南京審計學院 柳巧玲 黃作明

一、免疫進化ERP系統(tǒng)日志持續(xù)審計理論分析

一般的ERP系統(tǒng)中，都會有系統(tǒng)日志功能，在系統(tǒng)日志中，會記錄用戶在ERP系統(tǒng)中的具體操作情況，同一個ERP系統(tǒng)的系統(tǒng)日志在數(shù)據(jù)格式上是統(tǒng)一的，通過將企業(yè)員工的操作行為與相似或相同崗位的操作規(guī)范進行比較分析，發(fā)現(xiàn)用戶的異常操作行為。基于免疫進化的ERP系統(tǒng)日志持續(xù)審計借鑒人類的免疫系統(tǒng)原理，將不同崗位的用戶行為操作規(guī)范預設為不同的審計規(guī)則，通過對ERP系統(tǒng)中的系統(tǒng)日志信息進行實時檢查和過濾，進而監(jiān)聽用戶對ERP系統(tǒng)的操作使用情況，對比預設的審計規(guī)則和自學習到的用戶使用習慣，發(fā)現(xiàn)系統(tǒng)日志異常情況和審計證據(jù)，從而明確和規(guī)范員工對ERP系統(tǒng)的操作行為，以降低用戶舞弊行為發(fā)生的可能。這種審計模式，與人類的“免疫系統(tǒng)”一樣，具有免疫防御、免疫自穩(wěn)和免疫監(jiān)視三種基本功能，能自我預防，抵御外來風險，促進ERP系統(tǒng)安全、健康地運行。

ERP系統(tǒng)在運行過程中存在著諸多影響ERP系統(tǒng)安全的風險因素，如產(chǎn)供銷業(yè)務數(shù)據(jù)和財務數(shù)據(jù)的修改刪除操作、單據(jù)信息的更改操作等，通過對以往ERP系統(tǒng)運行過程中產(chǎn)生的系統(tǒng)日志進行風險原因分析，可以查找引起各種風險的用戶異常操作行為模式，將ERP系統(tǒng)在運行過程中用戶的各種異常操作行為模式組成的集合稱為初始抗體基因庫。從抗體基因庫中隨機選擇一些基因（用戶異常操作行為模式）進行交換或重新組合，分析引起ERP系統(tǒng)風險的具體表現(xiàn)形式、產(chǎn)生原因及其相關的防范策略，使之形成初始抗體，由于基因的選擇具有很大的隨機性與不確定性，初始抗體在與ERP系統(tǒng)日志里的用戶操作行為進行匹配時，有可能會將ERP系統(tǒng)日志里的用戶正常操作行為誤認為異常的操作行為（用戶對ERP系統(tǒng)的舞弊操作行為），為避免這種情況的發(fā)生，初始抗體必須經(jīng)過一個負選擇篩選過程，在負選擇篩選過程中，初始抗體接觸到ERP系統(tǒng)日志里大量的用戶正常操作行為，如果初始抗體能夠與ERP系統(tǒng)日志里任何一種用戶正常操作行為匹配成功，那么說明該初始抗體是無效的抗體。反之，如果初始抗體沒有與ERP系統(tǒng)日志里的任何一種用戶正常操作行為成功匹配，那么該初始抗體被稱為有效的成熟抗體，成熟抗體能夠識別相似或相近的用戶異常操作行為。借鑒人類的免疫系統(tǒng)，在ERP系統(tǒng)日志審計過程中，如果成熟抗體在給定的有限時間內(nèi)能夠與ERP系統(tǒng)日志里數(shù)量超過某一閾值的用戶異常操作行為匹配成功，那么成熟抗體就會產(chǎn)生應答反應（稱為啟動）；反之，該抗體沒有產(chǎn)生應答反應，說明是無效的抗體。用戶在ERP系統(tǒng)的操作過程中，當抗體產(chǎn)生應答反應后，如果同一種用戶對ERP系統(tǒng)的異常操作行為再次出現(xiàn)時，引起的免疫效應比初次更強、抗體的親和度更高，并稱這種現(xiàn)象為免疫記憶。此時，產(chǎn)生應答的抗體會進行自身復制，產(chǎn)生多個復制抗體（稱為“記憶抗體”），這些記憶抗體比普通的抗體具有較小的啟動閾值和較長的生命周期，可以加速對以前出現(xiàn)過的用戶異常操作行為進行的檢測過程，從而保證了審計的低消耗和自適應性。

