基于模糊AHP法的审计云评估体系的构建,本文主要内容关键词为:模糊论文,评估体系论文,AHP论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
一、审计云的相关理论 (一)审计云的概念 张艳玲(2013)认为审计云以云架构为基础,以云计算为技术保障,以审计业务需求作为核心所建设的审计云平台,实现资源的充分优化利用、审计信息的共享和数字化。魏祥健(2015)提出审计云在云服务模式基础平台上,运用信息技术和现代审计技术构建的审计资源集约化、审计手段网络化和基础设施集中化的有机集成审计管理与实施服务平台。本文根据云计算的智能化,将审计云定义为基于云计算提供的IaaS、PaaS、SaaS云服务模式下的平台,以审计需求为核心,实时获取审计所需的数据或其他资料并予以归集和管理,有机集合与适时更新所存储的数据,自动选择并运用审计模型(包括审计程序模型、审计处理模型、审计数据分析模型、审计疑点模型、审计证据模型、审计报告模型等),利用质量控制、并行批处理和资源共享等功能,实现审计处理的自动化和管理的智能化。 (二)审计云的基本架构 国内外学者对审计云的基本结构尚未达到一致认识,借鉴学者的研究成果,同时考虑到国家审计要减少下级审计机关重复或无序的建设,形成中央以及各级审计机关共享的公共云,同时金审一期政府审计系统的软硬件设施平台和金审二期国家审计数据中心以及全国资源共享系统的完成,开发基于IaaS、PaaS和SaaS云服务的混合服务模式是国家审计云的有效模式。因而本文借鉴魏祥健(2015)提出的平台架构,根据云计算下审计的成本与效益、高效专业、安全审计和大数据处理原则,需要建设IaaS、PaaS与SaaS相结合的混合服务云平台,且服务平台的构成包括客户端服务层、平台应用层、平台服务层、基础设施层、外部应用接口和安全审计平台。(1)基础设施层把基础设施提供给各审计机关,作为标准化服务使得下级审计机关不用投资建设基础设施,也不必维护管理基础设施,就可以获取包括挖掘、交换、存储、处理和安全防范等计算资源。(2)平台服务层提供给审计机关一个部署与运行审计应用系统的平台设施,实现分布式存储、海量数据管理、虚拟化资源的抽象和管理、智能自动化的任务调度与负载管理、功耗管理等。(3)平台应用层将软件当做服务提供审计应用程序,审计署能部署审计指挥平台、审计数据中心、审计作业平台、大数据综合分析平台、模拟仿真实验室、综合服务支撑系统、审计实施系统(AO)与管理系统(OA)等,下级审计机关通过系统I/O设备访问云端应用系统获取应用并开展审计作业,前端应用平台利用智能服务机制实施自动更新维护,平台后端处理资源则会完成全部审计处理工作。(4)客户端服务层是用户访问审计云的客户端入口,通过身份认证、权限管理以及用户管理等机制管理各级审计机关用户。(5)安全审计平台包括审计监督、漏洞扫描和安全预警,提供可靠的预警、监测功能。(6)外部应用接口是云平台与外界机构进行数据传递、信息交互和资源共享的途径,通用数据接口可解决当前各单位及部门信息系统差异性导致的数据共享困难等问题。 (三)审计云的基本属性 属性是指实物或物体的描述性性质或特征,审计云的属性主要包括广泛接入功能、快速弹性收缩、计算能力及资源虚拟化、数据存储集中化、大规模并行处理、灵活网络访问。(1)广泛接入功能:审计云能提供统一的命名协议或接口规范、开发一套安全、开放和易扩展的通用数据接口以及方法,审计机关根据标准机制展开访问,能使用异构客户端平台。(2)快速弹性收缩:审计云提供的服务是弹性的,根据应用和用户规模增长的需要从纵向与横向弹性实现快速扩容收缩。(3)计算能力及资源虚拟化:云计算利用虚拟化技术将存储、网络及服务器等资源全部虚拟化以形成巨大资源池,云端按需动态调度分配物理及虚拟资源,高效进行簇类分析、回归分析、关联规则学习等数据分析技术。