基于AHP 的信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)評(píng)估方法

唐 超 盧 潔

(1.山東財(cái)經(jīng)大學(xué) 管理科學(xué)與工程學(xué)院；2.山東省審計(jì)廳，山東 濟(jì)南 250100)

引言

20 世紀(jì)80年代以來(lái)，審計(jì)已從制度基礎(chǔ)審計(jì)過(guò)渡到風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)，審計(jì)風(fēng)險(xiǎn)理論作為審計(jì)理論的重要組成部分獲得了長(zhǎng)足發(fā)展。然而，傳統(tǒng)的審計(jì)風(fēng)險(xiǎn)評(píng)估方法和風(fēng)險(xiǎn)控制措施遠(yuǎn)不能指導(dǎo)信息系統(tǒng)審計(jì)的理論發(fā)展和實(shí)踐操作。信息系統(tǒng)審計(jì)與其他審計(jì)在審計(jì)環(huán)境、審計(jì)程序等方面截然不同，信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)既包括會(huì)計(jì)信息系統(tǒng)審計(jì)的風(fēng)險(xiǎn)，也包括計(jì)算機(jī)信息環(huán)境的風(fēng)險(xiǎn)，具有隱蔽性、潛在性和群發(fā)性。隨著信息系統(tǒng)在企事業(yè)單位應(yīng)用范圍的深化，信息系統(tǒng)越來(lái)越龐大、智能、復(fù)雜，制定有效的信息系統(tǒng)審計(jì)方案，不僅能有效降低審計(jì)風(fēng)險(xiǎn)，也為審計(jì)人員減輕了工作負(fù)擔(dān)，審計(jì)客戶因重大錯(cuò)報(bào)遭受損失的風(fēng)險(xiǎn)同樣減小。

傳統(tǒng)的審計(jì)風(fēng)險(xiǎn)評(píng)估方法更多依賴審計(jì)人員的從業(yè)經(jīng)驗(yàn)，不能將審計(jì)實(shí)施方案內(nèi)在的審計(jì)風(fēng)險(xiǎn)有效量化，相對(duì)于信息系統(tǒng)審計(jì)的審計(jì)失敗的高概率和嚴(yán)重后果而言，不能提供更加有效的風(fēng)險(xiǎn)評(píng)估，從而加重了重大錯(cuò)報(bào)的可能性。

針對(duì)信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)評(píng)估的新特點(diǎn)，筆者在分析AHP 評(píng)價(jià)方法適用性的基礎(chǔ)上，將AHP方法應(yīng)用于信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)的評(píng)估，將信息系統(tǒng)審計(jì)實(shí)施方案的風(fēng)險(xiǎn)加以量化，為審計(jì)人員有效把握信息系統(tǒng)審計(jì)方案提供一種新的思路。

一、信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)的界定及評(píng)估

傳統(tǒng)的審計(jì)是面向數(shù)據(jù)的審計(jì)，隨著計(jì)算機(jī)技術(shù)的發(fā)展，傳統(tǒng)的審計(jì)因計(jì)算機(jī)方法的應(yīng)用領(lǐng)域不同可分為計(jì)算機(jī)輔助審計(jì)、計(jì)算機(jī)數(shù)據(jù)審計(jì)和IT 審計(jì)，雖然在審計(jì)過(guò)程中廣泛使用了計(jì)算機(jī)技術(shù)，但審計(jì)對(duì)象還是財(cái)務(wù)數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù)，審計(jì)目標(biāo)沒(méi)有發(fā)生變化。信息系統(tǒng)審計(jì)是面向系統(tǒng)的審計(jì)，由于審計(jì)對(duì)象和審計(jì)方法與傳統(tǒng)數(shù)據(jù)審計(jì)大相徑庭，因而面臨的審計(jì)風(fēng)險(xiǎn)也發(fā)生了變化。信息系統(tǒng)審計(jì)的目標(biāo)在于評(píng)價(jià)被審計(jì)信息系統(tǒng)的安全性、可靠性和經(jīng)濟(jì)性，提出完善信息系統(tǒng)的對(duì)策和建議，可以使信息系統(tǒng)更有利于完成被審計(jì)單位的組織目標(biāo)。

