前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇審計風(fēng)險防范論文范文，相信會為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

審計風(fēng)險防范論文范文第1篇

一、問題的提出

通常而言，在非理想社會運行狀態(tài)下，契約是非完全合約。我們也可以合理推論，會計師事務(wù)所與其員工(包括合伙人)簽訂的勞動用工契約也是非完全合約。在合約的實際簽訂中，會計師事務(wù)所應(yīng)用的契約多是要式合約，即契約往往是某地區(qū)勞動局按照國家法律法規(guī)的規(guī)定而制定的具有相對比較固定條款和格式的書面合約。顯而易見，這種契約缺少會計師事務(wù)所所固有的勞動用工特征，在一定程度上將帶來不可估量的審計風(fēng)險，使得審計成本無限放大。雖然我們可以通過外生的約束力量來控制，比如通過審計人員對自己出具的審計報告簽字從而負相應(yīng)的法律責(zé)任，但當其無需簽字時，這時候?qū)徲嬋藛T的約束更多的只能依賴職業(yè)道德因素。特別是在審計實務(wù)中，審計外勤負責(zé)人不簽字的現(xiàn)象是比較普遍的。本文擬就此進行分析并提出解決方案。

為了更好地分析問題，本文按照會計師事務(wù)所運行的三級審核制架構(gòu)提出研究的基本假設(shè)條件：

(1)所有合伙人都擁有該會計師事務(wù)所，而且都是該會計師事務(wù)所的實際經(jīng)營者；

(2)合伙人和主管某審計項目的負責(zé)人(部門經(jīng)理)都在審計報告中簽字；

(3)審計外勤負責(zé)人不在他所審計的項目報告中簽字；

(4)審計外勤負責(zé)人知悉其所審計項目中的所有重大事項；

(5)審計外勤負責(zé)人的助理人員不可能隱瞞審計重大事項。

二、會計師事務(wù)所中非完全合約產(chǎn)生的原因

假設(shè)我們可以推知，由于會計師事務(wù)所勞動用工合約的不完全性，會計師事務(wù)所一般存在兩層風(fēng)險比較大的委托關(guān)系合約。

第一層委托關(guān)系合約是A，即會計師事務(wù)所與合伙人之間形成的委托關(guān)系合約。一方面雖然從理論上說，會計師事務(wù)所屬于合伙人，但需要強調(diào)的是會計師事務(wù)所屬于全體合伙人而不屬于單個的合伙人。然而單個合伙人又恰恰是某個審計項目的經(jīng)營者。這就存在由于合伙人之間的風(fēng)險偏好不同導(dǎo)致合伙人之間的不同行為。例如某審計事項實際上風(fēng)險是比較大的，但該合伙人卻認為該事項風(fēng)險可以接受，并私自決斷而不提交給合伙人委員會或類似機構(gòu)討論，最后該事項卻引發(fā)了整個會計師事務(wù)所的信譽危機。于是其他非當事合伙人卻不得不被動地搭這趟苦澀的便車。

從另一方面分析，單個合伙人作為一個理性經(jīng)濟人，對于其所擁有的會計師事務(wù)所應(yīng)盡心盡力，盡量避免風(fēng)險。但從經(jīng)濟學(xué)角度上說，合伙人對于自我的行為，作為風(fēng)險偏好者，只是用效用最大化來替代利潤最大化，這種替代收益與費用由他享有和承擔(dān)。但由于事務(wù)所特殊的組織框架，其他合伙人在無形中承擔(dān)了部分溢出風(fēng)險。因為，畢竟公司章程或合伙人協(xié)議等合約不可能是完美無缺的，而且我國很多會計師事務(wù)所都是改制而來，起始就可能存在著事業(yè)單位遺留下來的后遺癥，很多合約簽定是利益妥協(xié)的產(chǎn)物，這也積聚了非完全合約所致使的審計風(fēng)險。

第二層委托關(guān)系合約是B、C、D，即委托方--會計師事務(wù)所、合伙人、部門經(jīng)理與方--審計外勤負責(zé)人之間形成的委托關(guān)系合約。由于審計外勤負責(zé)人直接面對客戶，因而對客戶的經(jīng)營成果和各種信息的擁有，相對于會計師事務(wù)所其他人而言，是最完備的。如果審計外勤負責(zé)人能力素質(zhì)低下，或者存在故意敗德行為等，甚至與被審計單位管理當局合謀隱瞞重要審計事項而出具虛假審計報告，而此時委托方由于信息不對稱完全不知曉，那么會計師事務(wù)所的審計質(zhì)量就存在巨大的控制真空，相應(yīng)的潛在審計風(fēng)險就凸顯出來。特別是對審計外勤負責(zé)人缺乏強有力的剛性契約約束時，他就可能存在逃避責(zé)任的機會主義行為，甚至把審計風(fēng)險成本全部轉(zhuǎn)嫁到會計師事務(wù)所和合伙人身上。

可見，會計師事務(wù)所非完全合約所隱藏的風(fēng)險是很大的。其中引起會計師事務(wù)所合約的非完全性主要原因如下：

1.人類的有限理性。由于人類在神經(jīng)生理和語言方面的局限性以及外在事物的不確定性、復(fù)雜性，雖然從事經(jīng)濟活動中的人在愿望上是追求理性的，但會計師事務(wù)所對員工所從事的審計活動的故意消極性不可能全面預(yù)見。而且，審計風(fēng)險表現(xiàn)形式多種多樣，即使再高明的管理者也不可能在合約中對員工的審計活動進行完善的細化。自然這就肇始了合約的不完全性。當然，這除了人的思維和行為是有限理性外，還與交易成本息息相關(guān)。

2.交易成本的存在。在會計師事務(wù)所的員工合約中描述大量外在的隨機狀況要耗費大量成本。如果把這種情況細化，描述員工在審計時所應(yīng)遵守的行為標準等特性，或者合約當事人各方為此必然采取行動，都需要花費成本。而且當勞動合約的限制條款太多，可能阻止某些業(yè)務(wù)精專、品德高尚的人才進入注冊會計師行業(yè)，就會產(chǎn)生劣幣驅(qū)逐良幣的現(xiàn)象。這就可能與初衷背道而馳，甚至阻礙會計師事務(wù)所的良性發(fā)展。正因為博弈雙方完善合約可能要耗費大量交易成本。會計師事務(wù)所及其員工只好作次優(yōu)選擇，省略與主要情況相關(guān)條款，使之處于模糊狀態(tài)。這種不完備的合約卻從一開始就累積了后發(fā)審計風(fēng)險。

3.非對稱信息。根據(jù)非對稱信息理論，市場上買賣雙方各自掌握的信息是有差異的，通常供方是有較完全的信息，需方有不完全的信息。在這種情況下，有信息優(yōu)勢的一方就希望通過輸出對自己有利的信息使自己獲利，從而存在機會主義行為。這在會計師事務(wù)所的合約中其實是內(nèi)生的非對稱信息，即會計師事務(wù)所在合約簽訂后無法完備地觀察和監(jiān)督到審計人員的所有行為。也就是在合約中，無法推測審計人員在合約后的行為而導(dǎo)致信息不對稱。另外，在合伙人之間，正是因為信息的非對稱而使合伙人對風(fēng)險的判斷產(chǎn)生差異，直接導(dǎo)致了會計師事務(wù)所第一層委托關(guān)系的形成。

4.違約成本低廉。由于審計外勤負責(zé)人沒有簽字承擔(dān)責(zé)任的約束，他就有可能存在逆向選擇和道德風(fēng)險，甚至與管理當局合謀增大會計師事務(wù)所的風(fēng)險，但他可能獲得大量造假收益。如果事件敗露，在目前的市場和文化環(huán)境中，受到的處罰可能僅是被會計師事務(wù)所解雇。可見，合約的不完全性造成違約成本非常低廉，甚至?xí)T致某些審計人員鋌而走險。

5.對合約認識的局限性。絕大部分會計師事務(wù)所簽定的合約只是把勞動局所制作的要式合約直接運用，而對要式合約中的可自由發(fā)揮的部分視而不見。例如深圳經(jīng)濟特區(qū)勞動合同書，其中第九條第三款和第十一條就分別有如下文句：“雙方另外約定以下違約責(zé)任(空白)、雙方認為需要約定的其他事項或?qū)υ瓕l款需要變更重新約定的事項(空白)。”會計師事務(wù)所本來可利用這兩條彈性款項進一步完善合約，但大部分合約雙方都是一叉了事，沒有發(fā)揮合約應(yīng)有的作用。正是缺乏對合約效力的充分認識，從而在某種意義上先天決定了合約的非完全性。

三、不完全合約所產(chǎn)生的審計風(fēng)險防范

鑒于在中國目前所存在的經(jīng)濟發(fā)展環(huán)境，注冊會計師的執(zhí)業(yè)門檻很低，行業(yè)人員良莠不齊，那么通過合約的完善來對審計人員進行約束就顯得很必要了。但在注冊會計師實務(wù)中，這方面常常被忽略，會計師事務(wù)所通常很少關(guān)注用勞動合約去約束審計人員的行為，而過多地依賴職業(yè)道德。既然會計師事務(wù)所存在兩層風(fēng)險比較大的委托關(guān)系合約，則我們可以根據(jù)不完全合約產(chǎn)生的原因提出相應(yīng)的解決方案。

(一)對于第一層委托關(guān)系合約

1.建立審計風(fēng)險硬性約束機制。會計師事務(wù)所各合伙人應(yīng)統(tǒng)一認識，建立以風(fēng)險基礎(chǔ)審計模式，對審計風(fēng)險的評估盡可能數(shù)量化。特別是會計師事務(wù)所應(yīng)對審計重要性水平，按不同客戶、不同資產(chǎn)分門別類的確定重要性金額，以便各合伙人在一個相對固定的重要性水平上確定應(yīng)提交給合伙人委員會討論的重大事項。同時，因為審計重要性受到以往審計經(jīng)驗、相關(guān)法規(guī)、客戶的經(jīng)營規(guī)模和業(yè)務(wù)性質(zhì)、內(nèi)部控制與審計風(fēng)險的評估結(jié)果以及會計報表各項目金額性質(zhì)等多種因素的影響，所以各會計師事務(wù)所在制定本所的重要性水平時，應(yīng)盡量遵循謹慎性原則。對另外一些與金額無關(guān)，但性質(zhì)非常重要的非期望出現(xiàn)的錯報和漏報，如管理層舞弊等，則可以采取列舉法，把可能發(fā)生的性質(zhì)嚴重影響審計報告的事項分類列舉出來，形成條款，并可以在會計師事務(wù)所與合伙人之間的合約中提及，以便合伙人不因偶然的疏忽而鑄成大的審計風(fēng)險后果。通過對審計重要性水平的相對書面化，使合伙人的風(fēng)險偏好形式化，從而更好地規(guī)范審計風(fēng)險控制，而不因個人偏好因子影響整個會計師事務(wù)所的聲譽。

