免疫進(jìn)化ERP系統(tǒng)日志持續(xù)審計(jì)研究

南京審計(jì)學(xué)院 柳巧玲 黃作明

一、免疫進(jìn)化ERP系統(tǒng)日志持續(xù)審計(jì)理論分析

一般的ERP系統(tǒng)中，都會(huì)有系統(tǒng)日志功能，在系統(tǒng)日志中，會(huì)記錄用戶在ERP系統(tǒng)中的具體操作情況，同一個(gè)ERP系統(tǒng)的系統(tǒng)日志在數(shù)據(jù)格式上是統(tǒng)一的，通過(guò)將企業(yè)員工的操作行為與相似或相同崗位的操作規(guī)范進(jìn)行比較分析，發(fā)現(xiàn)用戶的異常操作行為。基于免疫進(jìn)化的ERP系統(tǒng)日志持續(xù)審計(jì)借鑒人類的免疫系統(tǒng)原理，將不同崗位的用戶行為操作規(guī)范預(yù)設(shè)為不同的審計(jì)規(guī)則，通過(guò)對(duì)ERP系統(tǒng)中的系統(tǒng)日志信息進(jìn)行實(shí)時(shí)檢查和過(guò)濾，進(jìn)而監(jiān)聽(tīng)用戶對(duì)ERP系統(tǒng)的操作使用情況，對(duì)比預(yù)設(shè)的審計(jì)規(guī)則和自學(xué)習(xí)到的用戶使用習(xí)慣，發(fā)現(xiàn)系統(tǒng)日志異常情況和審計(jì)證據(jù)，從而明確和規(guī)范員工對(duì)ERP系統(tǒng)的操作行為，以降低用戶舞弊行為發(fā)生的可能。這種審計(jì)模式，與人類的“免疫系統(tǒng)”一樣，具有免疫防御、免疫自穩(wěn)和免疫監(jiān)視三種基本功能，能自我預(yù)防，抵御外來(lái)風(fēng)險(xiǎn)，促進(jìn)ERP系統(tǒng)安全、健康地運(yùn)行。

ERP系統(tǒng)在運(yùn)行過(guò)程中存在著諸多影響ERP系統(tǒng)安全的風(fēng)險(xiǎn)因素，如產(chǎn)供銷業(yè)務(wù)數(shù)據(jù)和財(cái)務(wù)數(shù)據(jù)的修改刪除操作、單據(jù)信息的更改操作等，通過(guò)對(duì)以往ERP系統(tǒng)運(yùn)行過(guò)程中產(chǎn)生的系統(tǒng)日志進(jìn)行風(fēng)險(xiǎn)原因分析，可以查找引起各種風(fēng)險(xiǎn)的用戶異常操作行為模式，將ERP系統(tǒng)在運(yùn)行過(guò)程中用戶的各種異常操作行為模式組成的集合稱為初始抗體基因庫(kù)。從抗體基因庫(kù)中隨機(jī)選擇一些基因（用戶異常操作行為模式）進(jìn)行交換或重新組合，分析引起ERP系統(tǒng)風(fēng)險(xiǎn)的具體表現(xiàn)形式、產(chǎn)生原因及其相關(guān)的防范策略，使之形成初始抗體，由于基因的選擇具有很大的隨機(jī)性與不確定性，初始抗體在與ERP系統(tǒng)日志里的用戶操作行為進(jìn)行匹配時(shí)，有可能會(huì)將ERP系統(tǒng)日志里的用戶正常操作行為誤認(rèn)為異常的操作行為（用戶對(duì)ERP系統(tǒng)的舞弊操作行為），為避免這種情況的發(fā)生，初始抗體必須經(jīng)過(guò)一個(gè)負(fù)選擇篩選過(guò)程，在負(fù)選擇篩選過(guò)程中，初始抗體接觸到ERP系統(tǒng)日志里大量的用戶正常操作行為，如果初始抗體能夠與ERP系統(tǒng)日志里任何一種用戶正常操作行為匹配成功，那么說(shuō)明該初始抗體是無(wú)效的抗體。反之，如果初始抗體沒(méi)有與ERP系統(tǒng)日志里的任何一種用戶正常操作行為成功匹配，那么該初始抗體被稱為有效的成熟抗體，成熟抗體能夠識(shí)別相似或相近的用戶異常操作行為。借鑒人類的免疫系統(tǒng)，在ERP系統(tǒng)日志審計(jì)過(guò)程中，如果成熟抗體在給定的有限時(shí)間內(nèi)能夠與ERP系統(tǒng)日志里數(shù)量超過(guò)某一閾值的用戶異常操作行為匹配成功，那么成熟抗體就會(huì)產(chǎn)生應(yīng)答反應(yīng)（稱為啟動(dòng)）；反之，該抗體沒(méi)有產(chǎn)生應(yīng)答反應(yīng)，說(shuō)明是無(wú)效的抗體。用戶在ERP系統(tǒng)的操作過(guò)程中，當(dāng)抗體產(chǎn)生應(yīng)答反應(yīng)后，如果同一種用戶對(duì)ERP系統(tǒng)的異常操作行為再次出現(xiàn)時(shí)，引起的免疫效應(yīng)比初次更強(qiáng)、抗體的親和度更高，并稱這種現(xiàn)象為免疫記憶。此時(shí)，產(chǎn)生應(yīng)答的抗體會(huì)進(jìn)行自身復(fù)制，產(chǎn)生多個(gè)復(fù)制抗體（稱為“記憶抗體”），這些記憶抗體比普通的抗體具有較小的啟動(dòng)閾值和較長(zhǎng)的生命周期，可以加速對(duì)以前出現(xiàn)過(guò)的用戶異常操作行為進(jìn)行的檢測(cè)過(guò)程，從而保證了審計(jì)的低消耗和自適應(yīng)性。

