中观信息系统审计风险控制体系研究.docxVIP

中观信息系统审计风险控制体系研究 ——以COB IT框架与数据挖掘技术相结合为视角 王会金 【专题名称】审计文摘 【专题号】V3 【复印期号】2012年03期 【原文出处】《审计与经济研究》（南京）2012年1期第16?23页 【作者简介】王会金，南京审计学院 中观信息系统审计是中观审计的車要组成部分，它从属于中观审计与信息系统审计的交叉领域。中观信息系统审计是指 IT审计师依据特定的规范，运用科学系统的程序方法，对中观经济主体信息系统的运行规程与应用政策所实施的-种监督活动， 日在増强中观经济主体特定信息网络的有效性.安全性、机密性与一致性。与微观信息系统相比.中观信息系统功能更为复杂， H区域内纷乱的个体间存在契约关系。中观信息系统的复杂性主要体现在跨越单个信息系统边界，参与者之间在信息技术基础设 施水平.信息化程度和能力上存在差异，参与者遵循一定的契约规则，依赖通信网络支持，対安全性的要求程度很高等方面。中 观信息系统审计凤险是指IT审计师在对中观信息系统进行审计的过程中，由于受到某些不确定性因索的影响，而使审计结论与 经济事实不符，从而受到相关关系人指控或媒体披霍并遭受经济损失以及声弊损失的可能性。中观信息系统审计风险控制的研究 成果能为我国大型企业集团.特殊的经济联合体等中观经济主体保持信息系统安全捉供強肓力的理论支持与实践指导。 一、 相关理论概述与回顾 （一） C0B1T 信息及相关技术的控制目标（简称COBTT）由美国信息系统审计与控制协会（简称ISACA）颁布.是最先进、般权威的 安全与信息技术管理和控制的规范体系。C0B1T将1T过程.IT资源及信息与企业的策略及冃标联系丁一?体，形成一个三维的体 系框架。C0B1T框架主要山执行工具樂.管理指南、控制n标和审计指南四个部分组成，它主要是为符理层提供信息技术的应用 构架。COBTT对信息及相关资源进行规划与处理，从信息技术的规划与组织.采集与实施.交付与支持以及监控等四个方而确定 了 34个信息技术处理过程。 ISACA自］976年发布COB1T1.0版以來，陆续颁布了很多版本,遇近ISACA即将发布C0B1T5. 0版。］SACA对COB IT理论 的研究已趋于成熟，其思路逐步由IT审计师的审计工具转向IT内部控制框架，再转向从高管层角度來思考IT治理。大多数国 际组织在采纳COSO框架时，都同时使用COBIT控制标准。升阳电脑公司等大型国际组织成功应用COBIT优化IT投资。2005年， 欧盟也选择将COBIT作为其审计准则。国内学者对COBIT理论的研究则以借鉴为主,如阳杰、张文秀等学者解读了 COBIT基本理 论及其评价与应用方法；谢羽筲S黄溶冰等学者尝试将COBIT理论应用于银行.会计、电信等不同的信息系统领域。我国信息系 统审计的研究目前正处于起步阶段，因而将COBTT理论应用于信息系统的研处也不够深入。王会金、刘倒城研究了 COBIT理论任 中观信息系统重大错报风险评估中的运用，金文、张金城研究了信息系统控制与审计的模型。 （二） 数据挖掘 数据挖掘技术出现于20世纪80年代，该技术引出了数据库的知识发现理论，因此、数据挖掘又被称为“基于数据阳的 知识发现（KDD） ”。1995年，在加拿大蒙特利尔召开的首届KDDDate Mining国际学术会议上,学者们首次正式提出数据挖掘 理论。当丽，数据挖掘的定义有很多，但较为公认的-种表述是：“从大型数据库中的数据中捉収人们感兴趣的知识。这些知识 是隐含的.申先未知的潜在有用信息，捉収的旬识表现为概念.规则.规律、模式等形式。数据挖掘所要处理的问题就足在庞大 的数据库中寻找有价值的隐藏事件，加以分析，并将有意义的信息归纳成结构模式，供有关部门在进行决策时参考。1995年至 2010年,KDD国际会议已经举办16次:1997年至2010年、亚太PAKDD会议己经举办14次,众多会议对数据挖掘的探讨主要围 绕理论.技术与应用三个方面展开。 目浒国内外学者对数拥挖掘的理论研究已趋于成熟。亚太PAKDD会议主办方出版的论文集显示，2001年至2007年仅7 年肘间共有32个国家与地区的593篇会议论文被论文集收录。我国学者在数据挖掘理论的研究中収得了丰硕的成果，具体农现 在两个方而：一是挖掘算法的纵深研究。李也白.唐辉探索了频繁模式挖掘进展.邓勇、王汝传研究了基于网络服务的分布式数 拥挖掘，肖伟平.何宏研究了基于遗传算法的数拥挖掘方法。二赴数拥挖掘的应用研究。我国学者对于数据挖掘的应用研究也积 累了丰富的成果，并尝试将数据挖掘技术应用于医学、通讯.电力、图书馆、电子商务等诸多领域。2008年以來，仅任中国知网 查到的关于数拥挖掘应用研究的核心期刊论文就名达476篇。近年来，国际软件公可也纷纷开发数据挖掘工具，