2.會計師事務(wù)所實行合伙制。由于有些名義上的合伙事務(wù)所實際上工商登記的是有限責(zé)任制，使得外部環(huán)境約束合伙人的資源減少。真正的合伙制度可以使得合伙人的審計行為更為謹慎，每一個合伙人都有互相監(jiān)督的意識。因為每個合伙人都要對其他合伙人的業(yè)務(wù)活動負責(zé)，每個合伙人也就有互相監(jiān)督的內(nèi)在動機。這種相互監(jiān)督增強了單個合伙人的風(fēng)險意識，而承擔(dān)無限責(zé)任的巨大風(fēng)險更是使合伙人對審計風(fēng)險更加敏感。因而，如果要降低第一層委托制度的成本，根本的解決方案是實行中國會計師事務(wù)所第二次改制，把有限責(zé)任制改為合伙制，以避免由于會計師事務(wù)所先天不足造成合約的非完全性而衍生審計風(fēng)險。

(二)對于第二層委托關(guān)系合約

1.完善相關(guān)法律。由于目前注冊會計師執(zhí)業(yè)環(huán)境不好，因為有必要通過法規(guī)對審計外勤負責(zé)人的審計行為作出約束，規(guī)定審計外勤負責(zé)人也需要對其所審計的項目承擔(dān)一定的相應(yīng)責(zé)任。如果行為特別惡劣，則可以規(guī)定已經(jīng)有該種行為的人為財務(wù)審計職位的市場禁入者，當他被解雇后，其再尋找職位的成本無窮大，從而加大審計外勤負責(zé)人的違規(guī)成本。

2.完善勞動合約。在會計師事務(wù)所與審計人員簽訂審計勞動合約時，雙方可以充分討論，并盡量挖掘合約剛性約束潛力，以便在風(fēng)險收益中相互求得最佳平衡點。從而做到合約既可以盡可能降低審計風(fēng)險，又能夠吸引優(yōu)秀人才加盟會計師事務(wù)所。

審計風(fēng)險防范論文范文第2篇

(一)企業(yè)應(yīng)加強內(nèi)部控制

隨著市場經(jīng)濟的深入發(fā)展,企業(yè)逐步成為自主經(jīng)營、自我約束、自我發(fā)展、自我完善的商品生產(chǎn)者和經(jīng)營者。在“優(yōu)勝劣汰、適者生存”的市場經(jīng)濟中,企業(yè)要想真正的做到“自主經(jīng)營、自我約束、自我發(fā)展、自我完善”,必須要加強內(nèi)部控制,建立有效、完善的內(nèi)部控制制度,這樣才能在一個絕對的高度上,對企業(yè)進行高瞻遠矚的控制,才能做出與時俱進的決策。

(二)內(nèi)部審計是企業(yè)內(nèi)部監(jiān)督機制的重要組成部分

內(nèi)部審計也是企業(yè)內(nèi)部控制的一個重要的組成部分,是監(jiān)督內(nèi)部控制其他環(huán)節(jié)的主要力量。內(nèi)部審計通過對控制環(huán)境和控制程序的有效性進行監(jiān)督,評估企業(yè)的內(nèi)部控制是否被執(zhí)行,是否及時反饋有關(guān)執(zhí)行結(jié)果的信息,是否幫助企業(yè)更有效地實現(xiàn)預(yù)期控制目標。同時,在監(jiān)控過程中,內(nèi)部審計可以促進控制環(huán)境的建立和改善,為改進控制制度提供建設(shè)性的意見,為企業(yè)建立健全所需要的內(nèi)部控制水平服務(wù)。在內(nèi)部控制的監(jiān)督過程中,內(nèi)部審計發(fā)揮著越來越重要的作用。

二、內(nèi)部審計在防范信息系統(tǒng)風(fēng)險中面臨的問題

(一)信息系統(tǒng)安全管理機制不健全

企業(yè)信息系統(tǒng)風(fēng)險的存在,很多是由于管理不善或控制不嚴造成的。一方面,缺乏一套統(tǒng)一的安全策略體系來指導(dǎo)安全管理工作,無法建立系統(tǒng)內(nèi)部明確、全面的安全規(guī)范要求。從現(xiàn)有管理制度規(guī)范來看,主要存在的問題是可操作性差,條理不清、重疊或遺漏等;另一方面,現(xiàn)有安全管理制度的管理對象基本是網(wǎng)絡(luò)系統(tǒng)管理員等技術(shù)部人員,管理對象沒有全面涵蓋所有信息系統(tǒng)技術(shù)相關(guān)人員,包括所有網(wǎng)絡(luò)系統(tǒng)上的內(nèi)部終端人員和外部人員。

(二)內(nèi)部審計在信息系統(tǒng)風(fēng)險防范中的角色缺乏獨立性

內(nèi)部審計的角色發(fā)生了轉(zhuǎn)變。從傳統(tǒng)的事后審計而逐漸轉(zhuǎn)向事前和事中審計,主動參與內(nèi)部控制系統(tǒng)的建立和完善。內(nèi)部審計人員即承擔(dān)著評價硬件和應(yīng)用信息系統(tǒng)安全的任務(wù),如果又同時有參與了系統(tǒng)的開發(fā)和實施過程,那么內(nèi)部審計人員就卻乏獨立性。反之,如果處于對喪失獨立性的擔(dān)心,內(nèi)部審計人員有可能會拒絕參與系統(tǒng)和軟件的開發(fā),那么系統(tǒng)開發(fā)過程中存在的風(fēng)險又無法得到控制。

(三)內(nèi)審部門技術(shù)力量薄弱造成對信息系統(tǒng)審計形成風(fēng)險

審計稽核部門的技術(shù)力量薄弱,不熟悉業(yè)務(wù)系統(tǒng)的流程和功能,對信息系統(tǒng)缺乏必要的認證能力和標準。突出表現(xiàn)為以下幾個方面:一是實施審計稽核的手段和方法沒有得到及時更新,不適應(yīng)信息系統(tǒng)管理的要求,大部分仍停留在手工審計階段;二是審計稽核部門對計算機賬務(wù)系統(tǒng)實施審計的依據(jù)僅依賴于被審計單位提供的打印資料或事后資料,計算機賬務(wù)的真實性審計很難得到保證。

三、加強風(fēng)險防范的措施和對策

(一)構(gòu)建信息系統(tǒng)安全管理組織及規(guī)范體系

加強信息系統(tǒng)的自我風(fēng)險評估體系,讓信息系統(tǒng)的管理和技術(shù)人員在自身的職責(zé)范圍之內(nèi)正確識別和評估潛在操作風(fēng)險,主要包括內(nèi)控制度的查漏補缺、工作流程的整理和規(guī)范、應(yīng)急預(yù)案完善和演練等。同時加強對操作人員的管理,規(guī)范操作程序。一是加強密碼管理,明確規(guī)定操作人員的權(quán)限,操作員必須在規(guī)定的權(quán)限內(nèi)辦理業(yè)務(wù),用戶口令及密碼必須專人專用,嚴禁公開口令及密碼;二是要建立健全操作員崗位目標責(zé)任制,對網(wǎng)絡(luò)操作人員要明確目標任務(wù),規(guī)范操作程序,嚴格落實獎懲制度。三是要嚴格崗位設(shè)置,不相容職務(wù)進行分離。嚴禁系統(tǒng)管理人員、網(wǎng)絡(luò)技術(shù)人員、程序開發(fā)人員和前臺操作人員混崗、代崗或一人多崗。四是要加強系統(tǒng)內(nèi)部的稽核監(jiān)督檢查?；吮O(jiān)督應(yīng)貫穿于網(wǎng)絡(luò)操作的全過程,重點是加強對系統(tǒng)設(shè)計開發(fā)、內(nèi)控管理制度落實、操作運行等方面的(二)關(guān)注信息系統(tǒng)的穩(wěn)定性、安全性和有效性審計

首先,審計人員應(yīng)運用用一定的技術(shù)方法識別系統(tǒng)的完整性,該過程包括檢查、測試、評估系統(tǒng)的內(nèi)制,以保證系統(tǒng)的穩(wěn)定性;其次,審計人員應(yīng)評價系統(tǒng)存在的風(fēng)險和可能產(chǎn)生的后果將成為審計的核心工作和基本內(nèi)容,保證信息系統(tǒng)的安全性。應(yīng)根據(jù)審計的標準和準則,評價控制環(huán)境的和IT基礎(chǔ)設(shè)施的安全,確保系統(tǒng)滿足組織的業(yè)務(wù)需要,保護信息資產(chǎn)的安全完整,以防非授權(quán)使用、泄露、修改、損壞或丟失;最后,還應(yīng)鑒別信息系統(tǒng)的有效性。內(nèi)部審計必須理解并熟悉操作環(huán)境,了解系統(tǒng)技術(shù)的復(fù)雜性及其對決策的影響;對來自內(nèi)部的安全隱患,采用一定的方法進行系統(tǒng)診斷、檢驗、測試,評價其有效性及效率,以支持組織業(yè)務(wù)目標的實現(xiàn)

(三)改善內(nèi)審機構(gòu),提高內(nèi)審人員素質(zhì),培養(yǎng)信息系統(tǒng)審計師

為了信息系統(tǒng)的安全、可靠與有效,由獨立于審計對象的信息系統(tǒng)審計師,以第三方的客觀立場對以計算機為核心的信息系統(tǒng)進行綜合的檢查與評價。信息系統(tǒng)審計師也稱lS審計師或IT審計師,是指那些既通曉信息系統(tǒng)的軟件和硬件(包括信息系統(tǒng)的開發(fā)、運營、維護、管理和安全等),又熟悉經(jīng)濟管理的內(nèi)部審計人才。

(四)聘請專家進行協(xié)助

內(nèi)部審計人員的知識、技能和經(jīng)驗雖然有助于信息系統(tǒng)的風(fēng)險防御,但現(xiàn)實中必須承認,在企業(yè)中同時具備計算機技術(shù)和審計專業(yè)知識的人才非常短缺。再出色的內(nèi)部審計人員可能面臨一些系統(tǒng)內(nèi)的專業(yè)問題卻無法解決,因此有必要聘請外部專家?？梢酝ㄟ^專家的協(xié)助測試運用其專業(yè)技能測試系統(tǒng)安全,進一步防范和解決信息系統(tǒng)風(fēng)險的存在。