信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)包括兩個(gè)方面:被審計(jì)單位信息系統(tǒng)本身潛在的風(fēng)險(xiǎn)和審計(jì)主體審計(jì)過(guò)程中的風(fēng)險(xiǎn)。被審計(jì)單位審計(jì)信息系統(tǒng)自身的風(fēng)險(xiǎn)通?？筛爬樾畔⑾到y(tǒng)一般控制風(fēng)險(xiǎn)和應(yīng)用控制風(fēng)險(xiǎn)，具體表現(xiàn)為信息系統(tǒng)所處的物理環(huán)境、設(shè)計(jì)、開(kāi)發(fā)、使用和維護(hù)中的控制;審計(jì)過(guò)程的風(fēng)險(xiǎn)主要包括審計(jì)人員職業(yè)道德風(fēng)險(xiǎn)、審計(jì)人員執(zhí)業(yè)能力風(fēng)臉、內(nèi)部控制評(píng)估與測(cè)試風(fēng)險(xiǎn)。

審計(jì)中所涉及的一切風(fēng)險(xiǎn)可以表示為一個(gè)簡(jiǎn)單的函數(shù)關(guān)系:R=f (P，C)，其中R——Risk 為審計(jì)風(fēng)險(xiǎn)，P——Posibility 為風(fēng)險(xiǎn)因素發(fā)生的概率，C——Consequence 為導(dǎo)致風(fēng)險(xiǎn)事件發(fā)生的后果。通過(guò)對(duì)函數(shù)式中P 與C 這兩個(gè)自變量的分析評(píng)價(jià)，最終實(shí)現(xiàn)對(duì)審計(jì)風(fēng)險(xiǎn)的評(píng)價(jià)。對(duì)這兩個(gè)自變量的評(píng)價(jià)方法包括主觀評(píng)價(jià)法和客觀評(píng)價(jià)法。客觀評(píng)價(jià)法是根據(jù)足夠充分的審計(jì)檔案、歷史數(shù)據(jù)，利用統(tǒng)計(jì)或數(shù)學(xué)方法進(jìn)行分析計(jì)算，最終得出未來(lái)審計(jì)風(fēng)險(xiǎn)發(fā)生的概率。主觀評(píng)價(jià)法由審計(jì)或其他相關(guān)人員以目前的信息和個(gè)人長(zhǎng)期積累的經(jīng)驗(yàn)為基礎(chǔ)，根據(jù)個(gè)人判斷對(duì)風(fēng)險(xiǎn)做出評(píng)價(jià)。據(jù)特許管理會(huì)計(jì)師公會(huì)(CIMA)在2007年關(guān)于企業(yè)業(yè)務(wù)持續(xù)性管理情況的調(diào)查顯示:企業(yè)最普遍存在的危機(jī)事件包括失去信息系統(tǒng)、失去關(guān)鍵員工、極端天氣狀況、失去通信系統(tǒng)等，其中失去信息系統(tǒng)被排在第一位。隨著信息技術(shù)的迅猛發(fā)展和企業(yè)信息化進(jìn)程的不斷加快，企業(yè)對(duì)信息系統(tǒng)的依賴日益增強(qiáng)，信息系統(tǒng)已經(jīng)成為決定企業(yè)競(jìng)爭(zhēng)成敗的重要資產(chǎn)，ERP 系統(tǒng)的普及，更是加重了信息系統(tǒng)在企業(yè)中的地位。信息系統(tǒng)與生俱來(lái)的安全威脅使得對(duì)計(jì)算機(jī)信息系統(tǒng)性能和效益的評(píng)價(jià)與管理，逐漸成為信息系統(tǒng)應(yīng)用中的一個(gè)突出問(wèn)題，信息系統(tǒng)審計(jì)變得日益重要。信息系統(tǒng)審計(jì)本質(zhì)是一種經(jīng)濟(jì)行為，在對(duì)不同IS 審計(jì)方案信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)進(jìn)行評(píng)估時(shí)，要遵循成本效益原則，關(guān)注審計(jì)質(zhì)量和審計(jì)責(zé)任。

