基于AHP 的信息系统审计风险评估方法

唐 超 卢 洁

(1.山东财经大学 管理科学与工程学院；2.山东省审计厅，山东 济南 250100)

引言

20 世纪80年代以来，审计已从制度基础审计过渡到风险导向审计，审计风险理论作为审计理论的重要组成部分获得了长足发展。然而，传统的审计风险评估方法和风险控制措施远不能指导信息系统审计的理论发展和实践操作。信息系统审计与其他审计在审计环境、审计程序等方面截然不同，信息系统审计风险既包括会计信息系统审计的风险，也包括计算机信息环境的风险，具有隐蔽性、潜在性和群发性。随着信息系统在企事业单位应用范围的深化，信息系统越来越庞大、智能、复杂，制定有效的信息系统审计方案，不仅能有效降低审计风险，也为审计人员减轻了工作负担，审计客户因重大错报遭受损失的风险同样减小。

传统的审计风险评估方法更多依赖审计人员的从业经验，不能将审计实施方案内在的审计风险有效量化，相对于信息系统审计的审计失败的高概率和严重后果而言，不能提供更加有效的风险评估，从而加重了重大错报的可能性。

针对信息系统审计风险评估的新特点，笔者在分析AHP 评价方法适用性的基础上，将AHP方法应用于信息系统审计风险的评估，将信息系统审计实施方案的风险加以量化，为审计人员有效把握信息系统审计方案提供一种新的思路。

一、信息系统审计风险的界定及评估

传统的审计是面向数据的审计，随着计算机技术的发展，传统的审计因计算机方法的应用领域不同可分为计算机辅助审计、计算机数据审计和IT 审计，虽然在审计过程中广泛使用了计算机技术，但审计对象还是财务数据和业务数据，审计目标没有发生变化。信息系统审计是面向系统的审计，由于审计对象和审计方法与传统数据审计大相径庭，因而面临的审计风险也发生了变化。信息系统审计的目标在于评价被审计信息系统的安全性、可靠性和经济性，提出完善信息系统的对策和建议，可以使信息系统更有利于完成被审计单位的组织目标。

信息系统审计风险包括两个方面:被审计单位信息系统本身潜在的风险和审计主体审计过程中的风险。被审计单位审计信息系统自身的风险通常可概括为信息系统一般控制风险和应用控制风险，具体表现为信息系统所处的物理环境、设计、开发、使用和维护中的控制;审计过程的风险主要包括审计人员职业道德风险、审计人员执业能力风脸、内部控制评估与测试风险。

审计中所涉及的一切风险可以表示为一个简单的函数关系:R=f (P，C)，其中R——Risk 为审计风险，P——Posibility 为风险因素发生的概率，C——Consequence 为导致风险事件发生的后果。通过对函数式中P 与C 这两个自变量的分析评价，最终实现对审计风险的评价。对这两个自变量的评价方法包括主观评价法和客观评价法。客观评价法是根据足够充分的审计档案、历史数据，利用统计或数学方法进行分析计算，最终得出未来审计风险发生的概率。主观评价法由审计或其他相关人员以目前的信息和个人长期积累的经验为基础，根据个人判断对风险做出评价。据特许管理会计师公会(CIMA)在2007年关于企业业务持续性管理情况的调查显示:企业最普遍存在的危机事件包括失去信息系统、失去关键员工、极端天气状况、失去通信系统等，其中失去信息系统被排在第一位。随着信息技术的迅猛发展和企业信息化进程的不断加快，企业对信息系统的依赖日益增强，信息系统已经成为决定企业竞争成败的重要资产，ERP 系统的普及，更是加重了信息系统在企业中的地位。信息系统与生俱来的安全威胁使得对计算机信息系统性能和效益的评价与管理，逐渐成为信息系统应用中的一个突出问题，信息系统审计变得日益重要。信息系统审计本质是一种经济行为，在对不同IS 审计方案信息系统审计风险进行评估时，要遵循成本效益原则，关注审计质量和审计责任。

由于信息系统审计风险的潜在性和严重性，审计主体在实施信息系统审计时，往往根据信息系统本身的复杂程度、信息系统对财务以及业务数据的处理过程、审计的目标，提出可供选择的信息系统审计备选方案，请专家对各个信息系统审计方案进行评价，根据评价结果，选择最优审计方案，以最大限度降低由于不同实施方案带来的审计风险。