論文關(guān)鍵詞:內(nèi)部審計信息系統(tǒng)風(fēng)險防范

論文摘要:內(nèi)部控制是社會經(jīng)濟發(fā)展到一定階段的產(chǎn)物,其內(nèi)容在不斷的發(fā)展與變化,而內(nèi)部審計是內(nèi)部監(jiān)督機制的重要組成部分。目前計算機信息系統(tǒng)已在企業(yè)中廣泛使用,而在內(nèi)部審計過程中如何加強計算機信息系統(tǒng)的風(fēng)險防范,是企業(yè)內(nèi)部控制過程中迫切需要解決的問題。

企業(yè)信息系統(tǒng)化的運用,原來的手工控制則變?yōu)槭止づc電腦控制相結(jié)合或全部由電腦自動進行控制。計算機信息系統(tǒng)的廣泛使用,與技術(shù)管理相對薄弱和稽核監(jiān)督的長期空白已形成了尖銳的矛盾。信息系統(tǒng)風(fēng)險控制能力差的現(xiàn)狀,迫切需要我們加強風(fēng)險管理和監(jiān)控。

審計風(fēng)險防范論文范文第3篇

摘 要 本文首先對審計風(fēng)險的概念進行了界定,從內(nèi)部和外部兩個方面分析了我國會計師事務(wù)所審計風(fēng)險產(chǎn)生的原因,并針對這些原因提出了會計師事務(wù)所防范審計風(fēng)險的幾點建議,使會計師事務(wù)所在執(zhí)業(yè)過程中加強對審計風(fēng)險的控制,從而使整個社會的審計業(yè)務(wù)更加規(guī)范和健康地發(fā)展。

關(guān)鍵詞 審計風(fēng)險 風(fēng)險控制 會計師事務(wù)所

隨著現(xiàn)代審計業(yè)務(wù)的日益復(fù)雜,審計項目的風(fēng)險水平越來越高。審計風(fēng)險的存在必然會使會計師事務(wù)所發(fā)生風(fēng)險損失,因此,實施審計風(fēng)險管理顯得尤為重要。加強審計風(fēng)險的管理和控制,對我國的會計師事務(wù)所提高審計質(zhì)量,降低審計責(zé)任,增強自身的競爭力具有非常重要的意義。

一、審計風(fēng)險的概念

審計風(fēng)險是指當財務(wù)報表存在重大錯誤或漏報,注冊會計師對其進行審計后發(fā)表不恰當審計意見的可能性。對于盈虧自負、風(fēng)險自擔(dān)的會計師事務(wù)所來說,既要在激烈的市場競爭中招攬業(yè)務(wù),又要防范審計業(yè)務(wù)可能帶來的審計風(fēng)險,這就使對審計風(fēng)險的防范和控制成為會計師事務(wù)所的核心問題。

二、會計師事務(wù)所審計風(fēng)險產(chǎn)生的原因

會計師事務(wù)所審計風(fēng)險的產(chǎn)生由很多因素造成,以下從外部原因和內(nèi)部原因兩個方面來探討我國會計師事務(wù)所審計風(fēng)險產(chǎn)生的原因。

(一)外部原因

1.我國的法制體系不完善

改革開放以來,盡管我國在審計立法上取得了很大的發(fā)展并形成了一套審計法制體系,但隨著社會主義市場經(jīng)濟的發(fā)展,審計執(zhí)法過程中某些方面仍無法可依,另外,一些舊的審計法律法規(guī)已經(jīng)不能適應(yīng)新形勢的發(fā)展而需做出修改。這種情況加大了相關(guān)部門審計監(jiān)督的難度,也加大了會計師事務(wù)所的審計風(fēng)險。

2.被審計單位內(nèi)部控制制度方面的原因

企業(yè)在經(jīng)營管理時必須遵守成本收益原則,無論做出什么決策都必須考慮成本與收益的關(guān)系。企業(yè)實行內(nèi)部控制固然能夠減少會計處理過程中錯弊的發(fā)生,降低會計師事務(wù)所的審計風(fēng)險,提高審計效率,但如果內(nèi)部控制的成本超過了發(fā)生錯弊時造成的損失,企業(yè)管理人員便會想盡一切辦法減少控制程序,這就使內(nèi)部控制總會存在一定的缺陷。

(二)內(nèi)部原因

1.審計收費比較低

目前,我國會計師事務(wù)所的審計收費普遍較低。如果會計師事務(wù)所的審計收費過低,就會迫使事務(wù)所和注冊會計師采用一些方法來降低審計成本,比如簡化審計程序、減少業(yè)務(wù)人員、縮短審計時間等。這種做法勢必會導(dǎo)致審計質(zhì)量的降低和審計風(fēng)險的增大。審計費用太低,會計師事務(wù)所就不可能花費大量人力和物力去審計某一項目,審計質(zhì)量就不可能提高。

2.缺乏獨立性

實際中,事務(wù)所的聘用、續(xù)聘和費用支付等相關(guān)事項多是由企業(yè)管理層來決定的。也就是說,公司管理層可按其意愿來選擇事務(wù)所,這也決定了注冊會計師在出具審計報告時可能不得不考慮管理層的意見,審計的獨立性得不到保障。會計師事務(wù)所喪失了獨立性,到處受到四周環(huán)境的限制,當然就不能出具公正客觀的審計意見。

3.審計方法的落后

《中國注冊會計師獨立審計準則》提出了運用風(fēng)險基礎(chǔ)審計方法的要求。然而在實踐中審計方法仍停留在賬項基礎(chǔ)審計向制度基礎(chǔ)審計過渡的階段,許多審計項目的大小都是由注冊會計師依靠主觀來判斷的。同時,審計中廣泛采用的抽樣技術(shù)只限于抽樣審計,并不能發(fā)現(xiàn)財務(wù)報表中的全部錯誤,這會導(dǎo)致某些隱蔽較好的欺詐極難偵破。由于審計成本的限制,又迫使注冊會計師不得不放棄部分審計程序,會喪失應(yīng)有的職業(yè)謹慎,難以做到全面的審計工作,風(fēng)險自然由此而生。

三、審計風(fēng)險的防范對策

為了防范審計風(fēng)險,會計師事務(wù)所可以從以下幾方面來加以控制,盡最大努力拒審計風(fēng)險于門外。

(一)保持獨立性

注冊會計師執(zhí)行審計或其他鑒定業(yè)務(wù)時,應(yīng)當保持形式上和實質(zhì)上的獨立。只有保持了獨立性后,會計師事務(wù)所和注冊會計師在執(zhí)行具體的審計業(yè)務(wù)時才不會受到被審計單位的影響,才能更好地出具客觀公正的審計影響。審計獨立性是會計師事務(wù)所和注冊會計師在執(zhí)業(yè)過程中必須遵守的最重要的原則。只有保證了審計獨立性后,才能降低審計風(fēng)險的產(chǎn)生。

(二)改革審計方法

現(xiàn)時國內(nèi)的審計方法,主要是采用賬項基礎(chǔ)審計或制度基礎(chǔ)審計的模式,審計的整個過程主要集中在期末余額的細節(jié)測試,進行抽樣測試時,審計人員沒有什么可以依據(jù)的科學(xué)方法,往往只憑自己的經(jīng)驗任意抽樣而缺乏客觀性。這種習(xí)慣性做法,往往會讓有意舞弊者有機可乘。面對這種狀況,會計師事務(wù)所要學(xué)會轉(zhuǎn)換思考角度,改變傳統(tǒng)的審計理念和方法,樹立現(xiàn)代的審計意識、技術(shù)和方法,降低審計風(fēng)險。

(三)謹慎選擇客戶

謹慎地選擇客戶也是會計師事務(wù)所防范審計風(fēng)險的一個重要措施。對于那些可能存在重大經(jīng)營風(fēng)險或公司管理層舞弊風(fēng)險等高審計風(fēng)險的公司,會計師事務(wù)所要慎重考慮是否接受其委托。在接受一個新客戶時,應(yīng)先做一個風(fēng)險評估報告,當風(fēng)險較高時就要多加留意,有時寧愿放棄該項審計收入。但也不能因為風(fēng)險的存在就不敢承接客戶,會計師事務(wù)所可以通過客戶風(fēng)險評估報告,識別風(fēng)險領(lǐng)域,采取相應(yīng)的措施加以降低審計風(fēng)險。

參考文獻:

[1]呂繼英.王竹南會計師事務(wù)所審計風(fēng)險的防范與控制.Economic and Trade Update.2008(6).

審計風(fēng)險防范論文范文第4篇

論文摘要：現(xiàn)代風(fēng)險導(dǎo)向?qū)徲嬍菍鹘y(tǒng)審計方式的突破和創(chuàng)新，是內(nèi)部審計發(fā)展的最新動向。企業(yè)推行現(xiàn)代風(fēng)險導(dǎo)向?qū)徲嫞軐?nèi)部審計自身的職能與企業(yè)的目標有機地結(jié)合起來，充分發(fā)揮內(nèi)部審計在企業(yè)風(fēng)險管理中的重要作用。本文在闡明現(xiàn)代風(fēng)險導(dǎo)向?qū)徲嬒嚓P(guān)概念的基礎(chǔ)上，進一步闡述了企業(yè)內(nèi)部審計開展現(xiàn)代風(fēng)險導(dǎo)向?qū)徲嫷谋匾砸约艾F(xiàn)代風(fēng)險導(dǎo)向?qū)徲嫷膶嵤?nbsp;

 

一、什么是現(xiàn)代風(fēng)險導(dǎo)向?qū)徲?nbsp;

風(fēng)險導(dǎo)向?qū)徲嬍窃谫~項基礎(chǔ)審計、制度基礎(chǔ)審計的基礎(chǔ)上產(chǎn)生的，現(xiàn)代風(fēng)險導(dǎo)向?qū)徲嫯a(chǎn)生的主要標志是：2003年10月，國際審計和鑒證準則委員會(iaasb)對審計風(fēng)險準則進行了修訂，并執(zhí)行新的風(fēng)險導(dǎo)向模型“審計風(fēng)險=重大錯報風(fēng)險x檢查風(fēng)險”，我國在2006年2月對審計準則進行大幅度調(diào)整，將傳統(tǒng)審計風(fēng)險模型修改為新的審計風(fēng)險模型?，F(xiàn)代風(fēng)險導(dǎo)向?qū)徲嬍且韵到y(tǒng)論和戰(zhàn)略管理理論為指導(dǎo)，以降低信息風(fēng)險為根本目的，以控制審計業(yè)務(wù)風(fēng)險為中心，以降低審計風(fēng)險為根本途徑，以經(jīng)營風(fēng)險的分析評估為導(dǎo)向，采用“自上而下，自下而上”審計思路的一種審計方法。 

