摘 要: 信息的使用者往往關注保存在介質上的信息而忽視處理信息的程序。由于保存在介質上的信息有多個操作入口,即使處理信息的程序真實地反映了組織的業務流程,也難保證信息使用者所獲得的信息是正確的,也就是說對于訪問數據的程序,存在外部干擾。引入數據庫中的審計表功能,協助信息系統審計人員識別信息系統中數據的形成是否遵循了既定的業務流程。由于Petri網是描述流程的有力工具,對于復雜的業務流程,引入Petri網對流程進行審計是必要的。
關鍵詞: 業務流程;審計;Petri網
工作流是業務流程的抽象,可以將孤立的信息串起來,并賦予信息特定的含義。不同的使用者對信息的理解可能是不同的,信息使用者的角色決定了該信息的主觀涵義。為了保證信息系統的正確性,必須使得信息的客觀涵義與信息的主觀涵義一致,這是在信息系統不能高度自動化時必須達到的要求。如稅務人員必須保證正確地獲得信息系統中的表。信息系統中的表決定了信息的主觀涵義,表中數據的形成過程決定了表中信息的客觀涵義,只要二者一致,信息系統出錯的可能性就被降低。
本文只關注信息被賦予的客觀涵義,信息的主觀涵義與客觀涵義的一致性可以采用以下方法來保證:將信息系統中的特定數據遠程連接到信息使用者并實時傳送,這個實時信息定義主觀涵義,在實時接收端嚴格防止增刪改等寫操作,只能讀取。
1 相關研究
目前,關于流程審計的研究受到了理論界與實務界的廣泛關注。其中具有代表性的研究成果有:Huang Shiming等人針對利用計算機輔助審計技術和工具所進行的審計的缺陷,建立了一種業務流程差距檢測機制,該機制能夠自動檢測信息系統流程與企業內部控制流程之間的差距,幫助解決數據質量問題,提高系統的安全性[1]。李國棟等人采用組件化的方法,通過Petri網對工作流過程模型進行了組件形式的建模,并以建立網絡科技信息資源加工審核系統模型為例,闡述了組件化建立工作流網的過程,并通過基于不變量的方法對工作流網的活性和有界性進行了分析,驗證了模型的可行性[2]。丁志軍等人利用時序Petri網對審計緩沖區管理的實現方案進行建模,進而對系統的安全性和活性進行了分析和驗證[3]。王保云等人根據有色Petri網原理提出了安全審計事件可視化模型,并基于該模型,以文件類操作的安全審計事件為主線,給出了一種安全審計事件時空邏輯關系可視化實現框架[4]。李博文等人針對計算機審計工作,結合工作流和Petri網方法,建立了一套審計工作流模型,并通過化簡,對模型進行了正確性驗證[5]。劉志磊在研究Petri net工作流的基礎上,將其應用于審計管理系統中,并且所設計的管理系統已經在某商業銀行審計管理項目中得到應用,取得較好效果[6]。楊雯等人給出了面向對象工作流網的定義,分析了它的特點,并以其為工具建立了審計業務流程模型[7]。張衛祥在Petri網和工作流網定義的基礎上,把流程挖掘技術引入到安全審計中,并借鑒現有安全審計常用分析方法,提出了對流程挖掘和針對工作流領域異常的分析手段和方法[8]。
2 流程的Petri網表示法
2.1 Petri網
Petri網是一種圖形化描述過程的強有力工具,可以非常直觀地描述一個工作流過程,由庫所和變遷組成,用圓圈表示庫所,矩形表示變遷,庫所和變遷由有向弧相連接[9]。變遷是Petri網中的主動元素,通常表示事件、操作、轉換或傳輸。通過實施變遷,過程從一個狀態轉變到另一個狀態。庫所是Petri網中的被動元素,它們不能改變網的狀態,通常表示媒介、地理位置、階段、狀態、條件等。變遷的實施就是從每個輸入庫所中獲得標記(每個輸入庫所中都要有標記,這也是條件),然后放到每個輸出庫所中。如圖1所示,從輸入庫所Claim中獲取標記,然后放到輸出庫所Under Consideration中。實施時,變遷消耗掉來自輸入庫所的標記,并為每個輸出庫所產生標記。
2.2 路由
擴展的Petri網主要由4種路由結構組成:順序路由、并行路由、選擇路由、循環路由。如圖2~圖5所示。
2.3 審計需要在Petri網中的反映
一個流程可以用Petri網來表示,這樣可以用Petri網的理論對流程進行分析。本文引入Petri網以便對流程的執行情況進行審計。為了便于審計,要求循環路由只發生一次,這種情況下需要對流程的Petri網稍作更改。
3 流程審計
本文采用收款流程來描述對流程的審計[10]。為不失一般性,此處考慮任意的收款流程,即本例只反映收款流程的主要元素,這樣做的目的是使對流程審計的方法適用于任意流程的審計工作。如果收款流程是通過計算機實現的,則需要系統分析員和軟件工程師介入,系統分析員對收款流程系統的分析結果如圖6所示。
