董 东,梁 艳,王立敏,张 曼
(河北师范大学数学与信息科学学院,河北石家庄 050016)
计算机审计的研究现状和挑战
董 东,梁 艳,王立敏,张 曼
(河北师范大学数学与信息科学学院,河北石家庄 050016)
通过分析计算机审计项目的生命周期模型,从面向数据的技术和面向系统的技术两个角度归纳了对计算机审计研究的成果,指出了审计数据分析三种类型:查询型分析、多维分析和发掘型分析,并提出了相应的审计数据分析过程模型。从审计数据采集转换技术、审计数据验证技术、审计专家经验共享和服务计算技术4个方面讨论了面临的问题和研究方向。
计算机审计;服务计算;审计信息化
审计是对业务实体经济活动的真实性、合法性和有效性的验证过程。计算机审计是以计算机为基本工具,以业务系统、财务收支系统电子账数据为主要对象,通过计算机软件工具的功能与审计人员经验判断的结合,实现对业务实体经济活动进行真实、合规、效益的信息化审计过程。计算机审计丰富了传统审计中各阶段的内容。在“金审工程”推动下,我国计算机审计的研究和应用发展较快。但是如何利用信息技术有效地实施计算机审计仍然是一个热点问题。
计算机审计技术可分为两类:面向数据的技术和面向系统的技术[1]。面向系统的技术包括平行模拟、黑盒测试、白盒测试、跟踪和快照等。平行测试就是用模拟系统重新处理全部或者部分的真实业务数据,进行比较全面的核对;黑盒测试技术是指采用审计人员准备好的测试用例来检测信息系统,通过将测试用例输出与应有的正确输出进行比较,从而核查信息系统的逻辑问题和控制问题;白盒测试指通过审查程序代码,识别出程序中的逻辑问题和控制问题;跟踪技术用来分析逐步分析程序的执行,从而发现每一行代码对信息系统状态的影响;快照[1]是允许在一个信息系统中指定的点冻结,使审计人员能够观察特定点数据的技术。
面向数据的技术是当前计算机审计技术的主流。而通用审计技术是当前应用最广的技术。通用审计中,对审计数据分析的研究和应用最为活跃。
审计数据分析活动主要有:重算,即对某些数据项,按照业务规则重新计算,以验证数据的真实性与正确性,以及被审计信息系统业务处理逻辑的正确性。例如,海关审计中的征税总额计算;检查,即按照政策法规,对某些数据项或者处理进行检查,以查证政策法规的执行情况。例如海关审计中不予减免商品的检查;核对,即对具有逻辑关系的数据项逐一核对,以验证被审单位信息系统处理流程的正确性和控制的有效性,有无认为非法干预等。例如,将开单税款与入库税款进行逐笔核对,查证海关税款入库情况;抽样,即将审计人员感兴趣的或者具有代表性的数据挑选出来,以缩小审计范围,降低审计风险;统计,即利用统计方法分析数据;推理,根据审计人员经验与规则,对已有数据进行推演,给出结论;决策,即根据审计人员经验与规则,针对某个问题给出一个结论;预测,即运用审计人员经验与知识进行推理判断,预测问题的类型和可能发生的事件。
审计数据分析分为三类:查询型分析、多维分析和发掘型分析[2]。
(1)查询型分析指通过SQL语句交互式查询被审数据库。查询型分析的主要对象是数据库管理系统中的表。SQL语句在数据采集、数据预处理和数据分析方面在我国面向数据的计算机辅助审计中的应用广泛[3],出现了大量成功的案例[4]。
(2)多维分析使得审计人员能够从不同角度可视化地观察数据。OLAP是多维数据分析工具的集合。它使审计人员能够从不同角度(维)访问数据,从而获得对数据更加深入的理解。OLAP过程是一个需要审计人员“指导”数据分析的全过程。多维分析涉及以下基本概念:事实、维、维的层次、维成员、多维数据集、数据单元、多维数据集的度量值和聚集等。事实上是一组与业务事务或者事件相关的数据项。例如会计事务中的一笔凭证,涉及的数据项有日期、凭证类型、部门、科目、借贷金额等。维是一组对事实进行分析所使用的属性,例如在日期和科目属性上对凭证事实进行分析。
(3)发掘型分析指审计人员从大量数据中发现一些模式或者趋势。数据挖掘是发掘型分析的主要工具。与验证性分析的最大区别在于,发掘型分析在对整个数据的挖掘过程中毋需或只需很少的审计人员“指导”。
查询型分析、多维分析和发掘型分析一起构成了审计数据分析,但它们有各自的适用范围。查询型分析是已知数据结构的情况下,对操作型数据的访问,比较简单;多维分析需要对被审数据重新组织,需要从不同角度观察数据,处于较高的分析层次;而发掘型分析需要审计人员根据具体业务问题,选取合适的发掘模型,从而在数据挖掘工具帮助下发现有用模式和趋势,处于高级的分析层次。