二、對現(xiàn)代風(fēng)險導(dǎo)向?qū)徲嫳举|(zhì)的認識 

(一)現(xiàn)代風(fēng)險導(dǎo)向?qū)徲嬍且环N新的審計基本方法。傳統(tǒng)審計風(fēng)險模型的審計方法實質(zhì)上仍然是制度基礎(chǔ)審計方法的延伸，它從分析客戶會計報表的固有風(fēng)險和內(nèi)部控制風(fēng)險著手，根據(jù)內(nèi)部控制測試的結(jié)果決定實質(zhì)性測試的性質(zhì)、時間和范圍。而現(xiàn)代風(fēng)險導(dǎo)向?qū)徲媱t是從企業(yè)的戰(zhàn)略分析入手，通過“戰(zhàn)略分析——環(huán)節(jié)分析——會計報表剩余風(fēng)險分析”的基本思路，決定實質(zhì)性審計程序的性質(zhì)、時間和范圍，并建立了企業(yè)會計報表風(fēng)險與企業(yè)戰(zhàn)略風(fēng)險之間的邏輯聯(lián)系，使這一方法更科學(xué)、更有效。 

(二)現(xiàn)代風(fēng)險導(dǎo)向?qū)徲嬣饤壛藗鹘y(tǒng)審計簡化主義的認知模式，代之以復(fù)雜系統(tǒng)的認知模式，并引入戰(zhàn)略管理分析工具?，F(xiàn)代風(fēng)險導(dǎo)向?qū)徲嫷乃伎挤椒ㄊ窍到y(tǒng)理論所指導(dǎo)的復(fù)雜系統(tǒng)認知模式。審計要有效地把握會計報表的錯報風(fēng)險，就必須從企業(yè)的戰(zhàn)略管理活動著手分析，對戰(zhàn)略管理活動進行分析，必須將企業(yè)置于廣泛的經(jīng)濟網(wǎng)絡(luò)中進行系統(tǒng)分析。從方法論上講，現(xiàn)代風(fēng)險導(dǎo)向?qū)徲嬕葌鹘y(tǒng)的制度基礎(chǔ)審計站得更高，看得更遠，對企業(yè)了解得更透。 

(三)現(xiàn)代風(fēng)險導(dǎo)向?qū)徲嬤\用“自上而下”和“自下而上”相結(jié)合的審計思路。它運用“自上而下”，“自下而上”相結(jié)合的手段，對會計報表錯報風(fēng)險做出合理的專業(yè)判斷，要從企業(yè)的戰(zhàn)略管理分析入手，通過經(jīng)營風(fēng)險導(dǎo)向和嚴密的邏輯推理，一步一步地推導(dǎo)和落實審計的范圍和重點，確定相關(guān)的審計目標和審計程序。通過實施審計程序及取證的結(jié)果，并結(jié)合重要性的判斷，歸納和判斷整個會計報表的風(fēng)險并形成最終的審計意見。 

三、現(xiàn)代風(fēng)險導(dǎo)向內(nèi)部審計的理解 

內(nèi)部審計下的現(xiàn)代風(fēng)險導(dǎo)向?qū)徲嬆壳吧袩o統(tǒng)一的定義。第一種觀點認為，把社會審計中的現(xiàn)代風(fēng)險導(dǎo)向?qū)徲嬤\用于內(nèi)部審計就是現(xiàn)代風(fēng)險導(dǎo)向內(nèi)部審計，即內(nèi)部審計人員立足于對審計風(fēng)險的分析和評價，并以此為出發(fā)點，制定審計計劃，實施審計行為的一種審計方法。第二種觀點認為，現(xiàn)代風(fēng)險導(dǎo)向內(nèi)部審計是指內(nèi)審人員在審計過程自始至終都關(guān)注企業(yè)風(fēng)險(不是審計風(fēng)險)，依據(jù)風(fēng)險選擇項目，識別風(fēng)險，測試管理者降低風(fēng)險的方法，并以企業(yè)風(fēng)險為中心做審計報告，協(xié)助企業(yè)管理風(fēng)險。 

而從第二種觀點的描述上看，所謂的“風(fēng)險”不是單純意義的“審計風(fēng)險”，在更大意義上是指企業(yè)在生產(chǎn)經(jīng)營過程中面臨的各種企業(yè)風(fēng)險。由此可見，此時的內(nèi)部審計已經(jīng)成為結(jié)合內(nèi)部審計和風(fēng)險管理的一種有效工具，審計計劃與公司最高層的風(fēng)險戰(zhàn)略連接在一起，內(nèi)部審計人員通過對當前的風(fēng)險分析確保其審計計劃與經(jīng)營計劃相一致，將風(fēng)險管理原則貫穿于審計的全過程，內(nèi)部審計重點不再是測試控制，而是確認風(fēng)險及測試管理風(fēng)險。用這種觀點來界定風(fēng)險導(dǎo)向內(nèi)部審計，會與內(nèi)部審計具體準則對審計風(fēng)險的定義相背。 

筆者認為，在現(xiàn)有準則下，以第一種觀點作為現(xiàn)代風(fēng)險導(dǎo)向內(nèi)部審計比較恰當，而第二種觀點與其說是現(xiàn)代風(fēng)險導(dǎo)向內(nèi)部審計，還不如說是企業(yè)風(fēng)險管理中的內(nèi)部審計作用。 

四、現(xiàn)代風(fēng)險導(dǎo)向?qū)徲嬤\用于內(nèi)部審計的必要性及其實施 

我們姑且不去定論現(xiàn)代風(fēng)險導(dǎo)向內(nèi)部審計的定義，但是在內(nèi)部審計中實施現(xiàn)代風(fēng)險導(dǎo)向?qū)徲嫾仁腔诮档蛯徲嬶L(fēng)險，又是為降低企業(yè)經(jīng)營風(fēng)險，進行風(fēng)險管理的一種有效工具。 

(一)內(nèi)部審計實施現(xiàn)代風(fēng)險導(dǎo)向?qū)徲嫷谋匾?nbsp;

隨著內(nèi)部審計的監(jiān)督職能向服務(wù)管理職能的轉(zhuǎn)變，企業(yè)需要內(nèi)部審計對整體的風(fēng)險管理、內(nèi)部控制及治理程序提供有效的審計監(jiān)督和建設(shè)性評價，以幫助企業(yè)控制風(fēng)險，實現(xiàn)目標。因此，內(nèi)部審計不應(yīng)停留在傳統(tǒng)審計模式上，而應(yīng)在此基礎(chǔ)上進一步開展現(xiàn)代風(fēng)險導(dǎo)向?qū)徲嫞瑢㈥P(guān)口前移，充分發(fā)揮預(yù)警性作用。綜上所述，在企業(yè)內(nèi)部審計中實施現(xiàn)代風(fēng)險導(dǎo)向?qū)徲嬘兄浅Ｖ匾默F(xiàn)實意義。 

(二)現(xiàn)代風(fēng)險導(dǎo)向?qū)徲嬙趦?nèi)部審計中的運用 

1.準確確定審計的重點和范圍。運用現(xiàn)代風(fēng)險導(dǎo)向?qū)徲嬂碚摚瑥姆治鲲L(fēng)險入手，準確確定審計的重點和范圍，在審計準備階段，就加大防范力度，即通過對被審計單位基本情況的了解和分析性測試的結(jié)果，充分關(guān)注被審單位的特殊風(fēng)險，確定總體審計風(fēng)險概率和評估的重大錯報風(fēng)險概率，將審計風(fēng)險減少到最小程度，確保內(nèi)部審計能夠發(fā)現(xiàn)業(yè)務(wù)經(jīng)營活動中的重大違法違規(guī)問題及存在的風(fēng)險隱患，達到實現(xiàn)防范風(fēng)險的目的。 

2.以《內(nèi)部審計實務(wù)標準》為指導(dǎo)，執(zhí)行現(xiàn)代風(fēng)險導(dǎo)向?qū)徲嫷某绦颍癸L(fēng)險管理與內(nèi)部審計程序之間協(xié)調(diào)一致，產(chǎn)生協(xié)同增效的作用。一是在制定審計計劃時，針對可能影響風(fēng)險評估的基礎(chǔ)，制定審計計劃，確定審計項目。二是編制審計方案時，在評估風(fēng)險優(yōu)先次序的基礎(chǔ)上安排審計工作。三是確定審計范圍時，要考慮并反映整個企業(yè)的戰(zhàn)略性計劃目標，每年對審計范圍進行一次評估，以反映最新戰(zhàn)略和方針。四是在審計實施過程中，通過評價內(nèi)部控制制度，查找其中的疏漏和薄弱環(huán)節(jié)。五是在編制審計報告時，應(yīng)對風(fēng)險管理狀況進行評價，指出風(fēng)險管理中存在的漏洞和不足，提出加強管理的建議。六是以風(fēng)險大小作為確定追蹤審計范圍的重要因素。 

3.實施控制測試和實質(zhì)性測試。現(xiàn)代風(fēng)險導(dǎo)向?qū)徲嫃娬{(diào)從宏觀上對風(fēng)險進行評估，但并不是說可以忽視微觀層面的操作風(fēng)險。因此，應(yīng)繼續(xù)實施內(nèi)部控制測試，并分析重點，實施實質(zhì)性測試。在控制測試和實質(zhì)性測試兩階段中，審計資源的合理配置是關(guān)鍵，也是風(fēng)險導(dǎo)向?qū)徲嬂碚摰某霭l(fā)點與歸宿。因此，應(yīng)結(jié)合重大風(fēng)險各因素的綜合分析與判斷，將審計資源向重點風(fēng)險領(lǐng)域傾斜，以實現(xiàn)“全面審計、突出重點”，在提高審計效率與效果的同時，強化企業(yè)風(fēng)險管理。 

4.實現(xiàn)審計手段電子化，提高審計工作質(zhì)量。一要運用計算機技術(shù)，進行內(nèi)部控制風(fēng)險的評估，確定標準內(nèi)部控制的模型，并經(jīng)常調(diào)整、完善，以提高內(nèi)部控制風(fēng)險的評估效率及其準確性。二要運用計算機軟件進行分析性測試，提高分析的速度和準確性，擴展分析的范圍。三要運用計算機進行統(tǒng)計抽樣，避免人工抽樣檢查的不足，有效降低審計風(fēng)險。四要構(gòu)建完整的審計信息系統(tǒng)，推進風(fēng)險導(dǎo)向?qū)徲嬇c非現(xiàn)場審計有機結(jié)合，提高內(nèi)部審計的質(zhì)量和效率。 

