新岳乱合集目录500伦_在教室里被强h_幸福的一家1—6小说_美女mm131爽爽爽作爱

［摘 要］當(dāng)前，我國急需一套完善的中觀信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制體系。這是因?yàn)槲覈闹杏^經(jīng)濟(jì)主體在控制信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)時(shí)需要一套成熟的管理流程，且國家有關(guān)部門在制定信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)防范標(biāo)準(zhǔn)方面也需要完善的控制體系作為支撐。在闡述COBIT與數(shù)據(jù)挖掘基本理論的基礎(chǔ)上，借鑒COBIT框架，構(gòu)建中觀信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)的明細(xì)控制框架，利用數(shù)據(jù)挖掘技術(shù)有針對性地探索每一個(gè)明細(xì)標(biāo)準(zhǔn)的數(shù)據(jù)挖掘路徑，創(chuàng)建挖掘流程，建立適用于我國中觀經(jīng)濟(jì)特色的信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制體系。�
　?。坳P(guān)鍵詞］中觀信息系統(tǒng)審計(jì)；COBIT框架；數(shù)據(jù)挖掘；風(fēng)險(xiǎn)控制；中觀審計(jì)�
　?。壑袌D分類號(hào)］F239.4 ［文獻(xiàn)標(biāo)識(shí)碼］A ［文章編號(hào)］10044833(2012)01001608��
　　
　　中觀信息系統(tǒng)審計(jì)是中觀審計(jì)的重要組成部分，它從屬于中觀審計(jì)與信息系統(tǒng)審計(jì)的交叉領(lǐng)域。中觀信息系統(tǒng)審計(jì)是指IT審計(jì)師依據(jù)特定的規(guī)范，運(yùn)用科學(xué)系統(tǒng)的程序方法，對中觀經(jīng)濟(jì)主體信息系統(tǒng)的運(yùn)行規(guī)程與應(yīng)用政策所實(shí)施的一種監(jiān)督活動(dòng)，旨在增強(qiáng)中觀經(jīng)濟(jì)主體特定信息網(wǎng)絡(luò)的有效性、安全性、機(jī)密性與一致性[1]。與微觀信息系統(tǒng)相比，中觀信息系統(tǒng)功能更為復(fù)雜，且區(qū)域內(nèi)紛亂的個(gè)體間存在契約關(guān)系。中觀信息系統(tǒng)的復(fù)雜性主要體現(xiàn)在跨越單個(gè)信息系統(tǒng)邊界，參與者之間在信息技術(shù)基礎(chǔ)設(shè)施水平、信息化程度和能力上存在差異，參與者遵循一定的契約規(guī)則，依賴通信網(wǎng)絡(luò)支持，對安全性的要求程度很高等方面。中觀信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)是指IT審計(jì)師在對中觀信息系統(tǒng)進(jìn)行審計(jì)的過程中,由于受到某些不確定性因素的影響,而使審計(jì)結(jié)論與經(jīng)濟(jì)事實(shí)不符，從而受到相關(guān)關(guān)系人指控或媒體披露并遭受經(jīng)濟(jì)損失以及聲譽(yù)損失的可能性。中觀信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制的研究成果能為我國大型企業(yè)集團(tuán)、特殊的經(jīng)濟(jì)聯(lián)合體等中觀經(jīng)濟(jì)主體保持信息系統(tǒng)安全提供強(qiáng)有力的理論支持與實(shí)踐指導(dǎo)。�
　　
　　一、 相關(guān)理論概述與回顧�
　?。ㄒ唬?COBIT�
　　信息及相關(guān)技術(shù)的控制目標(biāo)（簡稱COBIT）由美國信息系統(tǒng)審計(jì)與控制協(xié)會(huì)（簡稱ISACA）頒布，是最先進(jìn)、最權(quán)威的安全與信息技術(shù)管理和控制的規(guī)范體系。COBIT將IT過程、IT資源及信息與企業(yè)的策略及目標(biāo)聯(lián)系于一體，形成一個(gè)三維的體系框架。COBIT框架主要由執(zhí)行工具集、管理指南、控制目標(biāo)和審計(jì)指南四個(gè)部分組成，它主要是為管理層提供信息技術(shù)的應(yīng)用構(gòu)架。COBIT對信息及相關(guān)資源進(jìn)行規(guī)劃與處理，從信息技術(shù)的規(guī)劃與組織、采集與實(shí)施、交付與支持以及監(jiān)控等四個(gè)方面確定了34個(gè)信息技術(shù)處理過程。�
　　ISACA自1976年發(fā)布COBIT1.0版以來，陸續(xù)頒布了很多版本，最近ISACA即將發(fā)布COBIT5.0版。ISACA對COBIT理論的研究已趨于成熟，其思路逐步由IT審計(jì)師的審計(jì)工具轉(zhuǎn)向IT內(nèi)部控制框架，再轉(zhuǎn)向從高管層角度來思考IT治理。大多數(shù)國際組織在采納COSO框架時(shí)，都同時(shí)使用COBIT控制標(biāo)準(zhǔn)。升陽電腦公司等大型國際組織成功應(yīng)用COBIT優(yōu)化IT投資。2005年，歐盟也選擇將COBIT作為其審計(jì)準(zhǔn)則。國內(nèi)學(xué)者對COBIT理論的研究則以借鑒為主，如陽杰、張文秀等學(xué)者解讀了COBIT基本理論及其評價(jià)與應(yīng)用方法[23]；謝羽霄、黃溶冰等學(xué)者嘗試將COBIT理論應(yīng)用于銀行、會(huì)計(jì)、電信等不同的信息系統(tǒng)領(lǐng)域[45]。我國信息系統(tǒng)審計(jì)的研究目前正處于起步階段，因而將COBIT理論應(yīng)用于信息系統(tǒng)的研究也不夠深入。王會(huì)金、劉國城研究了COBIT理論在中觀信息系統(tǒng)重大錯(cuò)報(bào)風(fēng)險(xiǎn)評估中的運(yùn)用，金文、張金城研究了信息系統(tǒng)控制與審計(jì)的模型[1，6]。�
　?。ǘ?數(shù)據(jù)挖掘�
　　數(shù)據(jù)挖掘技術(shù)出現(xiàn)于20世紀(jì)80年代，該技術(shù)引出了數(shù)據(jù)庫的知識(shí)發(fā)現(xiàn)理論，因此，數(shù)據(jù)挖掘又被稱為“基于數(shù)據(jù)庫的知識(shí)發(fā)現(xiàn)(KDD)”。1995年，在加拿大蒙特利爾召開的首屆KDD & Date Mining 國際學(xué)術(shù)會(huì)議上，學(xué)者們首次正式提出數(shù)據(jù)挖掘理論[7]。當(dāng)前，數(shù)據(jù)挖掘的定義有很多，但較為公認(rèn)的一種表述是：“從大型數(shù)據(jù)庫中的數(shù)據(jù)中提取人們感興趣的知識(shí)。這些知識(shí)是隱含的、事先未知的潛在有用信息，提取的知識(shí)表現(xiàn)為概念、規(guī)則、規(guī)律、模式等形式。數(shù)據(jù)挖掘所要處理的問題就是在龐大的數(shù)據(jù)庫中尋找有價(jià)值的隱藏事件，加以分析，并將有意義的信息歸納成結(jié)構(gòu)模式，供有關(guān)部門在進(jìn)行決策時(shí)參考?！盵7]1995年至2010年，KDD國際會(huì)議已經(jīng)舉辦16次；1997年至2010年，亞太PAKDD會(huì)議已經(jīng)舉辦14次，眾多會(huì)議對數(shù)據(jù)挖掘的探討主要圍繞理論、技術(shù)與應(yīng)用三個(gè)方面展開。�
　　目前國內(nèi)外學(xué)者對數(shù)據(jù)挖掘的理論研究已趨于成熟。亞太PAKDD會(huì)議主辦方出版的論文集顯示，2001年至2007年僅7年時(shí)間共有32個(gè)國家與地區(qū)的593篇會(huì)議論文被論文集收錄。我國學(xué)者在數(shù)據(jù)挖掘理論的研究中取得了豐碩的成果，具體表現(xiàn)在兩個(gè)方面：一是挖掘算法的縱深研究。李也白、唐輝探索了頻繁模式挖掘進(jìn)展，鄧勇、王汝傳研究了基于網(wǎng)絡(luò)服務(wù)的分布式數(shù)據(jù)挖掘，肖偉平、何宏研究了基于遺傳算法的數(shù)據(jù)挖掘方法[810]。二是數(shù)據(jù)挖掘的應(yīng)用研究。我國學(xué)者對于數(shù)據(jù)挖掘的應(yīng)用研究也積累了豐富的成果，并嘗試將數(shù)據(jù)挖掘技術(shù)應(yīng)用于醫(yī)學(xué)、通訊、電力、圖書館、電子商務(wù)等諸多領(lǐng)域。2008年以來，僅在中國知網(wǎng)查到的關(guān)于數(shù)據(jù)挖掘應(yīng)用研究的核心期刊論文就多達(dá)476篇。近年來，國際軟件公司也紛紛開發(fā)數(shù)據(jù)挖掘工具，如SPSS Clementine等。同時(shí)，我國也開發(fā)出數(shù)據(jù)挖掘軟件，如上海復(fù)旦德門公司開發(fā)的Dminer,東北大學(xué)軟件中心開發(fā)的Open Miner等。2000年以來，我國學(xué)者將數(shù)據(jù)挖掘應(yīng)用于審計(jì)的研究成果很多，但將數(shù)據(jù)挖掘應(yīng)用于信息系統(tǒng)審計(jì)的研究成果不多，且主要集中于安全審計(jì)領(lǐng)域具體數(shù)據(jù)挖掘技術(shù)的應(yīng)用研究。�
　　
　　二、 中觀信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制體系的構(gòu)想�
　　本文將中觀信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制體系（圖1）劃分為以下三個(gè)層次。�
　　（一） 第一層次：設(shè)計(jì)中觀信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)的控制框架與明細(xì)控制標(biāo)準(zhǔn)�
　　中觀信息系統(tǒng)審計(jì)的對象包括信息安全、數(shù)據(jù)中心運(yùn)營、技術(shù)支持服務(wù)、災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)、績效與容量、基礎(chǔ)設(shè)施、硬件管理、軟件管理、數(shù)據(jù)庫管理、系統(tǒng)開發(fā)、變革管理、問題管理、網(wǎng)絡(luò)管理、中觀系統(tǒng)通信協(xié)議與契約規(guī)則等共計(jì)14個(gè)主要方面[11]。中觀信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制體系的第一層次是根據(jù)COBIT三維控制框架設(shè)計(jì)的。這一層次需要構(gòu)架兩項(xiàng)內(nèi)容：（1）中觀信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)的控制框架。該控制框架需要完全融合COBIT理論的精髓，并需要考慮COBIT理論的每一原則、標(biāo)準(zhǔn)、解釋及說明。該控制框架由14項(xiàng)風(fēng)險(xiǎn)防范因子組成，這14個(gè)因子必須與中觀信息系統(tǒng)審計(jì)的14個(gè)具體對象相對應(yīng)?？蚣苤械拿恳粋€(gè)因子也應(yīng)該形成與自身相配套的風(fēng)險(xiǎn)控制子系統(tǒng)，且子系統(tǒng)應(yīng)該包含控制的要素、結(jié)構(gòu)、種類、目標(biāo)、遵循的原則、執(zhí)行概要等內(nèi)容。（2）中觀信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)的明細(xì)控制標(biāo)準(zhǔn)。控制框架中的14項(xiàng)風(fēng)險(xiǎn)防范因子需要具備與自身相對應(yīng)的審計(jì)風(fēng)險(xiǎn)明細(xì)控制規(guī)則，IT審計(jì)師只有具備相應(yīng)的明細(xì)規(guī)范，才能在中觀信息系統(tǒng)審計(jì)實(shí)施過程中擁有可供參考的審計(jì)標(biāo)準(zhǔn)。每個(gè)因子的風(fēng)險(xiǎn)控制標(biāo)準(zhǔn)的設(shè)計(jì)需要以COBIT三維控制框架為平臺(tái)，以4個(gè)域、34個(gè)高層控制目標(biāo)、318個(gè)明細(xì)控制目標(biāo)為準(zhǔn)繩。�







　　
　?。ǘ?第二層次：確定風(fēng)險(xiǎn)控制框架下的具體挖掘流程以及風(fēng)險(xiǎn)控制的原型系統(tǒng)�
　　�第一層次構(gòu)建出了中觀信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制的明細(xì)標(biāo)準(zhǔn)X�i（i∈1→n）。在第一層次的基礎(chǔ)上，第二層次需要借助于數(shù)據(jù)挖掘技術(shù)，完成兩個(gè)方面的工作。一是針對X�i，設(shè)計(jì)適用于X�i自身特性的數(shù)據(jù)挖掘流程。這一過程的完成需要數(shù)據(jù)資料庫的支持，因而，中觀經(jīng)濟(jì)主體在研討X�i明細(xì)控制標(biāo)準(zhǔn)下的數(shù)據(jù)挖掘流程時(shí)，必須以多年積累的信息系統(tǒng)控制與審計(jì)的經(jīng)歷為平臺(tái)，建立適用于X�i的主題數(shù)據(jù)庫。針對明細(xì)標(biāo)準(zhǔn)X�i的內(nèi)在要求以及主題數(shù)據(jù)庫的特點(diǎn)，我們就可以選擇數(shù)據(jù)概化、統(tǒng)計(jì)分析、聚類分析等眾多數(shù)據(jù)挖掘方法中的一種或若干種，合理選取特征字段，分層次、多角度地進(jìn)行明細(xì)標(biāo)準(zhǔn)X�i下的數(shù)據(jù)挖掘?qū)嶒?yàn)，總結(jié)挖掘規(guī)律，梳理挖掘流程。二是將適用于X�i的n個(gè)數(shù)據(jù)挖掘流程體系完善與融合，開發(fā)針對本行業(yè)的中觀信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制的原型系統(tǒng)。原型系統(tǒng)是指系統(tǒng)生命期開始階段建立的，可運(yùn)行的最小化系統(tǒng)模型。此過程通過對n個(gè)有關(guān)X�i的數(shù)據(jù)挖掘流程的融合，�形成體系模型，并配以詳細(xì)的說明與解釋。對該模型要反復(fù)驗(yàn)證，多方面關(guān)注IT審計(jì)師對該原型系統(tǒng)的實(shí)際需求，盡可能與IT審計(jì)師一道對該原型系統(tǒng)達(dá)成一致理解。�
　?。ㄈ?第三層次：整合前兩個(gè)步驟，構(gòu)建中觀信息系統(tǒng)風(fēng)險(xiǎn)控制體系�
　　第三層次是對第一層次與第二層次的整合。第三層次所形成的中觀信息系統(tǒng)風(fēng)險(xiǎn)控制體系包括四部分內(nèi)容：（1）中觀信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制框架；（2）中觀信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制參照標(biāo)準(zhǔn)；（3）中觀信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制明細(xì)標(biāo)準(zhǔn)所對應(yīng)的數(shù)據(jù)挖掘流程集；（4）目標(biāo)行業(yè)的中觀信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制的原型系統(tǒng)。