二、免疫進(jìn)化ERP系統(tǒng)日志持續(xù)審計(jì)系統(tǒng)框架設(shè)計(jì)

免疫進(jìn)化ERP系統(tǒng)日志持續(xù)審計(jì)系統(tǒng)框架設(shè)計(jì)的構(gòu)思：借鑒人類的免疫系統(tǒng)原理，構(gòu)造初始抗體基因，初始抗體基因可以通過(guò)對(duì)已知的用戶操作行為方式的學(xué)習(xí)獲得，通常是從海量的用戶對(duì)ERP系統(tǒng)的操作行為記錄中抽取最能表達(dá)用戶對(duì)ERP系統(tǒng)操作的異常特征的屬性集合來(lái)進(jìn)進(jìn)行編碼。抗體基因庫(kù)中儲(chǔ)存的是用于生成抗體的基因。由于企業(yè)中不同崗位的員工具有不同的角色和操作權(quán)限，在ERP系統(tǒng)中，這些不同的操作權(quán)限控制都是依賴具體的賬戶與角色展開(kāi)的，不同的員工在進(jìn)行ERP系統(tǒng)具體業(yè)務(wù)的操作過(guò)程中，所有的具體操作行為都會(huì)記錄在系統(tǒng)日志中。在實(shí)際的ERP系統(tǒng)日志審計(jì)過(guò)程中，通過(guò)對(duì)ERP系統(tǒng)日志的預(yù)處理等過(guò)程（如數(shù)據(jù)清理、數(shù)據(jù)變換、數(shù)據(jù)歸約等），將捕獲到的用戶對(duì)ERP系統(tǒng)的操作行為按操作類型等不同標(biāo)準(zhǔn)進(jìn)行分組，映射為與抗體基因相同形式的編碼，然后根據(jù)與抗體基因的匹配來(lái)判斷用戶對(duì)ERP系統(tǒng)的異常操作行為。

其一，免疫進(jìn)化ERP系統(tǒng)日志持續(xù)審計(jì)系統(tǒng)目標(biāo)。基于免疫進(jìn)化的ERP系統(tǒng)日志持續(xù)審計(jì)系統(tǒng)的目標(biāo)是借鑒人類的免疫系統(tǒng)原理，通過(guò)對(duì)企業(yè)ERP系統(tǒng)用戶行為日志數(shù)據(jù)進(jìn)行持續(xù)監(jiān)控分析，發(fā)現(xiàn)日志異常和審計(jì)證據(jù)，從而對(duì)ERP系統(tǒng)的用戶操作行為進(jìn)行規(guī)范，降低用戶舞弊行為發(fā)生的可能，實(shí)現(xiàn)ERP系統(tǒng)及其業(yè)務(wù)數(shù)據(jù)、財(cái)務(wù)數(shù)據(jù)等有關(guān)數(shù)據(jù)的可靠性、完整性和有效性，提高ERP系統(tǒng)的整體免疫能力，在一定程度上保障ERP系統(tǒng)的安全性。

