数据挖掘模式下的审计风险预警系统研究是管理科学(审计学、和计算机信息科学、数据库技术)的交叉综合研究,国内外对此研究有了一定的尝试,但更多的是局限于计算机技术的运用研究,没有深入对数据库的数据进行技术挖掘,寻找数据之间的规律,以判断审计风险。
(一)审计系统计算机应用情况
2000年11月份在南京审计学院召开全国审计系统计算机审计应用成果展示会,反映了我国审计系统计算机应用状况,即在我国审计系统已基本上构建了审计信息的整体构架并形成了相应的监督链。特别是随着审计署“金审工程”一期应用系统建设的全面启动,审计的信息化、应用系统建设的步伐进一步加快。2004年10月份,审计署委托南京审计学院承办了“第二届IT审计国际研讨会”,我们在会上提出了“数据分析导向的计算机审计应用研究的理念”,引起了与会中外代表的兴趣。各国对计算机审计的开发和运用都非常重视,都有一定的研究成果,在审计证据的收集,审计办公系统自动化领域取得了令人瞩目的成果。
我们在数据挖掘模式下审计风险预警研究的基础上,又参与了国家审计署“863”项目“计算机审计数据采集与分析研究”(2005)的研究,了解了我国计算机审计的前沿领域。2005年,国家审计署计算机中心研制了“现场审计实施系统”,该系统除了安装了可应用于审计现场的办公辅助系统外,还有一套宝贵的专家系统。此外,审计署还实现了联网审计,异地实时在线审计技术也运用于审计实务,利用计算机审计技术实现了远程审计。应该说,目前计算机审计的软件应用已经超越了职能部门的专业审计、查询以及报告生成水平,并且开展了一定的数据库联机分析处理(OLAP)、数据仓库及DM等高层次智能化应用的研究,在实际运用中超越了被审计单位时空的局限,利用计算机审计技术解决了联网审计、远程审计等问题,极大地推进了信息环境下审计工作的发展。
这些计算机审计研究成果基本解决了不同情况下审计证据的采集问题,利用信息技术解脱了大量繁杂的计算和复核工作,改变了传统方式下审计人员手工操作所形成的高成本、低产出的局面,开阔了审计人员的视野,提高了审计工作效率。在数据挖掘技术还没有更多地运用,只是用于局部数据分析的情况下,如何利用数据挖掘技术对审计风险进行控制,以提高审计质量,目前还没有相应的成果。
(二)数据挖掘(DM)技术应用现状
1989年8月在美国底特律召开的第11界国际人工智能会议上首先使用“数据库中知识发现”(Knowledge Discovery in Database,KDD)这个术语,随后引起了国际人工智能和数据库等领域专家的广泛关注,1995年在加拿大蒙特利尔召开了首届KDD&DM(Data Mining)国际学术会议,从此以后,KDD&DM国际学术会议每年召开一次,经过十多年的努力,数据挖掘技术的研究已经取得了丰硕的成果,不少软件公司已研制出数据挖掘产品,并在北美、欧洲等国家得到广泛的应用,例如:IBM公司开发的QUEST和Intelligent Miner;Angoss Software开发的基于规则和决策树的Knowledge Seeker;Advanced Software Application开发的基于人工神经网络的DBProfile;加拿大Simon Fraser大学开发的DBMinner;SGI公司开发的MineSet等。
计算机技术已提供了DM技术,并在一些管理决策应用中产生了较为理想的效果,DM即“数据挖掘”,又称“数据库中知识发现”,是数据库研究和应用的前沿领域。这一领域可以定义为:从已构建的大型数据库中较高效地提取并发现隐式的、未知的、有潜在应用价值的模式或规则,为各种组织进行前提的、基于知识的决策提供可靠的理论依据。
国外一般将DM归于企业智能(Enterprise Intelligence:EI),普遍认为它是从数据库提取。由于DM可为决策者提供重要并有价值的信息和知识,从而产生不可估量的收益。虽然DM技术研究的时间不长,DM系统和技术也不成熟,DM市场的需求却在日益的扩大,不少企业开始利用DM来分析企业数据以辅助决策。DM在一些专门行业已有较多成功的应用,例如国外大型商业企业,使用条码技术可收集存储大量的交易数据,对已发生的交易数据库进行数据挖掘,可以获得有关客户购买模式的有用信息,由此采取与之合适的促销措施,从而显著地提高了商业决策的质量,也取得了相应的利润回报。国外DM应用于风险管理的研究和开发也有报道,如IBM的企业智能软件为金融、制造、电信、保险、和运输业提供风险管理的解决方案,其中FAM系统为保险承保人挽救了数百万美元的损失。但在涉及以经济监督活动为内容的审计领域,DM的应用未见报导。
