程平 崔纳牟倩

基于AHP和VPRS的IT审计指标体系及权重研究

程平 崔纳牟倩

大数据时代，云会计平台作为企业信息化的重要途径，不仅提高企业的工作效率，同时也带来一定程度的风险，IT审计应运而生。本文根据云会计平台的特征，建立了IT审计指标体系，并利用AHP和VPRS方法共同确定各级指标的权重，既避免了主观权重随意性强，又解决了客观权重解释性差的问题，最后结合具体实例验证了该方法的有效性。

AHP VPRS IT审计指标体系 权重

一、引言

随着大数据、云计算、移动物联网等信息技术的广泛应用，企业财务数据和业务数据的形成、归集及统计都高度依赖信息系统，企业的信息化需求也呈复杂化和多样化趋势。云会计作为一种构建于互联网上，并向企业提供会计核算、会计管理和会计决策服务的虚拟会计信息系统，具有低成本、高效率的优势，成为各企业信息化实施的重要途径。然而，数据高度集中在云会计平台上势必会导致企业风险增加，因此对云会计平台进行IT审计是监控和保障云平台安全可靠运行的重要途径。

关于云会计平台的安全可信性和信息系统审计已成为学者们研究的热点，程平、周欢、杨周南（2013）在阐述云会计与会计信息安全关系的基础上，深入分析了云会计下会计信息存在的存储、传输和使用等安全问题。郑敬华等人（2015）从云平台、云数据和云通信三个方面分析云系统的安全问题，并建立了云计算安全评估指标体系。程平、李宁（2014）提出一种基于网络层次分析法的会计信息系统可信性评估方法。程平、徐云云（2016）引入结构矩阵及矩阵变换、运算的方法，建立云会计AIS可信性度量模型。林众（2016）根据我国银行信息建设现状与内部审计现状的研究，设计了从审计立项、审计调查到审计数据的采集、转换、验证以及审计数据分析和审计收尾的各个阶段审计的具体流程。

综观上述文献，对云平台的安全问题和建议的研究较为集中，对云平台的安全评估指标和方法研究相对较少，且多为主观经验的累积，对信息系统审计的研究多集中在理论层面。鉴于此，本文拟从IT审计的角度出发，以云会计平台为研究对象，充分考虑云环境的开放性和动态性，构建IT审计指标体系，利用工具测试、问卷调查、人员问询和资料审查等方法采集数据，采用层次分析法(AHP)确定指标的主观权重，变精度粗糙集(VPRS)确定指标的客观权重，研究和解决大数据环境下云会计平台IT审计的重点。

二、IT审计指标体系构建

IT审计主要分为面向系统的IT审计和面向数据的IT审计，本文主要研究前者，即通过检查和评价被审计单位云会计平台的安全性、可靠性和经济性，揭示云会计平台存在的问题，提出完善云会计平台控制的审计意见和建议，促进被审计单位云会计平台实现组织目标。

根据审计目标的不同，各级审计指标也有所不同。云平台总体控制指标是通过检查云平台总体控制的战略规划、组织架构、制度机制、岗位职责、内部监督等，分析云平台内部控制风险，促进总体控制的有效性。云平台安全技术控制指标是通过检查云平台安全技术控制的整体方案，物理、网络、主机、应用和数据等方面的安全技术策略和安全控制策略，揭示云平台安全控制缺失，评价云平台安全风险，促进云平台安全技术控制的落实。云平台安全管理控制指标是通过检查云平台各类安全管理制度的完整性和有效性，揭示云平台安全管理缺失，促进云平台安全管理控制的落实。

结合COBIT5.0标准，对各一级指标进行细分，本文建立了一个面向系统的云会计平台IT审计指标体系，由3个一级指标和14个二级指标组成，如图1所示。

三、IT审计指标数据采集

根据IT审计目标，明确各级审计指标的审计对象、审计内容和审计重点，设计恰当的审计测评表，以便信息的集成和定量转化。结合云会计平台的特征，本文提出系统调查法、资料审查法、系统检查法、数据测试法和工具测试法五种IT审计指标数据采集方法。

(一)系统调查法

系统调查法是对云平台的立项审批、系统建设、运行管理、运维服务、项目投资等情况，以及相关责任机构和管理制度等进行全面、深入的了解，是IT审计的基础。

调查内容包括被审计单位云平台管理体制、云平台总体架构以及规划管理。通过调查管理制度，可以了解云平台的基本工作程序、部门管理、制度建设、人员管理等方面，初步判断被审计单位对云平台的重视程度和总体发展水平。通过调查总体架构，可以了解被审计单位云平台的数量、规模、分布以及各系统间的关系，判断云平台在企业的总体价值。通过调查规划管理，可以了解云平台规划、建设、使用、维护和管理的情况。