在此過程中，對前三部分內(nèi)容，需要?dú)w納、驗(yàn)證、總結(jié)，并形成具有普遍性的中觀審計(jì)風(fēng)險(xiǎn)控制的書面成果；對第四部分內(nèi)容，需要在對原型系統(tǒng)進(jìn)行反復(fù)調(diào)試的基礎(chǔ)上將其開發(fā)成軟件，以形成適用于目標(biāo)行業(yè)不同組織單位的“軟性”成果。在設(shè)計(jì)中觀信息系統(tǒng)風(fēng)險(xiǎn)控制體系的最后階段，需要遵循控制體系的前三部分內(nèi)容與第四部分內(nèi)容相互一致、相互補(bǔ)充的原則。相互一致表現(xiàn)在控制體系中的框架、明細(xì)控制標(biāo)準(zhǔn)、相關(guān)控制流程與原型系統(tǒng)中的設(shè)計(jì)規(guī)劃、屬項(xiàng)特征、挖掘原則相協(xié)調(diào)；相互補(bǔ)充表現(xiàn)在控制體系中的框架、明細(xì)控制標(biāo)準(zhǔn)及相關(guān)控制流程是IT審計(jì)師在中觀信息系統(tǒng)審計(jì)中所參照的一般理念，而原型系統(tǒng)可為IT審計(jì)師提供審計(jì)結(jié)論測試、理念指導(dǎo)測試以及驗(yàn)證結(jié)論。 三、 COBIT框架對中觀信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制的貢獻(xiàn)�
　　（一） COBIT框架與中觀信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制的契合分析�
　　現(xiàn)代審計(jì)風(fēng)險(xiǎn)由重大錯(cuò)報(bào)風(fēng)險(xiǎn)與檢查風(fēng)險(xiǎn)兩個(gè)方面組成，與傳統(tǒng)審計(jì)風(fēng)險(xiǎn)相比，現(xiàn)代審計(jì)風(fēng)險(xiǎn)拓展了風(fēng)險(xiǎn)評估的范圍，要求考慮審計(jì)客體所處的行業(yè)風(fēng)險(xiǎn)。但從微觀層面看，傳統(tǒng)審計(jì)風(fēng)險(xiǎn)與現(xiàn)代審計(jì)風(fēng)險(xiǎn)的主要內(nèi)容都包括固有風(fēng)險(xiǎn)、控制風(fēng)險(xiǎn)與檢查風(fēng)險(xiǎn)。COBIT框架與中觀信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制的契合面就是中觀信息系統(tǒng)的固有風(fēng)險(xiǎn)與控制風(fēng)險(xiǎn)。中觀信息系統(tǒng)的固有風(fēng)險(xiǎn)是指“假定不存在內(nèi)部控制情況下，中觀信息系統(tǒng)存在嚴(yán)重錯(cuò)誤或不法行為的可能性”；中觀信息系統(tǒng)的控制風(fēng)險(xiǎn)是指“內(nèi)部控制體系未能及時(shí)預(yù)防某些錯(cuò)誤或不法行為，以致使中觀信息系統(tǒng)依然存在嚴(yán)重錯(cuò)誤或不法行為的可能性”；中觀信息系統(tǒng)的檢查風(fēng)險(xiǎn)是指“因IT審計(jì)師使用不恰當(dāng)?shù)膶徲?jì)程序，未能發(fā)現(xiàn)已經(jīng)存在重大錯(cuò)誤的可能性”。IT審計(jì)師若想控制中觀信息系統(tǒng)的審計(jì)風(fēng)險(xiǎn)，必須從三個(gè)方面著手：（1）對不存在內(nèi)部控制的方面，能夠辨別和合理評價(jià)被審系統(tǒng)的固有風(fēng)險(xiǎn)；（2）對存在內(nèi)部控制的方面，能夠確認(rèn)內(nèi)部控制制度的科學(xué)性、有效性、健全性，合理評價(jià)控制風(fēng)險(xiǎn)；（3）IT審計(jì)師在中觀信息系統(tǒng)審計(jì)過程中，能夠更大程度地挖掘出被審系統(tǒng)“已經(jīng)存在”的重大錯(cuò)誤。我國信息系統(tǒng)審計(jì)的理論研究起步較晚，IT審計(jì)師在分辨被審系統(tǒng)固有風(fēng)險(xiǎn)，確認(rèn)控制風(fēng)險(xiǎn)，將檢查風(fēng)險(xiǎn)降低至可接受水平三個(gè)方面缺乏成熟的標(biāo)準(zhǔn)加以規(guī)范，因此我國的中觀信息系統(tǒng)審計(jì)還急需一套完備的流程與指南 當(dāng)前我國有四項(xiàng)信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)，具體為《審計(jì)機(jī)關(guān)計(jì)算機(jī)輔助審計(jì)辦法》、《獨(dú)立審計(jì)具體準(zhǔn)則第20號(hào)――計(jì)算機(jī)信息系統(tǒng)環(huán)境下的審計(jì)》、《關(guān)于利用計(jì)算機(jī)信息系統(tǒng)開展審計(jì)工作有關(guān)問題的通知》（88號(hào)文件）以及《內(nèi)部審計(jì)具體準(zhǔn)則第28號(hào)――信息系統(tǒng)審計(jì)》。。�
　　
　　
　　圖2 中觀信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)的控制框架與控制標(biāo)準(zhǔn)的設(shè)計(jì)思路�
　　