二、层次分析法原理

层次分析法是一种使用较广泛的多准则决策方法，该方法将定性与定量分析相结合，首先分析目标问题的本质，然后提炼出待解决问题的影响因素及各因素间的内在关系，在此基础上构建解决目标问题的层次结构模型，利用较少的定量信息，通过数学运算解决多目标、多准则或者无结构特性的复杂决策问题。

层次分析法的步骤具体包括:

1.明确要解决的问题，收集相关信息。以系统的观点看待问题，通过对系统的深刻分析，划分子系统的层次与边界，找出各子系统间的相互关系，即明确要解决的问题所涉及的范围、遵循的准则和可用的方案以及约束条件等。

2.建立子系统间的层次结构。按子系统目标和功能的差异，将整个系统划分为几个等级层次，理清系统间的从属关系。

3.构造判断矩阵。将两元素对目标的影响作用两两比较，按影响的重要性等级赋值，将定性描述转变为定量分析，为下一步的数学分析决策奠定基础。常采用的标度方法如表1 所示。

表1 层析分析法1－9 标度表

4.数学计算，得出层次单排序权重、一致性检验比率及层析总排序权重。

5.根据计算结果，做出决策。

三、基于AHP 的信息系统审计风险评价分析

以G 矿业集团为例。G 矿业集团作为省属的大型的煤炭企业，信息化程度较高，且做到数据的集中式管理和储存，围绕集团公司安全生产经营需要，先后建设完成了以集团财务、物资供销、煤炭营销等系统为核心的企业ERP 系统，销售部门使用煤炭营销管理信息系统来核算销售业务。煤炭的销售在整个企业生产经营中处于核心位置，也是经济责任审计中的重要内容。审前调查之后，审计人员针对该集团信息系统的应用范围、复杂程度，初步确定了A、B、C 三种审计方案，利用AHP 评价三种方案对于降低信息系统审计风险的优劣顺序步骤如下。

(一) 建立信息系统审计风险评价结构图

图1 信息系统审计风险评价AHP 层次结构模型

在专家座谈和数据分析的基础上，考虑到成本效益、信息系统审计质量、审计责任三个因素对信息系统审计风险的影响，建立G 矿业集团信息系统审计风险评价AHP 层次结构模型，如图1 所示。

(二) 构造判断矩阵，计算权重并进行一致性检验

借助专家经验，通过两两比较元素得到以下判断矩阵，如表2 所示。利用矩阵运算及其他辅助数学运算，计算权重和随机一致性比率。当随机一致性比率CR=CI/RI ＞=0.10 时，我们认为层次单排序结构不具有满意的一致性，需要通过扩大问卷范围或调整集体决策的范围等方法，调整判断矩阵的元素的取值。

(三) 层次总排序

如表3、表4、表5、表6 所示。

表2 准则层判断矩阵

表3 审计成本的层次单排序

表4 审计质量的层次单排序

表5 审计责任的层次单排序

表6 层次总排序

(四) 根据计算分析结果，做出决策

根据层次总排序结果，方案B 的评价结果最好，评价值为0.56208382，远高于方案A 和方案C，实施方案B 具有较低的信息系统审计风险。

结语

本文提出了一种基于AHP 的信息系统审计风险评估方法，相对于依托审计人员从业经验的定性评估方法，该方法能适应目前信息系统审计人员专业知识和实际工作不足的现状，为审计人员提供了一种定性与定量相结合的评估审计实施方案的新方法。然而，使用该方法也有缺陷，比如该方法可以对方案的优劣进行排序，但不能测定实施某一种方案时，信息系统审计风险的风险值。另外，使用该方案的成本较高。总之，在进行大型的、复杂的、难以定量风险的信息系统审计项目时，层次分析法不失为一种好的选择。

［1］Thomas R，Peltier.Information Security Risk Analysis［M.］Rothstein Associates Inc.，2001.

［2］Michal E.Bradbury.An Application of Data Envelopment Analysis to the Evaluation of Audit Risk.Abacus，vol.38，NO.2，2002.

［3］Satty T L.The Analytic Hierarchy Process［M］.New York McGraw－Hill.1980.

［4］胡晓.信息系统审计风险评价与控制研究［J］.财经界，2010，(2).

［5］张子瑾.信息系统审计的理论与技术应用研究［J］.财经界，2010，(2).