審計(jì)風(fēng)險(xiǎn)防范論文

前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇審計(jì)風(fēng)險(xiǎn)防范論文范文，相信會(huì)為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

審計(jì)風(fēng)險(xiǎn)防范論文范文第1篇

一、問題的提出

通常而言，在非理想社會(huì)運(yùn)行狀態(tài)下，契約是非完全合約。我們也可以合理推論，會(huì)計(jì)師事務(wù)所與其員工(包括合伙人)簽訂的勞動(dòng)用工契約也是非完全合約。在合約的實(shí)際簽訂中，會(huì)計(jì)師事務(wù)所應(yīng)用的契約多是要式合約，即契約往往是某地區(qū)勞動(dòng)局按照國家法律法規(guī)的規(guī)定而制定的具有相對(duì)比較固定條款和格式的書面合約。顯而易見，這種契約缺少會(huì)計(jì)師事務(wù)所所固有的勞動(dòng)用工特征，在一定程度上將帶來不可估量的審計(jì)風(fēng)險(xiǎn)，使得審計(jì)成本無限放大。雖然我們可以通過外生的約束力量來控制，比如通過審計(jì)人員對(duì)自己出具的審計(jì)報(bào)告簽字從而負(fù)相應(yīng)的法律責(zé)任，但當(dāng)其無需簽字時(shí)，這時(shí)候?qū)徲?jì)人員的約束更多的只能依賴職業(yè)道德因素。特別是在審計(jì)實(shí)務(wù)中，審計(jì)外勤負(fù)責(zé)人不簽字的現(xiàn)象是比較普遍的。本文擬就此進(jìn)行分析并提出解決方案。

為了更好地分析問題，本文按照會(huì)計(jì)師事務(wù)所運(yùn)行的三級(jí)審核制架構(gòu)提出研究的基本假設(shè)條件：

(1)所有合伙人都擁有該會(huì)計(jì)師事務(wù)所，而且都是該會(huì)計(jì)師事務(wù)所的實(shí)際經(jīng)營者；

(2)合伙人和主管某審計(jì)項(xiàng)目的負(fù)責(zé)人(部門經(jīng)理)都在審計(jì)報(bào)告中簽字；

(3)審計(jì)外勤負(fù)責(zé)人不在他所審計(jì)的項(xiàng)目報(bào)告中簽字；

(4)審計(jì)外勤負(fù)責(zé)人知悉其所審計(jì)項(xiàng)目中的所有重大事項(xiàng)；

(5)審計(jì)外勤負(fù)責(zé)人的助理人員不可能隱瞞審計(jì)重大事項(xiàng)。

二、會(huì)計(jì)師事務(wù)所中非完全合約產(chǎn)生的原因

假設(shè)我們可以推知，由于會(huì)計(jì)師事務(wù)所勞動(dòng)用工合約的不完全性，會(huì)計(jì)師事務(wù)所一般存在兩層風(fēng)險(xiǎn)比較大的委托關(guān)系合約。

第一層委托關(guān)系合約是A，即會(huì)計(jì)師事務(wù)所與合伙人之間形成的委托關(guān)系合約。一方面雖然從理論上說，會(huì)計(jì)師事務(wù)所屬于合伙人，但需要強(qiáng)調(diào)的是會(huì)計(jì)師事務(wù)所屬于全體合伙人而不屬于單個(gè)的合伙人。然而單個(gè)合伙人又恰恰是某個(gè)審計(jì)項(xiàng)目的經(jīng)營者。這就存在由于合伙人之間的風(fēng)險(xiǎn)偏好不同導(dǎo)致合伙人之間的不同行為。例如某審計(jì)事項(xiàng)實(shí)際上風(fēng)險(xiǎn)是比較大的，但該合伙人卻認(rèn)為該事項(xiàng)風(fēng)險(xiǎn)可以接受，并私自決斷而不提交給合伙人委員會(huì)或類似機(jī)構(gòu)討論，最后該事項(xiàng)卻引發(fā)了整個(gè)會(huì)計(jì)師事務(wù)所的信譽(yù)危機(jī)。于是其他非當(dāng)事合伙人卻不得不被動(dòng)地搭這趟苦澀的便車。

從另一方面分析，單個(gè)合伙人作為一個(gè)理性經(jīng)濟(jì)人，對(duì)于其所擁有的會(huì)計(jì)師事務(wù)所應(yīng)盡心盡力，盡量避免風(fēng)險(xiǎn)。但從經(jīng)濟(jì)學(xué)角度上說，合伙人對(duì)于自我的行為，作為風(fēng)險(xiǎn)偏好者，只是用效用最大化來替代利潤最大化，這種替代收益與費(fèi)用由他享有和承擔(dān)。但由于事務(wù)所特殊的組織框架，其他合伙人在無形中承擔(dān)了部分溢出風(fēng)險(xiǎn)。因?yàn)椋吘构菊鲁袒蚝匣锶藚f(xié)議等合約不可能是完美無缺的，而且我國很多會(huì)計(jì)師事務(wù)所都是改制而來，起始就可能存在著事業(yè)單位遺留下來的后遺癥，很多合約簽定是利益妥協(xié)的產(chǎn)物，這也積聚了非完全合約所致使的審計(jì)風(fēng)險(xiǎn)。

第二層委托關(guān)系合約是B、C、D，即委托方--會(huì)計(jì)師事務(wù)所、合伙人、部門經(jīng)理與方--審計(jì)外勤負(fù)責(zé)人之間形成的委托關(guān)系合約。由于審計(jì)外勤負(fù)責(zé)人直接面對(duì)客戶，因而對(duì)客戶的經(jīng)營成果和各種信息的擁有，相對(duì)于會(huì)計(jì)師事務(wù)所其他人而言，是最完備的。如果審計(jì)外勤負(fù)責(zé)人能力素質(zhì)低下，或者存在故意敗德行為等，甚至與被審計(jì)單位管理當(dāng)局合謀隱瞞重要審計(jì)事項(xiàng)而出具虛假審計(jì)報(bào)告，而此時(shí)委托方由于信息不對(duì)稱完全不知曉，那么會(huì)計(jì)師事務(wù)所的審計(jì)質(zhì)量就存在巨大的控制真空，相應(yīng)的潛在審計(jì)風(fēng)險(xiǎn)就凸顯出來。特別是對(duì)審計(jì)外勤負(fù)責(zé)人缺乏強(qiáng)有力的剛性契約約束時(shí)，他就可能存在逃避責(zé)任的機(jī)會(huì)主義行為，甚至把審計(jì)風(fēng)險(xiǎn)成本全部轉(zhuǎn)嫁到會(huì)計(jì)師事務(wù)所和合伙人身上。

可見，會(huì)計(jì)師事務(wù)所非完全合約所隱藏的風(fēng)險(xiǎn)是很大的。其中引起會(huì)計(jì)師事務(wù)所合約的非完全性主要原因如下：

1.人類的有限理性。由于人類在神經(jīng)生理和語言方面的局限性以及外在事物的不確定性、復(fù)雜性，雖然從事經(jīng)濟(jì)活動(dòng)中的人在愿望上是追求理性的，但會(huì)計(jì)師事務(wù)所對(duì)員工所從事的審計(jì)活動(dòng)的故意消極性不可能全面預(yù)見。而且，審計(jì)風(fēng)險(xiǎn)表現(xiàn)形式多種多樣，即使再高明的管理者也不可能在合約中對(duì)員工的審計(jì)活動(dòng)進(jìn)行完善的細(xì)化。自然這就肇始了合約的不完全性。當(dāng)然，這除了人的思維和行為是有限理性外，還與交易成本息息相關(guān)。

2.交易成本的存在。在會(huì)計(jì)師事務(wù)所的員工合約中描述大量外在的隨機(jī)狀況要耗費(fèi)大量成本。如果把這種情況細(xì)化，描述員工在審計(jì)時(shí)所應(yīng)遵守的行為標(biāo)準(zhǔn)等特性，或者合約當(dāng)事人各方為此必然采取行動(dòng)，都需要花費(fèi)成本。而且當(dāng)勞動(dòng)合約的限制條款太多，可能阻止某些業(yè)務(wù)精專、品德高尚的人才進(jìn)入注冊(cè)會(huì)計(jì)師行業(yè)，就會(huì)產(chǎn)生劣幣驅(qū)逐良幣的現(xiàn)象。這就可能與初衷背道而馳，甚至阻礙會(huì)計(jì)師事務(wù)所的良性發(fā)展。正因?yàn)椴┺碾p方完善合約可能要耗費(fèi)大量交易成本。會(huì)計(jì)師事務(wù)所及其員工只好作次優(yōu)選擇，省略與主要情況相關(guān)條款，使之處于模糊狀態(tài)。這種不完備的合約卻從一開始就累積了后發(fā)審計(jì)風(fēng)險(xiǎn)。

3.非對(duì)稱信息。根據(jù)非對(duì)稱信息理論，市場上買賣雙方各自掌握的信息是有差異的，通常供方是有較完全的信息，需方有不完全的信息。在這種情況下，有信息優(yōu)勢(shì)的一方就希望通過輸出對(duì)自己有利的信息使自己獲利，從而存在機(jī)會(huì)主義行為。這在會(huì)計(jì)師事務(wù)所的合約中其實(shí)是內(nèi)生的非對(duì)稱信息，即會(huì)計(jì)師事務(wù)所在合約簽訂后無法完備地觀察和監(jiān)督到審計(jì)人員的所有行為。也就是在合約中，無法推測審計(jì)人員在合約后的行為而導(dǎo)致信息不對(duì)稱。另外，在合伙人之間，正是因?yàn)樾畔⒌姆菍?duì)稱而使合伙人對(duì)風(fēng)險(xiǎn)的判斷產(chǎn)生差異，直接導(dǎo)致了會(huì)計(jì)師事務(wù)所第一層委托關(guān)系的形成。

4.違約成本低廉。由于審計(jì)外勤負(fù)責(zé)人沒有簽字承擔(dān)責(zé)任的約束，他就有可能存在逆向選擇和道德風(fēng)險(xiǎn)，甚至與管理當(dāng)局合謀增大會(huì)計(jì)師事務(wù)所的風(fēng)險(xiǎn)，但他可能獲得大量造假收益。如果事件敗露，在目前的市場和文化環(huán)境中，受到的處罰可能僅是被會(huì)計(jì)師事務(wù)所解雇?？梢?，合約的不完全性造成違約成本非常低廉，甚至?xí)T致某些審計(jì)人員鋌而走險(xiǎn)。

5.對(duì)合約認(rèn)識(shí)的局限性。絕大部分會(huì)計(jì)師事務(wù)所簽定的合約只是把勞動(dòng)局所制作的要式合約直接運(yùn)用，而對(duì)要式合約中的可自由發(fā)揮的部分視而不見。例如深圳經(jīng)濟(jì)特區(qū)勞動(dòng)合同書，其中第九條第三款和第十一條就分別有如下文句：“雙方另外約定以下違約責(zé)任(空白)、雙方認(rèn)為需要約定的其他事項(xiàng)或?qū)υ瓕?duì)條款需要變更重新約定的事項(xiàng)(空白)?！睍?huì)計(jì)師事務(wù)所本來可利用這兩條彈性款項(xiàng)進(jìn)一步完善合約，但大部分合約雙方都是一叉了事，沒有發(fā)揮合約應(yīng)有的作用。正是缺乏對(duì)合約效力的充分認(rèn)識(shí)，從而在某種意義上先天決定了合約的非完全性。

三、不完全合約所產(chǎn)生的審計(jì)風(fēng)險(xiǎn)防范

鑒于在中國目前所存在的經(jīng)濟(jì)發(fā)展環(huán)境，注冊(cè)會(huì)計(jì)師的執(zhí)業(yè)門檻很低，行業(yè)人員良莠不齊，那么通過合約的完善來對(duì)審計(jì)人員進(jìn)行約束就顯得很必要了。但在注冊(cè)會(huì)計(jì)師實(shí)務(wù)中，這方面常常被忽略，會(huì)計(jì)師事務(wù)所通常很少關(guān)注用勞動(dòng)合約去約束審計(jì)人員的行為，而過多地依賴職業(yè)道德。既然會(huì)計(jì)師事務(wù)所存在兩層風(fēng)險(xiǎn)比較大的委托關(guān)系合約，則我們可以根據(jù)不完全合約產(chǎn)生的原因提出相應(yīng)的解決方案。