軟件工程師在系統分析員的指導下工作。軟件工程師為開發出可用的收款流程系統,根據需要在數據庫中設計表格,如表1~表4所示。
為了完成審計工作,必須對數據庫系統中的所有表格進行審計,即驗證在每個表格上的操作是否違反了流程。如果操作違反了流程,需要將違反流程的操作找出來,合規的流程由系統分析員在軟件需求方的指導下定義。存在流程被違反的可能性是因為數據庫操作入口不是唯一的,操作可以通過對軟件的操作來進行,也可以進入數據庫進行更改。
先來看對SKDWJB的審計。審計人員要了解在SKDWJB上有哪些操作,可以看出,如果忽略SKDWJB與ZZB和YSKB的聯系,在SKDWJB上的操作有insert和update兩種。
對于SKDWJB上的insert操作O1,如果O1沒有違反規則,則要求在SKDJB上有與該操作對應的insert操作O2和delete操作O3。例如,O1是insert into dbo.SKDWJB(ContractID,RecordPerson,TotalAmount,AmountOnContract,Amount) values(1,'zhang san',1 000,5 000,1 000)。
在SQL Server 2008中為每張表格建立審計表,以反映表格內容的變更[11]。O1操作將在審計表dbo.Audit中產生一條記錄,通過該記錄的PrimaryKey字段找到O1操作涉及的主鍵,這里是1,通過SQLStatement字段找到O1涉及的金額,這里是1 000,用sql語句Select * from dbo.Audit where TableName=′dbo.SKDJB′ and Operation=′i′ and SQLStatement like ′%(1,1000%′在dbo.Audit表中查找在SKDJB上與O1對應的insert操作O2,用sql語句Select * from dbo.Audit where TableName=′dbo.SKDJB′ and Operation=′d′ and SQLStatement like ′% ID=1%′在dbo.Audit表中查找在SKDJB上與O1對應的delete操作O3。O2可能是insert into dbo.SKDJB(ContractID,Amount,AmountOnContract,ID) values(1,1 000,5 000,1),O3可能是delete from dbo.SKDJB where ID=1。
對于SKDWJB上的update操作O4,如果O4沒有違反流程,則要求在SKDJB上有與該操作對應的insert操作O5和delete操作O6。例如,O4是update dbo.SKDWJB set RecordPerson=′li si′,TotalAmount=3 500,Amount=2 500 where ContractID=1,O4操作將在審計表dbo.Audit中產生一條記錄,通過該記錄的PrimaryKey字段找到O4操作涉及的主鍵,這里是1,通過SQLStatement字段找到O4涉及的金額,這里是2 500,用sql語句Select * from dbo.Audit where TableName=′dbo.SKDJB′and Operation=′i′ and SQLStatement like ′%(1,2 500%′在dbo.Audit表中查找在SKDJB上與O4對應的insert操作O5,用sql語句Select * from dbo.Audit where TableName=′dbo.SKDJB′ and Operation=′d′ and SQLStatement like ′% ID=6%′在dbo.Audit表中查找在SKDJB上與O4對應的delete操作O6。O5可能是insert into dbo.SKDJB(ContractID,Amount,AmountOnContract,ID) values(1,2 500,5 000,6),O6可能是delete from dbo.SKDJB where ID=6。
以上審計比較容易用計算機程序實現,但是對ZZB和YSKB的審計卻不那么簡單,因為對ZZB和YSKB的操作需要共享SKDWJB中的資源,這與SKDJB和SKDWJB的簡單一對一關系不一樣。為了降低對ZZB和YSKB的審計難度,用Petri網來描述幾個表之間的資源使用關系,如圖7所示,同時流程系統軟件按照該Petri網進行設計。