由于信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)的潛在性和嚴(yán)重性，審計(jì)主體在實(shí)施信息系統(tǒng)審計(jì)時(shí)，往往根據(jù)信息系統(tǒng)本身的復(fù)雜程度、信息系統(tǒng)對(duì)財(cái)務(wù)以及業(yè)務(wù)數(shù)據(jù)的處理過(guò)程、審計(jì)的目標(biāo)，提出可供選擇的信息系統(tǒng)審計(jì)備選方案，請(qǐng)專家對(duì)各個(gè)信息系統(tǒng)審計(jì)方案進(jìn)行評(píng)價(jià)，根據(jù)評(píng)價(jià)結(jié)果，選擇最優(yōu)審計(jì)方案，以最大限度降低由于不同實(shí)施方案帶來(lái)的審計(jì)風(fēng)險(xiǎn)。

二、層次分析法原理

層次分析法是一種使用較廣泛的多準(zhǔn)則決策方法，該方法將定性與定量分析相結(jié)合，首先分析目標(biāo)問(wèn)題的本質(zhì)，然后提煉出待解決問(wèn)題的影響因素及各因素間的內(nèi)在關(guān)系，在此基礎(chǔ)上構(gòu)建解決目標(biāo)問(wèn)題的層次結(jié)構(gòu)模型，利用較少的定量信息，通過(guò)數(shù)學(xué)運(yùn)算解決多目標(biāo)、多準(zhǔn)則或者無(wú)結(jié)構(gòu)特性的復(fù)雜決策問(wèn)題。

層次分析法的步驟具體包括:

1.明確要解決的問(wèn)題，收集相關(guān)信息。以系統(tǒng)的觀點(diǎn)看待問(wèn)題，通過(guò)對(duì)系統(tǒng)的深刻分析，劃分子系統(tǒng)的層次與邊界，找出各子系統(tǒng)間的相互關(guān)系，即明確要解決的問(wèn)題所涉及的范圍、遵循的準(zhǔn)則和可用的方案以及約束條件等。

2.建立子系統(tǒng)間的層次結(jié)構(gòu)。按子系統(tǒng)目標(biāo)和功能的差異，將整個(gè)系統(tǒng)劃分為幾個(gè)等級(jí)層次，理清系統(tǒng)間的從屬關(guān)系。

3.構(gòu)造判斷矩陣。將兩元素對(duì)目標(biāo)的影響作用兩兩比較，按影響的重要性等級(jí)賦值，將定性描述轉(zhuǎn)變?yōu)槎糠治觯瑸橄乱徊降臄?shù)學(xué)分析決策奠定基礎(chǔ)。常采用的標(biāo)度方法如表1 所示。

表1 層析分析法1－9 標(biāo)度表

4.數(shù)學(xué)計(jì)算，得出層次單排序權(quán)重、一致性檢驗(yàn)比率及層析總排序權(quán)重。

5.根據(jù)計(jì)算結(jié)果，做出決策。

三、基于AHP 的信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)評(píng)價(jià)分析

以G 礦業(yè)集團(tuán)為例。G 礦業(yè)集團(tuán)作為省屬的大型的煤炭企業(yè)，信息化程度較高，且做到數(shù)據(jù)的集中式管理和儲(chǔ)存，圍繞集團(tuán)公司安全生產(chǎn)經(jīng)營(yíng)需要，先后建設(shè)完成了以集團(tuán)財(cái)務(wù)、物資供銷、煤炭營(yíng)銷等系統(tǒng)為核心的企業(yè)ERP 系統(tǒng)，銷售部門(mén)使用煤炭營(yíng)銷管理信息系統(tǒng)來(lái)核算銷售業(yè)務(wù)。煤炭的銷售在整個(gè)企業(yè)生產(chǎn)經(jīng)營(yíng)中處于核心位置，也是經(jīng)濟(jì)責(zé)任審計(jì)中的重要內(nèi)容。審前調(diào)查之后，審計(jì)人員針對(duì)該集團(tuán)信息系統(tǒng)的應(yīng)用范圍、復(fù)雜程度，初步確定了A、B、C 三種審計(jì)方案，利用AHP 評(píng)價(jià)三種方案對(duì)于降低信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)的優(yōu)劣順序步驟如下。

