大数据环境下审计风险及防控分析
潍坊市审计局 杨颖
随着信息化技术的高速发展,特别是大数据时代的来临,计算机技术在国民经济和社会生活各个领域的应用日益广泛,并深刻影响着审计环境、审计模式、审计技术等诸多方面。国务院在《关于加强审计工作的意见》中指出:“探索在审计实践中运用大数据技术的途径,加大数据综合利用力度,提高运用信息化技术查核问题、评价判断、宏观分析的能力。创新电子审计技术,提高审计工作能力、质量和效率。推进对各部门、单位计算机信息系统安全性、可靠性和经济性的审计”,如何在保证大数据环境下充分运用信息化技术提高审计工作能力、质量和效率的同时防范审计风险是审计人员面临的一个重要挑战。本文将重点分析大数据环境下审计面临的具体风险,并提出防控建议。
一、大数据的概念
什么是大数据?最早提出“大数据”时代到来的是全球知名咨询公司麦肯锡。麦肯锡提出:“数据,已经渗透到当今每一个行业和业务职能领域,成为重要的生产因素。人们对于海量数据的挖掘和运用,预示着新一波生产率增长和消费者盈余浪潮的到来”,并对大数据做出了以下定义:“大数据是一种规模大到在获取、存储、管理、分析方面大大超出了传统数据库软件工具能力范围的数据集合,具有海量的数据规模、快速的数据流转、多样的数据类型和价值密度低四大特征。”大数据带给我们的三个颠覆性观念转变:(1)不是随机样本,而是全体数;(2)不是精确性,而是混杂性;(3)不是因果关系,而是相关关系。
二、大数据环境下面临的审计风险
(1)数据采集风险
采集数据是审计分析的第一步,也是关系到审计质量的关键一步。特别是大数据环境下审计人员需要采集被审计单位的海量业务数据,在数据采集过程中审计人员主要面临两个风险:一是保证所采集数据的真实性、完整性,满足审计分析的需要;二是保证数据采集过程中被审计单位的系统安全性。
(2)大数据存储和管理的风险
海量的大数据从被审计单位采集回来,在存储和管理方面审计机关和人员面临两方面的风险:一是数据存储风险,海量的大数据如何进行存储,保证数据的完整性,同时可以供审计人员进行审计分析操作;二是数据管理的风险,被审计单位提供的数据包含大量的个人基本信息、敏感信息,审计人员面对如何对这些数据进行管理,从技术上和制度上保证这些数据不泄露到社会上的风险。
(3)数据分析质量风险
审计人员从被审计单位获取了审计需要的大量数据,接下来要做的就是数据整理、分析,发展审计疑点,对审计疑点进行核实,并生成审计证据。在数据分析过程中审计人员会面对以下审计风险:
1、面对海量数据和有限的审计时间,审计人员无法在审计要求的时间内对数据进行充分的研究、整理、分析和发现审计疑点,审计质量不高。
2、只对被审计单位的数据进行分析,忽略对被审计单位信息系统安全性、可靠性的关注,如果被审计单位系统出现重大漏洞,会对审计产生一定风险。
3、审计人员技术水平滞后,面对采集回来的数据无法进行处理和分析。比如,现在社保、公积金、医院等大量的数据使用OEACLE数据库进行管理,而我们的审计人员在进行计算机中级培训的时候学习的是SQLSERVER数据库,有些单位只有极少数审计人员或者没有审计人员熟悉掌握OEACEL数据库。审计人员采集回来数据如果要进行分析,只能依靠外部人员,或者转换成熟悉的数据库格式。但是依靠外部人员存在数据如何保密的风险,转换成其他数据库格式又存在数据丢失的风险。
4、电子数据不同于纸质资料,具有无形性和脆弱性的特点。其中,无形性是指电子证据存储在存储介质中,其内容与载体相互分离,复制不改变其完整性和真实性,相较纸质证据而言,不易区分原件及复印件。脆弱性是指人为篡改或伪造易导致数据的灭失或失实,由此产生易被修改、损坏且不留痕迹的特征。审计人员面临着如何保证从原始数据到最终的审计证据的证据链的完整性,保证电子数据生成的证据的证明力的风险。
三、大数据环境下针对审计风险的防控对策
(1)规范数据采集管理,减少审计风险。
1、做好采集前的准备工作。主要包括三个方面:一是明确本次审计的目的,充分调研、了解满足审计需求需采集的数据范围;二是通过与被审计单位相关人员接触,熟悉被审计单位的信息系统流程和数据结构;三是根据审计目的和了解情况,提出明确的数据需求。
2、选择合适的数据采集时间。通过与被审计单位进行沟通,选择合适的时间,在不影响被审计单位正常业务的前提下进行数据采集。
3、制定科学的数据采集流程,并严格按照流程进行操作。审计人员应不接触被审计单位的系统和后台数据库,应只提出操作需求和数据要求,由被审计单位相关人员进行现场操作,审计人员全场监督。
4、数据采集前、采集后对相关数据进行检查,通过记录计数和控制总数检查、连续性检查、业务数据对比检查、重要数据检查、各处理阶段数据完整性检查、在周期性发生事项的完整性检查等必要的技术手段审查数据的真实性和完整性。
5、采集结束被审计单位应提供“数据真实完整性承诺书”、“数据采集语句”、“日志文件”、“数据采集现场记录(审计人员、被审计单位相关人员签字)”、“数据字典”等相关技术资料。
6、审计机关对移动存储设备进行杀毒,保证无病毒后存储被审计单位提供的资料。
7、由于电子数据无形性和脆弱性的特点,在使用移动存储设备存储同时,应将数据在存入移动存储设备的同时刻制成光盘,光盘上由审计人员和被审计单位相关人员签字,然后将光盘封存、加盖被审计单位公章,作为备份原始数据由审计机关保存。