(4)海量数据存储:能解决大规模数据分布存储、数据备份、共享访问等问题,能提供海量存储环境,支持庞大数据的归集、存储及管理服务。(5)大规模并行计算:审计云能提供巨大的并行计算软件架构,基于云端廉价而强大的计算能力解决计算任务或数据切分与并行计算问题。(6)灵活网络访问:审计云能消除时空障碍,审计机关可以不受地域条件限制,在各种终端通过互联网接入云平台以获取资源或应用等云计算服务;审计人员能在任何时间联系被审计单位以获取财务及其他信息,进行远程审计。 二、审计云在审计业务中的实施 审计云开展审计业务的流程可以分为审计数据获取与存储和审计资源的调度与加载、数据或环境分析与业务执行、审计信息决策指挥。 (一)审计数据采集与资源配置 审计业务的实施需要被审计单位的财务数据及其他业务数据、开展审计活动所需的技术方法、应用程序等资源,因而审计数据及资源是进行审计工作的基础。 1.审计数据的采集与管理 根据被审计单位是否使用云平台,审计单位采集数据的方式不同。审计云也可以按照制定规则(如单位名称、交易次数或金额范围等)进行数据的初步过滤,整理压缩筛选的数据。审计机关获取被审计单位的财务数据及其他业务数据后,利用加密数据包的方式通过网络传递到云平台数据中心。云数据中心运用分布式处理、集群应用等功能将异质存储设备集成,进行数据集中存储和业务访问,云端依据行业、时间等维度利用数据分析工具将数据切分整理,进行数据的标准与使用管理,形成数据目录以方便给审计人员提供所需的审计数据。 2.审计资源的调度与管理 审计云根据用户请求能够按需动态伸缩配置审计资源,利用云协同机制对资源进行集中存储、统一管理和集中使用,整合优化原先分散残缺的资源,丰富扩展审计资源体系。信息系统的管理员可以预先初始化审计业务系统,形成配置文件与基础系统的镜像文件,同时在服务目录中注册该基础系统以形成系统目录,供审计人员享用系统服务。 (二)审计数据分析与业务执行 1.海量数据分析 审计人员根据审计活动需要向云平台实施数据申请和系统申请以及审计分析环境申请,云端根据审计数据目录及系统目录将云中数据及系统服务发送给审计机构,审计人员对获取的审计数据解密或解压,且系统已完成资源的调度与配置后,提出请求就可使用审计云提供的审计应用服务,无需理解业务系统怎样调用与配置。运用关联数据挖掘算法、多维数据分析和审计分析模型全面智能化分析数据或企业环境,寻找异常数据或可疑事件以及数据间的隐含关系,了解被审计单位环境并将与异常数据和可疑事件相关的数据建立索引,将已挖出的异常数据、可疑事件及与之相关的数据以审计热点的形式提交审计服务层。 2.审计业务执行 审计云拥有信息资源平台和数据分析中心,存储大量的信息资源,包括各种审计项目信息、政策法规、关注热点问题、研究报告、前沿工作动态、归集整理的审计数据、发现的异常事件或可疑线索等。审计项目开展期间,审计人员根据云端的数据分析结果或其他异常情况所提供的可疑线索进行审计核查,展开现场审计、延伸核查、政策跟踪或重点追踪,持续审计等。 (三)审计信息决策指挥 2015年审计长刘家义在全国审计工作会议上表示,我国“十三五”时期要构建数字化审计指挥平台。数字化指挥平台利用网络通信、大数据处理分析、信息可视化、外网视频会商系统等技术,实现信息传输、信息展示、审计感知、决策支持等功能,通过数字、文字、表格、图像等方式,合理制定与动态调整审计计划、科学全面管理审计对象,及时发现和避免审计盲角,实施质量过程控制。对审计项目,尤其是财政、社保、公积金、国有企业等重点审计项目统一组织、协同执行,动态展示当前审计项目的工作状态与进度,智能生成审计业务实施进度、审计成果评估、审计资源分布、异常数据或嫌疑事件等数据处理分析结果,为领导层提供审计决策信息支持。 三、审计云对审计产生的影响 随着金审工程的顺利实施和“十三五”规划提出构建国家审计云以来,审计署正加快建设云审计平台的步伐。