圖7中的兩張表SKDWJB1和SKDWJB2是為了方便審計工作而增加的。從圖7中可以看到,在SKDWJB上的insert操作有兩類,一類是輸入過程引發的,另一類是轉帳過程引發的。前文已經描述了對輸入過程引發的在SKDWJB上的insert操作的審計,現在要考慮SKDWJB和ZZB的關系,將SKDWJB上的insert操作的審計修改為以下內容:
對于SKDWJB上的insert操作O1,如果O1沒有違反規則,則要求在SKDJB上有與該操作對應的insert操作O2和delete操作O3(設該條件表示為C1);或者要求在SKDWJB和SKDWJB1上都有相應的delete操作(設該條件表示為C2)。下面提供按照這條規則可以找出所有違規操作的簡要證明:
令O1→C1∪C2表示:如果任意O1合乎流程,那么C1和C2必然有一個被滿足。
反證:O1→C1∩C2,假設存在某一個在SKDWJB上的insert操作O1違規,那么必然在SKDJB上與O1對應的insert操作O2和delete操作O3至少缺一個(即C1),并且要求SKDWJB上相應的delete操作O4和在SKDWJB1上相應的delete操作O5至少缺一個(即C2)。只要操作是按照上面的Petri網進行,以上假設是不可能的,即不可能存在違規操作O1。即只要違規操作O1存在,就一定可以按照上面的規則將其找出。
在圖7所示的Petri網中,轉帳這個變遷實施的前提條件是SKDWJB和SKDWJB1中同時有一個標記,這個條件可被輸入變遷滿足。從圖7可看出,當輸入變遷實施時,給SKDWJB和SKDWJB1各輸入一個標記,從而滿足轉帳變遷實施的條件。轉帳變遷實施后,給SKDWJB輸入一個標記,這個標記是記帳變遷實施的條件之一,記帳變遷實施的另一個條件是SKDWJB2中存在標記,這個條件被輸入變遷的實施滿足。
本文研究得出如下結論:(1)流程為服務所導向。服務需要在變化,服務質量要求在提高,因此流程是不斷在變化的。有潛在審計需求的信息系統需要在系統分析中盡早考慮審計需要,考慮越早,需要做的工作越少。(2)Petri網的作用在于確定為滿足審計需要增加的表。在圖7中,SKDWJB1和SKDWJB2都是為了滿足審計需要增加的表,如果不是為了審計,這兩張表都是不必要的。(3)從審計過程中看到,選擇路由是難于審計的,順序或并行路由是易于審計的。在流程中,一張表格被多個過程使用,如果不采取增加表的措施,將產生混亂。所以,流程設計者如果考慮審計需要,就必須盡量避免選擇路由出現在流程中,如此,可以為信息系統審計人員減少不必要的工作。(4)流程審計今后或許可以向更加智能化、自動化的方向發展,如開發出比較智能的算法來完成信息系統審計工作。
參考文獻
[1] Huang Shiming,YEN D C,HUNG Y C,et al.A business process gap detecting mechanism between information system process flow an internal control flow[J].Decision Support Systems,2009,47(4):436-454.
[2] 李國棟,宋斌,柳長安.基于Petri網的組件化工作流模型研究[J].微計算機信息,2009,25(30):104-106.
[3] 丁志軍,劉海峰,蔣昌俊.審計緩沖區的形式化模型及其驗證[J].計算機科學,2006,33(5):98-103.
[4] 王保云,楊英杰,常德顯,等.一種安全審計事件時空邏輯關系可視化方法[J].計算機工程,2009,35(2):151-153.
[5] 李博文,李孝忠.基于Petri網的審計工作流模型設計與驗證[J].計算機應用,2006,26(Z):242-243.
[6] 劉志磊.Petri Nets工作流及其在審計管理中的應用[D].北京:北京郵電大學,2008.
[7] 楊雯,劉厚泉,劉曼.基于高級Petri網的審計業務流程建模[J].福建電腦,2007(11):104-105.
[8] 張衛祥.面向工作流系統基于流程挖掘的安全審計技術研究與實現[D].上海:華東師范大學,2007.
[9] AALST V W,HEE K V.工作流管理[M].王建民,聞立杰,譯.北京:清華大學出版社,2004.
[10] 張瑞君,蔣硯章.會計信息系統[M].北京:中國人民大學出版社,2009.
[11] NIELSEN R.SQL Server 2008寶典[M].馬振晗,任鴻,高宇輝,譯.北京:清華大學出版社,2011.