謝羽霄、黃溶冰等學者嘗試將COBIT理論應用于銀行、會計、電信等不同的信息系統領域[45]。我國信息系統審計的研究目前正處于起步階段,因而將COBIT理論應用于信息系統的研究也不夠深入。王會金、劉國城研究了COBIT理論在中觀信息系統重大錯報風險評估中的運用,金文、張金城研究了信息系統控制與審計的模型[1,6]。
(二) 數據挖掘
數據挖掘技術出現于20世紀80年代,該技術引出了數據庫的知識發現理論,因此,數據挖掘又被稱為“基于數據庫的知識發現(KDD)”。1995年,在加拿大蒙特利爾召開的首屆KDD & Date Mining 國際學術會議上,學者們首次正式提出數據挖掘理論[7]。當前,數據挖掘的定義有很多,但較為公認的一種表述是:“從大型數據庫中的數據中提取人們感興趣的知識。這些知識是隱含的、事先未知的潛在有用信息,提取的知識表現為概念、規則、規律、模式等形式。數據挖掘所要處理的問題就是在龐大的數據庫中尋找有價值的隱藏事件,加以分析,并將有意義的信息歸納成結構模式,供有關部門在進行決策時參考。”[7]1995年至2010年,KDD國際會議已經舉辦16次;1997年至2010年,亞太PAKDD會議已經舉辦14次,眾多會議對數據挖掘的探討主要圍繞理論、技術與應用三個方面展開。
目前國內外學者對數據挖掘的理論研究已趨于成熟。亞太PAKDD會議主辦方出版的論文集顯示,2001年至2007年僅7年時間共有32個國家與地區的593篇會議論文被論文集收錄。我國學者在數據挖掘理論的研究中取得了豐碩的成果,具體表現在兩個方面:一是挖掘算法的縱深研究。李也白、唐輝探索了頻繁模式挖掘進展,鄧勇、王汝傳研究了基于網絡服務的分布式數據挖掘,肖偉平、何宏研究了基于遺傳算法的數據挖掘方法[810]。二是數據挖掘的應用研究。我國學者對于數據挖掘的應用研究也積累了豐富的成果,并嘗試將數據挖掘技術應用于醫學、通訊、電力、圖書館、電子商務等諸多領域。2008年以來,僅在中國知網查到的關于數據挖掘應用研究的核心期刊論文就多達476篇。近年來,國際軟件公司也紛紛開發數據挖掘工具,如SPSS Clementine等。同時,我國也開發出數據挖掘軟件,如上海復旦德門公司開發的Dminer,東北大學軟件中心開發的Open Miner等。2000年以來,我國學者將數據挖掘應用于審計的研究成果很多,但將數據挖掘應用于信息系統審計的研究成果不多,且主要集中于安全審計領域具體數據挖掘技術的應用研究。
二、 中觀信息系統審計風險控制體系的構想
本文將中觀信息系統審計風險控制體系(圖1)劃分為以下三個層次。
(一) 第一層次:設計中觀信息系統審計風險的控制框架與明細控制標準
中觀信息系統審計的對象包括信息安全、數據中心運營、技術支持服務、災難恢復與業務持續、績效與容量、基礎設施、硬件管理、軟件管理、數據庫管理、系統開發、變革管理、問題管理、網絡管理、中觀系統通信協議與契約規則等共計14個主要方面[11]。中觀信息系統審計風險控制體系的第一層次是根據COBIT三維控制框架設計的。這一層次需要構架兩項內容:(1)中觀信息系統審計風險的控制框架。該控制框架需要完全融合COBIT理論的精髓,并需要考慮COBIT理論的每一原則、標準、解釋及說明。該控制框架由14項風險防范因子組成,這14個因子必須與中觀信息系統審計的14個具體對象相對應。框架中的每一個因子也應該形成與自身相配套的風險控制子系統,且子系統應該包含控制的要素、結構、種類、目標、遵循的原則、執行概要等內容。(2)中觀信息系統審計風險的明細控制標準。控制框架中的14項風險防范因子需要具備與自身相對應的審計風險明細控制規則,IT審計師只有具備相應的明細規范,才能在中觀信息系統審計實施過程中擁有可供參考的審計標準。每個因子的風險控制標準的設計需要以COBIT三維控制框架為平臺,以4個域、34個高層控制目標、318個明細控制目標為準繩。