(三)內(nèi)部審計實施現(xiàn)代風(fēng)險導(dǎo)向?qū)徲嫷拇胧?nbsp;

現(xiàn)代風(fēng)險導(dǎo)向?qū)徲嬆Ｊ绞菫檫m應(yīng)企業(yè)經(jīng)營高風(fēng)險的特點而產(chǎn)生的，同時也是為量化審計風(fēng)險、減輕審計責(zé)任、提高審計效率和質(zhì)量的一種審計方法。為加強現(xiàn)代風(fēng)險導(dǎo)向?qū)徲嬙趦?nèi)部審計中的運用，筆者認為要從以下幾方面努力： 

1.建立內(nèi)部控制評價的新模式。在現(xiàn)代風(fēng)險導(dǎo)向?qū)徲嬛?，?nèi)部審計更加關(guān)心的問題主要是：控制風(fēng)險的目標是什么，控制要解決的問題，這種控制是否先進有效，控制風(fēng)險有多大，是否影響管理當局的決策等。隨著市場競爭的加劇，新的審計環(huán)境要求審計人員應(yīng)通過與企業(yè)管理層進行有效溝通的方式，采用新的評價模式，為企業(yè)提供更有價值的服務(wù)。 

2.加強內(nèi)部審計工作的實效性。在審計技術(shù)方面，風(fēng)險分析和計算機應(yīng)用甚少，由此降低了審計工作效率。因此，內(nèi)部審計在轉(zhuǎn)變目標定位，樹立管理理念的同時，更要重視審計工作的實效性，以確保審計建議的落實。 

3.提高內(nèi)部審計人員的素質(zhì)。對企業(yè)而言，需要界定風(fēng)險范圍、理順風(fēng)險責(zé)任、建立風(fēng)險模型和風(fēng)險防范機制，這就是要靠實施現(xiàn)代風(fēng)險導(dǎo)向?qū)徲嬜叱鲆粭l迎接風(fēng)險、化解風(fēng)險之路。因此要求內(nèi)審人員都應(yīng)懂得風(fēng)險語言，加強風(fēng)險意識和風(fēng)險管理技能，提高內(nèi)審人員對風(fēng)險的敏感度，以風(fēng)險為導(dǎo)向做好內(nèi)部審計工作。 

五、結(jié)束語 

企業(yè)內(nèi)部審計開展現(xiàn)代風(fēng)險導(dǎo)向?qū)徲嬍莾?nèi)部審計的必然發(fā)展趨勢，既是職業(yè)自身發(fā)展的需要，也是當前形勢發(fā)展的需要。企業(yè)內(nèi)部審計堅持開展對企業(yè)風(fēng)險管理過程的充分性和有效性的檢查、評價和報告，促進企業(yè)改進管理、實現(xiàn)目標和增加價值，無疑是企業(yè)內(nèi)部的一種最好資源。在實踐中，尚無完整的模式可參照執(zhí)行，即使有關(guān)現(xiàn)代風(fēng)險導(dǎo)向內(nèi)部審計的準則出臺后，也需要在實踐中不斷完善。因此，內(nèi)部審計師在現(xiàn)階段，應(yīng)首先接受現(xiàn)代風(fēng)險導(dǎo)向?qū)徲嫷睦砟?，在?zhí)行過程中，將風(fēng)險評估貫穿審計的全過程，不斷探索現(xiàn)代風(fēng)險導(dǎo)向?qū)徲嫷姆椒?，將審計風(fēng)險降低到最低可接受水平。 

 

參考文獻： 

[1]馬文成,王有良.基于風(fēng)險導(dǎo)向?qū)徲嫷膬?nèi)部審計創(chuàng)新研究[j].會計師,2009(06). 

[2]聶海斌.風(fēng)險導(dǎo)向?qū)徲嬙趹?yīng)用中的問題及完善[j].當代經(jīng)濟,2009(16). 

[3]汪壽成.現(xiàn)代風(fēng)險導(dǎo)向?qū)徲媅m].大連出版社,2009. 

[4]汪文文.論新形勢下的風(fēng)險導(dǎo)向?qū)徲媅j].經(jīng)濟研究導(dǎo)刊,2009(04). 

審計風(fēng)險防范論文范文第5篇

［作者簡介］王會金（1962― ），男，浙江東陽人，南京審計學(xué)院副校長，教授，博士，從事信息系統(tǒng)審計研究。

［摘 要］當前，我國急需一套完善的中觀信息系統(tǒng)審計風(fēng)險控制體系。這是因為我國的中觀經(jīng)濟主體在控制信息系統(tǒng)審計風(fēng)險時需要一套成熟的管理流程，且國家有關(guān)部門在制定信息系統(tǒng)審計風(fēng)險防范標準方面也需要完善的控制體系作為支撐。在闡述COBIT與數(shù)據(jù)挖掘基本理論的基礎(chǔ)上，借鑒COBIT框架，構(gòu)建中觀信息系統(tǒng)審計風(fēng)險的明細控制框架，利用數(shù)據(jù)挖掘技術(shù)有針對性地探索每一個明細標準的數(shù)據(jù)挖掘路徑，創(chuàng)建挖掘流程，建立適用于我國中觀經(jīng)濟特色的信息系統(tǒng)審計風(fēng)險控制體系。

［關(guān)鍵詞］中觀信息系統(tǒng)審計；COBIT框架；數(shù)據(jù)挖掘；風(fēng)險控制；中觀審計

［中圖分類號］F239.4 ［文獻標識碼］A ［文章編號］10044833(2012)01001608

中觀信息系統(tǒng)審計是中觀審計的重要組成部分，它從屬于中觀審計與信息系統(tǒng)審計的交叉領(lǐng)域。中觀信息系統(tǒng)審計是指IT審計師依據(jù)特定的規(guī)范，運用科學(xué)系統(tǒng)的程序方法，對中觀經(jīng)濟主體信息系統(tǒng)的運行規(guī)程與應(yīng)用政策所實施的一種監(jiān)督活動，旨在增強中觀經(jīng)濟主體特定信息網(wǎng)絡(luò)的有效性、安全性、機密性與一致性[1]。與微觀信息系統(tǒng)相比，中觀信息系統(tǒng)功能更為復(fù)雜，且區(qū)域內(nèi)紛亂的個體間存在契約關(guān)系。中觀信息系統(tǒng)的復(fù)雜性主要體現(xiàn)在跨越單個信息系統(tǒng)邊界，參與者之間在信息技術(shù)基礎(chǔ)設(shè)施水平、信息化程度和能力上存在差異，參與者遵循一定的契約規(guī)則，依賴通信網(wǎng)絡(luò)支持，對安全性的要求程度很高等方面。中觀信息系統(tǒng)審計風(fēng)險是指IT審計師在對中觀信息系統(tǒng)進行審計的過程中,由于受到某些不確定性因素的影響,而使審計結(jié)論與經(jīng)濟事實不符，從而受到相關(guān)關(guān)系人指控或媒體披露并遭受經(jīng)濟損失以及聲譽損失的可能性。中觀信息系統(tǒng)審計風(fēng)險控制的研究成果能為我國大型企業(yè)集團、特殊的經(jīng)濟聯(lián)合體等中觀經(jīng)濟主體保持信息系統(tǒng)安全提供強有力的理論支持與實踐指導(dǎo)。

一、 相關(guān)理論概述與回顧

（一） COBIT

信息及相關(guān)技術(shù)的控制目標（簡稱COBIT）由美國信息系統(tǒng)審計與控制協(xié)會（簡稱ISACA）頒布，是最先進、最權(quán)威的安全與信息技術(shù)管理和控制的規(guī)范體系。COBIT將IT過程、IT資源及信息與企業(yè)的策略及目標聯(lián)系于一體，形成一個三維的體系框架。COBIT框架主要由執(zhí)行工具集、管理指南、控制目標和審計指南四個部分組成，它主要是為管理層提供信息技術(shù)的應(yīng)用構(gòu)架。COBIT對信息及相關(guān)資源進行規(guī)劃與處理，從信息技術(shù)的規(guī)劃與組織、采集與實施、交付與支持以及監(jiān)控等四個方面確定了34個信息技術(shù)處理過程。

ISACA自1976年COBIT1.0版以來，陸續(xù)頒布了很多版本，最近ISACA即將COBIT5.0版。ISACA對COBIT理論的研究已趨于成熟，其思路逐步由IT審計師的審計工具轉(zhuǎn)向IT內(nèi)部控制框架，再轉(zhuǎn)向從高管層角度來思考IT治理。大多數(shù)國際組織在采納COSO框架時，都同時使用COBIT控制標準。升陽電腦公司等大型國際組織成功應(yīng)用COBIT優(yōu)化IT投資。2005年，歐盟也選擇將COBIT作為其審計準則。國內(nèi)學(xué)者對COBIT理論的研究則以借鑒為主，如陽杰、張文秀等學(xué)者解讀了COBIT基本理論及其評價與應(yīng)用方法[23]；謝羽霄、黃溶冰等學(xué)者嘗試將COBIT理論應(yīng)用于銀行、會計、電信等不同的信息系統(tǒng)領(lǐng)域[45]。我國信息系統(tǒng)審計的研究目前正處于起步階段，因而將COBIT理論應(yīng)用于信息系統(tǒng)的研究也不夠深入。王會金、劉國城研究了COBIT理論在中觀信息系統(tǒng)重大錯報風(fēng)險評估中的運用，金文、張金城研究了信息系統(tǒng)控制與審計的模型[1，6]。

（二） 數(shù)據(jù)挖掘

數(shù)據(jù)挖掘技術(shù)出現(xiàn)于20世紀80年代，該技術(shù)引出了數(shù)據(jù)庫的知識發(fā)現(xiàn)理論，因此，數(shù)據(jù)挖掘又被稱為“基于數(shù)據(jù)庫的知識發(fā)現(xiàn)(KDD)”。1995年，在加拿大蒙特利爾召開的首屆KDD & Date Mining 國際學(xué)術(shù)會議上，學(xué)者們首次正式提出數(shù)據(jù)挖掘理論[7]。當前，數(shù)據(jù)挖掘的定義有很多，但較為公認的一種表述是：“從大型數(shù)據(jù)庫中的數(shù)據(jù)中提取人們感興趣的知識。這些知識是隱含的、事先未知的潛在有用信息，提取的知識表現(xiàn)為概念、規(guī)則、規(guī)律、模式等形式。數(shù)據(jù)挖掘所要處理的問題就是在龐大的數(shù)據(jù)庫中尋找有價值的隱藏事件，加以分析，并將有意義的信息歸納成結(jié)構(gòu)模式，供有關(guān)部門在進行決策時參考?！盵7]1995年至2010年，KDD國際會議已經(jīng)舉辦16次；1997年至2010年，亞太PAKDD會議已經(jīng)舉辦14次，眾多會議對數(shù)據(jù)挖掘的探討主要圍繞理論、技術(shù)與應(yīng)用三個方面展開。

