試論大數(shù)據(jù)環(huán)境下審計(jì)風(fēng)險(xiǎn)的防范應(yīng)對(duì)策略

陳珩

摘 要 大數(shù)據(jù)時(shí)代的到來(lái)引發(fā)了信息技術(shù)革命的第二次高潮，其領(lǐng)域涉及到社會(huì)與生活的方方面面，為人們的生產(chǎn)、商業(yè)以及生活帶來(lái)了便利，同時(shí)也引發(fā)了一些潛在的風(fēng)險(xiǎn)，特別是審計(jì)工作。大數(shù)據(jù)時(shí)代的統(tǒng)計(jì)工作蘊(yùn)含著新的風(fēng)險(xiǎn)與挑戰(zhàn)，本文從大數(shù)據(jù)環(huán)境對(duì)審計(jì)的風(fēng)險(xiǎn)影響以及防范策略兩個(gè)方面簡(jiǎn)單地進(jìn)行分析與闡述，希望能夠?yàn)閷?lái)的審計(jì)工作實(shí)踐帶來(lái)一些啟發(fā)和指導(dǎo)。

關(guān)鍵詞 大數(shù)據(jù)環(huán)境 審計(jì)風(fēng)險(xiǎn) 防范應(yīng)對(duì)

一、大數(shù)據(jù)環(huán)境對(duì)審計(jì)風(fēng)險(xiǎn)的影響

（一）增加制度風(fēng)險(xiǎn)

目前只有《內(nèi)部審計(jì)準(zhǔn)則》的第28號(hào)文件《信息系統(tǒng)審計(jì)》能夠作為參考依據(jù)，但是其中僅有籠統(tǒng)的原則性規(guī)定，不具備具體的實(shí)施指導(dǎo)意見(jiàn)。《商業(yè)企業(yè)信息科技風(fēng)險(xiǎn)管理指引》以及《企業(yè)內(nèi)部控制規(guī)范》中只有零星內(nèi)容能夠作為參照依據(jù)。大數(shù)據(jù)時(shí)代的審計(jì)依據(jù)和操作規(guī)范尚屬空白，關(guān)于審計(jì)的目的、審計(jì)的方法以及審計(jì)的對(duì)象等問(wèn)題亟待解決，因此大數(shù)據(jù)時(shí)代下審計(jì)的制度風(fēng)險(xiǎn)是不能避免的。

（二）增加固有風(fēng)險(xiǎn)

在大數(shù)據(jù)時(shí)代的背景下，信息的報(bào)送過(guò)程存在極大的風(fēng)險(xiǎn)。大數(shù)據(jù)使用的是云存儲(chǔ)技術(shù)，這種不同于以往的技術(shù)模式?jīng)Q定了數(shù)據(jù)的所有人不能夠完全持有對(duì)存儲(chǔ)于云端的數(shù)據(jù)的控制權(quán)和管理權(quán)。云技術(shù)下的數(shù)據(jù)安全水平令人擔(dān)憂，稍有管理疏忽就有可能使數(shù)據(jù)泄露。同時(shí)，黑客隨時(shí)可能對(duì)云服務(wù)器發(fā)動(dòng)攻擊，竊取數(shù)據(jù)信息。

由于大數(shù)據(jù)自身固有的安全漏洞，黑客能夠攻擊數(shù)據(jù)所有人的數(shù)據(jù)挖掘與分析技術(shù)，像數(shù)據(jù)的所有人一樣對(duì)于數(shù)據(jù)進(jìn)行挖掘和分析，以此來(lái)獲得有價(jià)值的數(shù)據(jù)信息，導(dǎo)致數(shù)據(jù)所有人難以對(duì)數(shù)據(jù)和運(yùn)營(yíng)風(fēng)險(xiǎn)進(jìn)行很好的掌控。同時(shí)，云服務(wù)器中數(shù)據(jù)的完整性與安全性不受數(shù)據(jù)報(bào)送者的主觀意志影響，其安全性并不受報(bào)送者的主觀行為左右，一些對(duì)于數(shù)據(jù)的威脅是數(shù)據(jù)所有人無(wú)法預(yù)先知曉的。

