資源描述:
《中觀信息系統(tǒng)審計風險控制體系研究》由會員上傳分享�,免費在線閱讀,更多相關內(nèi)容在行業(yè)資料-天天文庫����。
1��、中觀信息系統(tǒng)審計風險控制體系研究——以COBIT框架與數(shù)據(jù)挖掘技術相結合為視角王會金【專題名稱】審計文摘【專題號】V3【復印期號】2012年03期【原文出處】《審計與經(jīng)濟研究》(南京)2012年1期第16~23頁【作者簡介】王會金����,南京審計學院????中觀信息系統(tǒng)審計是中觀審計的重要組成部分����,它從屬于中觀審計與信息系統(tǒng)審計的交叉領域�。中觀信息系統(tǒng)審計是指IT審計師依據(jù)特定的規(guī)范,運用科學系統(tǒng)的程序方法���,對中觀經(jīng)濟主體信息系統(tǒng)的運行規(guī)程與應用政策所實施的一種監(jiān)督活動���,旨在增強中觀經(jīng)濟主體特定信息網(wǎng)絡的有效性���、安全性、機密性與
2����、一致性�。與微觀信息系統(tǒng)相比,中觀信息系統(tǒng)功能更為復雜�,且區(qū)域內(nèi)紛亂的個體間存在契約關系����。中觀信息系統(tǒng)的復雜性主要體現(xiàn)在跨越單個信息系統(tǒng)邊界�,參與者之間在信息技術基礎設施水平、信息化程度和能力上存在差異����,參與者遵循一定的契約規(guī)則,依賴通信網(wǎng)絡支持��,對安全性的要求程度很高等方面�。中觀信息系統(tǒng)審計風險是指IT審計師在對中觀信息系統(tǒng)進行審計的過程中����,由于受到某些不確定性因素的影響����,而使審計結論與經(jīng)濟事實不符�,從而受到相關關系人指控或媒體披露并遭受經(jīng)濟損失以及聲譽損失的可能性。中觀信息系統(tǒng)審計風險控制的研究成果能為我國大型企業(yè)集團���、
3、特殊的經(jīng)濟聯(lián)合體等中觀經(jīng)濟主體保持信息系統(tǒng)安全提供強有力的理論支持與實踐指導����。????一����、相關理論概述與回顧????(一)COBIT????信息及相關技術的控制目標(簡稱COBIT)由美國信息系統(tǒng)審計與控制協(xié)會(簡稱ISACA)頒布��、是最先進、最權威的安全與信息技術管理和控制的規(guī)范體系�����。COBIT將IT過程�、IT資源及信息與企業(yè)的策略及目標聯(lián)系于一體���,形成一個三維的體系框架��。COBIT框架主要由執(zhí)行工具集�、管理指南�、控制目標和審計指南四個部分組成,它主要是為管理層提供信息技術的應用構架�。COBIT對信息及相關資源進行規(guī)劃與
4、處理���,從信息技術的規(guī)劃與組織��、采集與實施�����、交付與支持以及監(jiān)控等四個方面確定了34個信息技術處理過程�����。????ISACA自1976年發(fā)布COBIT1.0版以來���,陸續(xù)頒布了很多版本�,最近ISACA即將發(fā)布COBIT5.0版。ISACA對COBIT理論的研究已趨于成熟�����,其思路逐步由IT審計師的審計工具轉(zhuǎn)向IT內(nèi)部控制框架��,再轉(zhuǎn)向從高管層角度來思考IT治理�����。大多數(shù)國際組織在采納COSO框架時,都同時使用COBIT控制標準。升陽電腦公司等大型國際組織成功應用COBIT優(yōu)化IT投資����。2005年���,歐盟也選擇將COBIT作為其審計準則。國
5��、內(nèi)學者對COBIT理論的研究則以借鑒為主��,如陽杰����、張文秀等學者解讀了COBIT基本理論及其評價與應用方法;謝羽霄����、黃溶冰等學者嘗試將COBIT理論應用于銀行���、會計�、電信等不同的信息系統(tǒng)領域��。我國信息系統(tǒng)審計的研究目前正處于起步階段�����,因而將COBIT理論應用于信息系統(tǒng)的研究也不夠深入�。王會金����、劉國城研究了COBIT理論在中觀信息系統(tǒng)重大錯報風險評估中的運用����,金文����、張金城研究了信息系統(tǒng)控制與審計的模型。????(二)數(shù)據(jù)挖掘????數(shù)據(jù)挖掘技術出現(xiàn)于20世紀80年代�����,該技術引出了數(shù)據(jù)庫的知識發(fā)現(xiàn)理論����,因此、數(shù)據(jù)挖掘又被稱為“基
6�、于數(shù)據(jù)庫的知識發(fā)現(xiàn)(KDD)”�。1995年,在加拿大蒙特利爾召開的首屆KDD&DateMining國際學術會議上����,學者們首次正式提出數(shù)據(jù)挖掘理論�。當前�����,數(shù)據(jù)挖掘的定義有很多����,但較為公認的一種表述是:“從大型數(shù)據(jù)庫中的數(shù)據(jù)中提取人們感興趣的知識����。這些知識是隱含的����、事先未知的潛在有用信息,提取的知識表現(xiàn)為概念��、規(guī)則�����、規(guī)律���、模式等形式�。數(shù)據(jù)挖掘所要處理的問題就是在龐大的數(shù)據(jù)庫中尋找有價值的隱藏事件,加以分析���,并將有意義的信息歸納成結構模式,供有關部門在進行決策時參考��?��!?995年至2010年,KDD國際會議已經(jīng)舉辦16次����;199
7、7年至2010年���、亞太PAKDD會議已經(jīng)舉辦14次,眾多會議對數(shù)據(jù)挖掘的探討主要圍繞理論�、技術與應用三個方面展開���。????目前國內(nèi)外學者對數(shù)據(jù)挖掘的理論研究已趨于成熟�。亞太PAKDD會議主辦方出版的論文集顯示��,2001年至2007年僅7年時間共有32個國家與地區(qū)的593篇會議論文被論文集收錄�����。我國學者在數(shù)據(jù)挖掘理論的研究中取得了豐碩的成果,具體表現(xiàn)在兩個方面:一是挖掘算法的縱深研究���。李也白�、唐輝探索了頻繁模式挖掘進展����、鄧勇��、王汝傳研究了基于網(wǎng)絡服務的分布式數(shù)據(jù)挖掘�����,肖偉平、何宏研究了基于遺傳算法的數(shù)據(jù)挖掘方法����。二是數(shù)據(jù)挖掘
8����、的應用研究。我國學者對于數(shù)據(jù)挖掘的應用研究也積累了豐富的成果�,并嘗試將數(shù)據(jù)挖掘技術應用于醫(yī)學���、通訊、電力��、圖書館、電子商務等諸多領域����。2008年以來�����,僅在中國知網(wǎng)查到的關于數(shù)據(jù)挖掘應用研究的核心期刊論文就多達476篇�。近年來�����,國際軟件公司也紛紛開發(fā)數(shù)據(jù)挖掘工具��,如SPSSClementine等�。同時�,我