目前國內(nèi)外學(xué)者對數(shù)據(jù)挖掘的理論研究已趨于成熟。亞太PAKDD會議主辦方出版的論文集顯示，2001年至2007年僅7年時間共有32個國家與地區(qū)的593篇會議論文被論文集收錄。我國學(xué)者在數(shù)據(jù)挖掘理論的研究中取得了豐碩的成果，具體表現(xiàn)在兩個方面：一是挖掘算法的縱深研究。李也白、唐輝探索了頻繁模式挖掘進展，鄧勇、王汝傳研究了基于網(wǎng)絡(luò)服務(wù)的分布式數(shù)據(jù)挖掘，肖偉平、何宏研究了基于遺傳算法的數(shù)據(jù)挖掘方法[810]。二是數(shù)據(jù)挖掘的應(yīng)用研究。我國學(xué)者對于數(shù)據(jù)挖掘的應(yīng)用研究也積累了豐富的成果，并嘗試將數(shù)據(jù)挖掘技術(shù)應(yīng)用于醫(yī)學(xué)、通訊、電力、圖書館、電子商務(wù)等諸多領(lǐng)域。2008年以來，僅在中國知網(wǎng)查到的關(guān)于數(shù)據(jù)挖掘應(yīng)用研究的核心期刊論文就多達476篇。近年來，國際軟件公司也紛紛開發(fā)數(shù)據(jù)挖掘工具，如SPSS Clementine等。同時，我國也開發(fā)出數(shù)據(jù)挖掘軟件，如上海復(fù)旦德門公司開發(fā)的Dminer,東北大學(xué)軟件中心開發(fā)的Open Miner等。2000年以來，我國學(xué)者將數(shù)據(jù)挖掘應(yīng)用于審計的研究成果很多，但將數(shù)據(jù)挖掘應(yīng)用于信息系統(tǒng)審計的研究成果不多，且主要集中于安全審計領(lǐng)域具體數(shù)據(jù)挖掘技術(shù)的應(yīng)用研究。

二、 中觀信息系統(tǒng)審計風(fēng)險控制體系的構(gòu)想

本文將中觀信息系統(tǒng)審計風(fēng)險控制體系（圖1）劃分為以下三個層次。

（一） 第一層次：設(shè)計中觀信息系統(tǒng)審計風(fēng)險的控制框架與明細控制標準

中觀信息系統(tǒng)審計的對象包括信息安全、數(shù)據(jù)中心運營、技術(shù)支持服務(wù)、災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)、績效與容量、基礎(chǔ)設(shè)施、硬件管理、軟件管理、數(shù)據(jù)庫管理、系統(tǒng)開發(fā)、變革管理、問題管理、網(wǎng)絡(luò)管理、中觀系統(tǒng)通信協(xié)議與契約規(guī)則等共計14個主要方面[11]。中觀信息系統(tǒng)審計風(fēng)險控制體系的第一層次是根據(jù)COBIT三維控制框架設(shè)計的。這一層次需要構(gòu)架兩項內(nèi)容：（1）中觀信息系統(tǒng)審計風(fēng)險的控制框架。該控制框架需要完全融合COBIT理論的精髓，并需要考慮COBIT理論的每一原則、標準、解釋及說明。該控制框架由14項風(fēng)險防范因子組成，這14個因子必須與中觀信息系統(tǒng)審計的14個具體對象相對應(yīng)。框架中的每一個因子也應(yīng)該形成與自身相配套的風(fēng)險控制子系統(tǒng)，且子系統(tǒng)應(yīng)該包含控制的要素、結(jié)構(gòu)、種類、目標、遵循的原則、執(zhí)行概要等內(nèi)容。（2）中觀信息系統(tǒng)審計風(fēng)險的明細控制標準。控制框架中的14項風(fēng)險防范因子需要具備與自身相對應(yīng)的審計風(fēng)險明細控制規(guī)則，IT審計師只有具備相應(yīng)的明細規(guī)范，才能在中觀信息系統(tǒng)審計實施過程中擁有可供參考的審計標準。每個因子的風(fēng)險控制標準的設(shè)計需要以COBIT三維控制框架為平臺，以4個域、34個高層控制目標、318個明細控制目標為準繩。

（二） 第二層次：確定風(fēng)險控制框架下的具體挖掘流程以及風(fēng)險控制的原型系統(tǒng)

第一層次構(gòu)建出了中觀信息系統(tǒng)審計風(fēng)險控制的明細標準Xi（i∈1n）。在第一層次的基礎(chǔ)上，第二層次需要借助于數(shù)據(jù)挖掘技術(shù)，完成兩個方面的工作。一是針對Xi，設(shè)計適用于Xi自身特性的數(shù)據(jù)挖掘流程。這一過程的完成需要數(shù)據(jù)資料庫的支持，因而，中觀經(jīng)濟主體在研討Xi明細控制標準下的數(shù)據(jù)挖掘流程時，必須以多年積累的信息系統(tǒng)控制與審計的經(jīng)歷為平臺，建立適用于Xi的主題數(shù)據(jù)庫。針對明細標準Xi的內(nèi)在要求以及主題數(shù)據(jù)庫的特點，我們就可以選擇數(shù)據(jù)概化、統(tǒng)計分析、聚類分析等眾多數(shù)據(jù)挖掘方法中的一種或若干種，合理選取特征字段，分層次、多角度地進行明細標準Xi下的數(shù)據(jù)挖掘?qū)嶒灒偨Y(jié)挖掘規(guī)律，梳理挖掘流程。二是將適用于Xi的n個數(shù)據(jù)挖掘流程體系完善與融合，開發(fā)針對本行業(yè)的中觀信息系統(tǒng)審計風(fēng)險控制的原型系統(tǒng)。原型系統(tǒng)是指系統(tǒng)生命期開始階段建立的，可運行的最小化系統(tǒng)模型。此過程通過對n個有關(guān)Xi的數(shù)據(jù)挖掘流程的融合，形成體系模型，并配以詳細的說明與解釋。對該模型要反復(fù)驗證，多方面關(guān)注IT審計師對該原型系統(tǒng)的實際需求，盡可能與IT審計師一道對該原型系統(tǒng)達成一致理解。

（三） 第三層次：整合前兩個步驟，構(gòu)建中觀信息系統(tǒng)風(fēng)險控制體系

第三層次是對第一層次與第二層次的整合。第三層次所形成的中觀信息系統(tǒng)風(fēng)險控制體系包括四部分內(nèi)容：（1）中觀信息系統(tǒng)審計風(fēng)險控制框架；（2）中觀信息系統(tǒng)審計風(fēng)險控制參照標準；（3）中觀信息系統(tǒng)審計風(fēng)險控制明細標準所對應(yīng)的數(shù)據(jù)挖掘流程集；（4）目標行業(yè)的中觀信息系統(tǒng)審計風(fēng)險控制的原型系統(tǒng)。在此過程中，對前三部分內(nèi)容，需要歸納、驗證、總結(jié)，并形成具有普遍性的中觀審計風(fēng)險控制的書面成果；對第四部分內(nèi)容，需要在對原型系統(tǒng)進行反復(fù)調(diào)試的基礎(chǔ)上將其開發(fā)成軟件，以形成適用于目標行業(yè)不同組織單位的“軟性”成果。在設(shè)計中觀信息系統(tǒng)風(fēng)險控制體系的最后階段，需要遵循控制體系的前三部分內(nèi)容與第四部分內(nèi)容相互一致、相互補充的原則。相互一致表現(xiàn)在控制體系中的框架、明細控制標準、相關(guān)控制流程與原型系統(tǒng)中的設(shè)計規(guī)劃、屬項特征、挖掘原則相協(xié)調(diào)；相互補充表現(xiàn)在控制體系中的框架、明細控制標準及相關(guān)控制流程是IT審計師在中觀信息系統(tǒng)審計中所參照的一般理念，而原型系統(tǒng)可為IT審計師提供審計結(jié)論測試、理念指導(dǎo)測試以及驗證結(jié)論。 三、 COBIT框架對中觀信息系統(tǒng)審計風(fēng)險控制的貢獻

（一） COBIT框架與中觀信息系統(tǒng)審計風(fēng)險控制的契合分析

現(xiàn)代審計風(fēng)險由重大錯報風(fēng)險與檢查風(fēng)險兩個方面組成，與傳統(tǒng)審計風(fēng)險相比，現(xiàn)代審計風(fēng)險拓展了風(fēng)險評估的范圍，要求考慮審計客體所處的行業(yè)風(fēng)險。但從微觀層面看，傳統(tǒng)審計風(fēng)險與現(xiàn)代審計風(fēng)險的主要內(nèi)容都包括固有風(fēng)險、控制風(fēng)險與檢查風(fēng)險。COBIT框架與中觀信息系統(tǒng)審計風(fēng)險控制的契合面就是中觀信息系統(tǒng)的固有風(fēng)險與控制風(fēng)險。中觀信息系統(tǒng)的固有風(fēng)險是指“假定不存在內(nèi)部控制情況下，中觀信息系統(tǒng)存在嚴重錯誤或不法行為的可能性”；中觀信息系統(tǒng)的控制風(fēng)險是指“內(nèi)部控制體系未能及時預(yù)防某些錯誤或不法行為，以致使中觀信息系統(tǒng)依然存在嚴重錯誤或不法行為的可能性”；中觀信息系統(tǒng)的檢查風(fēng)險是指“因IT審計師使用不恰當?shù)膶徲嫵绦?，未能發(fā)現(xiàn)已經(jīng)存在重大錯誤的可能性”。IT審計師若想控制中觀信息系統(tǒng)的審計風(fēng)險，必須從三個方面著手：（1）對不存在內(nèi)部控制的方面，能夠辨別和合理評價被審系統(tǒng)的固有風(fēng)險；（2）對存在內(nèi)部控制的方面，能夠確認內(nèi)部控制制度的科學(xué)性、有效性、健全性，合理評價控制風(fēng)險；（3）IT審計師在中觀信息系統(tǒng)審計過程中，能夠更大程度地挖掘出被審系統(tǒng)“已經(jīng)存在”的重大錯誤。我國信息系統(tǒng)審計的理論研究起步較晚，IT審計師在分辨被審系統(tǒng)固有風(fēng)險，確認控制風(fēng)險，將檢查風(fēng)險降低至可接受水平三個方面缺乏成熟的標準加以規(guī)范，因此我國的中觀信息系統(tǒng)審計還急需一套完備的流程與指南 當前我國有四項信息系統(tǒng)審計標準，具體為《審計機關(guān)計算機輔助審計辦法》、《獨立審計具體準則第20號――計算機信息系統(tǒng)環(huán)境下的審計》、《關(guān)于利用計算機信息系統(tǒng)開展審計工作有關(guān)問題的通知》（88號文件）以及《內(nèi)部審計具體準則第28號――信息系統(tǒng)審計》。。

