Investigación del Modelo Inmune de Auditoría Continua basado

en una Base de Reglas Orientada a Objetos

Resumen: En la Auditoría Continua, los datos extraídos de la entidad auditada deben

ser contrastados y analizados por diversas tecnologías de la información, con el fin
de investigar los comportamientos anormales, estimar su autenticidad, validez e
integridad, y prever la evolución de los datos. Por lo tanto, el establecimiento de una
base normal de reglas de auditoría con la que instruir y normalizar el análisis de
datos y el proceso de selección se convierte en un tema muy valioso y significativo.
Para llenar la vacante de este archivo, el Modelo Inmune de Auditoría Continua
basado en Reglas Orientadas a Objetos (CAIMOR) realiza una investigación de la
base de reglas de datos comerciales sobre la base de la Representación de
Conocimientos Orientados a Objetos, y luego la aplica en un modelo Inmune
Artificial. En cierto grado, CAIMOR puede cumplir con los requisitos de tiempo real,
auto-estudio y auto-adaptación en Auditoría Continua.

Palabras clave: Auditoría continua; Base de reglas de auditoría; Inmunidad Artificial;

Representación del conocimiento orientado a objetos

I. LA NECESIDAD DE ESTABLECER UNA BASE DE REGLAS EN

LA AUDITORÍA CONTINUA
Como la demanda de un modelo de negocio cada vez más complicado y el progreso de las
técnicas de información, el procesamiento tradicional de auditoría manual no cumplirá con la
creciente carga de datos y el comercio altamente complicado. Por lo tanto, es inevitable que
el método de auditoría se traduzca y luego la auditoría continua sea una de las
implementaciones más importantes.

La auditoría continua requiere un proceso en tiempo real y un método electrónico, y enfatiza

la evaluación y el control de los riesgos, al tiempo que conserva los caracteres básicos de la
independencia. Con el fin de implementar el requisito de extracción de datos, consulta,
análisis y autoaprendizaje, autoadaptación, operación automática en auditoría continua, las
aplicaciones de tecnología inteligente en auditoría continua se convierten en un tema de
valor de estudio y de importancia.

En la actualidad, la auditoría de datos electrónicos financieros siempre se realiza mediante

el software de auditoría AO. Haciendo uso de la poderosa función de análisis de datos de
AO, el auditor puede escribir oraciones SQL para consultar problemas correlativos y puntos
dudosos de forma rápida y conveniente en un área contratable. Y luego, el resultado de la
consulta se puede importar en el diario de auditoría y en la tabla de pruebas después de
editar y eliminar las tablas de Excel. Pero este método aún depende del análisis humano, la
capacidad de selección y estimación, y el análisis y la retroalimentación de los datos no son
síncronos. En consecuencia, debemos construir la base de reglas de los datos de auditoría
continua, definir reglas de auditoría normales relativas, hacer coincidir los datos y las reglas
auditadas, para cumplir con los requisitos de auditoría continua.
En el área de estudio de la tecnología de auditoría continua, los métodos de análisis
basados en datos incluyen las funciones de consulta y análisis del sistema de gestión de
bases de datos, el procesamiento analítico en línea, la tecnología de procesamiento
inteligente de datos, que es el punto de acceso de la etapa actual, y así sucesivamente.
Pero el aspecto de la construcción de la base de reglas en Auditoría continua, que es la
base del procesamiento de datos, atrae comparativamente menos enfoque de investigación.

II. INVESTIGACIÓN ACTUAL DEL TRATAMIENTO DE DATOS EN

AUDITORÍA CONTINUA
El proceso de Auditoría Continua, implica la viabilidad de la tecnología, la seguridad de la
información, la aceptación por parte del cliente, el costo y muchos otros problemas, por lo
que es fundamental seleccionar un modelo de ciencia y una Auditoría Continua razonable.
El modelo de realización es el patrón teórico y el marco lógico abstracto, que tiene el
formato de lógica externa mediante el uso de la tecnología e incluye la disposición de los
componentes y la relación de contrato de la auditoría.

