中观信息系统审计风险控制体系研究

《中观信息系统审计风险控制体系研究》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

1、中观信息系统审计风险控制体系研究［摘要］当前，我国急需一套完善的中观信息系统审计风险控制体系。这是因为我国的中观经济主体在控制信息系统审计风险时需要一套成熟的管理流程，且国家有关部门在制定信息系统审计风险防范标准方面也需要完善的控制体系作为支撑。在阐述COBIT与数据挖掘基本理论的基础上，借鉴COBIT框架，构建中观信息系统审计风险的明细控制框架，利用数据挖掘技术有针对性地探索每一个明细标准的数据挖掘路径，创建挖掘流程，建立适用于我国中观经济特色的信息系统审计风险控制体系。�　　［关键词］中观信息系统审计；COBIT框架；数据挖掘；风险控制；中观审计&#

2、65533;　　［中图分类号］F239.4［文献标识码］A［］10044833(2012)01001608��　　　　中观信息系统审计是中观审计的重要组成部分，它从属于中观审计与信息系统审计的交叉领域。中观信息系统审计是指IT审计师依据特定的规范，运用科学系统的程序方法，对中观经济主体信息系统的运行规程与应用政策所实施的一种监督活动，旨在增强中观经济主体特定信息X络的有效性、安全性、机密性与一致性[1]。与微观信息系统相比，中观信息系统功能更为复杂，且区域内纷乱的个体间存在契约关系。中观信息系统的复杂性主要体现在跨越单个信息系统边界，参与者

3、之间在信息技术基础设施水平、信息化程度和能力上存在差异，参与者遵循一定的契约规则，依赖通信X络支持，对安全性的要求程度很高等方面。中观信息系统审计风险是指IT审计师在对中观信息系统进行审计的过程中,由于受到某些不确定性因素的影响,而使审计结论与经济事实不符，从而受到相关关系人指控或媒体披露并遭受经济损失以及声誉损失的可能性。中观信息系统审计风险控制的研究成果能为我国大型企业集团、特殊的经济联合体等中观经济主体保持信息系统安全提供强有力的理论支持与实践指导。�　　　　一、相关理论概述与回顾�　　（一）COBIT�　　信息及相关技

4、术的控制目标（简称COBIT）由美国信息系统审计与控制协会（简称ISACA）颁布，是最先进、最权威的安全与信息技术管理和控制的规范体系。COBIT将IT过程、IT资源及信息与企业的策略及目标联系于一体，形成一个三维的体系框架。COBIT框架主要由执行工具集、管理指南、控制目标和审计指南四个部分组成，它主要是为管理层提供信息技术的应用构架。COBIT对信息及相关资源进行规划与处理，从信息技术的规划与组织、采集与实施、交付与支持以及监控等四个方面确定了34个信息技术处理过程。�　　ISACA自1976年发布COBIT1.0版以来，陆续颁布了很多版本，最近IS

5、ACA即将发布COBIT5.0版。ISACA对COBIT理论的研究已趋于成熟，其思路逐步由IT审计师的审计工具转向IT内部控制框架，再转向从高管层角度来思考IT治理。大多数国际组织在采纳COSO框架时，都同时使用COBIT控制标准。升阳电脑公司等大型国际组织成功应用COBIT优化IT投资。2005年，欧盟也选择将COBIT作为其审计准则。国内学者对COBIT理论的研究则以借鉴为主，如阳杰、张文秀等学者解读了COBIT基本理论及其评价与应用方法[23]；谢羽霄、黄溶冰等学者尝试将COBIT理论应用于银行、会计、电信等不同的信息系统领域[45]。我国信息系统审计的研究目前

6、正处于起步阶段，因而将COBIT理论应用于信息系统的研究也不够深入。王会金、刘国城研究了COBIT理论在中观信息系统重大错报风险评估中的运用，金文、张金城研究了信息系统控制与审计的模型[1，6]。�　　（二）数据挖掘�　　数据挖掘技术出现于20世纪80年代，该技术引出了数据库的知识发现理论，因此，数据挖掘又被称为“基于数据库的知识发现(KDD)”。1995年，在加拿大蒙特利尔召开的首届KDD&DateMining国际学术会议上，学者们首次正式提出数据挖掘理论[7]。当前，数据挖掘的定义有很多，但较为公认的一种表述是：“从大型数据库中的数据中

7、提取人们感兴趣的知识。这些知识是隐含的、事先未知的潜在有用信息，提取的知识表现为概念、规则、规律、模式等形式。数据挖掘所要处理的问题就是在庞大的数据库中寻找有价值的隐藏事件，加以分析，并将有意义的信息归纳成结构模式，供有关部门在进行决策时参考。”[7]1995年至2010年，KDD国际会议已经举办16次；1997年至2010年，亚太PAKDD会议已经举办14次，众多会议对数据挖掘的探讨主要围绕理论、技术与应用三个方面展开。�　　目前国内外学者对数据挖掘的理论研究已趋于成熟。亚太PAKDD会议主办方出版的论文集显示，2001年至2007年