圖2 中觀信息系統(tǒng)審計風(fēng)險的控制框架與控制標準的設(shè)計思路

COBIT框架能夠滿足IT審計師的中觀信息系統(tǒng)審計需求，其三維控制體系，4個控制域、34個高層控制目標、318個明細控制目標為IT審計師辨別固有風(fēng)險，分析控制風(fēng)險，降低檢查風(fēng)險提供了絕佳的參照樣板與實施指南。COBIT控制框架的管理理念、一般原則完全可以與中觀信息系統(tǒng)審計風(fēng)險的控制實現(xiàn)完美契合。通過對COBIT框架與中觀信息系統(tǒng)審計的分析，筆者認為COBIT框架對中觀信息系統(tǒng)審計風(fēng)險控制的貢獻表現(xiàn)在三個方面（見圖2）：（1）由COBIT的管理指南，虛擬中觀信息系統(tǒng)的管理指南，進而評價中觀主體對自身信息系統(tǒng)的管理程度。COBIT的管理指南由四部分組成，其中成熟度模型用來確定每一控制階段是否符合行業(yè)與國際標準，關(guān)鍵成功因素用來確定IT程序中最需要控制的活動，關(guān)鍵目標指標用來定義IT控制的目標績效水準，關(guān)鍵績效指標用來測量IT控制程序是否達到目標。依據(jù)COBIT的管理指南，IT審計師可以探尋被審特定系統(tǒng)的行業(yè)與國際標準、IT控制活動的重要性層次、IT控制活動的目標績效水平以及評價IT控制活動成效的指標，科學(xué)地擬定被審系統(tǒng)的管理指南。（2）由COBIT的控制目標，構(gòu)建中觀信息系統(tǒng)的控制目標體系，進而評價中觀信息系統(tǒng)的固有風(fēng)險與檢查風(fēng)險。COBIT的控制目標包括高層域控制、中層過程控制、下層任務(wù)活動控制三個方面，其中，高層域控制由規(guī)劃與組織、獲取與實施、交付與支持以及監(jiān)控四部分組成，中層控制過程由“定義IT戰(zhàn)略規(guī)劃”在內(nèi)的34個高層控制目標組成，下層任務(wù)活動控制由318個明細控制目標組成。COBIT的控制目標融合了“IT標準”、“IT資源”以及被審系統(tǒng)的“商業(yè)目標”，為IT審計師實施中觀信息系統(tǒng)審計風(fēng)險控制提供了層級控制體系與明細控制目標。IT審計師可以直接套用COBIT的控制層級與目標擬定中觀信息系統(tǒng)管理與控制的層級控制體系以及明細控制目標，然后再進一步以所擬定的明細控制目標作為參照樣板，合理評判中觀信息系統(tǒng)的固有風(fēng)險與控制風(fēng)險。中觀信息系統(tǒng)中“域”、“高層”、“明細”控制目標的三層結(jié)構(gòu)加強了IT審計師審計風(fēng)險控制的可操作性。（3）由COBIT的審計指南，設(shè)計IT審計師操作指南，進而降低中觀信息系統(tǒng)審計的檢查風(fēng)險。COBIT的審計指南由基本準則、具體準則、執(zhí)業(yè)指南三個部分組成?；緶蕜t規(guī)定了信息系統(tǒng)審計行為和審計報告必須達到的基本要求，為IT審計師制定一般審計規(guī)范、具體審計計劃提供基本依據(jù)。具體準則對如何遵循IT審計的基本標準，提供詳細的規(guī)定、具體說明和解釋，為IT審計師如何把握、評價中觀經(jīng)濟主體對自身系統(tǒng)的控制情況提供指導(dǎo)。執(zhí)業(yè)指南是根據(jù)基本標準與具體準則制定的，是系統(tǒng)審計的操作規(guī)程和方法，為IT審計師提供了審計流程與操作指南。

（二） 中觀信息系統(tǒng)審計風(fēng)險控制體系建設(shè)舉例――構(gòu)建“設(shè)備管理”控制目標體系

前文所述，中觀信息系統(tǒng)審計的對象包括“信息安全”等14項內(nèi)容，本文以“硬件管理”為例，運用COBIT的控制目標，構(gòu)建“硬件管理”的控制目標體系，以利于IT審計師科學(xué)評價“硬件管理”存在的固有風(fēng)險與控制風(fēng)險。“設(shè)備管理”控制目標體系的構(gòu)建思路參見表1。

注：IT標準對IT過程的影響中P表示直接且主要的，S表示間接且次要的；IT過程所涉及的IT資源中C表示涉及；空白表示關(guān)聯(lián)微小。

表1以“設(shè)備管理”為研究對象，結(jié)合COBIT控制框架，并將COBIT框架中與“設(shè)備管理”不相關(guān)的中層控制過程剔除，最終構(gòu)建出“設(shè)備管理”控制的目標體系。該體系由4個域控制目標、21個中層過程控制目標、149個明細控制目標三個層級構(gòu)成，各個層級的關(guān)系見表1。（1）第一層級是域控制，由“P.設(shè)備管理的組織規(guī)劃目標”、“A.設(shè)備管理的獲取與實施目標”、“DS.設(shè)備管理的交付與支持目標”以及“M.設(shè)備管理的監(jiān)控目標”構(gòu)成；（2）第二層級是中層過程控制，由21個目標構(gòu)成，其中歸屬于P的目標5個，歸屬于A的目標3個，歸屬于D的目標9個，歸屬于M的目標4個；（3）第三層級是下層任務(wù)活動控制，由149個明細目標構(gòu)成，該明細目標體系是中層過程控制目標（P、A、DS、M）針對“IT標準”與“IT資源”的進一步細分。IT標準是指信息系統(tǒng)在運營過程中所應(yīng)盡可能實現(xiàn)的規(guī)則，具體包括有效性、效率性、機密性等7項；IT資源是指信息系統(tǒng)在運營過程中所要求的基本要素，具體有人員、應(yīng)用等5項。根據(jù)表1中“有效性”、“人員”等“IT標準”與“IT資源”合計的12個屬項，每個具體中層控制目標都會衍生出多個明細控制目標。例如，中層控制目標“DS13.運營管理”基于“IT標準”與“IT資源”的特點具體能夠演繹出6項明細控制目標，此7項可表述為“DS13-01.利用各項設(shè)備，充分保證硬件設(shè)備業(yè)務(wù)處理與數(shù)據(jù)存取的及時、正確與有效”，“DS13-02.充分保證硬件設(shè)備運營的經(jīng)濟性與效率性，在硬件設(shè)備投入成本一定的情況下，相對加大硬件設(shè)備運營所產(chǎn)生的潛在收益”，“DS13-03.硬件設(shè)備保持正常的運營狀態(tài)，未經(jīng)授權(quán)，不可以改變硬件的狀態(tài)、使用范圍與運營特性，保證設(shè)備運營的完整性”，“DS13-04.設(shè)備應(yīng)該在規(guī)定條件下和規(guī)定時間內(nèi)完成規(guī)定的功能與任務(wù)，保證設(shè)備的可用性”，“DS13-05.硬件設(shè)備運營的參與人員必須具備較高的專業(yè)素質(zhì)，工作中遵循相應(yīng)的行為規(guī)范”以及“DS13-06.工作人員在使用各項硬件設(shè)備時，嚴格遵循科學(xué)的操作規(guī)程，工作中注意對硬件設(shè)備的保護，禁止惡意損壞設(shè)備”。上述三個層級組成了完整的“硬件設(shè)備”控制目標體系，若將中觀信息系統(tǒng)審計的14個對象都建立相應(yīng)的控制目標體系，并將其融合為一體，則將會形成完備的中觀信息系統(tǒng)審計風(fēng)險控制的整體目標體系。

四、 數(shù)據(jù)挖掘技術(shù)對中觀信息系統(tǒng)審計風(fēng)險控制的貢獻

（一） 數(shù)據(jù)挖掘技術(shù)與中觀信息系統(tǒng)審計風(fēng)險控制的融合分析

中觀信息系統(tǒng)是由兩個或兩個以上微觀個體所構(gòu)成的中觀經(jīng)濟主體所屬個體的信息資源，在整體核心控制臺的統(tǒng)一控制下，以Internet為依托，按照一定的契約規(guī)則實施共享的網(wǎng)狀結(jié)構(gòu)式的有機系統(tǒng)。與微觀信息系統(tǒng)比較，中觀信息系統(tǒng)運行復(fù)雜，日志數(shù)據(jù)、用戶操作數(shù)據(jù)、監(jiān)控數(shù)據(jù)的數(shù)量相對龐雜。因而，面對系統(tǒng)海量的數(shù)據(jù)信息，IT審計師針對前文所構(gòu)建的明細控制目標Xi下的審計證據(jù)獲取工作將面臨很多問題，如數(shù)據(jù)信息的消化與吸收、數(shù)據(jù)信息的真假難辨等。而數(shù)據(jù)挖掘可以幫助決策者尋找數(shù)據(jù)間潛在的知識與規(guī)律，并通過關(guān)聯(lián)規(guī)則實現(xiàn)對異常、敏感數(shù)據(jù)的查詢、提取、統(tǒng)計與分析，支持決策者在現(xiàn)有的數(shù)據(jù)信息基礎(chǔ)上進行決策[12]。數(shù)據(jù)挖掘滿足了中觀信息系統(tǒng)審計的需求，當IT審計師對繁雜的系統(tǒng)數(shù)據(jù)一籌莫展時，數(shù)據(jù)挖掘理論中的聚類分析、關(guān)聯(lián)規(guī)則等技術(shù)卻能為中觀信息系統(tǒng)審計的方法提供創(chuàng)新之路。筆者認為，將數(shù)據(jù)挖掘技術(shù)應(yīng)用于前文所述的明細控制目標Xi下審計證據(jù)篩選流程的構(gòu)建是完全可行的。恰當?shù)臄?shù)據(jù)挖掘具體技術(shù)，科學(xué)的特征字段選取，對敏感與異常數(shù)據(jù)的精準調(diào)取，將會提高中觀信息系統(tǒng)審計的效率與效果，進而降低審計風(fēng)險。