云技術(shù)下的審計(jì)活動(dòng)也是如此，數(shù)據(jù)的安全性以及合規(guī)性并不能得到完全的保證。大數(shù)據(jù)審計(jì)發(fā)展在傳統(tǒng)信息審計(jì)的基礎(chǔ)之上，其依舊作為“對(duì)于數(shù)據(jù)進(jìn)行收集并評(píng)估，以此來(lái)判斷某個(gè)計(jì)算機(jī)系統(tǒng)是否能夠達(dá)到保護(hù)資產(chǎn)、完成目標(biāo)、維護(hù)系統(tǒng)完整以及合理利用資源的需求。”因此，審計(jì)的固有風(fēng)險(xiǎn)在數(shù)據(jù)報(bào)送的風(fēng)險(xiǎn)下大大地增加。

（三）增加檢查風(fēng)險(xiǎn)

1.數(shù)據(jù)采集與分析的難度增加。大數(shù)據(jù)背景下的審計(jì)數(shù)據(jù)采集和分析存在以下特點(diǎn)：數(shù)據(jù)集成度高，傳統(tǒng)的小組分散審計(jì)模式難以起效；數(shù)據(jù)量大，審計(jì)人員難以把握重點(diǎn)；數(shù)據(jù)結(jié)構(gòu)復(fù)雜審計(jì)人員難以全面掌握；數(shù)據(jù)類型多，難以進(jìn)行采集、整理。

2.審計(jì)取證的難度大。大數(shù)據(jù)的審計(jì)證據(jù)不以紙為載體，加大了審計(jì)人員取證的難度。大數(shù)據(jù)背景下審計(jì)的對(duì)象部門所提供的數(shù)字版證據(jù)的真實(shí)性和完整性難以得到充分的保證。因此，審計(jì)證據(jù)所存在的缺陷會(huì)直接影響審計(jì)結(jié)果的可靠度，引起潛在的審計(jì)風(fēng)險(xiǎn)。

3.審計(jì)軟件功能滯后，受到開(kāi)發(fā)能力的限制。當(dāng)前使用的真機(jī)軟件存在一定的缺陷，導(dǎo)致審計(jì)工作出現(xiàn)錯(cuò)誤。同時(shí)，數(shù)據(jù)接口的不統(tǒng)一導(dǎo)致審計(jì)軟件在實(shí)際使用中不能充分地發(fā)揮作用。

二、大數(shù)據(jù)環(huán)境下審計(jì)風(fēng)險(xiǎn)的防范對(duì)策

（一）完善業(yè)務(wù)規(guī)范和審計(jì)準(zhǔn)則

大數(shù)據(jù)背景下，審計(jì)工作的目標(biāo)單位的運(yùn)行模式與傳統(tǒng)不同，利用互聯(lián)網(wǎng)的經(jīng)營(yíng)活動(dòng)越來(lái)越多。因此政府需要盡快制定電子商務(wù)方面的法律法規(guī)，并且需要把電子認(rèn)證與管理提升到法律的高度。同時(shí)，信息化審計(jì)的相關(guān)規(guī)范需要盡快出臺(tái)，以此來(lái)約束大數(shù)據(jù)環(huán)境下審計(jì)活動(dòng)的具體實(shí)施過(guò)程，使審計(jì)活動(dòng)與信息化時(shí)代的經(jīng)濟(jì)活動(dòng)更好地契合。

（二）重視數(shù)據(jù)安全

審計(jì)數(shù)據(jù)的安全性關(guān)乎社會(huì)的穩(wěn)定，因此必須要得到重視。大數(shù)據(jù)背景之下，任何一個(gè)級(jí)別的審計(jì)數(shù)據(jù)泄露都會(huì)對(duì)社會(huì)造成嚴(yán)重的影響。