二、免疫進化ERP系統(tǒng)日志持續(xù)審計系統(tǒng)框架設計

免疫進化ERP系統(tǒng)日志持續(xù)審計系統(tǒng)框架設計的構(gòu)思：借鑒人類的免疫系統(tǒng)原理，構(gòu)造初始抗體基因，初始抗體基因可以通過對已知的用戶操作行為方式的學習獲得，通常是從海量的用戶對ERP系統(tǒng)的操作行為記錄中抽取最能表達用戶對ERP系統(tǒng)操作的異常特征的屬性集合來進進行編碼?？贵w基因庫中儲存的是用于生成抗體的基因。由于企業(yè)中不同崗位的員工具有不同的角色和操作權(quán)限，在ERP系統(tǒng)中，這些不同的操作權(quán)限控制都是依賴具體的賬戶與角色展開的，不同的員工在進行ERP系統(tǒng)具體業(yè)務的操作過程中，所有的具體操作行為都會記錄在系統(tǒng)日志中。在實際的ERP系統(tǒng)日志審計過程中，通過對ERP系統(tǒng)日志的預處理等過程（如數(shù)據(jù)清理、數(shù)據(jù)變換、數(shù)據(jù)歸約等），將捕獲到的用戶對ERP系統(tǒng)的操作行為按操作類型等不同標準進行分組，映射為與抗體基因相同形式的編碼，然后根據(jù)與抗體基因的匹配來判斷用戶對ERP系統(tǒng)的異常操作行為。

其一，免疫進化ERP系統(tǒng)日志持續(xù)審計系統(tǒng)目標?；诿庖哌M化的ERP系統(tǒng)日志持續(xù)審計系統(tǒng)的目標是借鑒人類的免疫系統(tǒng)原理，通過對企業(yè)ERP系統(tǒng)用戶行為日志數(shù)據(jù)進行持續(xù)監(jiān)控分析，發(fā)現(xiàn)日志異常和審計證據(jù)，從而對ERP系統(tǒng)的用戶操作行為進行規(guī)范，降低用戶舞弊行為發(fā)生的可能，實現(xiàn)ERP系統(tǒng)及其業(yè)務數(shù)據(jù)、財務數(shù)據(jù)等有關數(shù)據(jù)的可靠性、完整性和有效性，提高ERP系統(tǒng)的整體免疫能力，在一定程度上保障ERP系統(tǒng)的安全性。