La tecnología de procesamiento de datos en Auditoría Continua tiene principalmente dos

enfoques: integrado y agente. La tecnología integrada significa incorporar el módulo de
auditoría en una entidad auditada para recopilar los datos relacionados que los auditores
internos consideran importantes. Usando la tecnología de agente, los auditores importan los
dictados en el agente digital a través de la red para comenzar a auditar de forma
automática.
En la actualidad, los modelos de auditoría continua con influencia mundial incluyen el
modelo Woodroof-Searcy, el modelo Rezaee, el modelo Onions, el modelo ABCAM, etc.
Los modelos existentes de Auditoría Continua tienen algunas deficiencias. Por ejemplo, la
alternancia de información no es lo suficientemente completa, el centro del agente que se
encuentra en la entidad de auditoría hará que el problema de confianza de seguridad y los
recursos del sistema estén ocupados.

III. INVESTIGACIÓN PROSPECTIVA ORIENTADA A OBJETOS

REPRESENTACIÓN DEL CONOCIMIENTO E INMUNIDAD ARTIFICIAL
EN LA AUDITORÍA CONTINUA

A. Base de reglas del conocimiento orientado a objetos

La Representación de Conocimiento Orientada a Objetos (OOKR) encapsula atributos,
comportamientos, conocimiento de dominio y métodos de procesamiento de datos de
objetos en su configuración, compone una especie de representación de conocimiento mixto
de acuerdo con principios programados orientados a objetos. En OOKR, las ideas
orientadas a objetos, como la abstracción, la encapsulación, la herencia y el multiestado,
pueden expresar no sólo el conocimiento descriptivo estático sino también el conocimiento
de procesos dinámicos.

Por el momento, la aplicación de OOKR en la construcción de la base de reglas del Sistema

de Detección de Instrucción es ampliamente utilizada. El Sistema de Detección de
Instrucción incluye diferentes tipos de paquetes de datos de protocolo, cuyas características
se clasifican para establecer la base de reglas. Esta base de reglas se compone de varios
agregados de reglas, cada agregado de reglas tiene un incidente atractivo homólogo, y
cada uno de los conocimientos extractivos es expresado por el mismo equipo hexadecimal.

B. Inmunidad Artificial
En biología, el sistema inmunológico podría identificar y aniquilar las células y moléculas
externas mientras entran en la economía. Puede proteger la economía de enfermedades e
infecciones. El experto en inmunología considera lo inmune como una reflexión bIOlógica
para identificarse y aniquilar al no ser humano. La autoadaptación y el autoestudio del
sistema inmunológico pueden ser ampliamente utilizados en la investigación de otros
campos de la ciencia.

En la actualidad, hay muchos estudios científicos sobre la aplicación del Sistema

Inmunológico Artificial en Sistemas de Detección de Instrucción por expertos inmunes de
seguridad interna y externa. La aritmética clásica de la producción del reconocedor es
propuesta por el profesor Forrest. Utiliza la función de correspondencia R-contiguous
Matching Function para estimar el grado de correspondencia entre los patrones. Con esta
aritmética, el sistema podría supervisar la transferencia del curso en Unix y juzgar si los
comportamientos son agresivos o no.
Con el objetivo de subsanar la deficiencia de los modelos de Auditoría Continua existentes,
en este trabajo se propone el Modelo de Auditoría Continua Imme basado en la Base de
Reglas Orientadas a Objetos (CAIMOR). Este modelo se utiliza para auditar los datos de
negocio en la entidad auditada. Estableciendo la base de datos de reglas de negocio, puede
descubrir y transmitir dinámicamente la información anormal por las capacidades de
autoestudio y autoadaptación de Inmunidad Artificial. Durante la operación de este modelo,
la transferencia de formato es en tiempo y forma exacta. Además, al transferir el
reconocedor de anticuerpos, puede mitigar la carga de los recursos del sistema.

