信息化免疫之病原体发现——预警模型及预警信息处理,本文主要内容关键词为:病原体论文,免疫论文,模型论文,发现论文,信息论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
联网审计(audit-online)作为一种先进的审计手段已经被广大审计工作者接受,并且联网审计模式已经在我国多个省(市、自治区)开展试点应用,取得了较显著的效果,本文就预警子系统的预警模型提出了一种分类方法,并且对每一类模型及其关键控制点进行阐述。针对预警信息,需要及时、有效的处理,本文也提出了一种预警信息处理的方案。
一、信息化手段下的“病原体发现”
“免疫系统”的一大功能就是“病原体发现”,对于审计工作来说,能否发现疑点决定着审计项目的绩效。当前全国审计机关普遍存在人员紧张、工作量大的现实情况,能否利用信息化手段提高审计效率是摆在各级审计机关面前的重要课题。联网审计方式正适应了现代审计的需要,而预警系统正体现了“自动化审计”优点。利用预警系统可以自动、不间断地发现审计疑点,为审计人员提供审计线索,辅助审计人员进行职业判断。
二、预警系统的核心——预警模型
预警模型可以建设成类似于人体体内的免疫细胞。预警模型具有流动性、适应性和关联性。这些模型可以被自由地赋予到各节点之间,检测整个系统。模型之间可以相互作用,能相互识别各自的活动并产生反应,模型同时可以根据环境而动态改变。一旦发现异常,模型通过相互合作对异常情况进行及时反馈处理。在预警系统中预警模型设置的有效性和预警信息处理的及时性、有效性直接决定预警系统否发挥出强免疫效果。
三、预警模型的分类
在联网审计系统中的预警模型可分为五类:数据交换模型、信息验证模型、条件指标比对模型、趋势判断模型、内部控制模型。
如图1所示,数据交换模型是最基础的模型,它的作用是判断数据采集与数据交互是否按时按量完成;在保证数据采集与交互正常的情况下,信息验证模型检查数据的完整性、真实性与有效性;条件指标比对模型在完整有效的信息数据上进行二次加工,并利用法规、政策及审计人员的职业判断标准,对数据信息按指标进行比对分析;趋势判断模型是半智能化模型,利用系统积累的历史数据进行趋势分析,自动进行“趋势发现”,并判断新产生数据是否符合本趋势;内部控制模型负责分析审计人员操作联网审计系统的行为是否异常。
四、各模型作用与关键控制点
(一)数据交换模型
数据交互模型是最基础模型,其功能为分析数据采集操作是否按时按量完成;数据交互功能是否正常运作。现有的联网审计系统的数据交换大多是自动完成,为保证数据中心中的数据是及时有效更新,必须在每次数据交换完成后对当次交换过程的结果进行分析。
关键控制点为:数据交换有未正常启动;数据交换有未正常结束;交换清单中的数据是否全部交换(采集或导出到其他系统);若为采集操作,在本地数据中心中的数据是否已完整保存;数据约束关系是否有效。
(二)信息验证模型
信息验证模型在保证数据采集正常有效的前提下,分析新采集到数据的完整性、真实性与有效性。比如社保联网审计系统中公共信息库中单位基础信息表的单位组织机构代码是否完整、格式是否正确,个人基础信息表中的个人身份证号是否完整、格式是否正确,如图2。
图2就是一张信息分析表,AAC002为身份证号,其中bSel0为18位证号向15位证号转换的结果,同时检查身份证号长度是否符合要求,bSel1为检查身份证号生日信息是否符合要求后的结果字段,bSel2为省份验证字段,bSel3为二代身份证第18位校验码验证字段。
采集数据信息不完整、不真实直将接影响审计分析和审计判断,所以信息验证模型是展开有效审计分析的基础。
信息验证模型的关键控制点分为两类,一是国家公认的格式标准,如身份证号、组织机构代码;二是被审计单位或者是开发过程中自行定义的数据标准(需要被审计单位或者软件开发商提供数据格式规范说明)。
(三)条件指标比对模型
条件指标比对模型就是利用法律、法规、文件以及审计人员职业判断形成的条件、指标对数据信息进行比对,此类模型常会对数据信息进行二次加工,分类统计计算后再与标准条件、指标进行比对。这类模型是现有的联网审计预警系统中最常见的模型。
该类模型的控制点:被审计单位业务中的“新增信息”,如社保审计中新参加城镇养老保险的人员是否未停止领取失业金,新审批发放失业金的人员是否已开办公司或其他方式重新就业;被审计单位业务中的“变更信息”,如从某时段开始,养老保险计发标准发生变更,那么当检测到计发标准表内容改变后,要重新计算所有人员的待遇,计发是否符合新标准;被审计单位业务中的“删除信息”,如工商注销前是否已经税务注销。
(四)趋势判断模型
趋势判断模型利用历史数据进行趋势分析(可利用回归分析等手段),然后把新产生数据置入原趋势进行判断,若发现偏离标准趋势线较大的即为疑点预警数据,该数据需提供给业务人员进行职业判断,分析原因。
图3中,利用1999年至2002年的失业金领取人数做回归分析。预警系统会尝试各种回归分析算法,最后算法的选择原则为:简单曲线优先。本例子为低次曲线优先,即在能反映趋势的情况下,能使用一次曲线,就不使用二次曲线,拟合效果可使用指标计算。如<10%。
图3为计算得出的线性回归趋势线,利用该线延展至2003年,发现2003年的数据趋势线距离较大(可用偏离比例判断),当2003年的数据进入系统后,预警子系统就利用该趋势分析,发出预警信息。
图4中,由2008年度1月至12月某医院医保门诊费用发生额计算趋势线,发现新产生的12月的数据偏离趋势线标准值大于10%,产生预警。分析后得出12月存在医保突击消费现象。
(五)内部控制模型
内部控制模型负责分析本审计机关内审计人员操作联网审计系统的行为是否异常,主要防止审计人员对于保密数据的异常操作行为。内部控制模型将分析每个人员的操作日志,对于数据访问类型、访问量、导出量进行定量分析。对于异常访问行为,模型将生成预警信息,该信息将通过内部控制流程向管理人员及机关部门负责人发送。
该类模型的控制点为:访问数据量;突发访问数据量;数据导出量;数据突发导出量等。
五、预警信息处理
预警信息产生后,预警信息是否能及时有效处理,直接关系到最终联网审计效果。预警信息的产生又来源于不同的类别,那么就要针对不同类别,设计预警信息处理流程,以下提出一种处理流程方案。如图5所示。
对于类别1和类别2的预警信息,不需要审计业务人员处理,主要由预警子系统自动做数据补全处理或者自动通知到被审计单位处理。类别3和类别4的预警信息需要审计人员的职业判断,所以要加入人工处理流程。和被审计单位沟通是经常而必要的,所以需要在被审计单位设立预警系统的客户端,用以收集从审计端发送的预警信息,并通过客户端反馈处理情况。类别5的预警信息需要系统管理员和部门领导处理,认定系统访问行为是否正常。如不正常,需要依据联网审计管理办法和保密规定等进行处理。预警可以根据需要进行分级,对于等级较高的预警模型优先运算,对应的预警信息优先处理。
预警系统需要有设计完善的预警信息库支持,预警信息库对预警信息进行分类分级管理,对预警信息的处理情况作详实记录。