(一)對(duì)于第一層委托關(guān)系合約

1.建立審計(jì)風(fēng)險(xiǎn)硬性約束機(jī)制。會(huì)計(jì)師事務(wù)所各合伙人應(yīng)統(tǒng)一認(rèn)識(shí)，建立以風(fēng)險(xiǎn)基礎(chǔ)審計(jì)模式，對(duì)審計(jì)風(fēng)險(xiǎn)的評(píng)估盡可能數(shù)量化。特別是會(huì)計(jì)師事務(wù)所應(yīng)對(duì)審計(jì)重要性水平，按不同客戶、不同資產(chǎn)分門別類的確定重要性金額，以便各合伙人在一個(gè)相對(duì)固定的重要性水平上確定應(yīng)提交給合伙人委員會(huì)討論的重大事項(xiàng)。同時(shí)，因?yàn)閷徲?jì)重要性受到以往審計(jì)經(jīng)驗(yàn)、相關(guān)法規(guī)、客戶的經(jīng)營規(guī)模和業(yè)務(wù)性質(zhì)、內(nèi)部控制與審計(jì)風(fēng)險(xiǎn)的評(píng)估結(jié)果以及會(huì)計(jì)報(bào)表各項(xiàng)目金額性質(zhì)等多種因素的影響，所以各會(huì)計(jì)師事務(wù)所在制定本所的重要性水平時(shí)，應(yīng)盡量遵循謹(jǐn)慎性原則。對(duì)另外一些與金額無關(guān)，但性質(zhì)非常重要的非期望出現(xiàn)的錯(cuò)報(bào)和漏報(bào)，如管理層舞弊等，則可以采取列舉法，把可能發(fā)生的性質(zhì)嚴(yán)重影響審計(jì)報(bào)告的事項(xiàng)分類列舉出來，形成條款，并可以在會(huì)計(jì)師事務(wù)所與合伙人之間的合約中提及，以便合伙人不因偶然的疏忽而鑄成大的審計(jì)風(fēng)險(xiǎn)后果。通過對(duì)審計(jì)重要性水平的相對(duì)書面化，使合伙人的風(fēng)險(xiǎn)偏好形式化，從而更好地規(guī)范審計(jì)風(fēng)險(xiǎn)控制，而不因個(gè)人偏好因子影響整個(gè)會(huì)計(jì)師事務(wù)所的聲譽(yù)。

2.會(huì)計(jì)師事務(wù)所實(shí)行合伙制。由于有些名義上的合伙事務(wù)所實(shí)際上工商登記的是有限責(zé)任制，使得外部環(huán)境約束合伙人的資源減少。真正的合伙制度可以使得合伙人的審計(jì)行為更為謹(jǐn)慎，每一個(gè)合伙人都有互相監(jiān)督的意識(shí)。因?yàn)槊總€(gè)合伙人都要對(duì)其他合伙人的業(yè)務(wù)活動(dòng)負(fù)責(zé)，每個(gè)合伙人也就有互相監(jiān)督的內(nèi)在動(dòng)機(jī)。這種相互監(jiān)督增強(qiáng)了單個(gè)合伙人的風(fēng)險(xiǎn)意識(shí)，而承擔(dān)無限責(zé)任的巨大風(fēng)險(xiǎn)更是使合伙人對(duì)審計(jì)風(fēng)險(xiǎn)更加敏感。因而，如果要降低第一層委托制度的成本，根本的解決方案是實(shí)行中國會(huì)計(jì)師事務(wù)所第二次改制，把有限責(zé)任制改為合伙制，以避免由于會(huì)計(jì)師事務(wù)所先天不足造成合約的非完全性而衍生審計(jì)風(fēng)險(xiǎn)。

(二)對(duì)于第二層委托關(guān)系合約

1.完善相關(guān)法律。由于目前注冊(cè)會(huì)計(jì)師執(zhí)業(yè)環(huán)境不好，因?yàn)橛斜匾ㄟ^法規(guī)對(duì)審計(jì)外勤負(fù)責(zé)人的審計(jì)行為作出約束，規(guī)定審計(jì)外勤負(fù)責(zé)人也需要對(duì)其所審計(jì)的項(xiàng)目承擔(dān)一定的相應(yīng)責(zé)任。如果行為特別惡劣，則可以規(guī)定已經(jīng)有該種行為的人為財(cái)務(wù)審計(jì)職位的市場禁入者，當(dāng)他被解雇后，其再尋找職位的成本無窮大，從而加大審計(jì)外勤負(fù)責(zé)人的違規(guī)成本。

2.完善勞動(dòng)合約。在會(huì)計(jì)師事務(wù)所與審計(jì)人員簽訂審計(jì)勞動(dòng)合約時(shí)，雙方可以充分討論，并盡量挖掘合約剛性約束潛力，以便在風(fēng)險(xiǎn)收益中相互求得最佳平衡點(diǎn)。從而做到合約既可以盡可能降低審計(jì)風(fēng)險(xiǎn)，又能夠吸引優(yōu)秀人才加盟會(huì)計(jì)師事務(wù)所。

審計(jì)風(fēng)險(xiǎn)防范論文范文第2篇

(一)企業(yè)應(yīng)加強(qiáng)內(nèi)部控制

隨著市場經(jīng)濟(jì)的深入發(fā)展,企業(yè)逐步成為自主經(jīng)營、自我約束、自我發(fā)展、自我完善的商品生產(chǎn)者和經(jīng)營者。在“優(yōu)勝劣汰、適者生存”的市場經(jīng)濟(jì)中,企業(yè)要想真正的做到“自主經(jīng)營、自我約束、自我發(fā)展、自我完善”,必須要加強(qiáng)內(nèi)部控制,建立有效、完善的內(nèi)部控制制度,這樣才能在一個(gè)絕對(duì)的高度上,對(duì)企業(yè)進(jìn)行高瞻遠(yuǎn)矚的控制,才能做出與時(shí)俱進(jìn)的決策。

(二)內(nèi)部審計(jì)是企業(yè)內(nèi)部監(jiān)督機(jī)制的重要組成部分

內(nèi)部審計(jì)也是企業(yè)內(nèi)部控制的一個(gè)重要的組成部分,是監(jiān)督內(nèi)部控制其他環(huán)節(jié)的主要力量。內(nèi)部審計(jì)通過對(duì)控制環(huán)境和控制程序的有效性進(jìn)行監(jiān)督,評(píng)估企業(yè)的內(nèi)部控制是否被執(zhí)行,是否及時(shí)反饋有關(guān)執(zhí)行結(jié)果的信息,是否幫助企業(yè)更有效地實(shí)現(xiàn)預(yù)期控制目標(biāo)。同時(shí),在監(jiān)控過程中,內(nèi)部審計(jì)可以促進(jìn)控制環(huán)境的建立和改善,為改進(jìn)控制制度提供建設(shè)性的意見,為企業(yè)建立健全所需要的內(nèi)部控制水平服務(wù)。在內(nèi)部控制的監(jiān)督過程中,內(nèi)部審計(jì)發(fā)揮著越來越重要的作用。

二、內(nèi)部審計(jì)在防范信息系統(tǒng)風(fēng)險(xiǎn)中面臨的問題

(一)信息系統(tǒng)安全管理機(jī)制不健全

企業(yè)信息系統(tǒng)風(fēng)險(xiǎn)的存在,很多是由于管理不善或控制不嚴(yán)造成的。一方面,缺乏一套統(tǒng)一的安全策略體系來指導(dǎo)安全管理工作,無法建立系統(tǒng)內(nèi)部明確、全面的安全規(guī)范要求。從現(xiàn)有管理制度規(guī)范來看,主要存在的問題是可操作性差,條理不清、重疊或遺漏等;另一方面,現(xiàn)有安全管理制度的管理對(duì)象基本是網(wǎng)絡(luò)系統(tǒng)管理員等技術(shù)部人員,管理對(duì)象沒有全面涵蓋所有信息系統(tǒng)技術(shù)相關(guān)人員,包括所有網(wǎng)絡(luò)系統(tǒng)上的內(nèi)部終端人員和外部人員。

(二)內(nèi)部審計(jì)在信息系統(tǒng)風(fēng)險(xiǎn)防范中的角色缺乏獨(dú)立性

內(nèi)部審計(jì)的角色發(fā)生了轉(zhuǎn)變。從傳統(tǒng)的事后審計(jì)而逐漸轉(zhuǎn)向事前和事中審計(jì),主動(dòng)參與內(nèi)部控制系統(tǒng)的建立和完善。內(nèi)部審計(jì)人員即承擔(dān)著評(píng)價(jià)硬件和應(yīng)用信息系統(tǒng)安全的任務(wù),如果又同時(shí)有參與了系統(tǒng)的開發(fā)和實(shí)施過程,那么內(nèi)部審計(jì)人員就卻乏獨(dú)立性。反之,如果處于對(duì)喪失獨(dú)立性的擔(dān)心,內(nèi)部審計(jì)人員有可能會(huì)拒絕參與系統(tǒng)和軟件的開發(fā),那么系統(tǒng)開發(fā)過程中存在的風(fēng)險(xiǎn)又無法得到控制。

(三)內(nèi)審部門技術(shù)力量薄弱造成對(duì)信息系統(tǒng)審計(jì)形成風(fēng)險(xiǎn)

審計(jì)稽核部門的技術(shù)力量薄弱,不熟悉業(yè)務(wù)系統(tǒng)的流程和功能,對(duì)信息系統(tǒng)缺乏必要的認(rèn)證能力和標(biāo)準(zhǔn)。突出表現(xiàn)為以下幾個(gè)方面:一是實(shí)施審計(jì)稽核的手段和方法沒有得到及時(shí)更新,不適應(yīng)信息系統(tǒng)管理的要求,大部分仍停留在手工審計(jì)階段;二是審計(jì)稽核部門對(duì)計(jì)算機(jī)賬務(wù)系統(tǒng)實(shí)施審計(jì)的依據(jù)僅依賴于被審計(jì)單位提供的打印資料或事后資料,計(jì)算機(jī)賬務(wù)的真實(shí)性審計(jì)很難得到保證。

三、加強(qiáng)風(fēng)險(xiǎn)防范的措施和對(duì)策

(一)構(gòu)建信息系統(tǒng)安全管理組織及規(guī)范體系

加強(qiáng)信息系統(tǒng)的自我風(fēng)險(xiǎn)評(píng)估體系,讓信息系統(tǒng)的管理和技術(shù)人員在自身的職責(zé)范圍之內(nèi)正確識(shí)別和評(píng)估潛在操作風(fēng)險(xiǎn),主要包括內(nèi)控制度的查漏補(bǔ)缺、工作流程的整理和規(guī)范、應(yīng)急預(yù)案完善和演練等。同時(shí)加強(qiáng)對(duì)操作人員的管理,規(guī)范操作程序。一是加強(qiáng)密碼管理,明確規(guī)定操作人員的權(quán)限,操作員必須在規(guī)定的權(quán)限內(nèi)辦理業(yè)務(wù),用戶口令及密碼必須專人專用,嚴(yán)禁公開口令及密碼;二是要建立健全操作員崗位目標(biāo)責(zé)任制,對(duì)網(wǎng)絡(luò)操作人員要明確目標(biāo)任務(wù),規(guī)范操作程序,嚴(yán)格落實(shí)獎(jiǎng)懲制度。三是要嚴(yán)格崗位設(shè)置,不相容職務(wù)進(jìn)行分離。嚴(yán)禁系統(tǒng)管理人員、網(wǎng)絡(luò)技術(shù)人員、程序開發(fā)人員和前臺(tái)操作人員混崗、代崗或一人多崗。四是要加強(qiáng)系統(tǒng)內(nèi)部的稽核監(jiān)督檢查?；吮O(jiān)督應(yīng)貫穿于網(wǎng)絡(luò)操作的全過程,重點(diǎn)是加強(qiáng)對(duì)系統(tǒng)設(shè)計(jì)開發(fā)、內(nèi)控管理制度落實(shí)、操作運(yùn)行等方面的(二)關(guān)注信息系統(tǒng)的穩(wěn)定性、安全性和有效性審計(jì)

首先,審計(jì)人員應(yīng)運(yùn)用用一定的技術(shù)方法識(shí)別系統(tǒng)的完整性,該過程包括檢查、測試、評(píng)估系統(tǒng)的內(nèi)制,以保證系統(tǒng)的穩(wěn)定性;其次,審計(jì)人員應(yīng)評(píng)價(jià)系統(tǒng)存在的風(fēng)險(xiǎn)和可能產(chǎn)生的后果將成為審計(jì)的核心工作和基本內(nèi)容,保證信息系統(tǒng)的安全性。應(yīng)根據(jù)審計(jì)的標(biāo)準(zhǔn)和準(zhǔn)則,評(píng)價(jià)控制環(huán)境的和IT基礎(chǔ)設(shè)施的安全,確保系統(tǒng)滿足組織的業(yè)務(wù)需要,保護(hù)信息資產(chǎn)的安全完整,以防非授權(quán)使用、泄露、修改、損壞或丟失;最后,還應(yīng)鑒別信息系統(tǒng)的有效性。內(nèi)部審計(jì)必須理解并熟悉操作環(huán)境,了解系統(tǒng)技術(shù)的復(fù)雜性及其對(duì)決策的影響;對(duì)來自內(nèi)部的安全隱患,采用一定的方法進(jìn)行系統(tǒng)診斷、檢驗(yàn)、測試,評(píng)價(jià)其有效性及效率,以支持組織業(yè)務(wù)目標(biāo)的實(shí)現(xiàn)

