在亚马逊KDP电子书平台销售

目录

信息系统领域进展系列丛书

Egon Berghout, Rob Fijneman,Lennard Hendriks, Mona de Boer,Bert-Jan Butijn 等编辑创作

开放获取相关权利声明

英文版前言

中文版前言

目录

本书英文原文编辑和作者

关于原文编辑

关于原文作者

缩写对照表

现代数字化领域先进信息系统和技术审计

1 简介

2 持续性保证

3 技术发展

4 管理职责

5 本书概要

参考文献

复杂系统审计

1 简介

2 审计对象

3 审计的标准和方法

4 客户

5 审计师

6 总结

参考文献

高级信息技术概论

1 简介

2 区块链技术

3 人工智能

4 云计算(Cloud Computing)

5 结论

参考文献

公司间区块链应用: 收益、风险和内部IT控制

1     简介

2      财务报告内部控制(ICFR):“IT-控制”

3     案例研究:“企业间结算区块链”

4    分析:“IT控制变更”

5      结论

附录:企业区块链未来架构

参考文献

理解算法

1 简介

2 算法的基本概念

3 算法的审计框架

4 案例研究

5 分析和主要观察结果

6 讨论

7 结论

附录:审计方法

参考文献

深度学习图像识别算法的管控

1 简介

2 机器学习与图像识别

3 相关框架

4 案例研究

5 案例的分析

6 机器学习的算法框架

7 审计师角色

8 结论

参考文献

算法保证:人工智能的应用审计

1 简介

2 背景

3 本章的运行示例

4 算法保证业务范围界定

5 风险评估

6 审计计划

7 审计中的人工智能技能和专业知识

8 讨论

9 结论

参考文献

为IT审计师们解析公共云审计

1 简介

2 云计算

3 公共云审计的审计程序

4 案例描述:荷兰银行IT及云转型

5 公共云上的内部审计活动

6 概念框架

7 讨论

8 结论

参考文献

详细流程分析的流程挖掘

1 简介

2 流程建模和分析

3 流程挖掘的要求与核心原理

4 审计中的流程挖掘

5 结论

参考文献

本书英文原文编辑和作者

关于原文编辑

Egon Berghout(埃贡·伯格豪特) 作为信息管理协会管理层正在领导咨询业务,该协会支持高级管理工作中的数字化治理工作。他还是伊拉斯谟大学IT审计与咨询项目的兼职学术主任和格罗宁根大学信息系统兼职全职教授。他是比荷卢经济联盟AIS分会的联合创始人和前任主席,欧洲CIONET年度研究论文评选的发起人,以及信息系统管理期刊的高级编辑。Egon撰写了多本学术书籍,领域包括用于软件开发和质量管理的流行GQM方法。他还担任多个组织的数字和财务非执行董事会成员。

Rob Fijneman(罗布·费内曼) 自2004年以来,Rob Fijneman担任荷兰蒂尔堡大学和TIAS商学和社会学院的IT审计教授。他在TIAS领导IT审计专业行政管理硕士课程。Rob是一位经验丰富的IT审计专业人士,自1986年以来一直从事毕马威会计师事务所的国际IT鉴证和咨询业务。他曾担任多家跨国公司,担任IT审计合伙人,并担任董事会技术计划、IT治理以及控制与合规方面的顾问。目前,他为瑞士以外的国际审计客户工作。

Lennard Hendriks(伦纳德·亨德里克斯) 是安永的合伙人,也是众多跨国公司的IT风险管理和内部控制顾问,这些跨国公司在荷兰、美国和德国等地上市。Lennard定期管理(大型)项目并执行质量保证任务以及各种IT审计活动。他作为一名讲师,受聘于鹿特丹大学IT审计与咨询研究生项目,并且经常受伊拉斯谟会计与鉴证学院邀请担任演讲嘉宾。

Mona de Boer(蒙娜·德博尔) 是普华永道荷兰的数据与技术合伙人,领导负责任的人工智能和数字伦理实践。Mona是荷兰IT审计师专业协会(NOREA)算法保证专家组的主席,并作为讲师和博士研究员隶属于阿姆斯特丹大学。