多维分析技术以及分类技术、聚类技术等数据挖掘技术已经开始应用于审计分析之中[5]。多维分析途径的计算机审计一般过程如图1所示。
图1 多维分析途径的计算机审计过程
从审计角度看,数据挖掘就是根据事先明确的审计目标,对被审单位的大量业务数据进行分析,揭示其中潜在的逻辑关系和规律,并形成明确而有效的审计思路的过程。
数据挖掘途径的计算机审计一般过程如图2所示。
审计专家系统也被应用于计算机辅助审计之中。一个称为INFAUDITOR的专家系统,该系统能对信息系统的多个方面进行审计[6]。合理地设计各Agent的功能、Agent之间的协作关系以及审计Agent的内部结构,使得基于多Agent协作模型的计算机审计系统具有良好的扩展性和自组织能力,成为智能化、自动化计算机审计的一个良好的计算平台[7]。
在计算机审计实践中发现,审计数据采集转换是成功实施计算机审计的重要障碍。具体问题有:数据规模大。审计涉及的业务数据常在GB的规模上。常会出现数据采集转换速度过慢的情况;数据源各异。数据可能来自各种各样的数据源:大型数据库、桌面数据库、不同格式的文件以及不同版本等等;数据组织各异。不同职能部门提交的数据往往存在一定的差异,这些差异一般是由于统计口径的不同而产生的,审计人员花费了大量时间用于查找数据差异并分析原因,从而延缓整个审计进度;业务系统流程复杂,数据核实难度较大。结合领域知识,研究智能化的数据库逻辑模型到数据库概念模型的转换,是当前需要解决的问题之一。
数据验证是对采集到的被审单位电子数据的真实性和完整性的检查,以确保审计数据和审计工作的质量,防止“假账真查”。如何设计软件工具,使得其根据系统内部的业务逻辑,通过不同业务数据之间的勾稽关系来对数据进行交叉验证,印证业务数据的真实性、完整性也是当前尚未解决的问题。
计算机审计专家经验是审计业务人员在计算机审计实践中形成、总结抽象出来的并已经被证明有效的知识、方法和过程。专家经验要素包括标题、经验类别、经验种类、经验描述、所需资料、审计步骤、经验模型、类SQL描述、适用法规条目、典型案例、作者和日期等内容。计算机审计专家经验建模是利用图形化的方式把抽象的方法和过程表达出来,以便更好地实现经验的共享[8]。
实现计算机审计专家经验共享的具体研究包括:研究业务人员形成计算机审计专家经验所需的知识体和技能体;研究这些知识和技能的转移技术;研究统一的计算机审计专家经验建模方法;研究基于经验的推理技术(EBR)在专家经验管理中的应用;研究计算机审计方法体系的形式化表示和应用;研究计算机审计的常用方法等。
服务计算领域跨越计算机科学与技术、信息技术、商业和管理等多个领域,在短短几年时间内深刻改变了人们对商务和技术的传统认识[9]。“电子服务”作为分布式计算系统的技术构成单元,通过面向服务的架构支持着计算的随需演化。近几年,与服务计算相关的IT新概念层出不穷,如现代服务业、服务学、电子服务、云计算、物联网、务联网以及服务工程等等,产生了一系列新的研究方向和课题。结合数据挖掘、Web服务、语义Web、移动Agent等技术可实现面向计算机审计及网上审计的移动数据挖掘服务。如,利用移动数据挖掘服务,可以从服务提供商选择所需要的挖掘功能并内嵌到相应的现场审计系统中,从而实现真正意义上的联网审计目标。
图2 数据挖掘途径的计算机审计过程
面向服务的计算机审计研究包括:计算机审计服务系统的基础理论模型、服务管理理论与方法、服务工程方法、服务计算技术等。面向服务的计算机审计关键问题是把审计方法的概念模型与逻辑模型相分离。审计方法是指审计人员为了行使审计职能、完成审计任务、达到审计目标所采取的方式、手段和技术的总称。审计方法贯穿于整个审计项目生命周期,而不只存于某一或某几个审计阶段。概念模型是从审计业务角度对行业领域中的实体及其关系所建立模型。概念模型具有较强的语义表达能力,能够方便、直接地表达行业领域中的各种语义知识。由于其简单、清晰、易于理解,是审计人员与信息技术人员之间进行交流的语言。概念模型由审计人员创建。逻辑模型是业务领域信息的组织结构、审计方法处理过程的抽象表示。例如关系数据库模型、数据仓库模型、数据挖掘模型、数据处理流程等都是逻辑模型。根据概念模型建立逻辑模型是审计项目中信息技术人员的职责。