(三)改善內(nèi)審機(jī)構(gòu),提高內(nèi)審人員素質(zhì),培養(yǎng)信息系統(tǒng)審計(jì)師

為了信息系統(tǒng)的安全、可靠與有效,由獨(dú)立于審計(jì)對(duì)象的信息系統(tǒng)審計(jì)師,以第三方的客觀立場對(duì)以計(jì)算機(jī)為核心的信息系統(tǒng)進(jìn)行綜合的檢查與評(píng)價(jià)。信息系統(tǒng)審計(jì)師也稱lS審計(jì)師或IT審計(jì)師,是指那些既通曉信息系統(tǒng)的軟件和硬件(包括信息系統(tǒng)的開發(fā)、運(yùn)營、維護(hù)、管理和安全等),又熟悉經(jīng)濟(jì)管理的內(nèi)部審計(jì)人才。

(四)聘請(qǐng)專家進(jìn)行協(xié)助

內(nèi)部審計(jì)人員的知識(shí)、技能和經(jīng)驗(yàn)雖然有助于信息系統(tǒng)的風(fēng)險(xiǎn)防御,但現(xiàn)實(shí)中必須承認(rèn),在企業(yè)中同時(shí)具備計(jì)算機(jī)技術(shù)和審計(jì)專業(yè)知識(shí)的人才非常短缺。再出色的內(nèi)部審計(jì)人員可能面臨一些系統(tǒng)內(nèi)的專業(yè)問題卻無法解決,因此有必要聘請(qǐng)外部專家?？梢酝ㄟ^專家的協(xié)助測試運(yùn)用其專業(yè)技能測試系統(tǒng)安全,進(jìn)一步防范和解決信息系統(tǒng)風(fēng)險(xiǎn)的存在。

論文關(guān)鍵詞:內(nèi)部審計(jì)信息系統(tǒng)風(fēng)險(xiǎn)防范

論文摘要:內(nèi)部控制是社會(huì)經(jīng)濟(jì)發(fā)展到一定階段的產(chǎn)物,其內(nèi)容在不斷的發(fā)展與變化,而內(nèi)部審計(jì)是內(nèi)部監(jiān)督機(jī)制的重要組成部分。目前計(jì)算機(jī)信息系統(tǒng)已在企業(yè)中廣泛使用,而在內(nèi)部審計(jì)過程中如何加強(qiáng)計(jì)算機(jī)信息系統(tǒng)的風(fēng)險(xiǎn)防范,是企業(yè)內(nèi)部控制過程中迫切需要解決的問題。

企業(yè)信息系統(tǒng)化的運(yùn)用,原來的手工控制則變?yōu)槭止づc電腦控制相結(jié)合或全部由電腦自動(dòng)進(jìn)行控制。計(jì)算機(jī)信息系統(tǒng)的廣泛使用,與技術(shù)管理相對(duì)薄弱和稽核監(jiān)督的長期空白已形成了尖銳的矛盾。信息系統(tǒng)風(fēng)險(xiǎn)控制能力差的現(xiàn)狀,迫切需要我們加強(qiáng)風(fēng)險(xiǎn)管理和監(jiān)控。

審計(jì)風(fēng)險(xiǎn)防范論文范文第3篇

摘 要 本文首先對(duì)審計(jì)風(fēng)險(xiǎn)的概念進(jìn)行了界定,從內(nèi)部和外部兩個(gè)方面分析了我國會(huì)計(jì)師事務(wù)所審計(jì)風(fēng)險(xiǎn)產(chǎn)生的原因,并針對(duì)這些原因提出了會(huì)計(jì)師事務(wù)所防范審計(jì)風(fēng)險(xiǎn)的幾點(diǎn)建議,使會(huì)計(jì)師事務(wù)所在執(zhí)業(yè)過程中加強(qiáng)對(duì)審計(jì)風(fēng)險(xiǎn)的控制,從而使整個(gè)社會(huì)的審計(jì)業(yè)務(wù)更加規(guī)范和健康地發(fā)展。

關(guān)鍵詞 審計(jì)風(fēng)險(xiǎn) 風(fēng)險(xiǎn)控制 會(huì)計(jì)師事務(wù)所

隨著現(xiàn)代審計(jì)業(yè)務(wù)的日益復(fù)雜,審計(jì)項(xiàng)目的風(fēng)險(xiǎn)水平越來越高。審計(jì)風(fēng)險(xiǎn)的存在必然會(huì)使會(huì)計(jì)師事務(wù)所發(fā)生風(fēng)險(xiǎn)損失,因此,實(shí)施審計(jì)風(fēng)險(xiǎn)管理顯得尤為重要。加強(qiáng)審計(jì)風(fēng)險(xiǎn)的管理和控制,對(duì)我國的會(huì)計(jì)師事務(wù)所提高審計(jì)質(zhì)量,降低審計(jì)責(zé)任,增強(qiáng)自身的競爭力具有非常重要的意義。

一、審計(jì)風(fēng)險(xiǎn)的概念

審計(jì)風(fēng)險(xiǎn)是指當(dāng)財(cái)務(wù)報(bào)表存在重大錯(cuò)誤或漏報(bào),注冊(cè)會(huì)計(jì)師對(duì)其進(jìn)行審計(jì)后發(fā)表不恰當(dāng)審計(jì)意見的可能性。對(duì)于盈虧自負(fù)、風(fēng)險(xiǎn)自擔(dān)的會(huì)計(jì)師事務(wù)所來說,既要在激烈的市場競爭中招攬業(yè)務(wù),又要防范審計(jì)業(yè)務(wù)可能帶來的審計(jì)風(fēng)險(xiǎn),這就使對(duì)審計(jì)風(fēng)險(xiǎn)的防范和控制成為會(huì)計(jì)師事務(wù)所的核心問題。

二、會(huì)計(jì)師事務(wù)所審計(jì)風(fēng)險(xiǎn)產(chǎn)生的原因

會(huì)計(jì)師事務(wù)所審計(jì)風(fēng)險(xiǎn)的產(chǎn)生由很多因素造成,以下從外部原因和內(nèi)部原因兩個(gè)方面來探討我國會(huì)計(jì)師事務(wù)所審計(jì)風(fēng)險(xiǎn)產(chǎn)生的原因。

(一)外部原因

1.我國的法制體系不完善

改革開放以來,盡管我國在審計(jì)立法上取得了很大的發(fā)展并形成了一套審計(jì)法制體系,但隨著社會(huì)主義市場經(jīng)濟(jì)的發(fā)展,審計(jì)執(zhí)法過程中某些方面仍無法可依,另外,一些舊的審計(jì)法律法規(guī)已經(jīng)不能適應(yīng)新形勢(shì)的發(fā)展而需做出修改。這種情況加大了相關(guān)部門審計(jì)監(jiān)督的難度,也加大了會(huì)計(jì)師事務(wù)所的審計(jì)風(fēng)險(xiǎn)。

2.被審計(jì)單位內(nèi)部控制制度方面的原因

企業(yè)在經(jīng)營管理時(shí)必須遵守成本收益原則,無論做出什么決策都必須考慮成本與收益的關(guān)系。企業(yè)實(shí)行內(nèi)部控制固然能夠減少會(huì)計(jì)處理過程中錯(cuò)弊的發(fā)生,降低會(huì)計(jì)師事務(wù)所的審計(jì)風(fēng)險(xiǎn),提高審計(jì)效率,但如果內(nèi)部控制的成本超過了發(fā)生錯(cuò)弊時(shí)造成的損失,企業(yè)管理人員便會(huì)想盡一切辦法減少控制程序,這就使內(nèi)部控制總會(huì)存在一定的缺陷。

(二)內(nèi)部原因

1.審計(jì)收費(fèi)比較低

目前,我國會(huì)計(jì)師事務(wù)所的審計(jì)收費(fèi)普遍較低。如果會(huì)計(jì)師事務(wù)所的審計(jì)收費(fèi)過低,就會(huì)迫使事務(wù)所和注冊(cè)會(huì)計(jì)師采用一些方法來降低審計(jì)成本,比如簡化審計(jì)程序、減少業(yè)務(wù)人員、縮短審計(jì)時(shí)間等。這種做法勢(shì)必會(huì)導(dǎo)致審計(jì)質(zhì)量的降低和審計(jì)風(fēng)險(xiǎn)的增大。審計(jì)費(fèi)用太低,會(huì)計(jì)師事務(wù)所就不可能花費(fèi)大量人力和物力去審計(jì)某一項(xiàng)目,審計(jì)質(zhì)量就不可能提高。

2.缺乏獨(dú)立性

實(shí)際中,事務(wù)所的聘用、續(xù)聘和費(fèi)用支付等相關(guān)事項(xiàng)多是由企業(yè)管理層來決定的。也就是說,公司管理層可按其意愿來選擇事務(wù)所,這也決定了注冊(cè)會(huì)計(jì)師在出具審計(jì)報(bào)告時(shí)可能不得不考慮管理層的意見,審計(jì)的獨(dú)立性得不到保障。會(huì)計(jì)師事務(wù)所喪失了獨(dú)立性,到處受到四周環(huán)境的限制,當(dāng)然就不能出具公正客觀的審計(jì)意見。

3.審計(jì)方法的落后

《中國注冊(cè)會(huì)計(jì)師獨(dú)立審計(jì)準(zhǔn)則》提出了運(yùn)用風(fēng)險(xiǎn)基礎(chǔ)審計(jì)方法的要求。然而在實(shí)踐中審計(jì)方法仍停留在賬項(xiàng)基礎(chǔ)審計(jì)向制度基礎(chǔ)審計(jì)過渡的階段,許多審計(jì)項(xiàng)目的大小都是由注冊(cè)會(huì)計(jì)師依靠主觀來判斷的。同時(shí),審計(jì)中廣泛采用的抽樣技術(shù)只限于抽樣審計(jì),并不能發(fā)現(xiàn)財(cái)務(wù)報(bào)表中的全部錯(cuò)誤,這會(huì)導(dǎo)致某些隱蔽較好的欺詐極難偵破。由于審計(jì)成本的限制,又迫使注冊(cè)會(huì)計(jì)師不得不放棄部分審計(jì)程序,會(huì)喪失應(yīng)有的職業(yè)謹(jǐn)慎,難以做到全面的審計(jì)工作,風(fēng)險(xiǎn)自然由此而生。

三、審計(jì)風(fēng)險(xiǎn)的防范對(duì)策

為了防范審計(jì)風(fēng)險(xiǎn),會(huì)計(jì)師事務(wù)所可以從以下幾方面來加以控制,盡最大努力拒審計(jì)風(fēng)險(xiǎn)于門外。

(一)保持獨(dú)立性

注冊(cè)會(huì)計(jì)師執(zhí)行審計(jì)或其他鑒定業(yè)務(wù)時(shí),應(yīng)當(dāng)保持形式上和實(shí)質(zhì)上的獨(dú)立。只有保持了獨(dú)立性后,會(huì)計(jì)師事務(wù)所和注冊(cè)會(huì)計(jì)師在執(zhí)行具體的審計(jì)業(yè)務(wù)時(shí)才不會(huì)受到被審計(jì)單位的影響,才能更好地出具客觀公正的審計(jì)影響。審計(jì)獨(dú)立性是會(huì)計(jì)師事務(wù)所和注冊(cè)會(huì)計(jì)師在執(zhí)業(yè)過程中必須遵守的最重要的原則。只有保證了審計(jì)獨(dú)立性后,才能降低審計(jì)風(fēng)險(xiǎn)的產(chǎn)生。

(二)改革審計(jì)方法

現(xiàn)時(shí)國內(nèi)的審計(jì)方法,主要是采用賬項(xiàng)基礎(chǔ)審計(jì)或制度基礎(chǔ)審計(jì)的模式,審計(jì)的整個(gè)過程主要集中在期末余額的細(xì)節(jié)測試,進(jìn)行抽樣測試時(shí),審計(jì)人員沒有什么可以依據(jù)的科學(xué)方法,往往只憑自己的經(jīng)驗(yàn)任意抽樣而缺乏客觀性。這種習(xí)慣性做法,往往會(huì)讓有意舞弊者有機(jī)可乘。面對(duì)這種狀況,會(huì)計(jì)師事務(wù)所要學(xué)會(huì)轉(zhuǎn)換思考角度,改變傳統(tǒng)的審計(jì)理念和方法,樹立現(xiàn)代的審計(jì)意識(shí)、技術(shù)和方法,降低審計(jì)風(fēng)險(xiǎn)。

(三)謹(jǐn)慎選擇客戶

謹(jǐn)慎地選擇客戶也是會(huì)計(jì)師事務(wù)所防范審計(jì)風(fēng)險(xiǎn)的一個(gè)重要措施。對(duì)于那些可能存在重大經(jīng)營風(fēng)險(xiǎn)或公司管理層舞弊風(fēng)險(xiǎn)等高審計(jì)風(fēng)險(xiǎn)的公司,會(huì)計(jì)師事務(wù)所要慎重考慮是否接受其委托。在接受一個(gè)新客戶時(shí),應(yīng)先做一個(gè)風(fēng)險(xiǎn)評(píng)估報(bào)告,當(dāng)風(fēng)險(xiǎn)較高時(shí)就要多加留意,有時(shí)寧愿放棄該項(xiàng)審計(jì)收入。但也不能因?yàn)轱L(fēng)險(xiǎn)的存在就不敢承接客戶,會(huì)計(jì)師事務(wù)所可以通過客戶風(fēng)險(xiǎn)評(píng)估報(bào)告,識(shí)別風(fēng)險(xiǎn)領(lǐng)域,采取相應(yīng)的措施加以降低審計(jì)風(fēng)險(xiǎn)。

參考文獻(xiàn):

[1]呂繼英.王竹南會(huì)計(jì)師事務(wù)所審計(jì)風(fēng)險(xiǎn)的防范與控制.Economic and Trade Update.2008(6).

