中观信息系统审计风险控制体系研究.docVIP

中观信息系统审计风险控制体系研究 ——以COBIT框架与数据挖掘技术相结合为视角 王会金 【专题名称】 审计文摘【专 题 号】V3【复印期号】2012年03期【原文出处】《 审计与经济研究》(南京)2012年1期第16～23页【作者简介】王会金，南京审计学院 ????中观信息系统审计是中观审计的重要组成部分，它从属于中观审计与信息系统审计的交叉领域。中观信息系统审计是指IT审计师依据特定的规范，运用科学系统的程序方法，对中观经济主体信息系统的运行规程与应用政策所实施的一种监督活动，旨在增强中观经济主体特定信息网络的有效性、安全性、机密性与一致性。与微观信息系统相比，中观信息系统功能更为复杂，且区域内纷乱的个体间存在契约关系。中观信息系统的复杂性主要体现在跨越单个信息系统边界，参与者之间在信息技术基础设施水平、信息化程度和能力上存在差异，参与者遵循一定的契约规则，依赖通信网络支持，对安全性的要求程度很高等方面。中观信息系统审计风险是指IT审计师在对中观信息系统进行审计的过程中，由于受到某些不确定性因素的影响，而使审计结论与经济事实不符，从而受到相关关系人指控或媒体披露并遭受经济损失以及声誉损失的可能性。中观信息系统审计风险控制的研究成果能为我国大型企业集团、特殊的经济联合体等中观经济主体保持信息系统安全提供强有力的理论支持与实践指导。????一、相关理论概述与回顾????（一）COBIT????信息及相关技术的控制目标（简称COBIT）由美国信息系统审计与控制协会（简称ISACA）颁布、是最先进、最权威的安全与信息技术管理和控制的规范体系。COBIT将IT过程、IT资源及信息与企业的策略及目标联系于一体，形成一个三维的体系框架。COBIT框架主要由执行工具集、管理指南、控制目标和审计指南四个部分组成，它主要是为管理层提供信息技术的应用构架。COBIT对信息及相关资源进行规划与处理，从信息技术的规划与组织、采集与实施、交付与支持以及监控等四个方面确定了34个信息技术处理过程。????ISACA自1976年发布COBIT1.0版以来，陆续颁布了很多版本，最近ISACA即将发布COBIT5.0版。ISACA对COBIT理论的研究已趋于成熟，其思路逐步由IT审计师的审计工具转向IT内部控制框架，再转向从高管层角度来思考IT治理。大多数国际组织在采纳COSO框架时，都同时使用COBIT控制标准。升阳电脑公司等大型国际组织成功应用COBIT优化IT投资。2005年，欧盟也选择将COBIT作为其审计准则。国内学者对COBIT理论的研究则以借鉴为主，如阳杰、张文秀等学者解读了COBIT基本理论及其评价与应用方法；谢羽霄、黄溶冰等学者尝试将COBIT理论应用于银行、会计、电信等不同的信息系统领域。我国信息系统审计的研究目前正处于起步阶段，因而将COBIT理论应用于信息系统的研究也不够深入。王会金、刘国城研究了COBIT理论在中观信息系统重大错报风险评估中的运用，金文、张金城研究了信息系统控制与审计的模型。????（二）数据挖掘????数据挖掘技术出现于20世纪80年代，该技术引出了数据库的知识发现理论，因此、数据挖掘又被称为“基于数据库的知识发现（KDD）”。1995年，在加拿大蒙特利尔召开的首届KDDDate Mining国际学术会议上，学者们首次正式提出数据挖掘理论。当前，数据挖掘的定义有很多，但较为公认的一种表述是：“从大型数据库中的数据中提取人们感兴趣的知识。这些知识是隐含的、事先未知的潜在有用信息，提取的知识表现为概念、规则、规律、模式等形式。数据挖掘所要处理的问题就是在庞大的数据库中寻找有价值的隐藏事件，加以分析，并将有意义的信息归纳成结构模式，供有关部门在进行决策时参考。”1995年至2010年，KDD国际会议已经举办16次；1997年至2010年、亚太PAKDD会议已经举办14次，众多会议对数据挖掘的探讨主要围绕理论、技术与应用三个方面展开。????目前国内外学者对数据挖掘的理论研究已趋于成熟。亚太PAKDD会议主办方出版的论文集显示，2001年至2007年仅7年时间共有32个国家与地区的593篇会议论文被论文集收录。我国学者在数据挖掘理论的研究中取得了丰硕的成果，具体表现在两个方面：一是挖掘算法的纵深研究。李也白、唐辉探索了频繁模式挖掘进展、邓勇、王汝传研究了基于网络服务的分布式数据挖掘，肖伟平、何宏研究了基于遗传算法的数据挖掘方法。二是数据挖掘的应用研究。我国学者对于数据挖掘的应用研究也积累了丰富的成果，并尝试将数据挖掘技术应用于医学、通讯、电力、图书馆、电子商务等诸多领域。2008年以来，仅在中国知网查到的关于数据挖掘应用研究的核心期刊论文就多达476篇。近年来，国际软件公司也纷纷开发数据挖掘