保障數(shù)據(jù)安全可以從如下幾個(gè)方面入手：第一，由于APT攻擊具有潛伏期長(zhǎng)、攻擊手段多樣、攻擊方式隱蔽等特點(diǎn)，因此需要重點(diǎn)防范。審計(jì)單位需要制定針對(duì)APT攻擊的應(yīng)急預(yù)案，同時(shí)注意不要安裝來(lái)路不明的軟件；第二，必須要根據(jù)數(shù)據(jù)密級(jí)和用戶的身份設(shè)定用戶訪問(wèn)權(quán)限，通過(guò)嚴(yán)格的用戶身份驗(yàn)證來(lái)管理數(shù)據(jù)訪問(wèn)過(guò)程；第三，將數(shù)據(jù)安全放在大數(shù)據(jù)系統(tǒng)的首位，合理整合流程和硬件軟件；第四，通過(guò)數(shù)據(jù)實(shí)時(shí)分析軟件，及時(shí)查找到數(shù)據(jù)攻擊和潛在威脅，并且立即進(jìn)行處理。

此外，對(duì)于已經(jīng)提取出來(lái)的信息數(shù)據(jù)需要采取物理隔離手段，防止無(wú)關(guān)人員的接觸。

（三）全方位采集與處理數(shù)據(jù)

ORACLE數(shù)據(jù)庫(kù)系統(tǒng)是當(dāng)前的主流數(shù)據(jù)庫(kù)系統(tǒng)之一，審計(jì)目標(biāo)單位經(jīng)常將數(shù)據(jù)量龐大作為理由，不向?qū)徲?jì)機(jī)關(guān)提供所有的數(shù)據(jù)信息，只提供處理之后的標(biāo)準(zhǔn)表。在標(biāo)準(zhǔn)表的轉(zhuǎn)制過(guò)程中會(huì)造成數(shù)據(jù)的損失，而修改之后的標(biāo)準(zhǔn)表會(huì)將非法數(shù)據(jù)的漏洞抹去，導(dǎo)致審計(jì)工作產(chǎn)生錯(cuò)誤。

原始數(shù)據(jù)是審計(jì)工作的最有效證據(jù)，審計(jì)人員通過(guò)采集目標(biāo)單位的數(shù)據(jù)庫(kù)原始數(shù)據(jù)和數(shù)據(jù)字典，就能夠進(jìn)行正確的數(shù)據(jù)處理，得到正確的審計(jì)結(jié)果。

大數(shù)據(jù)背景下，系統(tǒng)的設(shè)計(jì)缺陷和錯(cuò)誤的使用方式會(huì)造成數(shù)據(jù)錯(cuò)誤和混亂。實(shí)踐證明，不合理、不規(guī)律的數(shù)據(jù)不等于不可用的數(shù)據(jù)，這些數(shù)據(jù)經(jīng)過(guò)分析后，依舊能夠?yàn)閷徲?jì)工作引領(lǐng)方向，定位到問(wèn)題集中出現(xiàn)的字段，能夠幫助審計(jì)人員找到疑點(diǎn)，發(fā)現(xiàn)問(wèn)題。

（四）完善審計(jì)取證手段

大數(shù)據(jù)背景下的審計(jì)取證工作具有很大的難度，因此需要完善審計(jì)取證的手段。第一，各相關(guān)單位和部門要使用統(tǒng)一的接口的軟件，打印出數(shù)據(jù)資料的同時(shí)，需要提供標(biāo)準(zhǔn)格式的備份供審計(jì)人員進(jìn)行遠(yuǎn)程審計(jì)；第二，利用審計(jì)機(jī)關(guān)的服務(wù)信息庫(kù)對(duì)審計(jì)目標(biāo)單位的相關(guān)經(jīng)濟(jì)信息進(jìn)行保存，以便隨時(shí)進(jìn)行查閱和整理；第三，進(jìn)行電子證書(shū)、實(shí)時(shí)監(jiān)測(cè)、勾稽關(guān)系監(jiān)測(cè)等新興技術(shù)手段的實(shí)踐，同傳統(tǒng)的審計(jì)取證手段相結(jié)合，獲得完整的審計(jì)證據(jù)。

