信息系统审计决策模型研究,本文主要内容关键词为:信息系统论文,模型论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
目前,国际上关于信息系统审计的权威标准是COBIT模型[1]。在信息系统审计中,可借助COBIT模型的“控制目标汇总表”确定各个IT过程的具体审计目标。虽然COBIT模型可以确定每一IT过程的具体审计目标,但它只提供了框架。闵京华[2]提出应该在分析信息安全基本要素后根据具体情况制定评价准则和设计计算函数,但没有给出具体的计算公式。陈耿等[3]提出了对信息系统安全审计要采用定量与定性结合的方法进行。
一、信息系统的风险
风险管理通常可以分为3个阶段:
(一)风险识别
风险识别首先要识别对组织运营起关键作用的要素,然后查找和定位风险,确定风险的来源及其产生条件,最后对需要保护的信息资源或资产进行鉴别和分类。COBIT模型对各个层次的控制目标仅做出了定性评价,对4个域进行了基于流程的划分。在COBIT模型三维结构体系中,IT资源维度描述了IT治理过程的主要对象,有人员、应用系统、技术、设施和数据等5类。笔者为建立信息系统风险量化评分系统将信息系统风险进行重新整合并划分为:软件体系风险、硬件体系风险、人员体系风险、制度体系风险[1,5]。
(二)风险评估
确定了风险要素后,就能综合风险要素形成对风险的总体认识,评估与系统的信息资源相关的威胁和脆弱性以及他们出现的概率,给出总体风险的衡量。
(三)风险控制
风险控制就是跟踪识别风险、识别残余的风险、修改风险管理计划、保障风险计划的实施,并评估降低风险的效果。
二、信息系统风险量化评分体系
为构建一个完整、层次性的信息系统风险评分体系,笔者根据信息系统风险源,划分为软件、硬件、人员、制度等4类风险,并将这4类风险进一步细分,然后参照COBIT模型的高层控制目标汇总表分别赋予一定权重。
首先,了解公司控制目标汇总表中34个信息技术处理过程实际情况;其次,了解公司中与4类风险相关的信息技术处理过程中涉及的重要IT标准的制订和执行情况;再次,通过与公司各层主管交流,了解公司管理人员对4类风险的态度;最后,调查公司以往审计报告,发现和了解公司4类风险发生的情况。
根据问卷调查的结果,得出信息系统的风险权重,如表1-表5所示[4-10]。
参照朱荣恩[8]的控制风险量化表,笔者制定了安全性评分标准表,为信息系统4类风险的各分项风险提供量化评分标准。风险评分标准如表6所示,单项风险评分分数范围设置为0—9,其中0代表重大风险存在的可能性无限趋近100%,9代表风险存在的可能性无限趋近0。
表6 安全性评分标准表
分数分布0.9以下1—3 4—6 7以上
评价等级 存在重大风险 存在较大风险 存在一般风险 存在较小风险
通过初步测试收集到的一定量的信息后,可以根据表1—表6中对信息系统风险分类和细分项目的划分,首先对单项风险做出评估,然后将评估结果按照安全性评分标准表给出初步的单项风险评分。
信息系统审计师通过收集的有关公司教育培训的信息后,判断A公司的教育培训机制比较完善,存在风险的可能性较低,因此参照人员风险评估权重表(见表4),对该企业的“教育培训”因素给出了7.5的评分。运用类似上述方法,可以对A公司价值1000万元的信息系统进行信息系统风险评估并得出各项评分:
1.信息系统软件风险评估
通过对表7中各细分科目采取多种审计方法,如穿行测试、平行测试等,获得相关信息后对各单项评分,具体见表7。
单项评分结束后,将各科目的得分乘以各自权重加总得出信息系统软件风险的总评分,所以该信息系统软件安全的总评分为:
8×0.25+7.5×0.2+7.5×0.1+8×0.15+8×0.1+8.5×0.05+8.5×0.15=7.95
2.信息系统硬件风险评估
通过观察、了解等方法,获得相关信息后对各单项评分,见表8。
信息系统硬件安全总评分为:
8.5×0.1+8×0.15+8×0.25+8.5×0.1+8×0.4=8.1
3.人员管理风险评估
通过问卷调查、面谈等方法得到表9中各细分科目的得分。