其二，免疫進(jìn)化ERP系統(tǒng)日志持續(xù)審計(jì)系統(tǒng)的框架設(shè)計(jì)。根據(jù)基于免疫進(jìn)化的ERP系統(tǒng)日志持續(xù)審計(jì)系統(tǒng)的設(shè)計(jì)構(gòu)思和目標(biāo)，設(shè)計(jì)了一個(gè)如圖1所示的基于免疫進(jìn)化的ERP系統(tǒng)日志持續(xù)審計(jì)框架。基于免疫進(jìn)化的ERP系統(tǒng)日志持續(xù)審計(jì)框架中，日志數(shù)據(jù)采集代理實(shí)時(shí)檢查、監(jiān)聽(tīng)并收集ERP系統(tǒng)中的海量級(jí)日志信息情況，然后通過(guò)數(shù)據(jù)集成、數(shù)據(jù)清理、數(shù)據(jù)簡(jiǎn)化等方法對(duì)ERP系統(tǒng)日志信息進(jìn)行預(yù)處理，將預(yù)處理后的有用信息傳遞給數(shù)據(jù)分析代理，數(shù)據(jù)分析代理通過(guò)運(yùn)用審計(jì)分析方法和分析工具，對(duì)日志數(shù)據(jù)采集代理采集到的ERP系統(tǒng)日志信息進(jìn)行分析，并同時(shí)啟動(dòng)審計(jì)代理，審計(jì)代理會(huì)將抗體代理傳送過(guò)來(lái)的抗體與數(shù)據(jù)分析代理分析后的ERP系統(tǒng)日志信息進(jìn)行比較。如果一個(gè)抗體檢測(cè)到用戶的異常操作行為，則向?qū)徲?jì)接口發(fā)送預(yù)警信息，審計(jì)人員根據(jù)該預(yù)警的內(nèi)容和級(jí)別信息對(duì)異常進(jìn)行不同程度的處理，形成審計(jì)報(bào)告，同時(shí)，該抗體被選擇并復(fù)制，形成記憶抗體。記憶抗體可以加快對(duì)以前出現(xiàn)過(guò)的用戶對(duì)ERP系統(tǒng)的異常操作行為的檢測(cè)。如果抗體被啟動(dòng)或被復(fù)制，則向抗體基因庫(kù)中添加構(gòu)成該抗體的基因；如果抗體基因庫(kù)中已經(jīng)存儲(chǔ)有該抗體的基因，則增大其適應(yīng)性的值。為避免抗體基因庫(kù)過(guò)大，可以事先設(shè)定一個(gè)最大值，當(dāng)超過(guò)這個(gè)最大值時(shí)，根據(jù)基因適應(yīng)值的大小，從中刪除適應(yīng)性低的基因。根據(jù)人類免疫系統(tǒng)的效應(yīng)機(jī)理，通過(guò)對(duì)ERP系統(tǒng)日志信息進(jìn)行監(jiān)控分析，識(shí)別出影響ERP系統(tǒng)的各種風(fēng)險(xiǎn)因素，對(duì)識(shí)別出的ERP系統(tǒng)風(fēng)險(xiǎn)因素實(shí)行規(guī)避。規(guī)避的方式有兩種：一種是加強(qiáng)企業(yè)內(nèi)部管理制度的規(guī)范，從制度上進(jìn)行改良，通過(guò)制度來(lái)規(guī)范用戶對(duì)ERP系統(tǒng)的操作行為，進(jìn)而消除用戶對(duì)ERP系統(tǒng)的異常操作行為；另一種是將內(nèi)部控制程序嵌入到ERP系統(tǒng)中，從源頭上消除用戶對(duì)ERP系統(tǒng)異常操作的風(fēng)險(xiǎn)。從而在很大程度上規(guī)范員工對(duì)ERP系統(tǒng)的操作行為，并在一定程度上保障ERP系統(tǒng)的安全性。