(一) 建立信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)評(píng)價(jià)結(jié)構(gòu)圖

圖1 信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)評(píng)價(jià)AHP 層次結(jié)構(gòu)模型

在專家座談和數(shù)據(jù)分析的基礎(chǔ)上，考慮到成本效益、信息系統(tǒng)審計(jì)質(zhì)量、審計(jì)責(zé)任三個(gè)因素對(duì)信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)的影響，建立G 礦業(yè)集團(tuán)信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)評(píng)價(jià)AHP 層次結(jié)構(gòu)模型，如圖1 所示。

(二) 構(gòu)造判斷矩陣，計(jì)算權(quán)重并進(jìn)行一致性檢驗(yàn)

借助專家經(jīng)驗(yàn)，通過(guò)兩兩比較元素得到以下判斷矩陣，如表2 所示。利用矩陣運(yùn)算及其他輔助數(shù)學(xué)運(yùn)算，計(jì)算權(quán)重和隨機(jī)一致性比率。當(dāng)隨機(jī)一致性比率CR=CI/RI ＞=0.10 時(shí)，我們認(rèn)為層次單排序結(jié)構(gòu)不具有滿意的一致性，需要通過(guò)擴(kuò)大問(wèn)卷范圍或調(diào)整集體決策的范圍等方法，調(diào)整判斷矩陣的元素的取值。

(三) 層次總排序

如表3、表4、表5、表6 所示。

表2 準(zhǔn)則層判斷矩陣

表3 審計(jì)成本的層次單排序

表4 審計(jì)質(zhì)量的層次單排序

表5 審計(jì)責(zé)任的層次單排序

表6 層次總排序

(四) 根據(jù)計(jì)算分析結(jié)果，做出決策

根據(jù)層次總排序結(jié)果，方案B 的評(píng)價(jià)結(jié)果最好，評(píng)價(jià)值為0.56208382，遠(yuǎn)高于方案A 和方案C，實(shí)施方案B 具有較低的信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)。

結(jié)語(yǔ)

本文提出了一種基于AHP 的信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)評(píng)估方法，相對(duì)于依托審計(jì)人員從業(yè)經(jīng)驗(yàn)的定性評(píng)估方法，該方法能適應(yīng)目前信息系統(tǒng)審計(jì)人員專業(yè)知識(shí)和實(shí)際工作不足的現(xiàn)狀，為審計(jì)人員提供了一種定性與定量相結(jié)合的評(píng)估審計(jì)實(shí)施方案的新方法。然而，使用該方法也有缺陷，比如該方法可以對(duì)方案的優(yōu)劣進(jìn)行排序，但不能測(cè)定實(shí)施某一種方案時(shí)，信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)的風(fēng)險(xiǎn)值。另外，使用該方案的成本較高。總之，在進(jìn)行大型的、復(fù)雜的、難以定量風(fēng)險(xiǎn)的信息系統(tǒng)審計(jì)項(xiàng)目時(shí)，層次分析法不失為一種好的選擇。

［1］Thomas R，Peltier.Information Security Risk Analysis［M.］Rothstein Associates Inc.，2001.

［2］Michal E.Bradbury.An Application of Data Envelopment Analysis to the Evaluation of Audit Risk.Abacus，vol.38，NO.2，2002.

［3］Satty T L.The Analytic Hierarchy Process［M］.New York McGraw－Hill.1980.

［4］胡曉.信息系統(tǒng)審計(jì)風(fēng)險(xiǎn)評(píng)價(jià)與控制研究［J］.財(cái)經(jīng)界，2010，(2).

［5］張子瑾.信息系統(tǒng)審計(jì)的理論與技術(shù)應(yīng)用研究［J］.財(cái)經(jīng)界，2010，(2).