審計(jì)風(fēng)險(xiǎn)防范論文范文第4篇

論文摘要：現(xiàn)代風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)是對(duì)傳統(tǒng)審計(jì)方式的突破和創(chuàng)新，是內(nèi)部審計(jì)發(fā)展的最新動(dòng)向。企業(yè)推行現(xiàn)代風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)，能將內(nèi)部審計(jì)自身的職能與企業(yè)的目標(biāo)有機(jī)地結(jié)合起來，充分發(fā)揮內(nèi)部審計(jì)在企業(yè)風(fēng)險(xiǎn)管理中的重要作用。本文在闡明現(xiàn)代風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)相關(guān)概念的基礎(chǔ)上，進(jìn)一步闡述了企業(yè)內(nèi)部審計(jì)開展現(xiàn)代風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)的必要性以及現(xiàn)代風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)的實(shí)施。 

 

一、什么是現(xiàn)代風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì) 

風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)是在賬項(xiàng)基礎(chǔ)審計(jì)、制度基礎(chǔ)審計(jì)的基礎(chǔ)上產(chǎn)生的，現(xiàn)代風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)產(chǎn)生的主要標(biāo)志是：2003年10月，國際審計(jì)和鑒證準(zhǔn)則委員會(huì)(iaasb)對(duì)審計(jì)風(fēng)險(xiǎn)準(zhǔn)則進(jìn)行了修訂，并執(zhí)行新的風(fēng)險(xiǎn)導(dǎo)向模型“審計(jì)風(fēng)險(xiǎn)=重大錯(cuò)報(bào)風(fēng)險(xiǎn)x檢查風(fēng)險(xiǎn)”，我國在2006年2月對(duì)審計(jì)準(zhǔn)則進(jìn)行大幅度調(diào)整，將傳統(tǒng)審計(jì)風(fēng)險(xiǎn)模型修改為新的審計(jì)風(fēng)險(xiǎn)模型?，F(xiàn)代風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)是以系統(tǒng)論和戰(zhàn)略管理理論為指導(dǎo)，以降低信息風(fēng)險(xiǎn)為根本目的，以控制審計(jì)業(yè)務(wù)風(fēng)險(xiǎn)為中心，以降低審計(jì)風(fēng)險(xiǎn)為根本途徑，以經(jīng)營風(fēng)險(xiǎn)的分析評(píng)估為導(dǎo)向，采用“自上而下，自下而上”審計(jì)思路的一種審計(jì)方法。 

二、對(duì)現(xiàn)代風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)本質(zhì)的認(rèn)識(shí) 

(一)現(xiàn)代風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)是一種新的審計(jì)基本方法。傳統(tǒng)審計(jì)風(fēng)險(xiǎn)模型的審計(jì)方法實(shí)質(zhì)上仍然是制度基礎(chǔ)審計(jì)方法的延伸，它從分析客戶會(huì)計(jì)報(bào)表的固有風(fēng)險(xiǎn)和內(nèi)部控制風(fēng)險(xiǎn)著手，根據(jù)內(nèi)部控制測試的結(jié)果決定實(shí)質(zhì)性測試的性質(zhì)、時(shí)間和范圍。而現(xiàn)代風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)則是從企業(yè)的戰(zhàn)略分析入手，通過“戰(zhàn)略分析——環(huán)節(jié)分析——會(huì)計(jì)報(bào)表剩余風(fēng)險(xiǎn)分析”的基本思路，決定實(shí)質(zhì)性審計(jì)程序的性質(zhì)、時(shí)間和范圍，并建立了企業(yè)會(huì)計(jì)報(bào)表風(fēng)險(xiǎn)與企業(yè)戰(zhàn)略風(fēng)險(xiǎn)之間的邏輯聯(lián)系，使這一方法更科學(xué)、更有效。 

(二)現(xiàn)代風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)摒棄了傳統(tǒng)審計(jì)簡化主義的認(rèn)知模式，代之以復(fù)雜系統(tǒng)的認(rèn)知模式，并引入戰(zhàn)略管理分析工具?，F(xiàn)代風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)的思考方法是系統(tǒng)理論所指導(dǎo)的復(fù)雜系統(tǒng)認(rèn)知模式。審計(jì)要有效地把握會(huì)計(jì)報(bào)表的錯(cuò)報(bào)風(fēng)險(xiǎn)，就必須從企業(yè)的戰(zhàn)略管理活動(dòng)著手分析，對(duì)戰(zhàn)略管理活動(dòng)進(jìn)行分析，必須將企業(yè)置于廣泛的經(jīng)濟(jì)網(wǎng)絡(luò)中進(jìn)行系統(tǒng)分析。從方法論上講，現(xiàn)代風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)要比傳統(tǒng)的制度基礎(chǔ)審計(jì)站得更高，看得更遠(yuǎn)，對(duì)企業(yè)了解得更透。 

(三)現(xiàn)代風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)運(yùn)用“自上而下”和“自下而上”相結(jié)合的審計(jì)思路。它運(yùn)用“自上而下”，“自下而上”相結(jié)合的手段，對(duì)會(huì)計(jì)報(bào)表錯(cuò)報(bào)風(fēng)險(xiǎn)做出合理的專業(yè)判斷，要從企業(yè)的戰(zhàn)略管理分析入手，通過經(jīng)營風(fēng)險(xiǎn)導(dǎo)向和嚴(yán)密的邏輯推理，一步一步地推導(dǎo)和落實(shí)審計(jì)的范圍和重點(diǎn)，確定相關(guān)的審計(jì)目標(biāo)和審計(jì)程序。通過實(shí)施審計(jì)程序及取證的結(jié)果，并結(jié)合重要性的判斷，歸納和判斷整個(gè)會(huì)計(jì)報(bào)表的風(fēng)險(xiǎn)并形成最終的審計(jì)意見。 

三、現(xiàn)代風(fēng)險(xiǎn)導(dǎo)向內(nèi)部審計(jì)的理解 

內(nèi)部審計(jì)下的現(xiàn)代風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)目前尚無統(tǒng)一的定義。第一種觀點(diǎn)認(rèn)為，把社會(huì)審計(jì)中的現(xiàn)代風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)運(yùn)用于內(nèi)部審計(jì)就是現(xiàn)代風(fēng)險(xiǎn)導(dǎo)向內(nèi)部審計(jì)，即內(nèi)部審計(jì)人員立足于對(duì)審計(jì)風(fēng)險(xiǎn)的分析和評(píng)價(jià)，并以此為出發(fā)點(diǎn)，制定審計(jì)計(jì)劃，實(shí)施審計(jì)行為的一種審計(jì)方法。第二種觀點(diǎn)認(rèn)為，現(xiàn)代風(fēng)險(xiǎn)導(dǎo)向內(nèi)部審計(jì)是指內(nèi)審人員在審計(jì)過程自始至終都關(guān)注企業(yè)風(fēng)險(xiǎn)(不是審計(jì)風(fēng)險(xiǎn))，依據(jù)風(fēng)險(xiǎn)選擇項(xiàng)目，識(shí)別風(fēng)險(xiǎn)，測試管理者降低風(fēng)險(xiǎn)的方法，并以企業(yè)風(fēng)險(xiǎn)為中心做審計(jì)報(bào)告，協(xié)助企業(yè)管理風(fēng)險(xiǎn)。 

而從第二種觀點(diǎn)的描述上看，所謂的“風(fēng)險(xiǎn)”不是單純意義的“審計(jì)風(fēng)險(xiǎn)”，在更大意義上是指企業(yè)在生產(chǎn)經(jīng)營過程中面臨的各種企業(yè)風(fēng)險(xiǎn)。由此可見，此時(shí)的內(nèi)部審計(jì)已經(jīng)成為結(jié)合內(nèi)部審計(jì)和風(fēng)險(xiǎn)管理的一種有效工具，審計(jì)計(jì)劃與公司最高層的風(fēng)險(xiǎn)戰(zhàn)略連接在一起，內(nèi)部審計(jì)人員通過對(duì)當(dāng)前的風(fēng)險(xiǎn)分析確保其審計(jì)計(jì)劃與經(jīng)營計(jì)劃相一致，將風(fēng)險(xiǎn)管理原則貫穿于審計(jì)的全過程，內(nèi)部審計(jì)重點(diǎn)不再是測試控制，而是確認(rèn)風(fēng)險(xiǎn)及測試管理風(fēng)險(xiǎn)。用這種觀點(diǎn)來界定風(fēng)險(xiǎn)導(dǎo)向內(nèi)部審計(jì)，會(huì)與內(nèi)部審計(jì)具體準(zhǔn)則對(duì)審計(jì)風(fēng)險(xiǎn)的定義相背。 

筆者認(rèn)為，在現(xiàn)有準(zhǔn)則下，以第一種觀點(diǎn)作為現(xiàn)代風(fēng)險(xiǎn)導(dǎo)向內(nèi)部審計(jì)比較恰當(dāng)，而第二種觀點(diǎn)與其說是現(xiàn)代風(fēng)險(xiǎn)導(dǎo)向內(nèi)部審計(jì)，還不如說是企業(yè)風(fēng)險(xiǎn)管理中的內(nèi)部審計(jì)作用。 

四、現(xiàn)代風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)運(yùn)用于內(nèi)部審計(jì)的必要性及其實(shí)施 

我們姑且不去定論現(xiàn)代風(fēng)險(xiǎn)導(dǎo)向內(nèi)部審計(jì)的定義，但是在內(nèi)部審計(jì)中實(shí)施現(xiàn)代風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)既是基于降低審計(jì)風(fēng)險(xiǎn)，又是為降低企業(yè)經(jīng)營風(fēng)險(xiǎn)，進(jìn)行風(fēng)險(xiǎn)管理的一種有效工具。 

(一)內(nèi)部審計(jì)實(shí)施現(xiàn)代風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)的必要性 

隨著內(nèi)部審計(jì)的監(jiān)督職能向服務(wù)管理職能的轉(zhuǎn)變，企業(yè)需要內(nèi)部審計(jì)對(duì)整體的風(fēng)險(xiǎn)管理、內(nèi)部控制及治理程序提供有效的審計(jì)監(jiān)督和建設(shè)性評(píng)價(jià)，以幫助企業(yè)控制風(fēng)險(xiǎn)，實(shí)現(xiàn)目標(biāo)。因此，內(nèi)部審計(jì)不應(yīng)停留在傳統(tǒng)審計(jì)模式上，而應(yīng)在此基礎(chǔ)上進(jìn)一步開展現(xiàn)代風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)，將關(guān)口前移，充分發(fā)揮預(yù)警性作用。綜上所述，在企業(yè)內(nèi)部審計(jì)中實(shí)施現(xiàn)代風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)有著非常重要的現(xiàn)實(shí)意義。 

(二)現(xiàn)代風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)在內(nèi)部審計(jì)中的運(yùn)用 

1.準(zhǔn)確確定審計(jì)的重點(diǎn)和范圍。運(yùn)用現(xiàn)代風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)理論，從分析風(fēng)險(xiǎn)入手，準(zhǔn)確確定審計(jì)的重點(diǎn)和范圍，在審計(jì)準(zhǔn)備階段，就加大防范力度，即通過對(duì)被審計(jì)單位基本情況的了解和分析性測試的結(jié)果，充分關(guān)注被審單位的特殊風(fēng)險(xiǎn)，確定總體審計(jì)風(fēng)險(xiǎn)概率和評(píng)估的重大錯(cuò)報(bào)風(fēng)險(xiǎn)概率，將審計(jì)風(fēng)險(xiǎn)減少到最小程度，確保內(nèi)部審計(jì)能夠發(fā)現(xiàn)業(yè)務(wù)經(jīng)營活動(dòng)中的重大違法違規(guī)問題及存在的風(fēng)險(xiǎn)隱患，達(dá)到實(shí)現(xiàn)防范風(fēng)險(xiǎn)的目的。 

2.以《內(nèi)部審計(jì)實(shí)務(wù)標(biāo)準(zhǔn)》為指導(dǎo)，執(zhí)行現(xiàn)代風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)的程序，使風(fēng)險(xiǎn)管理與內(nèi)部審計(jì)程序之間協(xié)調(diào)一致，產(chǎn)生協(xié)同增效的作用。一是在制定審計(jì)計(jì)劃時(shí)，針對(duì)可能影響風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)，制定審計(jì)計(jì)劃，確定審計(jì)項(xiàng)目。二是編制審計(jì)方案時(shí)，在評(píng)估風(fēng)險(xiǎn)優(yōu)先次序的基礎(chǔ)上安排審計(jì)工作。三是確定審計(jì)范圍時(shí)，要考慮并反映整個(gè)企業(yè)的戰(zhàn)略性計(jì)劃目標(biāo)，每年對(duì)審計(jì)范圍進(jìn)行一次評(píng)估，以反映最新戰(zhàn)略和方針。四是在審計(jì)實(shí)施過程中，通過評(píng)價(jià)內(nèi)部控制制度，查找其中的疏漏和薄弱環(huán)節(jié)。五是在編制審計(jì)報(bào)告時(shí)，應(yīng)對(duì)風(fēng)險(xiǎn)管理狀況進(jìn)行評(píng)價(jià)，指出風(fēng)險(xiǎn)管理中存在的漏洞和不足，提出加強(qiáng)管理的建議。六是以風(fēng)險(xiǎn)大小作為確定追蹤審計(jì)范圍的重要因素。 