Bert-Jan Butijn(伯特-扬·布廷) 在杰罗尼姆斯数据科学学院进行区块链技术领域的博士研究。他目前在伊拉斯谟会计与鉴证学院担任博士后研究员。IT技术是他一直非常感兴趣的领域。

关于原文作者

Alexander Boer(亚历山大·博尔) 在毕马威提供可信分析服务。他是人工智能、法律和风险管理方面的专家,并拥有阿姆斯特丹大学人工智能和法律博士学位。在该大学,他担任了二十多年人工智能研究员和讲师,将人工智能技术应用于解决法律领域的实践和理论问题。

Léon de Beer(莱昂·德·比尔) 是毕马威荷兰可信分析团队的高级经理。作为审计师和顾问,他在处理数据密集型和数据驱动型流程的可靠性和安全性问题方面拥有十多年的经验。

Rewin J. M. Doekhi(雷温·J·M·多基) 曾就读于莱顿大学和ESAA,目前在荷兰皇家航空公司担任IT审计师。在此之前,他曾担任SAP软件财务和管理的职能顾问,负责多家跨国公司的全球推广。在荷航,他致力于区块链概念验证及其与SAP软件的集成。由于他的IT背景,他密切关注人工智能、增强现实和区块链等数字创新。

Jalal Bani Hashemi(贾拉勒·巴尼·哈什米) 于2010年开始了他的职业生涯,当时是荷兰银行集团审计的专业实习生。多年来,作为IT审计师,他对IT基础设施、平台和服务进行了各种审计。目前,他是荷兰银行IT审计经理,负责银行内IT基础设施和平台服务的技术IT审计工作。

Tjitske Jager(蒂茨克·雅格) 在德勤开始了她的审计生涯,之后她转任Achmea(保险)内部审计高级审计师职位。她的团队专注于检查组织结构的质量和风险管理、内部控制并就其工作范围提供建议。Achmea公司的内部审计不仅聚焦于发现问题,还可以提供具有建设性和改善进的解决方案。她最近完成了伊拉斯谟会计与鉴证学院的IT与咨询课程,以更多地关注她工作领域的IT工作。

Mieke Jans(米克·扬斯) 是哈瑟尔特大学和马斯特里赫特大学商业信息学副教授。

Manal Laghmouch(马纳尔·拉格穆奇) 是哈瑟尔特大学(比利时)商业信息学研究小组的博士生。她在哈瑟尔特大学获得应用经济学的商业信息方向硕士学位。她在哈瑟尔特大学和鹿特丹(荷兰)的伊拉斯谟会计与鉴证学院教授数据挖掘课程。她的研究兴趣包括审计分析、数据挖掘和业务流程管理。

Pieter Oosterwijk(彼得·奥斯特维克) 是荷兰审计院的研究员和审计师。他拥有统计学和数据科学背景,专门从事政策研究的定量分析。

Miranda Pirkovski(米兰达·皮尔科夫斯基) 是荷兰审计院的委员。她具有注册会计师及IT审计师资格,在银行业营运及资讯科技风险管理及审计方面拥有12年经验。

Jacques Putters(雅克·普特尔斯) 在荷兰皇家航空(KLM)以主机、MVS系统程序员开始了他的职业生涯。自2004年以来,他一直在荷兰银行(ABN AMRO)集团审计部担任技术IT审计师。他在审计IT基础设施方面拥有丰富的经验,熟悉Open VMS、Tandem、HP-Unix、AIX、Solaris、Linux、Windows和z/OS,以及IMS和DB2等业务系统。

Frank van Praat(弗兰克·范·普拉特) 是毕马威荷兰的董事,全面负责KPMG的可信分析服务。他拥有数字人工智能的硕士学位,且有IT审计的背景,专注于如何在(先进)数据分析和复杂算法中实现信任。除了在KPMG的工作,Frank还在多所大学及不同的硕士班讲授人工智能治理的相关课程。