同时,会计师事务所虽无法独自承担审计云的搭建,但是可采取与云服务提供商如谷歌云、亚马逊云、微软云、腾讯云和阿里云等合作的方式。目前,国际四大会计师事务所中,普华永道与Google达成协议,Google云平台为普华永道提供定制的应用程序、行业相关的移动解决方案、审计资源共享和安全威胁识别等服务;德勤和腾讯云合作推出更有挑战性和革命性的博思平台。云审计成为未来审计信息化必然趋势,审计云的应用也将颠覆传统审计模式。 (一)审计云对审计单位组织的影响 国家审计运用审计云平台,将会给审计机关带来如下影响:(1)审计业务管理:审计云作为向各级审计机关提供标准统一服务的庞大审计资源池,通过其强大的计算能力,把历史审计数据、现场和联网审计数据、政策法规文件、视频图片、审计实施系统(AO)和审计管理系统(OA)导入数据等资源形成标准的审计模型,如审计程序模型、审计对象模型、审计处理模型、审计疑点模型、审计报告模型、审计管理模型等,实现审计智能化和自动化。省市县等下级审计机关作为用户可以通过网络访问审计云,从而全国审计机关审计信息化水平和审计效率得到同步提高。(2)组织资源整合:审计云环境下可以完成“三个整合”,即人力、技术和信息。审计项目期间,审计机关可以调动审计骨干或专家突破审计中遇到的难题,对技术水平薄弱的地区增加技术及人员援助程度,实现人力资源的整合;审计云的出现将会降低下级审计机关的信息系统投资和维护管理成本,其共享资源和动态伸缩性可以提高资源利用率,整合技术资源;云端数据中心能集中存储审计数据并可以统管多维数据,信息能访问共享,推动信息资源的整合。(3)隐私与保密:地方各级审计机关作为审计云的用户,审计软硬件件基本统一,各审计机关在使用相同审计软件下,将大幅提高审计过程的可比性与可控性。审计署通过数字化审计指挥平台可以实时全面了解各级审计机关的审计工作状态或进度情况,从而全过程对地方审计业务进行质量控制。同时,下级审计机关能通过审计云平台及时跟踪了解上级审计机关的任务要求、工作思路和指导,向上级审计机关反馈在贯彻执行任务和实施审计业务过程中存在的问题或疑点。(4)人员分工与协作:审计项目组的成员通过云平台的共享与存储服务,不受时间和地域条件的限制就可以同时访问项目文档与协同工作,打破原先的工作分工,对文档所做的编辑会自动反映在其他用户屏幕上,无需利用电子邮件将文档发给其他成员。云平台便捷的协作使项目组成员能够突破地理限制及时参与项目,简单劳动如账簿资料转移储存、数据计算处理分析等可以交由审计云,审计人员将主要时间和精力投入到被审计单位的重要性水平、风险以及内控等方面。 (二)审计云对审计单位风险的影响 自云审计的诞生与发展以及审计云平台的构建与推广以来,审计云应用于审计过程中存在的风险一直受到人们的热切关注。陈伟和Wally Smieliauskas(2012)从云平台整体与应用控制、云平台选择和云平台服务三方面阐述云计算对联网审计产生的风险,其中云平台整体与应用控制的方面存在的风险包括数据的安全、隔离和完整性风险、业务持续和灾难恢复以及监管规范性风险;云平台选择方面存在的风险主要存在于云服务提供商的经营状况、性能、安全和保障、数据存储和归属、服务水平协议(SLA);云平台服务存在的风险包括服务支持与可靠性以及云平台的友好性。秦荣生(2013)指出从云计算自身引起的风险而言,主要考虑基础设施的安全性和数据的安全性,用户会担忧信息系统的安全性、担心云端数据存储使用的安全性。魏祥健(2015)认为云平台安全主要面临的风险包括数据传输存储和数据隐私、访问控制与接口安全以及身份隐私安全、数据备份和云容灾、平台虚拟运行环境安全等。本文基于前人研究成果,考虑云技术在审计应用过程中产生的诸方面影响及其他因素,将审计云的相关风险概括为安全风险、持续风险、合规风险、技术风险和审计风险。 1.安全风险 安全风险主要包括数据存储的完整性和安全性、网络传输和应用系统的隔离性、访问控制和用户管理、劫持服务和API及服务接口存在隐患等。