IV. ESTABLECIMIENTO DE UN MODELO INMUNE DE AUDITORÍA

CONTINUA BASADO EN UNA BASE DE REGLAS ORIENTADA A
OBJETOS

(CAIMOR)

Durante el establecimiento de CAIMOR, en primer lugar debe construir la base de datos de

reglas de negocio por OOKR, y luego producir el reconocedor de anticuerpos de entidad
auditada por Inmunidad Artificial. La base de reglas del reconocedor es la base para
seleccionar negativamente datos anormales. Al final, utilizamos esta máquina para estimar
los nuevos datos de entrada, ya sean normales o no.

A. Teoría de la Aritmética Inmune Artificial

El modelo agregativo de Inmunidad Artificial es el que se muestra en la Fig.I.
 conocimiento Auto-
Auto
conocimient reconocedor de
conocimient
o entrenamiento
o
celular

Figura 1. Modelo agregativo de inmunidad

Esencialmente, la identificación de inmunes es en realidad una cuestión de modelado. Una

colección de objetos reconocidos se considera como S, y cada elemento en ella pertenece
tanto al Ser como al No Ser. Debido a la enorme fuerza de ambas colecciones, ninguna de
ellas puede conseguir los corpus. Los expertos inmunológicos calculan que con un pequeño
subconjunto del Ser, las células B que están entrenadas en el timo pueden reconocer una
colección de No Ser de cierto alcance.

B. Establecimiento de la Base de Reglas de Negocio de Auditoría Continua

La extracción y análisis de datos en la Auditoría Continua es en tiempo real, por lo que
tienen diferentes tipos y tipos: De acuerdo con la finalidad, los datos auditados pueden ser
convertidos en datos de negocio y datos financieros. Los datos comerciales son los datos
relacionados con las clases de operación en el ente auditado, como la tabla de distribución
de mercancías, la tabla de reclamaciones de capital y la tabla de entrada y salida.
Profundizando en cada operación, los datos de negocio tienen una cantidad enorme y un
marco claro.

En consecuencia, para construir una base de reglas de datos de negocio, podríamos utilizar
el método de extracción de reglas de OOKR, que es igualmente estructural. En la Auditoría
Continua, los diferentes tipos de datos de negocio están determinados por la propiedad y la
esfera de negocio en la entidad auditada.

En cada entidad, los datos de la empresa se dividen según los diferentes tipos de empresa.
Durante cada negocio, los datos pueden ser fraccionados de acuerdo a los objetos del
negocio, tiempo de ejecución o administración del negocio. Con respecto a cada dato de
negocio como objeto de conocimiento de auditoría, los datos pueden expresarse de la
siguiente manera: (Business 10, Business Attributes, Business Relationships, Trigger
Conditions, Business Measures, Business Rules)

Debido al gran número de datos de negocio, necesitamos hacer auditorías longitudinales,

profundas y específicas de acuerdo con los diferentes tipos de negocio. Por los caracteres
de datos en cada tipo de negocio, las propiedades pueden ser extraídas para componer la
regla en este negocio. Por lo tanto, fraccionamos la base de reglas de auditoría de objetos
de conocimiento en diferentes subreglas de negocio. En cada subregla separada, las reglas
se definen de manera que incluyan tanto el encabezado de la regla como la opción de la
regla. El primero tiene el origen, la dirección y las acciones de análisis que responden a la
demanda de esta regla en él. El último tiene la condición y la información alarmante de
datos anormales en él. Después del resultado, la estructura de la base de reglas de negocio
de la auditoría es la que se muestra en la Fig. 2.
ID de negocio