Eric Westhoek(埃里克·韦斯特霍克) 是IT审计公司3angles audit risk & compliance的联合创始人,同时他还与鹿特丹伊拉斯姆斯大学会计与鉴证学院(IT审计与咨询研究生课程)及蒂尔堡大学合作,担任教师、顾问和考官。他是一位经验丰富的顾问和IT审计师,活跃在组织与信息通信技术的交叉领域,喜欢与董事、监管者和专业人士合作,以优化组织的战略和自动化信息系统的角色分工,从而实现并保持“管控”。

Ayhan Yavuz(艾汉·雅武兹) 于1995年在荷兰银行(ABN AMRO)开始了他的职业生涯,担任管理培训生。随后,他在集团审计部门担任多个职位,涵盖了业务线、管控职能和信息技术职能。从2021年1月起,他在创新与技术部的平台与技术部门担任数字领域高级经理。

Berrie Zielman(贝里·齐尔曼) 是荷兰审计院的一名高级审计师,他对数据科学和统计在政策研究中的应用感兴趣。

缩写对照表

AI 人工智能(Artificial Intelligence )

BCT 区块链技术(Blockchain Technology) 

BPM 业务流程管理(Business Process Management) 

BPMN 业务流程建模标注(Business Process Model Notation)

CNN 卷积神经网络(Convolutional Neural Network) 

RNN 循环神经网络(Recurrent Neural Network)

COBIT 信息及相关技术控制目标(Control Objectives for Information and related Technology)

COSO 美国反虚假财务报告委员会下属发起人委员会(Committee of Sponsoring Organizations of the Treadway Commission )

DApp 去中心化应用(Decentralized Application)

DLT 分布式账本技术(Distributed Ledger Technology) 

DPIA 数据保护影响评估(Data Protection Impact Assessment )

ELC 实体层级控制(Entity Level Controls)

ERP 企业资源计划软件(Enterprise Resource Planning)

GAAP 一般公认会计原则(Generally Accepted Accounting Principles) 

GDPR 通用数据保护条例(General Data Protection Regulation)

IaaS 基础设施即服务(Infrastructure as a Service)

ICFR 财务报告内部控制(Internal Control over Financial Reporting)

ICS 集团公司账务处理(Intercompany settlement)

IS 信息系统(Information System)

IT 信息技术(Information Technology)

ITGC 信息技术一般性控制(IT general controls)

ITGC 信息技术一般性控制(Information Technology General Controls) ITIL 信息技术基础设施库(Information Technology Infrastructure Library)

KYC 投资者适当性管理体系(Know Your Customer)

ML 机器学习(Machine Learning)

NER 命名实体识别(Named Entity Recognition)

NIST 美国国家标准与技术研究院(National Institute of Standards and Technologies) 

NLP 自然语言处理(Natural Language Processing)

P2P 点对点(Peer-to-Peer)

PaaS 平台即服务(Platform as a Service)

PIA 项目影响评估(Project Impact Assessment)

PoC 区块链概念证明共识算法(Proof of Concept)

POS 词性标注(Part-of-Speech tagging)

PoS 权益证明(Proof-of-Stake)

PoW 工作量证明(Proof-of-Work)

SaaS 软件即服务(Software as a Service)

SHA-256 哈希加密算法SHA-256( Secure Hashing Algorithm 256) 

SLA 服务级别协议(Service Level Agreement)

SOX 萨班斯-奥克斯利法案(Sarbanes–Oxley Act)

SRL 语义角色标注(Semantic Role Labeling)

TLC 事务处理级别控制(Transaction Level Controls) 

XAI 可解释人工智能(Explainable AI)

现代数字化领域先进信息系统和技术审计

作者 Egon Berghout, Rob Fijneman, Lennard Hendriks, Mona de Boer, and Bert-Jan Butijn    刘剑波译

1 简介

自计算机问世以来,复杂技术就一直存在。麦克斯韦·纽曼 (Maxwell Newman)于1943年发明了可破解二战密码的第一台可编程计算机 Colossus,在当时是一个真正复杂的系统(Haigh & Ceruzzi,2021)。1965 年,戈登·摩尔 (Gordon Moore) 提出,微芯片上的晶体管数量会每2 年增长一倍,这意味着我们日益复杂的计算系统背后的支撑技术会继续以令人惊叹的速度快速发展(Valacich & Schneider,2022)。因此,我们可以预计,信息系统的复杂性在未来几年还将继续增加。