(二) 第二層次:確定風險控制框架下的具體挖掘流程以及風險控制的原型系統
第一層次構建出了中觀信息系統審計風險控制的明細標準Xi(i∈1n)。在第一層次的基礎上,第二層次需要借助于數據挖掘技術,完成兩個方面的工作。一是針對Xi,設計適用于Xi自身特性的數據挖掘流程。這一過程的完成需要數據資料庫的支持,因而,中觀經濟主體在研討Xi明細控制標準下的數據挖掘流程時,必須以多年積累的信息系統控制與審計的經歷為平臺,建立適用于Xi的主題數據庫。針對明細標準Xi的內在要求以及主題數據庫的特點,我們就可以選擇數據概化、統計分析、聚類分析等眾多數據挖掘方法中的一種或若干種,合理選取特征字段,分層次、多角度地進行明細標準Xi下的數據挖掘實驗,總結挖掘規律,梳理挖掘流程。二是將適用于Xi的n個數據挖掘流程體系完善與融合,開發針對本行業的中觀信息系統審計風險控制的原型系統。原型系統是指系統生命期開始階段建立的,可運行的最小化系統模型。此過程通過對n個有關Xi的數據挖掘流程的融合,形成體系模型,并配以詳細的說明與解釋。對該模型要反復驗證,多方面關注IT審計師對該原型系統的實際需求,盡可能與IT審計師一道對該原型系統達成一致理解。
(三) 第三層次:整合前兩個步驟,構建中觀信息系統風險控制體系
第三層次是對第一層次與第二層次的整合。第三層次所形成的中觀信息系統風險控制體系包括四部分內容:(1)中觀信息系統審計風險控制框架;(2)中觀信息系統審計風險控制參照標準;(3)中觀信息系統審計風險控制明細標準所對應的數據挖掘流程集;(4)目標行業的中觀信息系統審計風險控制的原型系統。在此過程中,對前三部分內容,需要歸納、驗證、總結,并形成具有普遍性的中觀審計風險控制的書面成果;對第四部分內容,需要在對原型系統進行反復調試的基礎上將其開發成軟件,以形成適用于目標行業不同組織單位的“軟性”成果。在設計中觀信息系統風險控制體系的最后階段,需要遵循控制體系的前三部分內容與第四部分內容相互一致、相互補充的原則。相互一致表現在控制體系中的框架、明細控制標準、相關控制流程與原型系統中的設計規劃、屬項特征、挖掘原則相協調;相互補充表現在控制體系中的框架、明細控制標準及相關控制流程是IT審計師在中觀信息系統審計中所參照的一般理念,而原型系統可為IT審計師提供審計結論測試、理念指導測試以及驗證結論。 三、 COBIT框架對中觀信息系統審計風險控制的貢獻
(一) COBIT框架與中觀信息系統審計風險控制的契合分析
現代審計風險由重大錯報風險與檢查風險兩個方面組成,與傳統審計風險相比,現代審計風險拓展了風險評估的范圍,要求考慮審計客體所處的行業風險。但從微觀層面看,傳統審計風險與現代審計風險的主要內容都包括固有風險、控制風險與檢查風險。COBIT框架與中觀信息系統審計風險控制的契合面就是中觀信息系統的固有風險與控制風險。中觀信息系統的固有風險是指“假定不存在內部控制情況下,中觀信息系統存在嚴重錯誤或不法行為的可能性”;中觀信息系統的控制風險是指“內部控制體系未能及時預防某些錯誤或不法行為,以致使中觀信息系統依然存在嚴重錯誤或不法行為的可能性”;中觀信息系統的檢查風險是指“因IT審計師使用不恰當的審計程序,未能發現已經存在重大錯誤的可能性”。IT審計師若想控制中觀信息系統的審計風險,必須從三個方面著手:(1)對不存在內部控制的方面,能夠辨別和合理評價被審系統的固有風險;(2)對存在內部控制的方面,能夠確認內部控制制度的科學性、有效性、健全性,合理評價控制風險;(3)IT審計師在中觀信息系統審計過程中,能夠更大程度地挖掘出被審系統“已經存在”的重大錯誤。