当前的计算机审计研究与应用体现了“审计数据分析”的特征。基于SQL的交互查询型分析和基于审计脚本语言(ASL)的自动查询分析得到了广泛应用。一些审计项目已经应用了数据仓库和数据挖掘相关的技术方法。未来审计技术的研究呈现出了智能化、服务化和分布式的趋势,在计算机审计项目中将出现更细的人员分工,审计机关的信息部门将承担起审计数据分析、审计专家经验服务的角色。
[1]陈伟,张金城,QIU Ro-Bin,计算机辅助审计技术(CAATs)研究综述[J].计算机科学,2007,34(10):290-294.
[2]Garsombke P H,Tabor R H.Factors explaining the use of EDP audit techniques[J].Journal of Information Systems,1986,1(2):48-66.
[3]刘汝焯等.审计分析模型算法[M].北京:清华大学出版社.2006.
[4]陈伟,QIU Robin,刘思峰.数据库技术在计算机辅助审计中的应用研究[J].计算机应用研究.2008.25(6):1908-1910.
[5]AO培训教材编委会.AO应用实例集[M].北京:清华大学出版社.2006.
[6]刘汝焯等.审计数据的多维分析技术[M].北京:清华大学出版社,2006.
[7]Jacky A,Isabelle C W.A knowledge-based system for auditing computer and management systems[J].Expert Systems with Applications.1996.11(3):361-375.
[8]董东,马志永,庞飞,孙兆豪.应用扩展的UML活动图建模审计专家经验[J],河北师范大学学报.2008.32(5):599-602.
[9]景波,刘莹,周晓峰.计算机辅助审计的多Agent协作模型研究[J].微计算机信息.2006(7):180-182.
Cuprent research and challenges on computer added audit
DONG Dong,LIANG Yan,WANG Li-min,ZHANG Man
(CollegeofMathematicaandInformationScience,HebeiNormalUniversity,ShijiazhuangHebei050016,China)
The current research and application on computer aided audit are summarized from the technical viewpoints of data-oriented and system-oriented,by analysis of the life cycle of a computer aided audit project.It shows that there are three types of audit data analysis:analysis by query,analysis by multi-dimension and analysis by data mining.The process models for the three kinds of analysis are proposed.The problems to be deal with and research challenges are discussed from the 4 perspectives of audit data collection,audit data verification,audit experts experience sharing and service computing.
Computer aided audit;Service computing;Audit informatization
TP399
:A
1001-9383(2011)04-0070-04
2011-06-30
河北省教育厅自然科学研究基金项目(2010259)
董 东(1971-),男,副教授,主要研究方向为Web智能系统,计算机审计.