由于底层硬件技术的不断发展,信息系统接管了日益复杂的各项工作任务。当前最前沿科技任务的一个典型例子涉及自动驾驶汽车。其所需的图像处理和解释计算能力处于当今科技的前沿。自动驾驶系统还会影响我们的商业和私人生活,甚至可能会颠覆我们的生活。除了信息系统技术本身日益复杂之外,它们与人和其他信息系统的交互也在不断加深技术复杂程度。

信息系统的复杂性也导致了20世纪80年代后期IT审计理论的兴起。然而,IT审计师最初关注财务报告系统的质量,但也迅速将他们的知识应用于许多其他业务领域。在本书中,我们将探讨信息系统的复杂性,以及我们应该如何发展IT审计理论,以控制这种信息系统复杂性并致力于维护这个信用型社会。

2 持续性保证

我们如何知道数字应用程序和解决方案是否足够安全,算法生成的答案是否诚实和公正,我们的数字系统是否可以抵御网络攻击,以及我们是否将资金花在正确的数字解决方案上?这些问题与机构、组织的管理人员和监管人员紧密相关,因为他们必须能够对自己选择的方案负担责任。传统上,管理报告是政策问责制的一种形式,本质上是以数字为主体的年度报告。董事会报告可以明确讨论数字议程,最近业界正在探索是否也可以在其中添加(外部)IT审计“声明”。现在,随着科技的飞速发展,每个人都以信息的形式互相相联,对数字应用程序质量的问责因此也呈现出更高维度的要求。必须在数字化道路上找到持续维持审计保证的办法。

这些数字化带来的问题也呈现出一些社会化的趋势。隐私保护面临着相当大的压力,众多的数字解决方案建立了持续积累的个人化档案。还有一些在公共领域使用算法的失败案例(荷兰审计院,2021),严重伤害了许多公民的权益。根据2021年荷兰审计院关于算法的报告,负责任地开发更复杂的自动化应用程序需要更深入地思考和改进质量控制。数字正义的各方面如诚实、公平和安全在社会影响中正在产生越来越深远的意义。

在上世纪八十年代,随着荷兰《计算机犯罪法 I》(WCC I)的出台,首次创设了自动数据处理方面的法律责任。自2019年以来,考虑到网络安全和隐私领域的许多发展,《计算机犯罪法 III》(WCC III)已生效。例如,根据《荷兰

民法典》第2条第393条第4款,作为WCC I控制和问责链的最后一个要素,审计师必须在财务报告中就自动化数据处理相关的可靠性和连续性发表意见。许多其他国家也有类似的法规,欧洲联盟通过了欧盟网络安全法,并正在制定一套全面的欧洲网络安全认证框架。40多年后,我们正在开展信息系统领域的复杂立法,并使用影响我们行政流程的数字解决方案,甚至可以说几乎影响到所有主要的行政业务功能。因此,与这些行政业务相关的商业和社会风险也急剧增加。

总而言之,随着许多新发展,对质量控制的需求越来越大。应该如何构建问责制,董事和监事会在其中扮演什么角色,IT审计如何增加价值和平衡风险?如上文所述,这些问题不仅在个体组织层面发挥作用,而且在社会层面也发挥作用。例如,政府如何通过使用数字化解决方案的透明和有效性声明来恢复或重新获得公民的信任?

3 技术发展

当代企业维护着复杂的技术解决方案组合,部分是旧的(遗留)系统和新的在线(通常是前台)面向客户的组合解决方案。对于几乎所有组织来说,确保数据的完整性、确保连续性,以及进行正确的新投资与维护旧解决方案的成本对比,这几个领域仍然具有挑战性。以下是相关领域的趋势(WilroffReitsma,2021;毕马威,2020):