3.實(shí)施控制測試和實(shí)質(zhì)性測試?，F(xiàn)代風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)強(qiáng)調(diào)從宏觀上對(duì)風(fēng)險(xiǎn)進(jìn)行評(píng)估，但并不是說可以忽視微觀層面的操作風(fēng)險(xiǎn)。因此，應(yīng)繼續(xù)實(shí)施內(nèi)部控制測試，并分析重點(diǎn)，實(shí)施實(shí)質(zhì)性測試。在控制測試和實(shí)質(zhì)性測試兩階段中，審計(jì)資源的合理配置是關(guān)鍵，也是風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)理論的出發(fā)點(diǎn)與歸宿。因此，應(yīng)結(jié)合重大風(fēng)險(xiǎn)各因素的綜合分析與判斷，將審計(jì)資源向重點(diǎn)風(fēng)險(xiǎn)領(lǐng)域傾斜，以實(shí)現(xiàn)“全面審計(jì)、突出重點(diǎn)”，在提高審計(jì)效率與效果的同時(shí)，強(qiáng)化企業(yè)風(fēng)險(xiǎn)管理。 

4.實(shí)現(xiàn)審計(jì)手段電子化，提高審計(jì)工作質(zhì)量。一要運(yùn)用計(jì)算機(jī)技術(shù)，進(jìn)行內(nèi)部控制風(fēng)險(xiǎn)的評(píng)估，確定標(biāo)準(zhǔn)內(nèi)部控制的模型，并經(jīng)常調(diào)整、完善，以提高內(nèi)部控制風(fēng)險(xiǎn)的評(píng)估效率及其準(zhǔn)確性。二要運(yùn)用計(jì)算機(jī)軟件進(jìn)行分析性測試，提高分析的速度和準(zhǔn)確性，擴(kuò)展分析的范圍。三要運(yùn)用計(jì)算機(jī)進(jìn)行統(tǒng)計(jì)抽樣，避免人工抽樣檢查的不足，有效降低審計(jì)風(fēng)險(xiǎn)。四要構(gòu)建完整的審計(jì)信息系統(tǒng)，推進(jìn)風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)與非現(xiàn)場審計(jì)有機(jī)結(jié)合，提高內(nèi)部審計(jì)的質(zhì)量和效率。 

(三)內(nèi)部審計(jì)實(shí)施現(xiàn)代風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)的措施 

現(xiàn)代風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)模式是為適應(yīng)企業(yè)經(jīng)營高風(fēng)險(xiǎn)的特點(diǎn)而產(chǎn)生的，同時(shí)也是為量化審計(jì)風(fēng)險(xiǎn)、減輕審計(jì)責(zé)任、提高審計(jì)效率和質(zhì)量的一種審計(jì)方法。為加強(qiáng)現(xiàn)代風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)在內(nèi)部審計(jì)中的運(yùn)用，筆者認(rèn)為要從以下幾方面努力： 

1.建立內(nèi)部控制評(píng)價(jià)的新模式。在現(xiàn)代風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)中，內(nèi)部審計(jì)更加關(guān)心的問題主要是：控制風(fēng)險(xiǎn)的目標(biāo)是什么，控制要解決的問題，這種控制是否先進(jìn)有效，控制風(fēng)險(xiǎn)有多大，是否影響管理當(dāng)局的決策等。隨著市場競爭的加劇，新的審計(jì)環(huán)境要求審計(jì)人員應(yīng)通過與企業(yè)管理層進(jìn)行有效溝通的方式，采用新的評(píng)價(jià)模式，為企業(yè)提供更有價(jià)值的服務(wù)。 

2.加強(qiáng)內(nèi)部審計(jì)工作的實(shí)效性。在審計(jì)技術(shù)方面，風(fēng)險(xiǎn)分析和計(jì)算機(jī)應(yīng)用甚少，由此降低了審計(jì)工作效率。因此，內(nèi)部審計(jì)在轉(zhuǎn)變目標(biāo)定位，樹立管理理念的同時(shí)，更要重視審計(jì)工作的實(shí)效性，以確保審計(jì)建議的落實(shí)。 

3.提高內(nèi)部審計(jì)人員的素質(zhì)。對(duì)企業(yè)而言，需要界定風(fēng)險(xiǎn)范圍、理順風(fēng)險(xiǎn)責(zé)任、建立風(fēng)險(xiǎn)模型和風(fēng)險(xiǎn)防范機(jī)制，這就是要靠實(shí)施現(xiàn)代風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)走出一條迎接風(fēng)險(xiǎn)、化解風(fēng)險(xiǎn)之路。因此要求內(nèi)審人員都應(yīng)懂得風(fēng)險(xiǎn)語言，加強(qiáng)風(fēng)險(xiǎn)意識(shí)和風(fēng)險(xiǎn)管理技能，提高內(nèi)審人員對(duì)風(fēng)險(xiǎn)的敏感度，以風(fēng)險(xiǎn)為導(dǎo)向做好內(nèi)部審計(jì)工作。 

五、結(jié)束語 

企業(yè)內(nèi)部審計(jì)開展現(xiàn)代風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)是內(nèi)部審計(jì)的必然發(fā)展趨勢(shì)，既是職業(yè)自身發(fā)展的需要，也是當(dāng)前形勢(shì)發(fā)展的需要。企業(yè)內(nèi)部審計(jì)堅(jiān)持開展對(duì)企業(yè)風(fēng)險(xiǎn)管理過程的充分性和有效性的檢查、評(píng)價(jià)和報(bào)告，促進(jìn)企業(yè)改進(jìn)管理、實(shí)現(xiàn)目標(biāo)和增加價(jià)值，無疑是企業(yè)內(nèi)部的一種最好資源。在實(shí)踐中，尚無完整的模式可參照?qǐng)?zhí)行，即使有關(guān)現(xiàn)代風(fēng)險(xiǎn)導(dǎo)向內(nèi)部審計(jì)的準(zhǔn)則出臺(tái)后，也需要在實(shí)踐中不斷完善。因此，內(nèi)部審計(jì)師在現(xiàn)階段，應(yīng)首先接受現(xiàn)代風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)的理念，在執(zhí)行過程中，將風(fēng)險(xiǎn)評(píng)估貫穿審計(jì)的全過程，不斷探索現(xiàn)代風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)的方法，將審計(jì)風(fēng)險(xiǎn)降低到最低可接受水平。 

 

參考文獻(xiàn)： 

[1]馬文成,王有良.基于風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)的內(nèi)部審計(jì)創(chuàng)新研究[j].會(huì)計(jì)師,2009(06). 

[2]聶海斌.風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)在應(yīng)用中的問題及完善[j].當(dāng)代經(jīng)濟(jì),2009(16). 

[3]汪壽成.現(xiàn)代風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)[m].大連出版社,2009. 

[4]汪文文.論新形勢(shì)下的風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)[j].經(jīng)濟(jì)研究導(dǎo)刊,2009(04). 

審計(jì)風(fēng)險(xiǎn)防范論文范文第5篇

［作者簡介］王會(huì)金（1962― ），男，浙江東陽人，南京審計(jì)學(xué)院副校長，教授，博士，從事信息系統(tǒng)審計(jì)研究。

［摘 要］當(dāng)前，我國急需一套完善的中觀信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制體系。這是因?yàn)槲覈闹杏^經(jīng)濟(jì)主體在控制信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)時(shí)需要一套成熟的管理流程，且國家有關(guān)部門在制定信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)防范標(biāo)準(zhǔn)方面也需要完善的控制體系作為支撐。在闡述COBIT與數(shù)據(jù)挖掘基本理論的基礎(chǔ)上，借鑒COBIT框架，構(gòu)建中觀信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)的明細(xì)控制框架，利用數(shù)據(jù)挖掘技術(shù)有針對(duì)性地探索每一個(gè)明細(xì)標(biāo)準(zhǔn)的數(shù)據(jù)挖掘路徑，創(chuàng)建挖掘流程，建立適用于我國中觀經(jīng)濟(jì)特色的信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制體系。

［關(guān)鍵詞］中觀信息系統(tǒng)審計(jì)；COBIT框架；數(shù)據(jù)挖掘；風(fēng)險(xiǎn)控制；中觀審計(jì)

［中圖分類號(hào)］F239.4 ［文獻(xiàn)標(biāo)識(shí)碼］A ［文章編號(hào)］10044833(2012)01001608

中觀信息系統(tǒng)審計(jì)是中觀審計(jì)的重要組成部分，它從屬于中觀審計(jì)與信息系統(tǒng)審計(jì)的交叉領(lǐng)域。中觀信息系統(tǒng)審計(jì)是指IT審計(jì)師依據(jù)特定的規(guī)范，運(yùn)用科學(xué)系統(tǒng)的程序方法，對(duì)中觀經(jīng)濟(jì)主體信息系統(tǒng)的運(yùn)行規(guī)程與應(yīng)用政策所實(shí)施的一種監(jiān)督活動(dòng)，旨在增強(qiáng)中觀經(jīng)濟(jì)主體特定信息網(wǎng)絡(luò)的有效性、安全性、機(jī)密性與一致性[1]。與微觀信息系統(tǒng)相比，中觀信息系統(tǒng)功能更為復(fù)雜，且區(qū)域內(nèi)紛亂的個(gè)體間存在契約關(guān)系。中觀信息系統(tǒng)的復(fù)雜性主要體現(xiàn)在跨越單個(gè)信息系統(tǒng)邊界，參與者之間在信息技術(shù)基礎(chǔ)設(shè)施水平、信息化程度和能力上存在差異，參與者遵循一定的契約規(guī)則，依賴通信網(wǎng)絡(luò)支持，對(duì)安全性的要求程度很高等方面。中觀信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)是指IT審計(jì)師在對(duì)中觀信息系統(tǒng)進(jìn)行審計(jì)的過程中,由于受到某些不確定性因素的影響,而使審計(jì)結(jié)論與經(jīng)濟(jì)事實(shí)不符，從而受到相關(guān)關(guān)系人指控或媒體披露并遭受經(jīng)濟(jì)損失以及聲譽(yù)損失的可能性。中觀信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制的研究成果能為我國大型企業(yè)集團(tuán)、特殊的經(jīng)濟(jì)聯(lián)合體等中觀經(jīng)濟(jì)主體保持信息系統(tǒng)安全提供強(qiáng)有力的理論支持與實(shí)踐指導(dǎo)。

一、 相關(guān)理論概述與回顧

（一） COBIT

信息及相關(guān)技術(shù)的控制目標(biāo)（簡稱COBIT）由美國信息系統(tǒng)審計(jì)與控制協(xié)會(huì)（簡稱ISACA）頒布，是最先進(jìn)、最權(quán)威的安全與信息技術(shù)管理和控制的規(guī)范體系。COBIT將IT過程、IT資源及信息與企業(yè)的策略及目標(biāo)聯(lián)系于一體，形成一個(gè)三維的體系框架。COBIT框架主要由執(zhí)行工具集、管理指南、控制目標(biāo)和審計(jì)指南四個(gè)部分組成，它主要是為管理層提供信息技術(shù)的應(yīng)用構(gòu)架。COBIT對(duì)信息及相關(guān)資源進(jìn)行規(guī)劃與處理，從信息技術(shù)的規(guī)劃與組織、采集與實(shí)施、交付與支持以及監(jiān)控等四個(gè)方面確定了34個(gè)信息技術(shù)處理過程。

ISACA自1976年COBIT1.0版以來，陸續(xù)頒布了很多版本，最近ISACA即將COBIT5.0版。ISACA對(duì)COBIT理論的研究已趨于成熟，其思路逐步由IT審計(jì)師的審計(jì)工具轉(zhuǎn)向IT內(nèi)部控制框架，再轉(zhuǎn)向從高管層角度來思考IT治理。大多數(shù)國際組織在采納COSO框架時(shí)，都同時(shí)使用COBIT控制標(biāo)準(zhǔn)。升陽電腦公司等大型國際組織成功應(yīng)用COBIT優(yōu)化IT投資。2005年，歐盟也選擇將COBIT作為其審計(jì)準(zhǔn)則。國內(nèi)學(xué)者對(duì)COBIT理論的研究則以借鑒為主，如陽杰、張文秀等學(xué)者解讀了COBIT基本理論及其評(píng)價(jià)與應(yīng)用方法[23]；謝羽霄、黃溶冰等學(xué)者嘗試將COBIT理論應(yīng)用于銀行、會(huì)計(jì)、電信等不同的信息系統(tǒng)領(lǐng)域[45]。我國信息系統(tǒng)審計(jì)的研究目前正處于起步階段，因而將COBIT理論應(yīng)用于信息系統(tǒng)的研究也不夠深入。王會(huì)金、劉國城研究了COBIT理論在中觀信息系統(tǒng)重大錯(cuò)報(bào)風(fēng)險(xiǎn)評(píng)估中的運(yùn)用，金文、張金城研究了信息系統(tǒng)控制與審計(jì)的模型[1，6]。