其二，免疫進化ERP系統(tǒng)日志持續(xù)審計系統(tǒng)的框架設計。根據(jù)基于免疫進化的ERP系統(tǒng)日志持續(xù)審計系統(tǒng)的設計構(gòu)思和目標，設計了一個如圖1所示的基于免疫進化的ERP系統(tǒng)日志持續(xù)審計框架。基于免疫進化的ERP系統(tǒng)日志持續(xù)審計框架中，日志數(shù)據(jù)采集代理實時檢查、監(jiān)聽并收集ERP系統(tǒng)中的海量級日志信息情況，然后通過數(shù)據(jù)集成、數(shù)據(jù)清理、數(shù)據(jù)簡化等方法對ERP系統(tǒng)日志信息進行預處理，將預處理后的有用信息傳遞給數(shù)據(jù)分析代理，數(shù)據(jù)分析代理通過運用審計分析方法和分析工具，對日志數(shù)據(jù)采集代理采集到的ERP系統(tǒng)日志信息進行分析，并同時啟動審計代理，審計代理會將抗體代理傳送過來的抗體與數(shù)據(jù)分析代理分析后的ERP系統(tǒng)日志信息進行比較。如果一個抗體檢測到用戶的異常操作行為，則向?qū)徲嫿涌诎l(fā)送預警信息，審計人員根據(jù)該預警的內(nèi)容和級別信息對異常進行不同程度的處理，形成審計報告，同時，該抗體被選擇并復制，形成記憶抗體。記憶抗體可以加快對以前出現(xiàn)過的用戶對ERP系統(tǒng)的異常操作行為的檢測。如果抗體被啟動或被復制，則向抗體基因庫中添加構(gòu)成該抗體的基因；如果抗體基因庫中已經(jīng)存儲有該抗體的基因，則增大其適應性的值。為避免抗體基因庫過大，可以事先設定一個最大值，當超過這個最大值時，根據(jù)基因適應值的大小，從中刪除適應性低的基因。根據(jù)人類免疫系統(tǒng)的效應機理，通過對ERP系統(tǒng)日志信息進行監(jiān)控分析，識別出影響ERP系統(tǒng)的各種風險因素，對識別出的ERP系統(tǒng)風險因素實行規(guī)避。規(guī)避的方式有兩種：一種是加強企業(yè)內(nèi)部管理制度的規(guī)范，從制度上進行改良，通過制度來規(guī)范用戶對ERP系統(tǒng)的操作行為，進而消除用戶對ERP系統(tǒng)的異常操作行為；另一種是將內(nèi)部控制程序嵌入到ERP系統(tǒng)中，從源頭上消除用戶對ERP系統(tǒng)異常操作的風險。從而在很大程度上規(guī)范員工對ERP系統(tǒng)的操作行為，并在一定程度上保障ERP系統(tǒng)的安全性。

圖1 免疫進化ERP 系統(tǒng)日志持續(xù)審計框架

其三，抗體工作機制。模擬人類的免疫系統(tǒng)的運行機理，基于免疫進化的ERP系統(tǒng)日志持續(xù)審計中抗體的運行流程可分為四個階段：初始抗體的產(chǎn)生、負向選擇篩選過程、檢測過程、抗體的克隆選擇及復制。以離線方式對ERP系統(tǒng)中海量的用戶操作行為記錄中提取最能表達已知用戶異常操作行為的異常特征的屬性集合，并產(chǎn)生一組初始抗體基因加入抗體基因庫，然后可投入在線運行，其運行流程描述為：（1）初始抗體的產(chǎn)生。從抗體基因庫中隨機選擇一組基因序列，然后對隨機選擇的基因序列進行基因重組、基因突變產(chǎn)生1個初始抗體。（2）負向選擇篩選過程。從審計數(shù)據(jù)倉庫中挖掘出用戶對ERP系統(tǒng)的正常操作行為模式，如果初始抗體能夠與任何一種用戶對ERP系統(tǒng)的正常操作行為模式匹配成功，表明該抗體有可能將用戶對ERP系統(tǒng)的正常操作行為誤認為異常的用戶的行為，因此，刪除該抗體，返回步驟（1）。通過了負向選擇的抗體被傳送到圖1的審計代理模塊中執(zhí)行檢測任務。（3）檢測過程。通過數(shù)據(jù)分析代理不斷地將采集的ERP系統(tǒng)用戶日志信息進行分析，并將分析的結(jié)果映射為與抗體基因相同形式的編碼，然后與抗體基因進行匹配計算，檢測用戶對ERP系統(tǒng)的操作是否正常。在檢測過程中，如果1個抗體匹配到用戶對ERP系統(tǒng)的異常操作行為，若異常為已知類型的用戶異常操作行為，啟動響應并轉(zhuǎn)（5），若異常為新類型的用戶異常操作行為，則審計代理通過內(nèi)部審計接口向?qū)徲嬋藛T發(fā)出預警信息轉(zhuǎn)（4）；否則刪除該抗體，返回步驟（1）。（4）當一個抗體發(fā)現(xiàn)新類型的用戶異常操作行為時，審計代理通過內(nèi)部審計接口向?qū)徲嬋藛T發(fā)送預警信息，由審計人員判斷是否是用戶的異常操作行為。如果審計人員判斷預警信息是用戶對ERP系統(tǒng)的異常操作行為，則該抗體進入（5）；如果審計人員判斷預警信息是用戶對ERP系統(tǒng)的正常操作行為，則刪除相應的抗體，返回（1）。（5）克隆選擇和復制。被證明有效的抗體被選擇并復制，形成記憶抗體，如果在檢測過程中，如果用戶對ERP系統(tǒng)的異常操作行為是已知的，則記憶抗體相比普通抗體，能夠快速檢測出用戶對ERP系統(tǒng)的異常操作行為。