在审计云环境下,审计数据以及被审计单位的其他相关信息都通过网络传输给云端,可能存在数据泄露或丢失。此外,错误加密方式可能破坏审计数据或其他业务资料,薄弱访问控制甚至是缺乏防止数据被篡改的控制措施,会引起多种数据风险,如审计人员非法滥用权力或越权访问云端数据和应用系统破坏数据的完整性。但是审计云是审计署构建和部署的公共云,即使各级审计机关访问并共享的审计数据和应用系统等审计资源缺少隔离。应用系统之间可能会相互影响,审计署仍然可以对服务、数据或其他安全性问题提供有效的控制。 2.持续风险 审计云的稳健性直接关乎审计业务的持续性,如果云平台出现灾难性事件甚至是网络产生故障,云服务被迫中断而影响业务的持续性,审计单位怎样可以及时访问应用程序或所需数据。虽然云平台目前尚不成熟,存在安全隐患或漏洞,但是相对于单机而言具有巨大进步。单机的硬盘崩溃会丢掉所有数据,造成无法挽回的损失。但是云平台的服务集群拥有庞大的计算机,虽然其中几台计算机出现故障,但是云中数据会在不同地方保留,非单一存放,通过云平台的数据预留措施可以及时恢复或找回。 3.合规风险 随着审计云的大规模应用,应用审计云是否制定或符合相应政策法规,是否具备系统规范的监督体系和控制措施,访问和操作云平台的流程是否合规合理。审计业务借助云技术是否与现有审计准则和审计程序相契合,现有审计准则是否已不能完全适应于审计云下的审计环境,政府是否需要在现有审计准则的基础上,制定适应云审计的相关准则和技术规范,如风险控制准则、数据安全准则和云责任等。这些问题若未解决,必将引起合规性风险。 4.技术风险 审计云的构建可能冲击组织当前的IT管理流程,包括云平台的操作界面是否方便、人机交互性是否友好、用户能否容易学习与掌握等。此外,审计云只有依赖互联网才能发挥优势,其实时采集和高效处理数据的能力需要快速的网络传输来支撑。但是我国“4G”网络牌照的发放还没真正普及,网络传输速度仍然是制约云审计的到来以及审计信息化发展的重要因素。除了需要高技术的支撑,审计单位还应完善组织结构和内部治理等方面,尤其是复合型人才的培养。只有拥有既懂审计和会计又懂计算机技术的复合型人才才能提高其专业胜任能力,才能推进审计云的实施和发展。 5.审计风险 审计署正在大力构建国家审计云,审计署表示,将推动上下内外“联起来”,推进上下级审计机关之间网络互联、审计机关与审计现场之间信息共享。推动及时有效“用起来”,广泛运用数字化审计方式,归集数据、分析数据、查找疑点、综合提炼,为现场审计“升级”、“导航”,大幅提高审计的精确度和时效性:从宏观层面进行大数据关联分析。提高研判宏观经济发展趋势、感知经济社会运行风险、发现违纪违法问题线索的能力。审计署能共享审计云中所有审计资源。数据集中化优势使得审计署可以进行数据批量处理和整体分析,根据分析结果全面了解和系统掌握审计情况,并将数据分析报告和审计发现的异常数据及嫌疑事件传递给审计署司局和特派办以及各级审计机关,下级单位核查审计疑点并将审查结果报告给数据中心。运用云计算等数字化审计方式归集、分析数据并综合提炼以查找疑点,推动实现由事后审计向事中审计、静态审计向动态审计相结合、单点离散审计向多点联动审计、现场审计向非现场审计相结合、局部审计向全覆盖审计转变,从而对审计风险产生深刻影响。 四、基于模糊AHP法的审计云评估体系 骆良彬(2008)提出设计评价指标体系应遵循全面系统性原则、动态调整性原则、客观适用性原则和有效性原则。本文遵循指标设计原并通过对审计云的基本架构、属性和审计业务执行过程实现的分析,在咨询专家意见基础上运用基于AHP的模糊综合评价法,构建审计云评估体系,以检验和评估该系统的合理性和有效性。 (一)审计云评估与模糊AHP综合评价法 1.