圖1 免疫進(jìn)化ERP 系統(tǒng)日志持續(xù)審計(jì)框架

其三，抗體工作機(jī)制。模擬人類的免疫系統(tǒng)的運(yùn)行機(jī)理，基于免疫進(jìn)化的ERP系統(tǒng)日志持續(xù)審計(jì)中抗體的運(yùn)行流程可分為四個(gè)階段：初始抗體的產(chǎn)生、負(fù)向選擇篩選過(guò)程、檢測(cè)過(guò)程、抗體的克隆選擇及復(fù)制。以離線方式對(duì)ERP系統(tǒng)中海量的用戶操作行為記錄中提取最能表達(dá)已知用戶異常操作行為的異常特征的屬性集合，并產(chǎn)生一組初始抗體基因加入抗體基因庫(kù)，然后可投入在線運(yùn)行，其運(yùn)行流程描述為：（1）初始抗體的產(chǎn)生。從抗體基因庫(kù)中隨機(jī)選擇一組基因序列，然后對(duì)隨機(jī)選擇的基因序列進(jìn)行基因重組、基因突變產(chǎn)生1個(gè)初始抗體。（2）負(fù)向選擇篩選過(guò)程。從審計(jì)數(shù)據(jù)倉(cāng)庫(kù)中挖掘出用戶對(duì)ERP系統(tǒng)的正常操作行為模式，如果初始抗體能夠與任何一種用戶對(duì)ERP系統(tǒng)的正常操作行為模式匹配成功，表明該抗體有可能將用戶對(duì)ERP系統(tǒng)的正常操作行為誤認(rèn)為異常的用戶的行為，因此，刪除該抗體，返回步驟（1）。通過(guò)了負(fù)向選擇的抗體被傳送到圖1的審計(jì)代理模塊中執(zhí)行檢測(cè)任務(wù)。（3）檢測(cè)過(guò)程。通過(guò)數(shù)據(jù)分析代理不斷地將采集的ERP系統(tǒng)用戶日志信息進(jìn)行分析，并將分析的結(jié)果映射為與抗體基因相同形式的編碼，然后與抗體基因進(jìn)行匹配計(jì)算，檢測(cè)用戶對(duì)ERP系統(tǒng)的操作是否正常。在檢測(cè)過(guò)程中，如果1個(gè)抗體匹配到用戶對(duì)ERP系統(tǒng)的異常操作行為，若異常為已知類型的用戶異常操作行為，啟動(dòng)響應(yīng)并轉(zhuǎn)（5），若異常為新類型的用戶異常操作行為，則審計(jì)代理通過(guò)內(nèi)部審計(jì)接口向?qū)徲?jì)人員發(fā)出預(yù)警信息轉(zhuǎn)（4）；否則刪除該抗體，返回步驟（1）。（4）當(dāng)一個(gè)抗體發(fā)現(xiàn)新類型的用戶異常操作行為時(shí)，審計(jì)代理通過(guò)內(nèi)部審計(jì)接口向?qū)徲?jì)人員發(fā)送預(yù)警信息，由審計(jì)人員判斷是否是用戶的異常操作行為。如果審計(jì)人員判斷預(yù)警信息是用戶對(duì)ERP系統(tǒng)的異常操作行為，則該抗體進(jìn)入（5）；如果審計(jì)人員判斷預(yù)警信息是用戶對(duì)ERP系統(tǒng)的正常操作行為，則刪除相應(yīng)的抗體，返回（1）。（5）克隆選擇和復(fù)制。被證明有效的抗體被選擇并復(fù)制，形成記憶抗體，如果在檢測(cè)過(guò)程中，如果用戶對(duì)ERP系統(tǒng)的異常操作行為是已知的，則記憶抗體相比普通抗體，能夠快速檢測(cè)出用戶對(duì)ERP系統(tǒng)的異常操作行為。