我國信息系統審計的理論研究起步較晚,IT審計師在分辨被審系統固有風險,確認控制風險,將檢查風險降低至可接受水平三個方面缺乏成熟的標準加以規范,因此我國的中觀信息系統審計還急需一套完備的流程與指南 當前我國有四項信息系統審計標準,具體為《審計機關計算機輔助審計辦法》、《獨立審計具體準則第20號――計算機信息系統環境下的審計》、《關于利用計算機信息系統開展審計工作有關問題的通知》(88號文件)以及《內部審計具體準則第28號――信息系統審計》。。
圖2 中觀信息系統審計風險的控制框架與控制標準的設計思路
COBIT框架能夠滿足IT審計師的中觀信息系統審計需求,其三維控制體系,4個控制域、34個高層控制目標、318個明細控制目標為IT審計師辨別固有風險,分析控制風險,降低檢查風險提供了絕佳的參照樣板與實施指南。COBIT控制框架的管理理念、一般原則完全可以與中觀信息系統審計風險的控制實現完美契合。通過對COBIT框架與中觀信息系統審計的分析,筆者認為COBIT框架對中觀信息系統審計風險控制的貢獻表現在三個方面(見圖2):(1)由COBIT的管理指南,虛擬中觀信息系統的管理指南,進而評價中觀主體對自身信息系統的管理程度。COBIT的管理指南由四部分組成,其中成熟度模型用來確定每一控制階段是否符合行業與國際標準,關鍵成功因素用來確定IT程序中最需要控制的活動,關鍵目標指標用來定義IT控制的目標績效水準,關鍵績效指標用來測量IT控制程序是否達到目標。依據COBIT的管理指南,IT審計師可以探尋被審特定系統的行業與國際標準、IT控制活動的重要性層次、IT控制活動的目標績效水平以及評價IT控制活動成效的指標,科學地擬定被審系統的管理指南。(2)由COBIT的控制目標,構建中觀信息系統的控制目標體系,進而評價中觀信息系統的固有風險與檢查風險。COBIT的控制目標包括高層域控制、中層過程控制、下層任務活動控制三個方面,其中,高層域控制由規劃與組織、獲取與實施、交付與支持以及監控四部分組成,中層控制過程由“定義IT戰略規劃”在內的34個高層控制目標組成,下層任務活動控制由318個明細控制目標組成。COBIT的控制目標融合了“IT標準”、“IT資源”以及被審系統的“商業目標”,為IT審計師實施中觀信息系統審計風險控制提供了層級控制體系與明細控制目標。IT審計師可以直接套用COBIT的控制層級與目標擬定中觀信息系統管理與控制的層級控制體系以及明細控制目標,然后再進一步以所擬定的明細控制目標作為參照樣板,合理評判中觀信息系統的固有風險與控制風險。中觀信息系統中“域”、“高層”、“明細”控制目標的三層結構加強了IT審計師審計風險控制的可操作性。(3)由COBIT的審計指南,設計IT審計師操作指南,進而降低中觀信息系統審計的檢查風險。COBIT的審計指南由基本準則、具體準則、執業指南三個部分組成。基本準則規定了信息系統審計行為和審計報告必須達到的基本要求,為IT審計師制定一般審計規范、具體審計計劃提供基本依據。具體準則對如何遵循IT審計的基本標準,提供詳細的規定、具體說明和解釋,為IT審計師如何把握、評價中觀經濟主體對自身系統的控制情況提供指導。執業指南是根據基本標準與具體準則制定的,是系統審計的操作規程和方法,為IT審計師提供了審計流程與操作指南。
(二) 中觀信息系統審計風險控制體系建設舉例――構建“設備管理”控制目標體系
前文所述,中觀信息系統審計的對象包括“信息安全”等14項內容,本文以“硬件管理”為例,運用COBIT的控制目標,構建“硬件管理”的控制目標體系,以利于IT審計師科學評價“硬件管理”存在的固有風險與控制風險。“設備管理”控制目標體系的構建思路參見表1。