(2)从技术和制度上完善大数据存储、使用管理,减少审计风险。
1、建立数据中心,集中管理审计大数据。审计数据只有严格规范的存储才能保证数据得到有效的管理和使用,防止出现失密和泄密的问题。地市级审计机关应该严格按照审计署和省厅的要求,建设审计数据中心,将各个行业采集来的大数据进行科学安全的管理。
在建设审计数据中心中应该注意以下方面:一是按照国家规范建设机房、确保数据中心硬件的安全性;二是按照上级要求建设数据中心相关平台;三是确保数据中心的网络安全,数据中心应与互联网物理隔离;四是加强用户管理,只开放必要的用户,同时对密码的长度和规则进行控制,使用CA认证登录;五是加强日志管理,所有对数据中心的操作有完整的日志进行记录;六是加强数据下载管理,严格控制下载权限,保证数据的安全性。
2、完善数据管理、使用制度。一是制定严格的数据管理制度,对数据的管理人员提出严格规范要求,规范审计人员使用数据的审批流程;二是建立完善的机房管理制度,非相关人员不得进入机房,进入机房人员应进行详细登记;三是建立大数据的使用制度,审计人员应该在指定的终端登录数据中心进行数据分析;四是建立数据下载制度,数据中心的数据审计人员在经过分析后需要下载的中间表和最终表应该经过严格的审批流程后由技术人员进行下载;五是审计人员应每年签订数据保密协议,保证不对外泄露相关资料。
(3)提高审计分析质量,减少审计风险。
1、充分使用数据中心,通过建立标准数据库和多行业数据关联提高审计人员的分析效率和质量。
面对大量的原始数据和表格和有限的审计时间,审计人员必须尽快熟悉被审计单位的数据结构、形成审计思路、查找出审计疑点,只有通过标准数据建设,才能将晦涩难懂的原始数据变成审计人员可以快速掌握和使用的数据,从而提高审计质量和效率。
被审计单位的数据库有ORACLE、SQLSERVER、SYBASE等多种形式,而审计人员往往只熟悉一两种数据库,只用通过数据中心将所有格式的数据库都转化成为审计人员熟悉的数据库格式,审计人员才能尽快进行数据分析,查找问题。
大数据时代下,所有的数据都是相互关联的,对于审计也是同样。通过不同行业之间的数据对比可以更快的查找出审计疑点,例如,通过将公安部门的户籍信息、车辆信息、死亡人员信息,工商部门的企业工商登记信息,住房公积金的住房公积金信息,建设部门的房产信息,财政局的财政供养人员信息,民政局的低保人员信息进行关联分析就可以找出不符合低保保准领取低保人员的疑点信息,这如果仅仅通过民政部门的信息是无法查出来的,只有多部门的信息进行管理才能查出以往审计不容易发现的审计疑点。
2、在进行数据审计的同时,关注被审计单位的信息系统的安全性。
我们以往在审计中重点往往是关注数据,而忽视了对承载数据的信息系统的安全性、可靠性的关注,如果被审计单位的系统本身存在重大漏洞,对我们的审计质量也会造成一定的影响,会增加我们审计的风险。
对于被审计单位系统的关注我们应该包含两个方面:一是技术上的安全可靠性,审计人员应该通过资料审查、模拟数据符合性测试、典型数据实质性测试等方法和使用漏洞扫描、主机检测、主机审计、数据库等网络和审计工具审查被审计单位的信息系统的安全性和可靠性;二是制度上是否安全可靠,审查被审计单位是否制定严格的人员和设备管理制度,是否存在超级管理员,是否技术人员和使用人员严格区分,是否存在个别人员掌握全部核心技术的情况。
3、加强对审计人员的专业技术培训,不断提高审计人员的技术水平。
随着计算机信息化的高速发展,审计人员应该不断加强计算机方面的业务学习,只有通过不断的学习,才能适应大数据的要求,才能提高审计质量和效率。审计人员的学习应该包含两个方法:一是各种先进的数据库操作和分析语句的学习;二是先进的快速梳理数据、分析数据、关联数据,查找审计疑点的学习。可以通过聘请专业老师讲解和“以干代训”的方式对审计人员进行大数据集中分析、信息系统审计等相关技能的培训。
4、提高大数据环境下审计证据的证明力。
《中华人民共和国国家审计准则》规定,“审计人员获取的审计证据,应当具有适当性和充分性。适当性是对审计证据质量的衡量,即审计证据在支持审计结论方面具有的相关性和可靠性。相关性是指审计证据与审计事项及其具体审计目标之间具有实质性联系。可靠性是指审计证据真实、可信。充分性是对审计证据数量的衡量。审计人员在评估存在重要问题的可能性和审计证据质量的基础上,决定应当获取审计证据的数量。” 相对于传统纸质证据,电子数据分析所生成的审计证据从原始数据到最终的审计疑点往往要通过大量的数据整理和分析,无法直接建立原始数据与审计事项及其具体审计目标之间的实质性联系,要提高大数据环境下形成的审计证据的证明力就必须保证其相关性和可靠性。
首先,根据“(1)规范数据采集管理,减少审计风险。”中提到的7条建议,科学规范的获取原始数据和相关纸质电子资料。
其次,应对数据处理和分析过程进行完整的记录,将分析思路和语句完整的记载在审计底稿和审计取证单中,保证审计数据整理分析过程可追溯和复现。在将审计发现的问题交被审计单位进行确认的同时,应同时将数据分析思路和语句交被审计单位进行核实。
最后,所有的电子审计证据包括分析处理思路和语句应该制成光盘与数据采集阶段收集的原始备份光盘一同进行保存。