隨著ERP系統(tǒng)在企業(yè)的廣泛應(yīng)用，一方面，ERP系統(tǒng)對(duì)企業(yè)采購(gòu)、生產(chǎn)、銷售、庫(kù)存、財(cái)務(wù)等不同業(yè)務(wù)的集成，明確了企業(yè)流程中的風(fēng)險(xiǎn)控制點(diǎn)，完善了企業(yè)內(nèi)部控制制度，在一定程度上降低了企業(yè)重大錯(cuò)報(bào)風(fēng)險(xiǎn)，另一方面，ERP系統(tǒng)環(huán)境下，對(duì)紙質(zhì)憑證的財(cái)務(wù)賬簿的傳統(tǒng)審計(jì)轉(zhuǎn)向了對(duì)ERP系統(tǒng)的審計(jì)。雖然信息系統(tǒng)審計(jì)在某種程度上輔助了審計(jì)的實(shí)施，但是頻頻爆發(fā)的舞弊案件，說(shuō)明信息系統(tǒng)審計(jì)的不足。因此，研究ERP系統(tǒng)的事中審計(jì)，降低ERP系統(tǒng)及其數(shù)據(jù)的風(fēng)險(xiǎn)，確保企業(yè)目標(biāo)的實(shí)現(xiàn)，在理論與實(shí)踐方面都有著重要的意義。本文在對(duì)相關(guān)文獻(xiàn)進(jìn)行綜述的基礎(chǔ)上，受人類免疫系統(tǒng)的啟發(fā)，基于免疫進(jìn)化的原理，提出了一個(gè)基于免疫進(jìn)化的ERP系統(tǒng)日志持續(xù)審計(jì)模型，由于免疫系統(tǒng)固有的自適應(yīng)和逐步進(jìn)化機(jī)制，使得審計(jì)的及時(shí)性大大提高，極大地提高了審計(jì)的效果和效率，提高了ERP系統(tǒng)的整體免疫能力，最大限度地保護(hù)了ERP系統(tǒng)的安全。

［1］ 尹平：《“免疫系統(tǒng)”論的理論貢獻(xiàn)和對(duì)審計(jì)事業(yè)的創(chuàng)新引領(lǐng)》，《審計(jì)與經(jīng)濟(jì)研究》2009年第2期。

［2］ 段興民、趙曉鈴：《國(guó)家審計(jì)“免疫系統(tǒng)”論引發(fā)的思考》，《審計(jì)與經(jīng)濟(jì)研究》2009年第2期。

［3］ 何敬、周鑫：《國(guó)家審計(jì)免疫應(yīng)答機(jī)制及其應(yīng)用》，《審計(jì)與經(jīng)濟(jì)研究》2009年第3期。

［4］ 時(shí)現(xiàn)、李善波、徐印：《審計(jì)的本質(zhì)、職能與政府審計(jì)責(zé)任研究——基于“免疫系統(tǒng)”功能視角的分析》，《審計(jì)與經(jīng)濟(jì)研究》2009年第3期。

［5］ 閆天池、張慶龍：《基于“免疫系統(tǒng)論”的科學(xué)審計(jì)理念論綱》，《中央財(cái)經(jīng)大學(xué)學(xué)報(bào)》2010年第1期。

［6］ 余應(yīng)敏：《基于免疫系統(tǒng)理念的我國(guó)政府審計(jì)管理體制初探》，《中央財(cái)經(jīng)大學(xué)學(xué)報(bào)》2011年第2期。

［7］ 唐振達(dá)：《基于審計(jì)“免疫系統(tǒng)”理論的建設(shè)項(xiàng)目跟蹤審計(jì)研究》，《中南財(cái)經(jīng)政法大學(xué)學(xué)報(bào)》2009年第5期。

［8］ 孟焰、張軍：《論國(guó)家審計(jì)“免疫系統(tǒng)”實(shí)施機(jī)制》，《中央財(cái)經(jīng)大學(xué)學(xué)報(bào)》2010年第5期。

［9］ 李全喜、孫磐石、金鳳花：《基于免疫視角的供應(yīng)鏈質(zhì)量管理模型研究》，《商業(yè)研究》2010年第7期。