Atributos de Relaciones Condiciones de Medidas de Reglas de Negocio

Negocio Comerciales Disparo (Trigger) Negocio

Propiedad de la Nombre de la Nombre de la Cálculo numérico, Cabeza de regla,

unidad auditada, relación, condición, Código de Opción de regla
Nombre de la Clase de relación, Descripción de la programación,
empresa, Expresión de la condición, Función de
Tipo de negocio, relación Clase de la interfase
Valor del negocio condición,
Regla del disparo
(trigger)

Figura 2. Estructura del objeto de conocimiento Auditoría

La identificación del negocio puede identificar cada transacción. Los Atributos de Negocio
describen principalmente el conocimiento del estado, como la propiedad de la entidad a la
que pertenece el negocio, los tipos de negocio, etc. Las Relaciones Comerciales
representan las relaciones entre diferentes negocios. Las condiciones desencadenantes
iluminan las condiciones que desencadenarán la norma empresarial, por ejemplo, el alcance
de la aplicación y los caracteres desencadenantes de las normas, así como las relaciones
entre las normas. Las Medidas y Reglas de Negocio son representaciones importantes del
objeto de conocimiento. Se utilizan para describir el conocimiento dinámico de los negocios.
Las Medidas de Negocio hacen la colección de métodos numéricos de cálculo y disposición
en el negocio específico, mientras que los programan a los patrones de código y función de
interfaz externa. La agregación de Reglas de Negocio incluye las reglas correspondientes
de cada negocio que se divide por atributos de negocio, y se activa por la condición de
disparo correspondiente.

Debido a la gran cantidad de datos de negocio, necesitamos realizar auditorías

longitudinales, profundas y específicas de acuerdo a los diferentes tipos de negocio. Por los
caracteres de datos en cada tipo de negocio, las propiedades pueden ser extraídas para
componer la regla en este negocio. Por lo tanto, fraccionamos la base de reglas de auditoría
de objetos de conocimiento en diferentes subreglas de negocio. En cada subregla
separada, las reglas se definen de manera que incluyan tanto el encabezado de la regla
como la opción de la regla. El primero tiene el origen, la dirección y las acciones de análisis
que responden a la demanda de esta regla en él. El último tiene la condición y la
información alarmante de datos anormales en él. Siguiendo el resultado, la estructura de la
base de reglas de negocio de la auditoría es la que se muestra en la Fig. 3.
 Clasificación
de Negocios

Análisis
de datos

Auditoría de
Auditoría de Auditoría de
Negocios …..
Negocios Uno Negocios N
Dos ..
Formar la regla
extrayendo
caracteres
Base de datos de
reglas de negocio

Base de la Base de la Base de la

subreglamentació subreglamentació subreglamentació
n empresarial de n empresarial de .... n empresarial de
auditoría Uno auditoría Dos auditoría N

Figura 3. Establecimiento de la base de normas de auditoría de la empresa

C. Producción de un reconocedor de anticuerpos de datos de negocio de entidades

auditadas.
En el modelo de Auditoría Continua de este documento, el procesamiento de datos debería
producir al principio el reconocedor de anticuerpos de entidad auditada sobre la base de
Inmunidad Artificial. El reconocedor de anticuerpos sigue siendo toda la información
anormal y las reglas durante la edición de auditoría. Puede auto-estudiar e identificar los
datos de auditoría, y luego seleccionar lo anormal. El proceso de correspondencia de reglas
de este reconocedor transfiere la base de reglas de negocio orientadas a objetos. La
formación de un reconocedor de anticuerpos de datos comerciales de entidades auditadas
sobre la base de las normas comerciales se muestra en la Fig. 4. Este documento utiliza un
algoritmo de selección negativa para producir un reconocedor de anticuerpos de datos
comerciales de entidades auditadas. Con la selección en casos de auditoría existentes, el
atributo se abstrae de los datos de auditoría, y las secuencias s1, s2 y s3 que expresan
comportamientos normales en él se unen en la autoagregación. Al mismo tiempo, el
reconocedor produce al azar las secuencias de reconocimiento de candidatos s4, s5 y s6. A
continuación, hace coincidir s4, s5 o s6 con las cadenas de bits en autoagrupación
mediante la función R-contiguous Matching, determinando si se debe permanecer o
abandonar este tipo de cadena de acuerdo con las reglas de correspondencia de la base de
reglas de negocio. Las cuerdas restantes deben volver a emparejarse con la regla de
negocio después de la hibridación y la aberrancia. Al final, el reconocedor establece un
valor límite i, lo que significa que la cantidad de cadenas de bits anormales no excede i.
Después de varias veces de estudio, puede producir un reconocedor de anticuerpos mucho
más maduro. Con la renovación de los datos y casos de auditoría, el reconocedor también
está en constante actualización.