注:IT標準對IT過程的影響中P表示直接且主要的,S表示間接且次要的;IT過程所涉及的IT資源中C表示涉及;空白表示關聯微小。
表1以“設備管理”為研究對象,結合COBIT控制框架,并將COBIT框架中與“設備管理”不相關的中層控制過程剔除,最終構建出“設備管理”控制的目標體系。該體系由4個域控制目標、21個中層過程控制目標、149個明細控制目標三個層級構成,各個層級的關系見表1。(1)第一層級是域控制,由“P.設備管理的組織規劃目標”、“A.設備管理的獲取與實施目標”、“DS.設備管理的交付與支持目標”以及“M.設備管理的監控目標”構成;(2)第二層級是中層過程控制,由21個目標構成,其中歸屬于P的目標5個,歸屬于A的目標3個,歸屬于D的目標9個,歸屬于M的目標4個;(3)第三層級是下層任務活動控制,由149個明細目標構成,該明細目標體系是中層過程控制目標(P、A、DS、M)針對“IT標準”與“IT資源”的進一步細分。IT標準是指信息系統在運營過程中所應盡可能實現的規則,具體包括有效性、效率性、機密性等7項;IT資源是指信息系統在運營過程中所要求的基本要素,具體有人員、應用等5項。根據表1中“有效性”、“人員”等“IT標準”與“IT資源”合計的12個屬項,每個具體中層控制目標都會衍生出多個明細控制目標。例如,中層控制目標“DS13.運營管理”基于“IT標準”與“IT資源”的特點具體能夠演繹出6項明細控制目標,此7項可表述為“DS13-01.利用各項設備,充分保證硬件設備業務處理與數據存取的及時、正確與有效”,“DS13-02.充分保證硬件設備運營的經濟性與效率性,在硬件設備投入成本一定的情況下,相對加大硬件設備運營所產生的潛在收益”,“DS13-03.硬件設備保持正常的運營狀態,未經授權,不可以改變硬件的狀態、使用范圍與運營特性,保證設備運營的完整性”,“DS13-04.設備應該在規定條件下和規定時間內完成規定的功能與任務,保證設備的可用性”,“DS13-05.硬件設備運營的參與人員必須具備較高的專業素質,工作中遵循相應的行為規范”以及“DS13-06.工作人員在使用各項硬件設備時,嚴格遵循科學的操作規程,工作中注意對硬件設備的保護,禁止惡意損壞設備”。上述三個層級組成了完整的“硬件設備”控制目標體系,若將中觀信息系統審計的14個對象都建立相應的控制目標體系,并將其融合為一體,則將會形成完備的中觀信息系統審計風險控制的整體目標體系。
四、 數據挖掘技術對中觀信息系統審計風險控制的貢獻
(一) 數據挖掘技術與中觀信息系統審計風險控制的融合分析
中觀信息系統是由兩個或兩個以上微觀個體所構成的中觀經濟主體所屬個體的信息資源,在整體核心控制臺的統一控制下,以Internet為依托,按照一定的契約規則實施共享的網狀結構式的有機系統。與微觀信息系統比較,中觀信息系統運行復雜,日志數據、用戶操作數據、監控數據的數量相對龐雜。因而,面對系統海量的數據信息,IT審計師針對前文所構建的明細控制目標Xi下的審計證據獲取工作將面臨很多問題,如數據信息的消化與吸收、數據信息的真假難辨等。而數據挖掘可以幫助決策者尋找數據間潛在的知識與規律,并通過關聯規則實現對異常、敏感數據的查詢、提取、統計與分析,支持決策者在現有的數據信息基礎上進行決策[12]。數據挖掘滿足了中觀信息系統審計的需求,當IT審計師對繁雜的系統數據一籌莫展時,數據挖掘理論中的聚類分析、關聯規則等技術卻能為中觀信息系統審計的方法提供創新之路。筆者認為,將數據挖掘技術應用于前文所述的明細控制目標Xi下審計證據篩選流程的構建是完全可行的。恰當的數據挖掘具體技術,科學的特征字段選取,對敏感與異常數據的精準調取,將會提高中觀信息系統審計的效率與效果,進而降低審計風險。