  • 灵活工作 正在成为常态。在过去的一年里,云工作场所越来越受欢迎,超出了预期。最初是由于COVID病毒的泛滥,员工不得不开始在家工作。然而,很快人们就钟情于这种灵活的工作方式。基于云的工作场所迅速出现。
    • 分布式云 提供了新的机会。对于大多数组织来说,云技术似乎更经济。分布式云解决方案可以加快数据传输速度、解决合规性问题并进一步降低成本。将数据存储在特定的地理边界内(通常是法律要求或由于合规性)是选择分布式云的一个重要原因,因此云解决方案常在客户附近就近提供。
    • 人工智能(AI 的商业用途正在增加,例如聊天机器人和导航应用程序。这项技术将在企业应用中变得越来越突出,这也是因为算力和软件正在变得越来越便宜和更广泛地适配应用。例如,人工智能将越来越多地用于分析各种数据的模式。
    • 行为联网(又称行为互联网) 如今,许多业务流程生成了大量数据,并提供了新的见解,这些互联网数据在战略决策中发挥着越来越重要的作用。数据驱动的方法将越来越多地用于改变人类行为。基于数据分析,可以制定有助于人类安全和健康等方面的建议和自主行动。典型的应用示例是智能手表,它可以监测血压和氧气水平,并据此提供健康提示。
    • 5G移动互联网 的实践成熟度。在许多欧洲国家,5G移动互联网现已投入运营,为许多新的应用,特别是在物联网和自动驾驶汽车领域提供了新机会。

技术的进步和软件工程实践的进步,以及系统安装基数的增加,使得实现日益复杂的系统成为可能。系统复杂性的指标有:

  • 系统中的数据实体数量。
    • 上述数据实体之间的关系数(作为单独实体的关系)。
    • 实体(和关系)的多样性。
    • 将实体添加到系统的速度。
    • 这些系统适应新要求的敏捷性。
    • 系统的数据流图,包括利益相关者的数量以及系统对这些利益相关者的影响。

不幸的是,使复杂信息系统可控的唯一方法是再添加功能,因此,控制的方法是使这些系统再次变得更加复杂。传统上,IT审计师评估财务信息系统的质量,用于保护外部利益相关者免受不正确的财务信息影响;然而,他们将越来越多地评估对许多利益相关者产生特别影响的非财务信息系统,并且可能还会从财务风险和回报的角度进行评估。比如在汽车行业,制造商的责任仍然很重要;然而,单独的制造商并不足以控制复杂的、有较高影响的信息系统的质量。与汽车道路整备认证相比,由独立IT审计师授予的第三方保证仍然是控制复杂数字系统质量的重要工具。

4 管理职责

管理和监督数字解决方案依旧是一个极其复杂且通常低于预期目标的管理主题。技术的复杂性是一种威慑,遗留系统和新数字解决方案的混合降低了其透明度。许多利益相关者管理着技术链的一部分,因此质量要求也很复杂。新技术的引入通常会导致重大的组织变革,这些变革带来的新环境随后会让组织中产生出技术“赢家”和“输家”团体。这两个团体通常会人以群分,这样在技术复杂性的基础上会额外产生更麻烦的复杂政治进程。此外,数字创新总是部分依赖于外部系统和顾问。这些外部利益相关者在复杂的机构转换中再次获得增加其利益的机会。这使得数字创新通常极难管理,尤其是在有既得利益关联群体的更传统的组织中。

因此,数字创新需要广泛的管理层关注,尤其是需要来自高级管理层和监事会的关注。价值创造和风险管理都可以与COSO监管框架保持一致(Everson et al.,2017)。随后,人们可以选择(部分选择)国际的COBIT(信息技术控制对象)监管框架(ISACA,2018)开展监督。在此进程中,管理层可以明确哪些管理标准适用于内部和外部的数字解决方案,并可以确定其设计及其运营功能。

鉴于各领域不断的数字化创新,管理层也需要不断积累新技术的新知识。将这种对知识的组织与对解决方案质量的关注结合起来,有时还结合了固有的限制性措施,是促使机构治理运作良好的原因。治理的流程和结构需要不断评估和调整。

数字解决方案的供应商也发挥着重要作用。它们提供越来越好用、更加安全的解决方案,通常会是基于云的解决方案。一些供应商往往将主要关注点放在功能创新,而不是网络安全和控制。数字解决方案的购买者通常也没有条件充分要求提供商开发“安全设计”型系统。在设计系统时,可以做到,而且应该内置足够的控制措施。