Casos
existentes

Atributos del
Producir secuencias de
resumen reconocimiento s4, s5, s6
Cadenas al azar
Normal de
bits s1, s2, Nuevas
s3 secuencias
Añadir
Base de Reconocedor de
datos de anticuerpos
autoagregació (remains bit-
reglas de
n negocio strings s4, s5)

Valor
límite i

Entidad auditada
Datos comerciales
Reconocedor de
anticuerpos
Figura 4. Producción de anticuerpos de datos comerciales de entidades auditadas Reconocer

D. Agente Informático en Auditoría Continua.

El agente es una entidad objetiva que tiene la característica de inteligencia personificada.
Dado que la auditoría es un proceso de varias fases, la auditoría computarizada puede
haber distribuido la operación paralela en diferentes etapas con diferentes agentes mientras
se introducen agentes en ella. Este método de auditoría puede mejorar en gran medida la
eficiencia.

De acuerdo con el flujo de trabajo de la Auditoría Continua, podemos establecer tres

agentes para realizar una asistencia: Agente de Extracción de Datos, Agente de
Coincidencia de Datos y Agente de Alarma de Datos. Durante la Auditoría Continua, el
Agente de Extracción de Datos recoge los datos en primer lugar. Tratando con los datos, el
Agente de Coincidencia de Datos selecciona los anormales con el favor del reconocedor.
Por último, la información anormal se transfiere al Agente de Alarma de Datos para hacerla
alarmante.

E. Establecimiento de un modelo inmunitario de auditoría continua basado en reglas

de base orientadas a objetos (CAIMOR)
Si bien el reconocedor de anticuerpos de datos de negocio de las entidades auditadas ha
sido producido, puede aplicarse al procesamiento de datos en la Auditoría Continua con su
autoestudio y autoadaptación. Al mismo tiempo, la puesta en marcha de la Auditoría
Continua del agente cumple con los requisitos de puntualidad y validez en cada una de las
etapas del tratamiento de los datos. Puede mejorar en gran medida la capacidad de
respuesta rápida. Al final, el agente DataAlarming puede analizar y disponer de los
resultados de la auditoría.

CAIMOR incluye los siguientes componentes: Reconocedor de Anticuerpos de Datos de

Negocio, Base de Reglas de Negocio, Base de Reglas Normal, Agente de Extracción de
Datos, Agente de Correspondencia de Datos, Agente de Alarma de Datos, etc. Su
establecimiento es el que se muestra en la Fig.5.

Figura 5. Creación de CAIMOR

En CAIMOR, mientras el auditor envía la solicitud de auditoría a la entidad fiscalizada, ésta

produce un identificador de anticuerpos de datos de negocio con los casos de auditoría
existentes en primer lugar. A continuación, el auditor invoca al reconocedor de anticuerpos y
a la base de reglas de negocio para reproducir la base de reglas normales añadiendo una
serie de indicadores rígidos, como las leyes y reglamentos nacionales, el sistema de
contabilidad y la norma del sistema. Al mismo tiempo, el agente de extracción de datos
envía los datos que se recogen de la entidad auditada al agente de correspondencia de
datos. Al emparejar estos datos con las reglas de la Base Normal de Reglas, el Agente de
Emparejamiento de Datos selecciona la información anormal y la transfiere al Agente de
Alarma de Datos para hacer la alarma. Al final, el resultado de la propuesta es la
elaboración de un informe de auditoría que se envía al auditor.