（二） 中觀信息系統(tǒng)審計風(fēng)險控制目標Xi下數(shù)據(jù)挖掘流程的規(guī)劃

數(shù)據(jù)挖掘技術(shù)在中觀信息系統(tǒng)審計風(fēng)險控制中的應(yīng)用思路見圖3。

注：數(shù)據(jù)倉庫具體為目標行業(yè)特定中觀經(jīng)濟主體的信息系統(tǒng)數(shù)據(jù)庫

中觀信息系統(tǒng)審計明細控制目標Xi下數(shù)據(jù)挖掘流程設(shè)計具體可分為六個過程：（1）闡明問題與假設(shè)。本部分的研究是在一個特定的應(yīng)用領(lǐng)域中完成的，以“中觀信息系統(tǒng)審計風(fēng)險明細控制目標Xi”為主旨，闡明相關(guān)問題、評估“控制目標Xi”所處的挖掘環(huán)境、詳盡的描述條件假設(shè)、合理確定挖掘的目標與成功標準，這些將是實現(xiàn)“控制目標Xi下”挖掘任務(wù)的關(guān)鍵。（2）數(shù)據(jù)收集。圖3顯示，本過程需要從原始數(shù)據(jù)、Web記錄與日志文件等處作為數(shù)據(jù)源采集數(shù)據(jù)信息，采集后，還需要進一步描述數(shù)據(jù)特征與檢驗數(shù)據(jù)質(zhì)量。所采集數(shù)據(jù)的特征描述主要包括數(shù)據(jù)格式、關(guān)鍵字段、數(shù)據(jù)屬性、一致性，所采集數(shù)據(jù)的質(zhì)量檢驗主要考慮是否滿足“控制目標Xi”下數(shù)據(jù)挖掘的需求，數(shù)據(jù)是否完整，是否存有錯誤，錯誤是否普遍等。（3）數(shù)據(jù)預(yù)處理。該過程是在圖3的“N.異構(gòu)數(shù)據(jù)匯聚數(shù)據(jù)庫”與“U.全局/局部數(shù)據(jù)倉庫”兩個模塊下完成的。N模塊執(zhí)行了整合異構(gòu)數(shù)據(jù)的任務(wù)，這是因為N中的異構(gòu)數(shù)據(jù)庫由不同性質(zhì)的異構(gòu)數(shù)據(jù)組合而成，數(shù)據(jù)屬性、數(shù)據(jù)一致性彼此間可能存在矛盾，故N模塊需要通過數(shù)據(jù)轉(zhuǎn)換與數(shù)據(jù)透明訪問實現(xiàn)異構(gòu)數(shù)據(jù)的共享。U模塊承載著實現(xiàn)數(shù)據(jù)清理、數(shù)據(jù)集成與數(shù)據(jù)格式化的功能?！翱刂颇繕薠i”下的數(shù)據(jù)挖掘技術(shù)實施前，IT審計師需要事先完成清理與挖掘目標相關(guān)程度低的數(shù)據(jù)，將特征字段中的錯誤值剔除以及將缺省值補齊，將不同記錄的數(shù)據(jù)合并為新的記錄值以及對數(shù)據(jù)進行語法修改形成適用于挖掘技術(shù)的統(tǒng)一格式數(shù)據(jù)等系列工作。（4）模型建立。在“V.數(shù)據(jù)挖掘與知識發(fā)現(xiàn)”過程中，選擇與應(yīng)用多種不同的挖掘技術(shù)，校準挖掘參數(shù)，實現(xiàn)最優(yōu)化挖掘?！翱刂颇繕薠i”下的數(shù)據(jù)挖掘技術(shù)可以將分類與聚類分析、關(guān)聯(lián)規(guī)則、統(tǒng)計推斷、決策樹分析、離散點分析、孤立點檢測等技術(shù)相結(jié)合，用多種挖掘技術(shù)檢查同一個“控制目標Xi”的完成程度[12]。選擇挖掘技術(shù)后，選取少部分數(shù)據(jù)對目標挖掘技術(shù)的實用性與有效性進行驗證，并以此為基礎(chǔ)，以參數(shù)設(shè)計、模型設(shè)定、模型描述等方式對U模塊數(shù)據(jù)倉庫中的數(shù)據(jù)開展數(shù)據(jù)挖掘與進行知識發(fā)現(xiàn)。（5）解釋模型。此過程在模塊“W.模式解釋與評價”中完成，中觀信息系統(tǒng)審計風(fēng)險領(lǐng)域?qū)＜遗c數(shù)據(jù)挖掘工程師需要依據(jù)各自的領(lǐng)域知識、數(shù)據(jù)挖掘成功標準共同解釋模塊V，審計領(lǐng)域?qū)＜覐臉I(yè)務(wù)角度討論模型結(jié)果，數(shù)據(jù)挖掘工程師從技術(shù)角度驗證模型結(jié)果。（6）歸納結(jié)論。在“Z.挖掘規(guī)律與挖掘路徑歸納”中，以W模塊為基礎(chǔ)，整理上述挖掘?qū)嵤┻^程，歸納“控制目標Xi”下的挖掘規(guī)律，探究“控制目標Xi”下的挖掘流程，整合“控制目標Xi”（i∈1n）的數(shù)據(jù)挖掘流程體系，并開發(fā)原型系統(tǒng)。

（三） 數(shù)據(jù)挖掘流程應(yīng)用舉例――“訪問控制”下挖掘思路的設(shè)計

如前所述，中觀信息系統(tǒng)審計包括14個對象，其中“網(wǎng)絡(luò)管理”對象包含“訪問管理”等多個方面。結(jié)合COBIT框架下“M1.過程監(jiān)控”與“IT標準-機密性”，“訪問管理”可以將“M1-i.用戶訪問網(wǎng)絡(luò)必須通過授權(quán)，拒絕非授權(quán)用戶的訪問”作為其控制目標之一?！癕1-i”數(shù)據(jù)挖掘的數(shù)據(jù)來源主要有日志等，本部分截取網(wǎng)絡(luò)日志對“M1-i”下數(shù)據(jù)挖掘流程的設(shè)計進行舉例分析。

假設(shè)某中觀信息系統(tǒng)在2011年4月20日18時至22時有如下一段日志記錄。

（1） “Sep 20 19:23:06 UNIX login［1015］：FAILED LOGIN 3 FROM(null) FOR wanghua”

（2） “Sep 20 19:51:57 UNIX―zhangli［1016］：LOGIN ON Pts/1 BY zhangli FROM 172.161.11.49”

（3） “Sep 20 20:01:19 UNIX login［1017］：FAILED LOGIN 1 FROM(null) FOR wanghua”

（4） “Sep 20 20:17:23 UNIX―wanyu ［1018］：LOGIN ON Pts/2 BY wanyu FROM 172.161.11.342”

（5） “Sep 20 21:33:20 UNIX―wanghua ［1019］：LOGIN ON Pts/5 BY wanghua FROM 191.34.25.17”

（6） “Sep 20 21:34:39 UNIX su(pam――unix)［1020］:session opened for user root by wanghua (uid=5856)”

… … …

選取上述日志作為數(shù)據(jù)庫，以前文“控制目標Xi”下數(shù)據(jù)挖掘的6個過程為范本，可以設(shè)計“M1-i.用戶訪問網(wǎng)絡(luò)必須通過授權(quán)，拒絕非授權(quán)用戶的訪問”下的審計證據(jù)挖掘流程。該挖掘流程的設(shè)計至少包括如下思路：a.選取“授權(quán)用戶”作為挖掘的“特征字段”，篩選出“非授權(quán)用戶”的日志數(shù)據(jù)；b.以a為基礎(chǔ)，以“LOGIN ON Pts BY 非授權(quán)用戶”作為 “特征字段”進行挖掘；c.以a為基礎(chǔ)，選取“opened … by …”作為“特征字段”實施挖掘。假如日志庫中只有wanghua為非授權(quán)用戶，則a將會挖出（1）（3）（5）（6），b會挖出（5），c將會挖掘出（6）。通過對（5）與（6）嫌疑日志的分析以及“M1-i”挖掘流程的建立，IT審計師就能夠得出被審系統(tǒng)的“訪問控制”存在固有風(fēng)險，且wanghua已經(jīng)享有了授權(quán)用戶權(quán)限的結(jié)論。

參考文獻：

［1］王會金，劉國城.COBIT及在中觀經(jīng)濟主體信息系統(tǒng)審計的應(yīng)用［J］.審計研究，2009(1):5862.

［2］陽杰，莊明來,陶黎娟.基于COBIT的會計業(yè)務(wù)流程控制［J］.審計與經(jīng)濟研究，2009（2）：7886.

［3］張文秀，齊興利.基于COBIT的信息系統(tǒng)審計框架研究［J］.南京審計學(xué)院學(xué)報，2010(5):2934.

［4］謝羽霄,邱晨旭.基于COBIT的電信企業(yè)信息技術(shù)內(nèi)部控制研究［J］.電信科學(xué),2009(7):3035.

［5］黃溶冰,王躍堂.商業(yè)銀行信息化進程中審計風(fēng)險與控制［J］.經(jīng)濟問題探索,2008(2):134137.

［6］金文,張金城.基于COBIT的信息系統(tǒng)控制管理與審計［J］.審計研究，2005(4):7579.

［7］陳安,陳寧.數(shù)據(jù)挖掘技術(shù)與應(yīng)用［M］.北京：科學(xué)工業(yè)出版社，2006.

［8］李也白,唐輝.基于改進的PE-tree的頻繁模式挖掘算法［J］.計算機應(yīng)用，2011(1):101104.

［9］鄧勇,王汝傳.基于網(wǎng)格服務(wù)的分布式數(shù)據(jù)挖掘［J］.計算機工程與應(yīng)用,2010(8):610.

［10］肖偉平,何宏.基于遺傳算法的數(shù)據(jù)挖掘方法及應(yīng)用［J］.湖南科技大學(xué)學(xué)報，2009(9):8286.

［11］孫強.信息系統(tǒng)審計［M］.北京：機械工業(yè)出版社，2003.

［12］蘇新寧,楊建林.數(shù)據(jù)挖掘理論與技術(shù)［M］. 北京：科學(xué)技術(shù)出版社,2003.

Risk Control System of MesoInformation System Audit:From the Perspective of COBIT Framework of Date Mining Technology

WANG Huijin

（Nanjing Audit University, Nanjing 211815, China）