调查评估结果可依次分为A、B、C、D、E五个等级。

图1 云会计平台IT审计指标体系

表1 审计指标信息采集分级标准

表2 IT审计指标重要程度的判断值

表3 一级指标判断矩阵

表4 B1-B1j判断矩阵

（二）资料审查法

资料审查法是为了确定云平台的重要控制缓解和重要控制点，审查云平台的立项审批、系统设计、招标采购、项目实施、项目验收、系统运行、运维服务、项目投资以及第三方测试和评估的相关文档资料。

审查内容包括云平台内部控制、项目管理和第三方测评的相关文档资料。通过审查内控资料，可以从制度层面了解被审计单位内部控制水平，查找云平台制度层面的薄弱环节和关键节点，为下一步的审计工作做准备。项目管理资料，包括云平台建设经济性评价和建设管理的文档资料。第三方测评资料包括被审计的单位委托第三方所做的测试、评估报告、云平台自查报告和审计报告等文档资料。

审查评估结果可依次分为A、B、C、D、E五个等级。

系统检查法是对云平台的控制环境、网络通信、物理环境、主机安全、应用安全、数据安全等进行实地检查。

检查内容包括制度建设与人员管理、数据备份与操作权限、物理环境与数据安全、数据的输入处理与输出、数据库管理等。在检查过程中，重点关注职责分工、备份管理、云平台物理防范措施、数据加密传输措施、操作记录等，可以采用查阅制度、现场测试、现场查看、调阅系统日志、抽查处理结果等检查方法。

检查评估结果可依次分为A、B、C、D、E五个等级。

（四）数据测试法

数据测试法包括模拟数据符合性测试和典型数据实质性测试。符合性测试是对云平台中内部控制的存在性、有效性以及控制程序编写方法的合规性进行核实。实质性测试是对经过云平台处理过的包括财务会计信息在内的经济信息的合法性、正确性、真实性所进行的直接检查和分析型复核。实质性测试是对财务信息的直接审计，而符合性测试是通过对比不同时期的会计信息发现异常。

表5 B2-B2j判断矩阵

表6 B3-B3j判断矩阵

表7 各级审计指标主观权重汇总表

表8 ABC企业IT审计指标体系决策表

数据测试评估结果可依次分为A、B、C、D、E五个等级。

（五）工具测试法

工具测试法是利用专业的信息系统测评工具或软件对云平台的物理环境、安全环境、运行环境等进行安全、应用、效率等方面的测试，从而评价云平台运行的可靠性、正确性和高效性。

“喂，向南！”易非喊了一声，招了招手，又在身旁的长椅上拍了拍，已经长成大人的弟弟仍然会心一笑，三步并作两步走过来，坐到了易非的身边。

漏洞扫描和入侵检测是目前应用最广泛的测试工具。漏洞扫描是对操作系统、数据库系统、网络协议、网络服务等的安全脆弱性进行监测，快速定位系统漏洞，并得到漏洞位置、数量、等级等信息，常用的有COPS、Tripewire、Tiger等软件。入侵检测是根据漏洞扫描的结果进行模拟攻击测试，通过收集和分析网络行为、安全日志、审计数据，判断云平台被非法访问者利用的可能性，检查云平台是否存在违反安全策略的行为和被攻击的迹象，常用的有黑客工具、脚本文件等。

工具测试评估结果可依次分为A、B、C、D、E五个等级。

审计人员对采集到的各类数据进行集成、推理，将多渠道采集的数据整合成各单项指标的定性评估结果。在标准一致的前提下，对定性评估结果进行量化，量化标准可以参照表1进行。

四、基于AHP和VPRS的IT审计指标权重确定方法

（一）主观权重标定

主观权重的确定采用层次分析法(AHP)，是由美国A.L.Saaty教授提出的，把复杂系统进行整体分解，把多目标、多准则的决策问题转化为多层次、单目标的两两对比，通过数学运算进行预测和决策的有效方法。

表9 各级指标客观权重汇总表

表10 ABC企业IT审计指标最优权重汇总表

为了对云会计平台进行IT审计，首先应根据审计目标的不同，将各级审计指标由高到低排成若干层次，然后审计人员根据收集到的数据进行判断，就各指标间的相对重要程度给予定量表示，最后利用数学方法确定每一层次每一指标的相对重要程度值。具体步骤如下：

1.建立层次结构

把目标层(即IT审计)列在最高层，把为实现总目标所涉及的策略(即云平台总体控制、云平台安全技术控制、云平台安全管理控制)列在中间层，用表示，把为实现总目标所采取的措施(即各二级指标)列在最底层，用表示。建立如图1所示的层次结构图。