V. CONCLUSIÓN
Sobre la base de la correspondencia de la información auditada y los datos de negocio,
CAIMOR (Continuous Auditing Immune Model Based on Object-oriented Rule Base)
produce un reconocedor de anticuerpos utilizando el Algoritmo de Selección Negativa, y
luego selecciona la información anormal desconocida con Hybridizing and Aberrance
(Hibridación y Aberrancia). Al final, establece la Base de Reglas Normales de la Entidad
Auditada, a la vez que añade algunas leyes y reglamentos que deben seguirse en la
Auditoría Continua. Por lo tanto, con el autoestudio dinámico y la autoadaptación, CAIMOR
puede hacer coincidir los datos de negocio extraídos con las reglas normales para descubrir
anomalías.

Sin embargo, varias cuestiones aún no se han resuelto bien. En primer lugar, en relación
con la base de normas de auditoría, este documento sólo propone una solución de datos de
negocio, mientras que los datos de finanzas deben ser investigados. Además, el
reconocedor de anticuerpos se basa en casos existentes, por lo que ignora la integridad que
puede existir en la entidad auditada y puede fácilmente causar conductas engañosas. Los
temas anteriores serán analizados en profundidad en mis siguientes investigaciones.

RECONOCIMIENTO
Esta investigación fue apoyada por la Fundación Nacional de Ciencias Naturales de China
(70972138). Y es un resultado parcial del proyecto de investigación de la Comisión
Educativa de la Provincia de Hubei de China (2009b080). También es un resultado parcial
del proyecto de 2009 Graduate Education Innovation Foundation de la Universidad de
Economía y Derecho de Zhongnan, China (2009SGL03).
REFERENCIAS

REFERENCES
[I) Huang Changyong and Yang Jie, "Study the Concept Framework of Continuous Auditing,"
Journal of Nanjing University of Finance and Economics, vol. 146, March 2007, pp. 49-52.
[2) Chen Wei, Zhang Jincheng and Qiu Ro-Bin, "A Survey on Computerassisted Audit
Techniques," Computer Science, vol. 34, 2007, pp. 290-294.
[3) Chen Wei, Liu Sifeng and Qiu Guanghua, "New Approaches to Data Processing Used in
IT Audit," Audit & Economy Research, vol. 21, Jan. 2006,pp. 73-84.
[4) Chen Lianghua, Zhang Yue and Chen Xiaoyan, "Research on Conception & Executive
Model of Continuous Auditinging," Audit Research, vol. 3,2007, pp. 72-76.
[5) Hou Zhongni, "The Research and Implementation of Object Oriented Methodology Apply
to Develop Accounting Information Management System," Master Dissertation of JiLin
University, 2006.
[6] Wei Wei, "The Research and Application of Object-Oriented Temporal Knowledge
Representation Model," Engineering Master Dissertation of Guangdong University of
Engineering, 2003.
[7] Chen Huarong, "The Research of Instruction Detection Rulebase based on MAS,"
Engineering Master Dissertation of University of Electronic Science & Technology of China,
2005.
[8] Wu Zejun and Liang Yiwen, "Integrated Platform of Artificial Immune System for Anomaly
Detection," WSEAS Transactions on Information Science and Applications, vol. 2, 2005, pp.
144-149.
[9] Liu Sai, "An Improved Negative Selection Algorithm in Artificial Immune System,"
Computer Engineering, vol.31, Dec. 2005, pp. 164165.
[10] Wen Jufeng, Jiang Yuquan and Xing Hancheng, "Computer audit based multi-agent
system architecture," Computer Applications, vol. 25, April 2005, pp. 923-926.