层次分析法 层次分析法(The Analytic Hierarchy Process,简记AHP)是美国著名运筹家萨迪(T.L.Satty)提出的一种定性和定量分析有效结合的多准则决策方案法,在深入分析问题的本质、影响因素及其内在关系后,将决策问题的有关因素分解成目标、准则和方案等层次,构建层次结构模型,然后利用较少的定量信息,把决策的思维过程数学化,通过层次内因素两两比较得出相对权重,经过一致性检验提高主观判断的可靠性,为解决多因素不能精确量化的问题提供有效的系统分析和科学决策方法。 影响审计云效用的因素复杂多样,某些因素即使可以进行结构化分解,但却无法直接量化这些因素,而且审计单位对各指标的重要性程度评价不同,导致传统评价方法难以全面客观科学衡量各因素对目标层的重要性或影响程度。AHP法能够根据完备性与可测性原则,使复杂无结构系统结构化,通过层内比较与层间权重、一致性检验使多准则、多因素、多目标或存在主观判断的不可公度问题得以解决。AHP方法不仅能保证模型的系统性和合理性,而且能让决策人员充分利用经验和判断能力,提高主观评价的科学性。 2.模糊综合评判法 模糊综合评价法主要分为两步,即先按每个因素单独评价,再按所有因素综合评判。它以模糊数学为基础,应用模糊关系合成的原理,将某些边界不清,不易定量的因素定量化,从多个因素对评价事物隶属等级状况进行综合性评价的一种方法。模糊数学用精确的数学方法来处理过去无法用数学描述的模糊事物,是连接形式化思维和复杂系统间的桥梁,为研究复杂、难以精确量化的问题提供有效解决途径。 AHP和模糊综合评判法的结合,主要体现在将评价指标体系分成递阶层次结构,运用层次分析法确定各指标的权重,然后分层次进行模糊综合评判,最后综合得出总评价结果。审计云是由诸多部分组成和有机联系的高度复杂系统,评估审计云不仅是对各组成部分的合理有效性进行评价,还要整体综合评价审计云的性能,并且考虑其在审计应用中效用。传统的文字描述法、流程图法、调查表法等定性方法主要依赖评价者的主观判断,容易产生评价缺乏整体性,评价范围窄导致分析不全面,度量指标缺乏标准性导致难以可操作和可比,甚至人为判断存在的失误或疏漏等问题。模糊AHP综合评价法适用于人的定性判断起主要作用,对决策结果难以直接准确计量的场合。利用模糊AHP综合评价法实现评价指标从定性判断到定量判断的模糊映射,系统评价各组成部分的有效性及审计云的整体效用,是科学和系统评价审计云的可操作方法。 (二)审计云评估指标体系的设计 审计云的应用使得审计单位信息系统云端化,能够充分优化利用云存储、云服务等云技术,获取结构化、非结构等异构且跨行业的海量数据,通过资源的共享和动态调度以及协同作业,实现大数据批量处理与分析以及审计疑点与线索挖掘,其创新性将颠覆和变革现有审计模式。然而,我国信息化尤其是审计信息化水平尚不高,云技术及云平台的相关理论尚不成熟等因素将影响云平台的建设与应用。考虑到审计云投资耗费巨大,审计署IT技术的实际应用情况,在构建国家审计云前应考虑其可行性和合理性(包括经济可行性、理论可行性、技术可行性、实际可行性、运行稳健性),为审计署在“十三五”时期建设和完善国家审计云提供针对性指导,实现审计“六大转变”(包括实现由单点离散审计向多点联动审计转变、由局部审计向全覆盖审计转变、由静态审计向动态审计相结合转变、由事后审计向事中审计相结合转变、由现场审计向现场审计与非现场审计相结合转变、由微观审计向微观与宏观审计相结合转变)。 根据指标体系设计原则并结合上文对审计云的剖析选择适当的评估指标,包括审计云的基本架构、审计云的基本属性、审计业务过程实现、审计云对审计单位组织的影响、审计云对审计单位风险的影响、审计云的可行性,本文设计审计云效用评价体系的详细内容如表1。
标签:ahp论文; 大数据论文; 审计软件论文; 云系统论文; 安全审计论文; 审计计划论文; 云计算论文; 审计质量论文; 会计与审计论文; 系统评价论文; 审计准则论文; 云数据论文; 管理审计论文; 模糊理论论文; 项目风险论文; 审计流程论文; 项目分析论文; 审计目标论文; 技术与管理论文; 安全平台论文;