经过近几年的发展,数据挖掘的技术经过分类和提升,出现了几方面主要有:关联分析:在大型数据集中发现项之间感兴趣的关联关系。与传统的数据库应用作为联机事务处理(OLAP)不同,DM是一种智能的分析和预测技术,它综合利用统计学、机器学习和人工智能的计算、分析和推理方法,从现存的应用数据中通过净化、衍生、重建、标准化和集成等方法构造数据仓库(Data Warehouse),进而引导知识发现过程,使知识领域与知识发现过程结合,将数据转化为知识(规则),因而DM是一种基于数据库的决策支持过程。分类分析:通过分类可以找出描述并区分数据类或概念的模型(或函数),以便能够使用模型预测类标记未知的对象类。聚类分析:根据最大化类内的相似性、最小化类间的相似性的原则进行将对象聚类或分组,所形成的每个簇(聚类)可以看做一个对象类,由它可以导出规则。聚类也便于分类编制,将观察到的内容组织成类分层结构,把类似的事件组织在一起。演变分析:描述行为随时间变化的对象的规律或趋势,并对其建模。包括时间序列分析、序列模式分析、周期模式匹配等。异常分析:一个数据集中往往包含一些特别的数据,它们数据的行为和模式与一般的数据不同,这些数据对象称为“异常”。对“异常”数据的分析称为“异常分析”。它在欺诈甄别、网络入侵检测等邻域有着广泛的应用。
目前从数据挖掘技术的发展来看,数据挖掘分为两类:描述性数据挖掘和预测性数据挖掘。描述性数据挖掘以概要方式描述数据,提供数据有趣的一般性质;预测性数据挖掘分析数据,建立一个或一组模型,产生关于数据的预测。随着信息技术的不断发展,新的数据挖掘技术还在不断地产生,原有的技术也在实际运用中得到更新,越来越多的领域将运用数据挖掘技术进行管理和决策。
在我国,数据挖掘技术的研究也引起了学术界的高度重视。鉴于DM与应用需求有关,并且与企业基础数据库的完善程度有关,国内关于DM的研究尚处于初级阶段,还有很多的研究难题和面临的挑战,如数据的大量性、动态性、噪声性、缺值和稀疏性,发现模式的可理解性、兴趣性或价值性,应用系统的集成,拥护的交互操作,知识的更新管理,复杂数据库的处理等等。目前,国内研讨的问题主要集中在数据仓库和联机分析处理方面,研究内容以DM的方法和技术为主,但涉及具体的应用研究,特别是面向行业管理的DM技术和应用尚不多见,但可以预见,随着我国时常的进一步对外开放,国内外企业间的竞争趋势必会愈来愈激烈,企业经营的风险也越来越大,因此,国内企业应用DM的需求将不断增加,我国DM的研究以及在“风险预警”中的应用将进入一个新阶段。
(三)审计风险研究现状
上个世纪80年代初,在高风险社会环境的背景下,美国审计职业界最先建立起了审计风险模型。审计风险模型的建立引起了审计方式的变革,制度基础审计开始向风险导向审计过渡。从国内外审计的发展趋势来看,已由传统的对被审计单位经济活动的审查,向经济计划和社会规划的经济活动审查发展。如美国审计总署强调政策审计,表明了现代审计发展趋势,符合审计科学和经济学的发展趋势。
毋庸置疑,现有审计风险模型经过了近二十年的实践,其先进合理之处虽然存在,但也逐渐暴露出了一些问题。因此,研究解决这些问题,不断完善审计风险模式就成为审计职业界的当务之急。
我们认为,研究审计风险预警存在的问题离不开对审计风险模型的研究。虽然审计风险模型(Auditing Risk Model)研究的是审计风险的种类或要素及其关系,后者是从审计的过程和整体角度分析审计风险在审计中的作用。但是,前者是后者的一个组成部分,而且是非常重要的,处于核心地位的一部分(萧英达、张继勋、刘志远,2000)。我们经过研究发现,风险导向审计暴露出来的问题与其赖以建立的基础——审计风险模型本身具有的缺陷有关,现有的审计风险模型需要改进。
AICPA隶属的审计准则委员会(ASB)于2002年10月15日发布的《审计准则第99号——考虑财务报告中的舞弊》(SASNo.99),全面取代了1997年颁布的旧准则。相对于旧准则中指出的审计人员“既不能认为管理层不可靠,也不能认为完全可靠”的较为“中性”的看法,新准则进一步提升了“职业怀疑精神”,用AICPA前主席Barry C Melancon的话来说,审计师“不能推测管理层是诚实可信的”。2004年国际会计师联合会(IFAC)下属的审计与鉴证准则委员会(IAASB)颁布了“国际审计准则240号”(新ISA240),提出了新有审计风险模型,新准则提出了新的舞弊风险评价模式,即将重点放在舞弊产生的根源上,而非舞弊产生的表面结果。该准则建议审计人员将足够的注意力放在舞弊产生的主要条件上,这些条件可以归纳为:压力、机会和借口。当三个条件同时成立时,就意味着出现舞弊的可能性很大,审计人员必须给予足够的关注,采取有效的审计程序以控制风险。
审计人员在整个审计过程中应该始终围绕着如何把审计风险降低到可接受水平以下来实施审计程序,建立在原有审计风险模型上虽然也要贯穿这一思想,但由于其赖以建立的基础(风险模型)的固有缺陷,使得这一思想只能用在微观方面,也即只能用于某一账户余额或交易类别方面,而不能用于宏观方面,也即会计报表整体层面。新的审计风险模型的建立,修正了原有风险模型的缺陷,重新认识了风险要素和结构,这样一种新的风险模型既可用于账户余额或交易类别层次,更可用于整个会计报表层次。这样,风险导向审计必然面临着战略上的调整:以风险源为导向实施由整体到局部再由局部到整体的审计战略;由“以证实性为主”向“以侦察性为先导,以证实性为补充”转变;将主要精力转向关注和控制管理当局舞弊风险。
近几年,国内外围绕审计风险研究、提出了较完整的审计风险理论体系,审计风险模型也得到的适时的修订,获得了审计界有关专家的认同。但是,随着审计风险研究的进一步深入,迫切需要用数学和计算机方法对审计风险形成机制和控制技术量化研究,特别是利用DM技术对现有的大量审计数据库进行分析,以支持上述研究。