（二） 數(shù)據(jù)挖掘

數(shù)據(jù)挖掘技術(shù)出現(xiàn)于20世紀(jì)80年代，該技術(shù)引出了數(shù)據(jù)庫的知識(shí)發(fā)現(xiàn)理論，因此，數(shù)據(jù)挖掘又被稱為“基于數(shù)據(jù)庫的知識(shí)發(fā)現(xiàn)(KDD)”。1995年，在加拿大蒙特利爾召開的首屆KDD & Date Mining 國際學(xué)術(shù)會(huì)議上，學(xué)者們首次正式提出數(shù)據(jù)挖掘理論[7]。當(dāng)前，數(shù)據(jù)挖掘的定義有很多，但較為公認(rèn)的一種表述是：“從大型數(shù)據(jù)庫中的數(shù)據(jù)中提取人們感興趣的知識(shí)。這些知識(shí)是隱含的、事先未知的潛在有用信息，提取的知識(shí)表現(xiàn)為概念、規(guī)則、規(guī)律、模式等形式。數(shù)據(jù)挖掘所要處理的問題就是在龐大的數(shù)據(jù)庫中尋找有價(jià)值的隱藏事件，加以分析，并將有意義的信息歸納成結(jié)構(gòu)模式，供有關(guān)部門在進(jìn)行決策時(shí)參考?！盵7]1995年至2010年，KDD國際會(huì)議已經(jīng)舉辦16次；1997年至2010年，亞太PAKDD會(huì)議已經(jīng)舉辦14次，眾多會(huì)議對(duì)數(shù)據(jù)挖掘的探討主要圍繞理論、技術(shù)與應(yīng)用三個(gè)方面展開。

目前國內(nèi)外學(xué)者對(duì)數(shù)據(jù)挖掘的理論研究已趨于成熟。亞太PAKDD會(huì)議主辦方出版的論文集顯示，2001年至2007年僅7年時(shí)間共有32個(gè)國家與地區(qū)的593篇會(huì)議論文被論文集收錄。我國學(xué)者在數(shù)據(jù)挖掘理論的研究中取得了豐碩的成果，具體表現(xiàn)在兩個(gè)方面：一是挖掘算法的縱深研究。李也白、唐輝探索了頻繁模式挖掘進(jìn)展，鄧勇、王汝傳研究了基于網(wǎng)絡(luò)服務(wù)的分布式數(shù)據(jù)挖掘，肖偉平、何宏研究了基于遺傳算法的數(shù)據(jù)挖掘方法[810]。二是數(shù)據(jù)挖掘的應(yīng)用研究。我國學(xué)者對(duì)于數(shù)據(jù)挖掘的應(yīng)用研究也積累了豐富的成果，并嘗試將數(shù)據(jù)挖掘技術(shù)應(yīng)用于醫(yī)學(xué)、通訊、電力、圖書館、電子商務(wù)等諸多領(lǐng)域。2008年以來，僅在中國知網(wǎng)查到的關(guān)于數(shù)據(jù)挖掘應(yīng)用研究的核心期刊論文就多達(dá)476篇。近年來，國際軟件公司也紛紛開發(fā)數(shù)據(jù)挖掘工具，如SPSS Clementine等。同時(shí)，我國也開發(fā)出數(shù)據(jù)挖掘軟件，如上海復(fù)旦德門公司開發(fā)的Dminer,東北大學(xué)軟件中心開發(fā)的Open Miner等。2000年以來，我國學(xué)者將數(shù)據(jù)挖掘應(yīng)用于審計(jì)的研究成果很多，但將數(shù)據(jù)挖掘應(yīng)用于信息系統(tǒng)審計(jì)的研究成果不多，且主要集中于安全審計(jì)領(lǐng)域具體數(shù)據(jù)挖掘技術(shù)的應(yīng)用研究。

二、 中觀信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制體系的構(gòu)想

本文將中觀信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制體系（圖1）劃分為以下三個(gè)層次。

（一） 第一層次：設(shè)計(jì)中觀信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)的控制框架與明細(xì)控制標(biāo)準(zhǔn)

中觀信息系統(tǒng)審計(jì)的對(duì)象包括信息安全、數(shù)據(jù)中心運(yùn)營、技術(shù)支持服務(wù)、災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)、績效與容量、基礎(chǔ)設(shè)施、硬件管理、軟件管理、數(shù)據(jù)庫管理、系統(tǒng)開發(fā)、變革管理、問題管理、網(wǎng)絡(luò)管理、中觀系統(tǒng)通信協(xié)議與契約規(guī)則等共計(jì)14個(gè)主要方面[11]。中觀信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制體系的第一層次是根據(jù)COBIT三維控制框架設(shè)計(jì)的。這一層次需要構(gòu)架兩項(xiàng)內(nèi)容：（1）中觀信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)的控制框架。該控制框架需要完全融合COBIT理論的精髓，并需要考慮COBIT理論的每一原則、標(biāo)準(zhǔn)、解釋及說明。該控制框架由14項(xiàng)風(fēng)險(xiǎn)防范因子組成，這14個(gè)因子必須與中觀信息系統(tǒng)審計(jì)的14個(gè)具體對(duì)象相對(duì)應(yīng)。框架中的每一個(gè)因子也應(yīng)該形成與自身相配套的風(fēng)險(xiǎn)控制子系統(tǒng)，且子系統(tǒng)應(yīng)該包含控制的要素、結(jié)構(gòu)、種類、目標(biāo)、遵循的原則、執(zhí)行概要等內(nèi)容。（2）中觀信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)的明細(xì)控制標(biāo)準(zhǔn)?？刂瓶蚣苤械?4項(xiàng)風(fēng)險(xiǎn)防范因子需要具備與自身相對(duì)應(yīng)的審計(jì)風(fēng)險(xiǎn)明細(xì)控制規(guī)則，IT審計(jì)師只有具備相應(yīng)的明細(xì)規(guī)范，才能在中觀信息系統(tǒng)審計(jì)實(shí)施過程中擁有可供參考的審計(jì)標(biāo)準(zhǔn)。每個(gè)因子的風(fēng)險(xiǎn)控制標(biāo)準(zhǔn)的設(shè)計(jì)需要以COBIT三維控制框架為平臺(tái)，以4個(gè)域、34個(gè)高層控制目標(biāo)、318個(gè)明細(xì)控制目標(biāo)為準(zhǔn)繩。

（二） 第二層次：確定風(fēng)險(xiǎn)控制框架下的具體挖掘流程以及風(fēng)險(xiǎn)控制的原型系統(tǒng)

第一層次構(gòu)建出了中觀信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制的明細(xì)標(biāo)準(zhǔn)Xi（i∈1n）。在第一層次的基礎(chǔ)上，第二層次需要借助于數(shù)據(jù)挖掘技術(shù)，完成兩個(gè)方面的工作。一是針對(duì)Xi，設(shè)計(jì)適用于Xi自身特性的數(shù)據(jù)挖掘流程。這一過程的完成需要數(shù)據(jù)資料庫的支持，因而，中觀經(jīng)濟(jì)主體在研討Xi明細(xì)控制標(biāo)準(zhǔn)下的數(shù)據(jù)挖掘流程時(shí)，必須以多年積累的信息系統(tǒng)控制與審計(jì)的經(jīng)歷為平臺(tái)，建立適用于Xi的主題數(shù)據(jù)庫。針對(duì)明細(xì)標(biāo)準(zhǔn)Xi的內(nèi)在要求以及主題數(shù)據(jù)庫的特點(diǎn)，我們就可以選擇數(shù)據(jù)概化、統(tǒng)計(jì)分析、聚類分析等眾多數(shù)據(jù)挖掘方法中的一種或若干種，合理選取特征字段，分層次、多角度地進(jìn)行明細(xì)標(biāo)準(zhǔn)Xi下的數(shù)據(jù)挖掘?qū)嶒?yàn)，總結(jié)挖掘規(guī)律，梳理挖掘流程。二是將適用于Xi的n個(gè)數(shù)據(jù)挖掘流程體系完善與融合，開發(fā)針對(duì)本行業(yè)的中觀信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制的原型系統(tǒng)。原型系統(tǒng)是指系統(tǒng)生命期開始階段建立的，可運(yùn)行的最小化系統(tǒng)模型。此過程通過對(duì)n個(gè)有關(guān)Xi的數(shù)據(jù)挖掘流程的融合，形成體系模型，并配以詳細(xì)的說明與解釋。對(duì)該模型要反復(fù)驗(yàn)證，多方面關(guān)注IT審計(jì)師對(duì)該原型系統(tǒng)的實(shí)際需求，盡可能與IT審計(jì)師一道對(duì)該原型系統(tǒng)達(dá)成一致理解。

（三） 第三層次：整合前兩個(gè)步驟，構(gòu)建中觀信息系統(tǒng)風(fēng)險(xiǎn)控制體系

第三層次是對(duì)第一層次與第二層次的整合。第三層次所形成的中觀信息系統(tǒng)風(fēng)險(xiǎn)控制體系包括四部分內(nèi)容：（1）中觀信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制框架；（2）中觀信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制參照標(biāo)準(zhǔn)；（3）中觀信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制明細(xì)標(biāo)準(zhǔn)所對(duì)應(yīng)的數(shù)據(jù)挖掘流程集；（4）目標(biāo)行業(yè)的中觀信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制的原型系統(tǒng)。在此過程中，對(duì)前三部分內(nèi)容，需要?dú)w納、驗(yàn)證、總結(jié)，并形成具有普遍性的中觀審計(jì)風(fēng)險(xiǎn)控制的書面成果；對(duì)第四部分內(nèi)容，需要在對(duì)原型系統(tǒng)進(jìn)行反復(fù)調(diào)試的基礎(chǔ)上將其開發(fā)成軟件，以形成適用于目標(biāo)行業(yè)不同組織單位的“軟性”成果。在設(shè)計(jì)中觀信息系統(tǒng)風(fēng)險(xiǎn)控制體系的最后階段，需要遵循控制體系的前三部分內(nèi)容與第四部分內(nèi)容相互一致、相互補(bǔ)充的原則。相互一致表現(xiàn)在控制體系中的框架、明細(xì)控制標(biāo)準(zhǔn)、相關(guān)控制流程與原型系統(tǒng)中的設(shè)計(jì)規(guī)劃、屬項(xiàng)特征、挖掘原則相協(xié)調(diào)；相互補(bǔ)充表現(xiàn)在控制體系中的框架、明細(xì)控制標(biāo)準(zhǔn)及相關(guān)控制流程是IT審計(jì)師在中觀信息系統(tǒng)審計(jì)中所參照的一般理念，而原型系統(tǒng)可為IT審計(jì)師提供審計(jì)結(jié)論測試、理念指導(dǎo)測試以及驗(yàn)證結(jié)論。 三、 COBIT框架對(duì)中觀信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制的貢獻(xiàn)

（一） COBIT框架與中觀信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制的契合分析

現(xiàn)代審計(jì)風(fēng)險(xiǎn)由重大錯(cuò)報(bào)風(fēng)險(xiǎn)與檢查風(fēng)險(xiǎn)兩個(gè)方面組成，與傳統(tǒng)審計(jì)風(fēng)險(xiǎn)相比，現(xiàn)代審計(jì)風(fēng)險(xiǎn)拓展了風(fēng)險(xiǎn)評(píng)估的范圍，要求考慮審計(jì)客體所處的行業(yè)風(fēng)險(xiǎn)。但從微觀層面看，傳統(tǒng)審計(jì)風(fēng)險(xiǎn)與現(xiàn)代審計(jì)風(fēng)險(xiǎn)的主要內(nèi)容都包括固有風(fēng)險(xiǎn)、控制風(fēng)險(xiǎn)與檢查風(fēng)險(xiǎn)。COBIT框架與中觀信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制的契合面就是中觀信息系統(tǒng)的固有風(fēng)險(xiǎn)與控制風(fēng)險(xiǎn)。中觀信息系統(tǒng)的固有風(fēng)險(xiǎn)是指“假定不存在內(nèi)部控制情況下，中觀信息系統(tǒng)存在嚴(yán)重錯(cuò)誤或不法行為的可能性”；中觀信息系統(tǒng)的控制風(fēng)險(xiǎn)是指“內(nèi)部控制體系未能及時(shí)預(yù)防某些錯(cuò)誤或不法行為，以致使中觀信息系統(tǒng)依然存在嚴(yán)重錯(cuò)誤或不法行為的可能性”；中觀信息系統(tǒng)的檢查風(fēng)險(xiǎn)是指“因IT審計(jì)師使用不恰當(dāng)?shù)膶徲?jì)程序，未能發(fā)現(xiàn)已經(jīng)存在重大錯(cuò)誤的可能性”。IT審計(jì)師若想控制中觀信息系統(tǒng)的審計(jì)風(fēng)險(xiǎn)，必須從三個(gè)方面著手：（1）對(duì)不存在內(nèi)部控制的方面，能夠辨別和合理評(píng)價(jià)被審系統(tǒng)的固有風(fēng)險(xiǎn)；（2）對(duì)存在內(nèi)部控制的方面，能夠確認(rèn)內(nèi)部控制制度的科學(xué)性、有效性、健全性，合理評(píng)價(jià)控制風(fēng)險(xiǎn)；（3）IT審計(jì)師在中觀信息系統(tǒng)審計(jì)過程中，能夠更大程度地挖掘出被審系統(tǒng)“已經(jīng)存在”的重大錯(cuò)誤。我國信息系統(tǒng)審計(jì)的理論研究起步較晚，IT審計(jì)師在分辨被審系統(tǒng)固有風(fēng)險(xiǎn)，確認(rèn)控制風(fēng)險(xiǎn)，將檢查風(fēng)險(xiǎn)降低至可接受水平三個(gè)方面缺乏成熟的標(biāo)準(zhǔn)加以規(guī)范，因此我國的中觀信息系統(tǒng)審計(jì)還急需一套完備的流程與指南 當(dāng)前我國有四項(xiàng)信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)，具體為《審計(jì)機(jī)關(guān)計(jì)算機(jī)輔助審計(jì)辦法》、《獨(dú)立審計(jì)具體準(zhǔn)則第20號(hào)――計(jì)算機(jī)信息系統(tǒng)環(huán)境下的審計(jì)》、《關(guān)于利用計(jì)算機(jī)信息系統(tǒng)開展審計(jì)工作有關(guān)問題的通知》（88號(hào)文件）以及《內(nèi)部審計(jì)具體準(zhǔn)則第28號(hào)――信息系統(tǒng)審計(jì)》。。