(二) 中觀信息系統審計風險控制目標Xi下數據挖掘流程的規劃
數據挖掘技術在中觀信息系統審計風險控制中的應用思路見圖3。
注:數據倉庫具體為目標行業特定中觀經濟主體的信息系統數據庫
中觀信息系統審計明細控制目標Xi下數據挖掘流程設計具體可分為六個過程:(1)闡明問題與假設。本部分的研究是在一個特定的應用領域中完成的,以“中觀信息系統審計風險明細控制目標Xi”為主旨,闡明相關問題、評估“控制目標Xi”所處的挖掘環境、詳盡的描述條件假設、合理確定挖掘的目標與成功標準,這些將是實現“控制目標Xi下”挖掘任務的關鍵。(2)數據收集。圖3顯示,本過程需要從原始數據、Web記錄與日志文件等處作為數據源采集數據信息,采集后,還需要進一步描述數據特征與檢驗數據質量。所采集數據的特征描述主要包括數據格式、關鍵字段、數據屬性、一致性,所采集數據的質量檢驗主要考慮是否滿足“控制目標Xi”下數據挖掘的需求,數據是否完整,是否存有錯誤,錯誤是否普遍等。(3)數據預處理。該過程是在圖3的“N.異構數據匯聚數據庫”與“U.全局/局部數據倉庫”兩個模塊下完成的。N模塊執行了整合異構數據的任務,這是因為N中的異構數據庫由不同性質的異構數據組合而成,數據屬性、數據一致性彼此間可能存在矛盾,故N模塊需要通過數據轉換與數據透明訪問實現異構數據的共享。U模塊承載著實現數據清理、數據集成與數據格式化的功能。“控制目標Xi”下的數據挖掘技術實施前,IT審計師需要事先完成清理與挖掘目標相關程度低的數據,將特征字段中的錯誤值剔除以及將缺省值補齊,將不同記錄的數據合并為新的記錄值以及對數據進行語法修改形成適用于挖掘技術的統一格式數據等系列工作。(4)模型建立。在“V.數據挖掘與知識發現”過程中,選擇與應用多種不同的挖掘技術,校準挖掘參數,實現最優化挖掘。“控制目標Xi”下的數據挖掘技術可以將分類與聚類分析、關聯規則、統計推斷、決策樹分析、離散點分析、孤立點檢測等技術相結合,用多種挖掘技術檢查同一個“控制目標Xi”的完成程度[12]。選擇挖掘技術后,選取少部分數據對目標挖掘技術的實用性與有效性進行驗證,并以此為基礎,以參數設計、模型設定、模型描述等方式對U模塊數據倉庫中的數據開展數據挖掘與進行知識發現。(5)解釋模型。此過程在模塊“W.模式解釋與評價”中完成,中觀信息系統審計風險領域專家與數據挖掘工程師需要依據各自的領域知識、數據挖掘成功標準共同解釋模塊V,審計領域專家從業務角度討論模型結果,數據挖掘工程師從技術角度驗證模型結果。(6)歸納結論。在“Z.挖掘規律與挖掘路徑歸納”中,以W模塊為基礎,整理上述挖掘實施過程,歸納“控制目標Xi”下的挖掘規律,探究“控制目標Xi”下的挖掘流程,整合“控制目標Xi”(i∈1n)的數據挖掘流程體系,并開發原型系統。
(三) 數據挖掘流程應用舉例――“訪問控制”下挖掘思路的設計
如前所述,中觀信息系統審計包括14個對象,其中“網絡管理”對象包含“訪問管理”等多個方面。結合COBIT框架下“M1.過程監控”與“IT標準-機密性”,“訪問管理”可以將“M1-i.用戶訪問網絡必須通過授權,拒絕非授權用戶的訪問”作為其控制目標之一。“M1-i”數據挖掘的數據來源主要有日志等,本部分截取網絡日志對“M1-i”下數據挖掘流程的設計進行舉例分析。
假設某中觀信息系統在2011年4月20日18時至22時有如下一段日志記錄。
(1) “Sep 20 19:23:06 UNIX login[1015]:FAILED LOGIN 3 FROM(null) FOR wanghua”