换句话说,潮流是否正在逆转,新的数字解决方案是否变得如此复杂,以至于没有人能够确定内容的正确性?从管理责任视角来看,不可能选择这种“黑盒”方案。管理层应该始终负责平衡风险和控制,本书提供了充足的框架和技术来做到这一点。

5 本书概要

本书全书共九章。在随后的第二章(“复杂系统审计”)中,我们将讨论审计的基本原理和原则。本章涉及的另一个主题是技术复杂性的日益增长对IT审计学科的影响。第三章“高级信息技术概述”概述性介绍了区块链技术、人工智能和云计算这几种复杂的信息系统。为随后的几个章节提供了技术简介,匹配随后章节中的复杂技术审计框架。在第四章“公司间区块链应用: 收益、风险和内部IT控制”中提出了一个可以审计区块链技术的框架。该框架基于荷兰皇家航空公司实施的区块链系统的案例研究。该章节对案例进行了深度的解读,并对区块链系统的风险和控制进行了分析。接下来,在第五章“理解算法”中,深度讨论了对荷兰各部委实践中使用的三个算法研究案例的分析。研究结果形成了一个审计通用算法的框架范式,另外还考虑到了人工智能算法的影响。在第五章“理解算法”的框架基础上,第六章“深度学习图像识别算法的管控”特别提出了一个专门用于图像识别的审计框架。该框架是针对一家大型保险公司开发的一种来识别温室大棚损坏情况的算法。第七章“算法保证:人工智能应用的审计”介绍了算法安全的概念,提供了有关算法安全的相关性和重要性方面的一些背景知识,并为审计师组织和执行算法审计所需的基本技能提供了技术准备。越来越多的机构选择在云化的平台工作,这增加了如何对基于云的服务开展审计并提供最佳实践和指导的需求。第八章“为IT审计师们解析公共云审计”讨论了这些最佳实践,并为IT审计师提供了指导。幸运的是,IT审计师现在也可以利用先进的技术来辅助他们开展工作。流程挖掘就是其中一种用于分解信息系统流程的技术。第九章详细流程分析中的数据挖掘通过几个示例展示了流程挖掘的详细使用情况。

参考文献

Everson, M. E. A., Chesley, D. L., Martens, F. J., Bagin, M., Katz, H., Sylvius, K. T., Perraglia,S. J., Zelnik, K. C., & Grimshaw, M. (2017). Enterprise risk management: Integrating with strategy and performance. Committee of Sponsoring Organizations of the Treadway Commission. Retrieved from https://www.coso.org/pages/erm-framework-purchase.aspx

Haigh, T., & Ceruzzi, P. E. (2021). A new history of modern computing. MIT Press.

ISACA. (2018). COBIT 2019 framework: Governance and management objectives. ISACA.

KPMG. (2020). Harvey nash/KPMG CIO survey 2020: Everything changed. Or did it? Retrieved from https://assets.kpmg.com/content/dam/kpmg/xx/pdf/2020/10/harvey-nash-kpmg-cio-survey-2020.pdf

Netherlands Court of Audit. (2021, January). Understanding algorithms. Retrieved from https://english.rekenkamer.nl/documents/2021/01/26/understanding-algorithms

Valacich, J., & Schneider, C. (2022). Information system today managing the digital world (5th ed.). Prentice Hall.

WilroffReitsma. (2021, December 21). ICT trends 2021: Dit zijn de 10 belangrijkste. Retrieved March 25, 2022, from https://wilroffreitsma.nl/nieuws/ict-trends-2021/

Open Access (开放获取)本章节根据《知识共享署名4.0国际许可证》(http://creativecommons.org/licenses/by/4.0/)进行许可,只要您声明对原作者著作权和来源适当的认可、提供知识共享许可证的链接,并指明您是否进行了再次创作,该版权许可证允许以任何媒体或格式使用、共享、改编、分发和复制。

本书中的图像或其他第三方材料都包含在本书的知识共享许可证中,除非在材料的版权声明中另有说明。如果材料不包含在本书的知识共享许可证中,并且您的预期使用不被法律规定允许或超出了许可的使用,您将需要直接从版权所有者获得许可。