　　COBIT框架能夠滿足IT審計(jì)師的中觀信息系統(tǒng)審計(jì)需求，其三維控制體系，4個(gè)控制域、34個(gè)高層控制目標(biāo)、318個(gè)明細(xì)控制目標(biāo)為IT審計(jì)師辨別固有風(fēng)險(xiǎn)，分析控制風(fēng)險(xiǎn)，降低檢查風(fēng)險(xiǎn)提供了絕佳的參照樣板與實(shí)施指南。COBIT控制框架的管理理念、一般原則完全可以與中觀信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)的控制實(shí)現(xiàn)完美契合。通過對COBIT框架與中觀信息系統(tǒng)審計(jì)的分析，筆者認(rèn)為COBIT框架對中觀信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制的貢獻(xiàn)表現(xiàn)在三個(gè)方面（見圖2）：（1）由COBIT的管理指南，虛擬中觀信息系統(tǒng)的管理指南，進(jìn)而評價(jià)中觀主體對自身信息系統(tǒng)的管理程度。COBIT的管理指南由四部分組成，其中成熟度模型用來確定每一控制階段是否符合行業(yè)與國際標(biāo)準(zhǔn)，關(guān)鍵成功因素用來確定IT程序中最需要控制的活動(dòng)，關(guān)鍵目標(biāo)指標(biāo)用來定義IT控制的目標(biāo)績效水準(zhǔn)，關(guān)鍵績效指標(biāo)用來測量IT控制程序是否達(dá)到目標(biāo)。依據(jù)COBIT的管理指南，IT審計(jì)師可以探尋被審特定系統(tǒng)的行業(yè)與國際標(biāo)準(zhǔn)、IT控制活動(dòng)的重要性層次、IT控制活動(dòng)的目標(biāo)績效水平以及評價(jià)IT控制活動(dòng)成效的指標(biāo)，科學(xué)地?cái)M定被審系統(tǒng)的管理指南。（2）由COBIT的控制目標(biāo)，構(gòu)建中觀信息系統(tǒng)的控制目標(biāo)體系，進(jìn)而評價(jià)中觀信息系統(tǒng)的固有風(fēng)險(xiǎn)與檢查風(fēng)險(xiǎn)。COBIT的控制目標(biāo)包括高層域控制、中層過程控制、下層任務(wù)活動(dòng)控制三個(gè)方面，其中，高層域控制由規(guī)劃與組織、獲取與實(shí)施、交付與支持以及監(jiān)控四部分組成，中層控制過程由“定義IT戰(zhàn)略規(guī)劃”在內(nèi)的34個(gè)高層控制目標(biāo)組成，下層任務(wù)活動(dòng)控制由318個(gè)明細(xì)控制目標(biāo)組成。COBIT的控制目標(biāo)融合了“IT標(biāo)準(zhǔn)”、“IT資源”以及被審系統(tǒng)的“商業(yè)目標(biāo)”，為IT審計(jì)師實(shí)施中觀信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制提供了層級(jí)控制體系與明細(xì)控制目標(biāo)。IT審計(jì)師可以直接套用COBIT的控制層級(jí)與目標(biāo)擬定中觀信息系統(tǒng)管理與控制的層級(jí)控制體系以及明細(xì)控制目標(biāo)，然后再進(jìn)一步以所擬定的明細(xì)控制目標(biāo)作為參照樣板，合理評判中觀信息系統(tǒng)的固有風(fēng)險(xiǎn)與控制風(fēng)險(xiǎn)。中觀信息系統(tǒng)中“域”、“高層”、“明細(xì)”控制目標(biāo)的三層結(jié)構(gòu)加強(qiáng)了IT審計(jì)師審計(jì)風(fēng)險(xiǎn)控制的可操作性。（3）由COBIT的審計(jì)指南，設(shè)計(jì)IT審計(jì)師操作指南，進(jìn)而降低中觀信息系統(tǒng)審計(jì)的檢查風(fēng)險(xiǎn)。COBIT的審計(jì)指南由基本準(zhǔn)則、具體準(zhǔn)則、執(zhí)業(yè)指南三個(gè)部分組成。基本準(zhǔn)則規(guī)定了信息系統(tǒng)審計(jì)行為和審計(jì)報(bào)告必須達(dá)到的基本要求，為IT審計(jì)師制定一般審計(jì)規(guī)范、具體審計(jì)計(jì)劃提供基本依據(jù)。具體準(zhǔn)則對如何遵循IT審計(jì)的基本標(biāo)準(zhǔn)，提供詳細(xì)的規(guī)定、具體說明和解釋，為IT審計(jì)師如何把握、評價(jià)中觀經(jīng)濟(jì)主體對自身系統(tǒng)的控制情況提供指導(dǎo)。執(zhí)業(yè)指南是根據(jù)基本標(biāo)準(zhǔn)與具體準(zhǔn)則制定的，是系統(tǒng)審計(jì)的操作規(guī)程和方法，為IT審計(jì)師提供了審計(jì)流程與操作指南。�
　　（二） 中觀信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制體系建設(shè)舉例――構(gòu)建“設(shè)備管理”控制目標(biāo)體系�
　　前文所述，中觀信息系統(tǒng)審計(jì)的對象包括“信息安全”等14項(xiàng)內(nèi)容，本文以“硬件管理”為例，運(yùn)用COBIT的控制目標(biāo)，構(gòu)建“硬件管理”的控制目標(biāo)體系，以利于IT審計(jì)師科學(xué)評價(jià)“硬件管理”存在的固有風(fēng)險(xiǎn)與控制風(fēng)險(xiǎn)?！霸O(shè)備管理”控制目標(biāo)體系的構(gòu)建思路參見表1。�







　　
　　 注：IT標(biāo)準(zhǔn)對IT過程的影響中P表示直接且主要的，S表示間接且次要的；IT過程所涉及的IT資源中C表示涉及；空白表示關(guān)聯(lián)微小。�
　　
　　表1以“設(shè)備管理”為研究對象，結(jié)合COBIT控制框架，并將COBIT框架中與“設(shè)備管理”不相關(guān)的中層控制過程剔除，最終構(gòu)建出“設(shè)備管理”控制的目標(biāo)體系。該體系由4個(gè)域控制目標(biāo)、21個(gè)中層過程控制目標(biāo)、149個(gè)明細(xì)控制目標(biāo)三個(gè)層級(jí)構(gòu)成，各個(gè)層級(jí)的關(guān)系見表1。（1）第一層級(jí)是域控制，由“P.設(shè)備管理的組織規(guī)劃目標(biāo)”、“A.設(shè)備管理的獲取與實(shí)施目標(biāo)”、“DS.設(shè)備管理的交付與支持目標(biāo)”以及“M.設(shè)備管理的監(jiān)控目標(biāo)”構(gòu)成；（2）第二層級(jí)是中層過程控制，由21個(gè)目標(biāo)構(gòu)成，其中歸屬于P的目標(biāo)5個(gè)，歸屬于A的目標(biāo)3個(gè)，歸屬于D的目標(biāo)9個(gè)，歸屬于M的目標(biāo)4個(gè)；（3）第三層級(jí)是下層任務(wù)活動(dòng)控制，由149個(gè)明細(xì)目標(biāo)構(gòu)成，該明細(xì)目標(biāo)體系是中層過程控制目標(biāo)（P、A、DS、M）針對“IT標(biāo)準(zhǔn)”與“IT資源”的進(jìn)一步細(xì)分。IT標(biāo)準(zhǔn)是指信息系統(tǒng)在運(yùn)營過程中所應(yīng)盡可能實(shí)現(xiàn)的規(guī)則，具體包括有效性、效率性、機(jī)密性等7項(xiàng)；IT資源是指信息系統(tǒng)在運(yùn)營過程中所要求的基本要素，具體有人員、應(yīng)用等5項(xiàng)。根據(jù)表1中“有效性”、“人員”等“IT標(biāo)準(zhǔn)”與“IT資源”合計(jì)的12個(gè)屬項(xiàng)，每個(gè)具體中層控制目標(biāo)都會(huì)衍生出多個(gè)明細(xì)控制目標(biāo)。例如，中層控制目標(biāo)“DS��13�.運(yùn)營管理”基于“IT標(biāo)準(zhǔn)”與“IT資源”的特點(diǎn)具體能夠演繹出6項(xiàng)明細(xì)控制目標(biāo)，此7項(xiàng)可表述為“DS��13�-01.利用各項(xiàng)設(shè)備，充分保證硬件設(shè)備業(yè)務(wù)處理與數(shù)據(jù)存取的及時(shí)、正確與有效”，“DS��13�-02.充分保證硬件設(shè)備運(yùn)營的經(jīng)濟(jì)性與效率性，在硬件設(shè)備投入成本一定的情況下，相對加大硬件設(shè)備運(yùn)營所產(chǎn)生的潛在收益”，“DS��13�-03.硬件設(shè)備保持正常的運(yùn)營狀態(tài)，未經(jīng)授權(quán)，不可以改變硬件的狀態(tài)、使用范圍與運(yùn)營特性，保證設(shè)備運(yùn)營的完整性”，“DS��13�-04.設(shè)備應(yīng)該在規(guī)定條件下和規(guī)定時(shí)間內(nèi)完成規(guī)定的功能與任務(wù)，保證設(shè)備的可用性”，“DS��13�-05.硬件設(shè)備運(yùn)營的參與人員必須具備較高的專業(yè)素質(zhì)，工作中遵循相應(yīng)的行為規(guī)范”以及“DS��13�-06.工作人員在使用各項(xiàng)硬件設(shè)備時(shí)，嚴(yán)格遵循科學(xué)的操作規(guī)程，工作中注意對硬件設(shè)備的保護(hù)，禁止惡意損壞設(shè)備”。上述三個(gè)層級(jí)組成了完整的“硬件設(shè)備”控制目標(biāo)體系，若將中觀信息系統(tǒng)審計(jì)的14個(gè)對象都建立相應(yīng)的控制目標(biāo)體系，并將其融合為一體，則將會(huì)形成完備的中觀信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制的整體目標(biāo)體系。�
　　
　　四、 數(shù)據(jù)挖掘技術(shù)對中觀信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制的貢獻(xiàn)�
　　（一） 數(shù)據(jù)挖掘技術(shù)與中觀信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制的融合分析�
　　中觀信息系統(tǒng)是由兩個(gè)或兩個(gè)以上微觀個(gè)體所構(gòu)成的中觀經(jīng)濟(jì)主體所屬個(gè)體的信息資源，在整體核心控制臺(tái)的統(tǒng)一控制下，以Internet為依托，按照一定的契約規(guī)則實(shí)施共享的網(wǎng)狀結(jié)構(gòu)式的有機(jī)系統(tǒng)。與微觀信息系統(tǒng)比較，中觀信息系統(tǒng)運(yùn)行復(fù)雜，日志數(shù)據(jù)、用戶操作數(shù)據(jù)、監(jiān)控?cái)?shù)據(jù)的數(shù)量相對龐雜。因而，面對系統(tǒng)海量的數(shù)據(jù)信息，IT審計(jì)師針對前文所構(gòu)建的明細(xì)控制目標(biāo)�X�i�下的審計(jì)證據(jù)獲取工作將面臨很多問題，如數(shù)據(jù)信息的消化與吸收、數(shù)據(jù)信息的真假難辨等。而數(shù)據(jù)挖掘可以幫助決策者尋找數(shù)據(jù)間潛在的知識(shí)與規(guī)律，并通過關(guān)聯(lián)規(guī)則實(shí)現(xiàn)對異常、敏感數(shù)據(jù)的查詢、提取、統(tǒng)計(jì)與分析，支持決策者在現(xiàn)有的數(shù)據(jù)信息基礎(chǔ)上進(jìn)行決策[12]。數(shù)據(jù)挖掘滿足了中觀信息系統(tǒng)審計(jì)的需求，當(dāng)IT審計(jì)師對繁雜的系統(tǒng)數(shù)據(jù)一籌莫展時(shí)，數(shù)據(jù)挖掘理論中的聚類分析、關(guān)聯(lián)規(guī)則等技術(shù)卻能為中觀信息系統(tǒng)審計(jì)的方法提供創(chuàng)新之路。筆者認(rèn)為，將數(shù)據(jù)挖掘技術(shù)應(yīng)用于前文所述的明細(xì)控制目標(biāo)�X�i�下審計(jì)證據(jù)篩選流程的構(gòu)建是完全可行的。恰當(dāng)?shù)臄?shù)據(jù)挖掘具體技術(shù)，科學(xué)的特征字段選取，對敏感與異常數(shù)據(jù)的精準(zhǔn)調(diào)取，將會(huì)提高中觀信息系統(tǒng)審計(jì)的效率與效果，進(jìn)而降低審計(jì)風(fēng)險(xiǎn)。�
　?。ǘ?中觀信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制目標(biāo)�X�i�下數(shù)據(jù)挖掘流程的規(guī)劃�
　　數(shù)據(jù)挖掘技術(shù)在中觀信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)控制中的應(yīng)用思路見圖3。
　　 注：數(shù)據(jù)倉庫具體為目標(biāo)行業(yè)特定中觀經(jīng)濟(jì)主體的信息系統(tǒng)數(shù)據(jù)庫��
　　
　　中觀信息系統(tǒng)審計(jì)明細(xì)控制目標(biāo)�X�i�下數(shù)據(jù)挖掘流程設(shè)計(jì)具體可分為六個(gè)過程：（1）闡明問題與假設(shè)。本部分的研究是在一個(gè)特定的應(yīng)用領(lǐng)域中完成的，以“中觀信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)明細(xì)控制目標(biāo)�X�i�”為主旨，闡明相關(guān)問題、評估“控制目標(biāo)�X�i�”所處的挖掘環(huán)境、詳盡的描述條件假設(shè)、合理確定挖掘的目標(biāo)與成功標(biāo)準(zhǔn)，這些將是實(shí)現(xiàn)“控制目標(biāo)�X�i�下”挖掘任務(wù)的關(guān)鍵。（2）數(shù)據(jù)收集。圖3顯示，本過程需要從原始數(shù)據(jù)、Web記錄與日志文件等處作為數(shù)據(jù)源采集數(shù)據(jù)信息，采集后，還需要進(jìn)一步描述數(shù)據(jù)特征與檢驗(yàn)數(shù)據(jù)質(zhì)量。所采集數(shù)據(jù)的特征描述主要包括數(shù)據(jù)格式、關(guān)鍵字段、數(shù)據(jù)屬性、一致性，所采集數(shù)據(jù)的質(zhì)量檢驗(yàn)主要考慮是否滿足“控制目標(biāo)�X�i�”下數(shù)據(jù)挖掘的需求，數(shù)據(jù)是否完整，是否存有錯(cuò)誤，錯(cuò)誤是否普遍等。（3）數(shù)據(jù)預(yù)處理。該過程是在圖3的“N.異構(gòu)數(shù)據(jù)匯聚數(shù)據(jù)庫”與“U.全局/局部數(shù)據(jù)倉庫”兩個(gè)模塊下完成的。N模塊執(zhí)行了整合異構(gòu)數(shù)據(jù)的任務(wù)，這是因?yàn)镹中的異構(gòu)數(shù)據(jù)庫由不同性質(zhì)的異構(gòu)數(shù)據(jù)組合而成，數(shù)據(jù)屬性、數(shù)據(jù)一致性彼此間可能存在矛盾，故N模塊需要通過數(shù)據(jù)轉(zhuǎn)換與數(shù)據(jù)透明訪問實(shí)現(xiàn)異構(gòu)數(shù)據(jù)的共享。U模塊承載著實(shí)現(xiàn)數(shù)據(jù)清理、數(shù)據(jù)集成與數(shù)據(jù)格式化的功能?！翱刂颇繕?biāo)�X�i�”下的數(shù)據(jù)挖掘技術(shù)實(shí)施前，IT審計(jì)師需要事先完成清理與挖掘目標(biāo)相關(guān)程度低的數(shù)據(jù)，將特征字段中的錯(cuò)誤值剔除以及將缺省值補(bǔ)齊，將不同記錄的數(shù)據(jù)合并為新的記錄值以及對數(shù)據(jù)進(jìn)行語法修改形成適用于挖掘技術(shù)的統(tǒng)一格式數(shù)據(jù)等系列工作。（4）模型建立。在“V.數(shù)據(jù)挖掘與知識(shí)發(fā)現(xiàn)”過程中，選擇與應(yīng)用多種不同的挖掘技術(shù)，校準(zhǔn)挖掘參數(shù)，實(shí)現(xiàn)最優(yōu)化挖掘?！