(2) “Sep 20 19:51:57 UNIX―zhangli[1016]:LOGIN ON Pts/1 BY zhangli FROM 172.161.11.49”
(3) “Sep 20 20:01:19 UNIX login[1017]:FAILED LOGIN 1 FROM(null) FOR wanghua”
(4) “Sep 20 20:17:23 UNIX―wanyu [1018]:LOGIN ON Pts/2 BY wanyu FROM 172.161.11.342”
(5) “Sep 20 21:33:20 UNIX―wanghua [1019]:LOGIN ON Pts/5 BY wanghua FROM 191.34.25.17”
(6) “Sep 20 21:34:39 UNIX su(pam――unix)[1020]:session opened for user root by wanghua (uid=5856)”
… … …
選取上述日志作為數據庫,以前文“控制目標Xi”下數據挖掘的6個過程為范本,可以設計“M1-i.用戶訪問網絡必須通過授權,拒絕非授權用戶的訪問”下的審計證據挖掘流程。該挖掘流程的設計至少包括如下思路:a.選取“授權用戶”作為挖掘的“特征字段”,篩選出“非授權用戶”的日志數據;b.以a為基礎,以“LOGIN ON Pts BY 非授權用戶”作為 “特征字段”進行挖掘;c.以a為基礎,選取“opened … by …”作為“特征字段”實施挖掘。假如日志庫中只有wanghua為非授權用戶,則a將會挖出(1)(3)(5)(6),b會挖出(5),c將會挖掘出(6)。通過對(5)與(6)嫌疑日志的分析以及“M1-i”挖掘流程的建立,IT審計師就能夠得出被審系統的“訪問控制”存在固有風險,且wanghua已經享有了授權用戶權限的結論。
參考文獻:
[1]王會金,劉國城.COBIT及在中觀經濟主體信息系統審計的應用[J].審計研究,2009(1):5862.
[2]陽杰,莊明來,陶黎娟.基于COBIT的會計業務流程控制[J].審計與經濟研究,2009(2):7886.
[3]張文秀,齊興利.基于COBIT的信息系統審計框架研究[J].南京審計學院學報,2010(5):2934.
[4]謝羽霄,邱晨旭.基于COBIT的電信企業信息技術內部控制研究[J].電信科學,2009(7):3035.
[5]黃溶冰,王躍堂.商業銀行信息化進程中審計風險與控制[J].經濟問題探索,2008(2):134137.
[6]金文,張金城.基于COBIT的信息系統控制管理與審計[J].審計研究,2005(4):7579.
[7]陳安,陳寧.數據挖掘技術與應用[M].北京:科學工業出版社,2006.
[8]李也白,唐輝.基于改進的PE-tree的頻繁模式挖掘算法[J].計算機應用,2011(1):101104.
[9]鄧勇,王汝傳.基于網格服務的分布式數據挖掘[J].計算機工程與應用,2010(8):610.
[10]肖偉平,何宏.基于遺傳算法的數據挖掘方法及應用[J].湖南科技大學學報,2009(9):8286.
[11]孫強.信息系統審計[M].北京:機械工業出版社,2003.
[12]蘇新寧,楊建林.數據挖掘理論與技術[M]. 北京:科學技術出版社,2003.
Risk Control System of MesoInformation System Audit:From the Perspective of COBIT Framework of Date Mining Technology
WANG Huijin
(Nanjing Audit University, Nanjing 211815, China)