圖2 中觀信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)的控制框架與控制標(biāo)準(zhǔn)的設(shè)計(jì)思路

COBIT框架能夠滿足IT審計(jì)師的中觀信息系統(tǒng)審計(jì)需求，其三維控制體系，4個(gè)控制域、34個(gè)高層控制目標(biāo)、318個(gè)明細(xì)控制目標(biāo)為IT審計(jì)師辨別固有風(fēng)險(xiǎn)，分析控制風(fēng)險(xiǎn)，降低檢查風(fēng)險(xiǎn)提供了絕佳的參照樣板與實(shí)施指南。COBIT控制框架的管理理念、一般原則完全可以與中觀信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)的控制實(shí)現(xiàn)完美契合。通過對(duì)COBIT框架與中觀信息系統(tǒng)審計(jì)的分析，筆者認(rèn)為COBIT框架對(duì)中觀信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制的貢獻(xiàn)表現(xiàn)在三個(gè)方面（見圖2）：（1）由COBIT的管理指南，虛擬中觀信息系統(tǒng)的管理指南，進(jìn)而評(píng)價(jià)中觀主體對(duì)自身信息系統(tǒng)的管理程度。COBIT的管理指南由四部分組成，其中成熟度模型用來確定每一控制階段是否符合行業(yè)與國際標(biāo)準(zhǔn)，關(guān)鍵成功因素用來確定IT程序中最需要控制的活動(dòng)，關(guān)鍵目標(biāo)指標(biāo)用來定義IT控制的目標(biāo)績效水準(zhǔn)，關(guān)鍵績效指標(biāo)用來測量IT控制程序是否達(dá)到目標(biāo)。依據(jù)COBIT的管理指南，IT審計(jì)師可以探尋被審特定系統(tǒng)的行業(yè)與國際標(biāo)準(zhǔn)、IT控制活動(dòng)的重要性層次、IT控制活動(dòng)的目標(biāo)績效水平以及評(píng)價(jià)IT控制活動(dòng)成效的指標(biāo)，科學(xué)地?cái)M定被審系統(tǒng)的管理指南。（2）由COBIT的控制目標(biāo)，構(gòu)建中觀信息系統(tǒng)的控制目標(biāo)體系，進(jìn)而評(píng)價(jià)中觀信息系統(tǒng)的固有風(fēng)險(xiǎn)與檢查風(fēng)險(xiǎn)。COBIT的控制目標(biāo)包括高層域控制、中層過程控制、下層任務(wù)活動(dòng)控制三個(gè)方面，其中，高層域控制由規(guī)劃與組織、獲取與實(shí)施、交付與支持以及監(jiān)控四部分組成，中層控制過程由“定義IT戰(zhàn)略規(guī)劃”在內(nèi)的34個(gè)高層控制目標(biāo)組成，下層任務(wù)活動(dòng)控制由318個(gè)明細(xì)控制目標(biāo)組成。COBIT的控制目標(biāo)融合了“IT標(biāo)準(zhǔn)”、“IT資源”以及被審系統(tǒng)的“商業(yè)目標(biāo)”，為IT審計(jì)師實(shí)施中觀信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制提供了層級(jí)控制體系與明細(xì)控制目標(biāo)。IT審計(jì)師可以直接套用COBIT的控制層級(jí)與目標(biāo)擬定中觀信息系統(tǒng)管理與控制的層級(jí)控制體系以及明細(xì)控制目標(biāo)，然后再進(jìn)一步以所擬定的明細(xì)控制目標(biāo)作為參照樣板，合理評(píng)判中觀信息系統(tǒng)的固有風(fēng)險(xiǎn)與控制風(fēng)險(xiǎn)。中觀信息系統(tǒng)中“域”、“高層”、“明細(xì)”控制目標(biāo)的三層結(jié)構(gòu)加強(qiáng)了IT審計(jì)師審計(jì)風(fēng)險(xiǎn)控制的可操作性。（3）由COBIT的審計(jì)指南，設(shè)計(jì)IT審計(jì)師操作指南，進(jìn)而降低中觀信息系統(tǒng)審計(jì)的檢查風(fēng)險(xiǎn)。COBIT的審計(jì)指南由基本準(zhǔn)則、具體準(zhǔn)則、執(zhí)業(yè)指南三個(gè)部分組成。基本準(zhǔn)則規(guī)定了信息系統(tǒng)審計(jì)行為和審計(jì)報(bào)告必須達(dá)到的基本要求，為IT審計(jì)師制定一般審計(jì)規(guī)范、具體審計(jì)計(jì)劃提供基本依據(jù)。具體準(zhǔn)則對(duì)如何遵循IT審計(jì)的基本標(biāo)準(zhǔn)，提供詳細(xì)的規(guī)定、具體說明和解釋，為IT審計(jì)師如何把握、評(píng)價(jià)中觀經(jīng)濟(jì)主體對(duì)自身系統(tǒng)的控制情況提供指導(dǎo)。執(zhí)業(yè)指南是根據(jù)基本標(biāo)準(zhǔn)與具體準(zhǔn)則制定的，是系統(tǒng)審計(jì)的操作規(guī)程和方法，為IT審計(jì)師提供了審計(jì)流程與操作指南。

（二） 中觀信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制體系建設(shè)舉例――構(gòu)建“設(shè)備管理”控制目標(biāo)體系

前文所述，中觀信息系統(tǒng)審計(jì)的對(duì)象包括“信息安全”等14項(xiàng)內(nèi)容，本文以“硬件管理”為例，運(yùn)用COBIT的控制目標(biāo)，構(gòu)建“硬件管理”的控制目標(biāo)體系，以利于IT審計(jì)師科學(xué)評(píng)價(jià)“硬件管理”存在的固有風(fēng)險(xiǎn)與控制風(fēng)險(xiǎn)?！霸O(shè)備管理”控制目標(biāo)體系的構(gòu)建思路參見表1。

注：IT標(biāo)準(zhǔn)對(duì)IT過程的影響中P表示直接且主要的，S表示間接且次要的；IT過程所涉及的IT資源中C表示涉及；空白表示關(guān)聯(lián)微小。

表1以“設(shè)備管理”為研究對(duì)象，結(jié)合COBIT控制框架，并將COBIT框架中與“設(shè)備管理”不相關(guān)的中層控制過程剔除，最終構(gòu)建出“設(shè)備管理”控制的目標(biāo)體系。該體系由4個(gè)域控制目標(biāo)、21個(gè)中層過程控制目標(biāo)、149個(gè)明細(xì)控制目標(biāo)三個(gè)層級(jí)構(gòu)成，各個(gè)層級(jí)的關(guān)系見表1。（1）第一層級(jí)是域控制，由“P.設(shè)備管理的組織規(guī)劃目標(biāo)”、“A.設(shè)備管理的獲取與實(shí)施目標(biāo)”、“DS.設(shè)備管理的交付與支持目標(biāo)”以及“M.設(shè)備管理的監(jiān)控目標(biāo)”構(gòu)成；（2）第二層級(jí)是中層過程控制，由21個(gè)目標(biāo)構(gòu)成，其中歸屬于P的目標(biāo)5個(gè)，歸屬于A的目標(biāo)3個(gè)，歸屬于D的目標(biāo)9個(gè)，歸屬于M的目標(biāo)4個(gè)；（3）第三層級(jí)是下層任務(wù)活動(dòng)控制，由149個(gè)明細(xì)目標(biāo)構(gòu)成，該明細(xì)目標(biāo)體系是中層過程控制目標(biāo)（P、A、DS、M）針對(duì)“IT標(biāo)準(zhǔn)”與“IT資源”的進(jìn)一步細(xì)分。IT標(biāo)準(zhǔn)是指信息系統(tǒng)在運(yùn)營過程中所應(yīng)盡可能實(shí)現(xiàn)的規(guī)則，具體包括有效性、效率性、機(jī)密性等7項(xiàng)；IT資源是指信息系統(tǒng)在運(yùn)營過程中所要求的基本要素，具體有人員、應(yīng)用等5項(xiàng)。根據(jù)表1中“有效性”、“人員”等“IT標(biāo)準(zhǔn)”與“IT資源”合計(jì)的12個(gè)屬項(xiàng)，每個(gè)具體中層控制目標(biāo)都會(huì)衍生出多個(gè)明細(xì)控制目標(biāo)。例如，中層控制目標(biāo)“DS13.運(yùn)營管理”基于“IT標(biāo)準(zhǔn)”與“IT資源”的特點(diǎn)具體能夠演繹出6項(xiàng)明細(xì)控制目標(biāo)，此7項(xiàng)可表述為“DS13-01.利用各項(xiàng)設(shè)備，充分保證硬件設(shè)備業(yè)務(wù)處理與數(shù)據(jù)存取的及時(shí)、正確與有效”，“DS13-02.充分保證硬件設(shè)備運(yùn)營的經(jīng)濟(jì)性與效率性，在硬件設(shè)備投入成本一定的情況下，相對(duì)加大硬件設(shè)備運(yùn)營所產(chǎn)生的潛在收益”，“DS13-03.硬件設(shè)備保持正常的運(yùn)營狀態(tài)，未經(jīng)授權(quán)，不可以改變硬件的狀態(tài)、使用范圍與運(yùn)營特性，保證設(shè)備運(yùn)營的完整性”，“DS13-04.設(shè)備應(yīng)該在規(guī)定條件下和規(guī)定時(shí)間內(nèi)完成規(guī)定的功能與任務(wù)，保證設(shè)備的可用性”，“DS13-05.硬件設(shè)備運(yùn)營的參與人員必須具備較高的專業(yè)素質(zhì)，工作中遵循相應(yīng)的行為規(guī)范”以及“DS13-06.工作人員在使用各項(xiàng)硬件設(shè)備時(shí)，嚴(yán)格遵循科學(xué)的操作規(guī)程，工作中注意對(duì)硬件設(shè)備的保護(hù)，禁止惡意損壞設(shè)備”。上述三個(gè)層級(jí)組成了完整的“硬件設(shè)備”控制目標(biāo)體系，若將中觀信息系統(tǒng)審計(jì)的14個(gè)對(duì)象都建立相應(yīng)的控制目標(biāo)體系，并將其融合為一體，則將會(huì)形成完備的中觀信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制的整體目標(biāo)體系。

四、 數(shù)據(jù)挖掘技術(shù)對(duì)中觀信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制的貢獻(xiàn)

（一） 數(shù)據(jù)挖掘技術(shù)與中觀信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制的融合分析