翱刂颇繕?biāo)�X�i�”下的數(shù)據(jù)挖掘技術(shù)可以將分類與聚類分析、關(guān)聯(lián)規(guī)則、統(tǒng)計(jì)推斷、決策樹分析、離散點(diǎn)分析、孤立點(diǎn)檢測等技術(shù)相結(jié)合，用多種挖掘技術(shù)檢查同一個(gè)“控制目標(biāo)�X�i�”的完成程度[12]。選擇挖掘技術(shù)后，選取少部分?jǐn)?shù)據(jù)對目標(biāo)挖掘技術(shù)的實(shí)用性與有效性進(jìn)行驗(yàn)證，并以此為基礎(chǔ)，以參數(shù)設(shè)計(jì)、模型設(shè)定、模型描述等方式對U模塊數(shù)據(jù)倉庫中的數(shù)據(jù)開展數(shù)據(jù)挖掘與進(jìn)行知識(shí)發(fā)現(xiàn)。（5）解釋模型。此過程在模塊“W.模式解釋與評價(jià)”中完成，中觀信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)領(lǐng)域?qū)＜遗c數(shù)據(jù)挖掘工程師需要依據(jù)各自的領(lǐng)域知識(shí)、數(shù)據(jù)挖掘成功標(biāo)準(zhǔn)共同解釋模塊V，審計(jì)領(lǐng)域?qū)＜覐臉I(yè)務(wù)角度討論模型結(jié)果，數(shù)據(jù)挖掘工程師從技術(shù)角度驗(yàn)證模型結(jié)果。（6）歸納結(jié)論。在“Z.挖掘規(guī)律與挖掘路徑歸納”中，以W模塊為基礎(chǔ)，整理上述挖掘?qū)嵤┻^程，歸納“控制目標(biāo)�X�i”下的挖掘規(guī)律，探究“控制目標(biāo)X�i”下的挖掘流程，整合“控制目標(biāo)X�i”（i∈1→n）的數(shù)據(jù)挖掘流程體系，并開發(fā)原型系統(tǒng)。��
　?。ㄈ?數(shù)據(jù)挖掘流程應(yīng)用舉例――“訪問控制”下挖掘思路的設(shè)計(jì)�
　　如前所述，中觀信息系統(tǒng)審計(jì)包括14個(gè)對象，其中“網(wǎng)絡(luò)管理”對象包含“訪問管理”等多個(gè)方面。結(jié)合COBIT框架下“M�1.過程監(jiān)控”與“IT標(biāo)準(zhǔn)-機(jī)密性”，“訪問管理”可以將“M�1-i.用戶訪問網(wǎng)絡(luò)必須通過授權(quán)，拒絕非授權(quán)用戶的訪問”作為其控制目標(biāo)之一?！癕�1-i”數(shù)據(jù)挖掘的數(shù)據(jù)來源主要有日志等，本部分截取網(wǎng)絡(luò)日志對“M�1-i”下數(shù)據(jù)挖掘流程的設(shè)計(jì)進(jìn)行舉例分析。�







　　假設(shè)某中觀信息系統(tǒng)在2011年4月20日18時(shí)至22時(shí)有如下一段日志記錄。�
　?。?） “Sep 20 19:23:06 UNIX login［1015］：FAILED LOGIN 3 FROM(null) FOR wanghua”�
　　（2） “Sep 20 19:51:57 UNIX―zhangli［1016］：LOGIN ON Pts/1 BY zhangli FROM 172.161.11.49”�
　?。?） “Sep 20 20:01:19 UNIX login［1017］：FAILED LOGIN 1 FROM(null) FOR wanghua”�
　?。?） “Sep 20 20:17:23 UNIX―wanyu ［1018］：LOGIN ON Pts/2 BY wanyu FROM 172.161.11.342”�
　?。?） “Sep 20 21:33:20 UNIX―wanghua ［1019］：LOGIN ON Pts/5 BY wanghua FROM 191.34.25.17”�
　?。?） “Sep 20 21:34:39 UNIX su(pam――unix)［1020］:session opened for user root by wanghua (uid=5856)”�
　　… … …�
　　選取上述日志作為數(shù)據(jù)庫，以前文“控制目標(biāo)X�i”下數(shù)據(jù)挖掘的6個(gè)過程為范本，可以設(shè)計(jì)“M�1-i.用戶訪問網(wǎng)絡(luò)必須通過授權(quán)，拒絕非授權(quán)用戶的訪問”下的審計(jì)證據(jù)挖掘流程。該挖掘流程的設(shè)計(jì)至少包括如下思路：a.選取“授權(quán)用戶”作為挖掘的“特征字段”，篩選出“非授權(quán)用戶”的日志數(shù)據(jù)；b.以a為基礎(chǔ)，以“LOGIN ON Pts BY 非授權(quán)用戶”作為 “特征字段”進(jìn)行挖掘；c.以a為基礎(chǔ)，選取“opened … by …”作為“特征字段”實(shí)施挖掘。假如日志庫中只有wanghua為非授權(quán)用戶，則a將會(huì)挖出（1）（3）（5）（6），b會(huì)挖出（5），c將會(huì)挖掘出（6）。通過對（5）與（6）嫌疑日志的分析以及“M�1-i”挖掘流程的建立，IT審計(jì)師就能夠得出被審系統(tǒng)的“訪問控制”存在固有風(fēng)險(xiǎn)，且wanghua已經(jīng)享有了授權(quán)用戶權(quán)限的結(jié)論。