2.构造判断矩阵

在相同层次的审计指标中任意取出一对指标和，假设表示指标相对于指标而言的重要程度判断值，表示指标相对于指标而言的重要程度判断值，审计人员需要根据收集到的数据对和的重要程度进行比较判断，判断方法可以参照表2进行。

求矩阵B的最大特征值及对应的特征向量，特征向量即为指标的权重向量。为方便计算，可以通过检验矩阵B的相容性，若相容性好，即可取作为指标的权重估计值，再对向量进行归一化处理后可得到主观权重向量W1(i)。

（二）客观权重标定

客观权重的确定采用变精度粗糙集模型(VPRS)，它是Pawlak粗糙集模型的扩充，通过引入参数β，有利于完善近似空间概念，同时也有利于用Pawlak粗糙集理论认为不相关的数据中发现相关数据。

在确定客观权重的过程中，利用变粗糙集理论中属性的近似依赖性，由数据驱动分析，根据云会计平台多元审计指标间的相互依赖关系来确定其重要程度和权重，保证审计评价结果的精确性和客观性。

1.基于属性依赖度的权重

在决策表中，不同的属性一般具有不同的重要性，为了找出某个属性的重要性，可以从决策表中去掉一些属性，然后分析去掉该属性后的分类变化。若相应的分类变化较大，则该属性的强度大，即重要性高；否则，该属性的强度小，即重要性低。

2.基于属性信息度的权重

设条件属性集C的信息熵为

条件属性集C相对于决策属性集D的条件信息熵为

五、实例分析

本文以ABC企业为例，该企业的日常运转都是通过云会计平台进行，现需要对云会计平台进行IT审计，以促进企业内部控制有效性和防范审计风险。

通过系统调查法、资料审查法、系统检查法、数据测试法和工具测试法收集的数据，审计人员可以对各级审计指标的主观判断进行客观量化，得到各审计指标的判断矩阵，见表3至表6。根据公式分别计算一级指标和二级指标的主观权重，最后得到各级指标的主观权重，汇总结果如表7所示。

客观指标权重的数据来源于ABC企业的10名IT部门人员对云会计平台工作情况的评价。将云会计平台IT审计的质量作为决策属性d，此时一级审计指标作为条件属性；将作为决策属性，此时二级审计指标作为条件属性。将条件属性值的数据等级离散化为3种状态，1代表差，2代表中，3代表优，建立ABC企业IT审计指标体系决策表，如表8所示。

根据公式可计算各个指标的客观权重，最终得到各二级指标的客观权重，汇总结果如表9所示。

为进一步校正指标各主、客观权重之间的偏差，利用最小信息熵原理可求解各级审计指标的最优权重，如表10所示。

通过结果可以得到各IT审计指标最终重要度，按重要度从大到小可得到如下排序: 信息系统总体控制审计>信息安全技术控制审计>信息安全管理控制审计，其中信息系统战略规划>信息系统制度机制>信息系统内控监督>信息系统组织架构，主机安全控制>网络安全控制>物理安全控制>数据安全控制>应用安全控制，系统建设安全管理>系统运维安全管理>安全管理制度>安全管理机构>人员安全管理，IT审计人员在审计过程中可以对权重较高的审计指标进行重点审计，不仅可以提高IT审计效率，同时可以促进企业完善内部控制体系，提高风险防范和管理能力。

1.程平,温艳好.基于云会计的AIS可信性层次结构模型.重庆理工大学学报:社会科学.2014(2)

2.程平,周欢,杨周南. 云会计下会计信息安全问题探析.会计之友.2013(26)

3.郑敬华,李锟,赵永刚. 云系统安全评估指标研究.山东工业技术.2015(09)

4.程平,李宁. 云会计环境下基于ANP的AIS可信性评估. 计算机工程.2014(11)

5.程平,徐云云. 云会计AIS可信性度量研究.财会通讯.2016(34)

6.林焱.我国银行计算机审计系统框架与流程研究.对外经济贸易大学.2006

7.王帆,聂曼曼.互联网云审计系统运行机理与评价体系.中国注册会计师.2014(07)

8.张文修,吴伟志,梁吉业.粗糙集理论与方法.科学出版社.2001

9.钟嘉鸣,李订芳. 基于粗糙集理论的属性权重确定最优化方法研究. 计算机工程与应用.2008(20)

10.王宁,王艳筠. 基于VPRS的软件企业评价指标及其权重研究. 科技管理研究.2008(03)

11.程平,李宁. 云会计下基于COBIT标准的AIS审计实施研究. 中国注册会计师.2015(09)

国家自然科学基金青年项目（批准号：71201179）；教育部人文社会科学基金青年项目（批准号：12YJC630025）；重庆市教委科学技术研究项目资助（批准号：KJ1400905）；重庆理工大学研究生创新基金重点项目(YCX2015105)

作者单位：重庆理工大学