隨著ERP系統(tǒng)在企業(yè)的廣泛應用，一方面，ERP系統(tǒng)對企業(yè)采購、生產(chǎn)、銷售、庫存、財務等不同業(yè)務的集成，明確了企業(yè)流程中的風險控制點，完善了企業(yè)內(nèi)部控制制度，在一定程度上降低了企業(yè)重大錯報風險，另一方面，ERP系統(tǒng)環(huán)境下，對紙質(zhì)憑證的財務賬簿的傳統(tǒng)審計轉(zhuǎn)向了對ERP系統(tǒng)的審計。雖然信息系統(tǒng)審計在某種程度上輔助了審計的實施，但是頻頻爆發(fā)的舞弊案件，說明信息系統(tǒng)審計的不足。因此，研究ERP系統(tǒng)的事中審計，降低ERP系統(tǒng)及其數(shù)據(jù)的風險，確保企業(yè)目標的實現(xiàn)，在理論與實踐方面都有著重要的意義。本文在對相關文獻進行綜述的基礎上，受人類免疫系統(tǒng)的啟發(fā)，基于免疫進化的原理，提出了一個基于免疫進化的ERP系統(tǒng)日志持續(xù)審計模型，由于免疫系統(tǒng)固有的自適應和逐步進化機制，使得審計的及時性大大提高，極大地提高了審計的效果和效率，提高了ERP系統(tǒng)的整體免疫能力，最大限度地保護了ERP系統(tǒng)的安全。

［1］ 尹平：《“免疫系統(tǒng)”論的理論貢獻和對審計事業(yè)的創(chuàng)新引領》，《審計與經(jīng)濟研究》2009年第2期。

［2］ 段興民、趙曉鈴：《國家審計“免疫系統(tǒng)”論引發(fā)的思考》，《審計與經(jīng)濟研究》2009年第2期。

［3］ 何敬、周鑫：《國家審計免疫應答機制及其應用》，《審計與經(jīng)濟研究》2009年第3期。

［4］ 時現(xiàn)、李善波、徐?。骸秾徲嫷谋举|(zhì)、職能與政府審計責任研究——基于“免疫系統(tǒng)”功能視角的分析》，《審計與經(jīng)濟研究》2009年第3期。

［5］ 閆天池、張慶龍：《基于“免疫系統(tǒng)論”的科學審計理念論綱》，《中央財經(jīng)大學學報》2010年第1期。

［6］ 余應敏：《基于免疫系統(tǒng)理念的我國政府審計管理體制初探》，《中央財經(jīng)大學學報》2011年第2期。

［7］ 唐振達：《基于審計“免疫系統(tǒng)”理論的建設項目跟蹤審計研究》，《中南財經(jīng)政法大學學報》2009年第5期。

［8］ 孟焰、張軍：《論國家審計“免疫系統(tǒng)”實施機制》，《中央財經(jīng)大學學報》2010年第5期。

［9］ 李全喜、孫磐石、金鳳花：《基于免疫視角的供應鏈質(zhì)量管理模型研究》，《商業(yè)研究》2010年第7期。