表9 人员管理风险评分权重表
人员管理情况分类 安全性评分 权重
职责权限8
0.5
业务分配7.5 0.26
教育培训7.5 0.24
人员管理风险总评分为:
8×0.5+7.5×0.26+7.5×0.24=7.75
4.制度管理风险评估
通过问卷调查、画流程图等方法获得相关信息后对各单项评分,如表10所示。
制度管理风险评分为:
8.5×0.2+8×0.15+8×0.18+8.25×0.04+8×0.13+7×0.07+8.5×0.08+8.5×0.06+8×0.09=8.11
通过对以上4个组成要素的单项评分汇总,结合表3中的软件、硬件、人员、制度4个要素的风险权重,可以得到信息系统总体风险的量化评分,即信息系统总体风险评分=7.95×0.3+8.1×0.2+7.75×0.35+8.11×0.15≌8.0。
信息系统审计师根据A公司近5年的历史数据和审计经验数据得出A公司系统安全的概率分布表(见表11)。
此次信息系统总体风险评估中,信息系统总体风险评分为8.0,可以根据信息系统安全概率分布表的分值分布判断信息系统安全概率为80%。
三、审计决策
利用信息系统安全评分体系,经过初步审计后,可以得出A公司的信息系统安全概率,从而为审计决策模型提供了数据依据。
信息系统审计师得到信息系统总体风险评分为8.0,对应系统安全概率P(S)=0.8,所以系统不安全概率为P(U)=1-P(S)=0.2。
此次审计中,A公司信息系统送审资产额为100万元。根据A公司历史数据,误拒风险的实际损失相当于信息系统资产的10%即10万元,误拒风险的实际损失相当于信息系统资产的1%即1万元。
在缺乏更准确的安全证据时,只能通过这两种概率来判断损失的大小,经过比较后做出较为合适的判断。此时做出接受误拒风险的决定,可能的损失为:L1=误拒风险造成的损失×系统不安全概率=(0.2)×(1000000)=200000元
若做出接受误拒风险的决定,可能损失为:L2=误拒风险造成的损失×系统不安全概率=(0.8)×(100000)+(0.2)×0=80000元
因此,在缺乏更准确的安全证据的情况下,为了将损失降为最低,信息系统审计师应做出接受误拒风险的决定,即认定系统不安全。
信息系统审计师根据对信息系统总体安全性的评分,判断出信息系统存在重大风险较低,故决定采用可信度为80%的测试方法,测试成本为5万元。即:P(判断信息系统安全的测试结果︱系统安全)=P(C︱S)=0.8;P(判断信息系统安全的测试结果︱系统不安全)=P(C︱U)=1-P(C︱S)=0.2
在接受误拒风险的情况下,系统实际上真正安全百分率P(S︱C)和在得到肯定测试结果情况下,系统实际上不安全百分率P(U︱C),可以用如下方法计算得到(利用贝叶斯规则进行计算):
P(S︱C)=P(CS)/P(C)≌0.94
P(U︱C)=1-P(S︱C)=1-0.94=0.06
利用新的百分率关系,可以重新估算可能的损失。做出接受误拒风险的可能损失为:L3=(0.06)×(10000000×10%)=60000元;
若此时做出接受误拒风险的决定,可能的损失为:L4=(0.94)×(10000000×1%)=94000元
信息系统审计师因为此时做出接受误拒风险的决定所带来的损失可能较小,所以将会改变先前的判断,认为系统安全。在新的测试环境下,最大的损失可能为94000元,在原测试环境下,做出错误决定可能带来的最大损失是2万元,此时信息系统审计师可以得出继续追加测试成本的可接受上限为106000元(200000-94000)。因为信息系统采用可信度为80%的测试方法的成本预算小于106000元时,信息系统审计师可以决定与组织协商,适当追加测试内容,进一步提高测试的可信度。
本文在总结企业的经验基础之上,提出了基于信息系统安全量化评分体系的审计决策方法,通过实践取得了一定的成效。今后将扩大调查研究的范围,进一步加以完善。
标签:审计软件论文; 安全审计论文; 审计计划论文; 风险模型论文; 测试模型论文; 风险评估论文; 审计目标论文; 风险管理论文; 审计流程论文; 审计准则论文; 信息安全论文;