中觀信息系統(tǒng)是由兩個(gè)或兩個(gè)以上微觀個(gè)體所構(gòu)成的中觀經(jīng)濟(jì)主體所屬個(gè)體的信息資源，在整體核心控制臺(tái)的統(tǒng)一控制下，以Internet為依托，按照一定的契約規(guī)則實(shí)施共享的網(wǎng)狀結(jié)構(gòu)式的有機(jī)系統(tǒng)。與微觀信息系統(tǒng)比較，中觀信息系統(tǒng)運(yùn)行復(fù)雜，日志數(shù)據(jù)、用戶操作數(shù)據(jù)、監(jiān)控?cái)?shù)據(jù)的數(shù)量相對(duì)龐雜。因而，面對(duì)系統(tǒng)海量的數(shù)據(jù)信息，IT審計(jì)師針對(duì)前文所構(gòu)建的明細(xì)控制目標(biāo)Xi下的審計(jì)證據(jù)獲取工作將面臨很多問題，如數(shù)據(jù)信息的消化與吸收、數(shù)據(jù)信息的真假難辨等。而數(shù)據(jù)挖掘可以幫助決策者尋找數(shù)據(jù)間潛在的知識(shí)與規(guī)律，并通過關(guān)聯(lián)規(guī)則實(shí)現(xiàn)對(duì)異常、敏感數(shù)據(jù)的查詢、提取、統(tǒng)計(jì)與分析，支持決策者在現(xiàn)有的數(shù)據(jù)信息基礎(chǔ)上進(jìn)行決策[12]。數(shù)據(jù)挖掘滿足了中觀信息系統(tǒng)審計(jì)的需求，當(dāng)IT審計(jì)師對(duì)繁雜的系統(tǒng)數(shù)據(jù)一籌莫展時(shí)，數(shù)據(jù)挖掘理論中的聚類分析、關(guān)聯(lián)規(guī)則等技術(shù)卻能為中觀信息系統(tǒng)審計(jì)的方法提供創(chuàng)新之路。筆者認(rèn)為，將數(shù)據(jù)挖掘技術(shù)應(yīng)用于前文所述的明細(xì)控制目標(biāo)Xi下審計(jì)證據(jù)篩選流程的構(gòu)建是完全可行的。恰當(dāng)?shù)臄?shù)據(jù)挖掘具體技術(shù)，科學(xué)的特征字段選取，對(duì)敏感與異常數(shù)據(jù)的精準(zhǔn)調(diào)取，將會(huì)提高中觀信息系統(tǒng)審計(jì)的效率與效果，進(jìn)而降低審計(jì)風(fēng)險(xiǎn)。

（二） 中觀信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制目標(biāo)Xi下數(shù)據(jù)挖掘流程的規(guī)劃

數(shù)據(jù)挖掘技術(shù)在中觀信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制中的應(yīng)用思路見圖3。

注：數(shù)據(jù)倉庫具體為目標(biāo)行業(yè)特定中觀經(jīng)濟(jì)主體的信息系統(tǒng)數(shù)據(jù)庫

中觀信息系統(tǒng)審計(jì)明細(xì)控制目標(biāo)Xi下數(shù)據(jù)挖掘流程設(shè)計(jì)具體可分為六個(gè)過程：（1）闡明問題與假設(shè)。本部分的研究是在一個(gè)特定的應(yīng)用領(lǐng)域中完成的，以“中觀信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)明細(xì)控制目標(biāo)Xi”為主旨，闡明相關(guān)問題、評(píng)估“控制目標(biāo)Xi”所處的挖掘環(huán)境、詳盡的描述條件假設(shè)、合理確定挖掘的目標(biāo)與成功標(biāo)準(zhǔn)，這些將是實(shí)現(xiàn)“控制目標(biāo)Xi下”挖掘任務(wù)的關(guān)鍵。（2）數(shù)據(jù)收集。圖3顯示，本過程需要從原始數(shù)據(jù)、Web記錄與日志文件等處作為數(shù)據(jù)源采集數(shù)據(jù)信息，采集后，還需要進(jìn)一步描述數(shù)據(jù)特征與檢驗(yàn)數(shù)據(jù)質(zhì)量。所采集數(shù)據(jù)的特征描述主要包括數(shù)據(jù)格式、關(guān)鍵字段、數(shù)據(jù)屬性、一致性，所采集數(shù)據(jù)的質(zhì)量檢驗(yàn)主要考慮是否滿足“控制目標(biāo)Xi”下數(shù)據(jù)挖掘的需求，數(shù)據(jù)是否完整，是否存有錯(cuò)誤，錯(cuò)誤是否普遍等。（3）數(shù)據(jù)預(yù)處理。該過程是在圖3的“N.異構(gòu)數(shù)據(jù)匯聚數(shù)據(jù)庫”與“U.全局/局部數(shù)據(jù)倉庫”兩個(gè)模塊下完成的。N模塊執(zhí)行了整合異構(gòu)數(shù)據(jù)的任務(wù)，這是因?yàn)镹中的異構(gòu)數(shù)據(jù)庫由不同性質(zhì)的異構(gòu)數(shù)據(jù)組合而成，數(shù)據(jù)屬性、數(shù)據(jù)一致性彼此間可能存在矛盾，故N模塊需要通過數(shù)據(jù)轉(zhuǎn)換與數(shù)據(jù)透明訪問實(shí)現(xiàn)異構(gòu)數(shù)據(jù)的共享。U模塊承載著實(shí)現(xiàn)數(shù)據(jù)清理、數(shù)據(jù)集成與數(shù)據(jù)格式化的功能?！翱刂颇繕?biāo)Xi”下的數(shù)據(jù)挖掘技術(shù)實(shí)施前，IT審計(jì)師需要事先完成清理與挖掘目標(biāo)相關(guān)程度低的數(shù)據(jù)，將特征字段中的錯(cuò)誤值剔除以及將缺省值補(bǔ)齊，將不同記錄的數(shù)據(jù)合并為新的記錄值以及對(duì)數(shù)據(jù)進(jìn)行語法修改形成適用于挖掘技術(shù)的統(tǒng)一格式數(shù)據(jù)等系列工作。（4）模型建立。在“V.數(shù)據(jù)挖掘與知識(shí)發(fā)現(xiàn)”過程中，選擇與應(yīng)用多種不同的挖掘技術(shù)，校準(zhǔn)挖掘參數(shù)，實(shí)現(xiàn)最優(yōu)化挖掘?！翱刂颇繕?biāo)Xi”下的數(shù)據(jù)挖掘技術(shù)可以將分類與聚類分析、關(guān)聯(lián)規(guī)則、統(tǒng)計(jì)推斷、決策樹分析、離散點(diǎn)分析、孤立點(diǎn)檢測等技術(shù)相結(jié)合，用多種挖掘技術(shù)檢查同一個(gè)“控制目標(biāo)Xi”的完成程度[12]。選擇挖掘技術(shù)后，選取少部分?jǐn)?shù)據(jù)對(duì)目標(biāo)挖掘技術(shù)的實(shí)用性與有效性進(jìn)行驗(yàn)證，并以此為基礎(chǔ)，以參數(shù)設(shè)計(jì)、模型設(shè)定、模型描述等方式對(duì)U模塊數(shù)據(jù)倉庫中的數(shù)據(jù)開展數(shù)據(jù)挖掘與進(jìn)行知識(shí)發(fā)現(xiàn)。（5）解釋模型。此過程在模塊“W.模式解釋與評(píng)價(jià)”中完成，中觀信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)領(lǐng)域?qū)＜遗c數(shù)據(jù)挖掘工程師需要依據(jù)各自的領(lǐng)域知識(shí)、數(shù)據(jù)挖掘成功標(biāo)準(zhǔn)共同解釋模塊V，審計(jì)領(lǐng)域?qū)＜覐臉I(yè)務(wù)角度討論模型結(jié)果，數(shù)據(jù)挖掘工程師從技術(shù)角度驗(yàn)證模型結(jié)果。（6）歸納結(jié)論。在“Z.挖掘規(guī)律與挖掘路徑歸納”中，以W模塊為基礎(chǔ)，整理上述挖掘?qū)嵤┻^程，歸納“控制目標(biāo)Xi”下的挖掘規(guī)律，探究“控制目標(biāo)Xi”下的挖掘流程，整合“控制目標(biāo)Xi”（i∈1n）的數(shù)據(jù)挖掘流程體系，并開發(fā)原型系統(tǒng)。

（三） 數(shù)據(jù)挖掘流程應(yīng)用舉例――“訪問控制”下挖掘思路的設(shè)計(jì)

如前所述，中觀信息系統(tǒng)審計(jì)包括14個(gè)對(duì)象，其中“網(wǎng)絡(luò)管理”對(duì)象包含“訪問管理”等多個(gè)方面。結(jié)合COBIT框架下“M1.過程監(jiān)控”與“IT標(biāo)準(zhǔn)-機(jī)密性”，“訪問管理”可以將“M1-i.用戶訪問網(wǎng)絡(luò)必須通過授權(quán)，拒絕非授權(quán)用戶的訪問”作為其控制目標(biāo)之一。“M1-i”數(shù)據(jù)挖掘的數(shù)據(jù)來源主要有日志等，本部分截取網(wǎng)絡(luò)日志對(duì)“M1-i”下數(shù)據(jù)挖掘流程的設(shè)計(jì)進(jìn)行舉例分析。

假設(shè)某中觀信息系統(tǒng)在2011年4月20日18時(shí)至22時(shí)有如下一段日志記錄。

（1） “Sep 20 19:23:06 UNIX login［1015］：FAILED LOGIN 3 FROM(null) FOR wanghua”

（2） “Sep 20 19:51:57 UNIX―zhangli［1016］：LOGIN ON Pts/1 BY zhangli FROM 172.161.11.49”

（3） “Sep 20 20:01:19 UNIX login［1017］：FAILED LOGIN 1 FROM(null) FOR wanghua”

（4） “Sep 20 20:17:23 UNIX―wanyu ［1018］：LOGIN ON Pts/2 BY wanyu FROM 172.161.11.342”

（5） “Sep 20 21:33:20 UNIX―wanghua ［1019］：LOGIN ON Pts/5 BY wanghua FROM 191.34.25.17”

（6） “Sep 20 21:34:39 UNIX su(pam――unix)［1020］:session opened for user root by wanghua (uid=5856)”

… … …

選取上述日志作為數(shù)據(jù)庫，以前文“控制目標(biāo)Xi”下數(shù)據(jù)挖掘的6個(gè)過程為范本，可以設(shè)計(jì)“M1-i.用戶訪問網(wǎng)絡(luò)必須通過授權(quán)，拒絕非授權(quán)用戶的訪問”下的審計(jì)證據(jù)挖掘流程。該挖掘流程的設(shè)計(jì)至少包括如下思路：a.選取“授權(quán)用戶”作為挖掘的“特征字段”，篩選出“非授權(quán)用戶”的日志數(shù)據(jù)；b.以a為基礎(chǔ)，以“LOGIN ON Pts BY 非授權(quán)用戶”作為 “特征字段”進(jìn)行挖掘；c.以a為基礎(chǔ)，選取“opened … by …”作為“特征字段”實(shí)施挖掘。假如日志庫中只有wanghua為非授權(quán)用戶，則a將會(huì)挖出（1）（3）（5）（6），b會(huì)挖出（5），c將會(huì)挖掘出（6）。通過對(duì)（5）與（6）嫌疑日志的分析以及“M1-i”挖掘流程的建立，IT審計(jì)師就能夠得出被審系統(tǒng)的“訪問控制”存在固有風(fēng)險(xiǎn)，且wanghua已經(jīng)享有了授權(quán)用戶權(quán)限的結(jié)論。

參考文獻(xiàn)：

［1］王會(huì)金，劉國城.COBIT及在中觀經(jīng)濟(jì)主體信息系統(tǒng)審計(jì)的應(yīng)用［J］.審計(jì)研究，2009(1):5862.

［2］陽杰，莊明來,陶黎娟.基于COBIT的會(huì)計(jì)業(yè)務(wù)流程控制［J］.審計(jì)與經(jīng)濟(jì)研究，2009（2）：7886.

［3］張文秀，齊興利.基于COBIT的信息系統(tǒng)審計(jì)框架研究［J］.南京審計(jì)學(xué)院學(xué)報(bào)，2010(5):2934.

［4］謝羽霄,邱晨旭.基于COBIT的電信企業(yè)信息技術(shù)內(nèi)部控制研究［J］.電信科學(xué),2009(7):3035.

［5］黃溶冰,王躍堂.商業(yè)銀行信息化進(jìn)程中審計(jì)風(fēng)險(xiǎn)與控制［J］.經(jīng)濟(jì)問題探索,2008(2):134137.

［6］金文,張金城.基于COBIT的信息系統(tǒng)控制管理與審計(jì)［J］.審計(jì)研究，2005(4):7579.

［7］陳安,陳寧.數(shù)據(jù)挖掘技術(shù)與應(yīng)用［M］.北京：科學(xué)工業(yè)出版社，2006.

［8］李也白,唐輝.基于改進(jìn)的PE-tree的頻繁模式挖掘算法［J］.計(jì)算機(jī)應(yīng)用，2011(1):101104.

［9］鄧勇,王汝傳.基于網(wǎng)格服務(wù)的分布式數(shù)據(jù)挖掘［J］.計(jì)算機(jī)工程與應(yīng)用,2010(8):610.

［10］肖偉平,何宏.基于遺傳算法的數(shù)據(jù)挖掘方法及應(yīng)用［J］.湖南科技大學(xué)學(xué)報(bào)，2009(9):8286.

［11］孫強(qiáng).信息系統(tǒng)審計(jì)［M］.北京：機(jī)械工業(yè)出版社，2003.

［12］蘇新寧,楊建林.數(shù)據(jù)挖掘理論與技術(shù)［M］. 北京：科學(xué)技術(shù)出版社,2003.

Risk Control System of MesoInformation System Audit:From the Perspective of COBIT Framework of Date Mining Technology

WANG Huijin

（Nanjing Audit University, Nanjing 211815, China）