與此同時(shí)，審計(jì)單位需要對(duì)于審計(jì)目標(biāo)單位的相關(guān)單位或部門進(jìn)行協(xié)調(diào)與溝通，以此來(lái)獲得審計(jì)數(shù)據(jù)。審計(jì)過(guò)程中要將保密工作作為重點(diǎn)工作進(jìn)行，審計(jì)完成后，將數(shù)據(jù)傳輸至統(tǒng)一的數(shù)據(jù)平臺(tái)中，并進(jìn)行分類歸檔，以便將來(lái)進(jìn)行檢索查閱。

（五）優(yōu)化計(jì)算機(jī)系統(tǒng)

為了使海量的審計(jì)數(shù)據(jù)能夠?qū)崿F(xiàn)有效的轉(zhuǎn)接，技術(shù)人員需要開(kāi)發(fā)出專用的審計(jì)軟件和數(shù)據(jù)接口。通過(guò)對(duì)現(xiàn)有的信息軟件進(jìn)行升級(jí)改造，實(shí)現(xiàn)審計(jì)過(guò)程專用的數(shù)據(jù)接口的統(tǒng)一，實(shí)現(xiàn)供審計(jì)的原始數(shù)據(jù)與審計(jì)軟件的數(shù)據(jù)結(jié)構(gòu)統(tǒng)一，同時(shí)實(shí)現(xiàn)即使在兩者數(shù)據(jù)結(jié)構(gòu)不統(tǒng)一的情況下，通過(guò)專用的審計(jì)數(shù)據(jù)接口，能夠?qū)⒐徲?jì)的數(shù)據(jù)轉(zhuǎn)化成審計(jì)軟件能夠處理的數(shù)據(jù)。

功能完善的審計(jì)軟件既能提升審計(jì)工作的效率和準(zhǔn)確率，又能實(shí)現(xiàn)審計(jì)數(shù)據(jù)的自動(dòng)采集和轉(zhuǎn)制，降低審計(jì)工作的風(fēng)險(xiǎn)。審計(jì)軟件可以進(jìn)行海量數(shù)據(jù)的及時(shí)處理，降低了審計(jì)單位的人力資源成本，又能夠有效避免因人為失誤造成的錯(cuò)誤和數(shù)據(jù)篡改。因此，審計(jì)軟件需要有強(qiáng)大的功能和安全性能，以此來(lái)應(yīng)對(duì)大數(shù)據(jù)背景下的審計(jì)工作存在的風(fēng)險(xiǎn)。

（六）提升審計(jì)團(tuán)隊(duì)業(yè)務(wù)能力

首先，審計(jì)人員需要具有扎實(shí)的理論基礎(chǔ)和實(shí)踐經(jīng)驗(yàn)，能夠應(yīng)對(duì)審計(jì)工作帶來(lái)的挑戰(zhàn)；然后，審計(jì)工作人員需要掌握計(jì)算機(jī)審計(jì)軟件和數(shù)據(jù)庫(kù)的使用方法，能夠通過(guò)信息技術(shù)采集、整理、分析審計(jì)數(shù)據(jù)，完成審計(jì)工作；最后，審計(jì)工作人員需要保持自身的廉潔形象，以高道德標(biāo)準(zhǔn)嚴(yán)格要求自己，這樣才能夠保證審計(jì)結(jié)果的公正、有效性。

（作者單位為眾華會(huì)計(jì)師事務(wù)所<特殊普通合伙>）

參考文獻(xiàn)

[1] 牛艷芳，薛巖，孟祥雨.云計(jì)算環(huán)境下的審計(jì)業(yè)務(wù)模式變革研究[J].南京審計(jì)學(xué)院學(xué)報(bào)，2014（4）.

[2] 游士兵，張佩，姚雪梅.大數(shù)據(jù)對(duì)統(tǒng)計(jì)學(xué)的挑戰(zhàn)和機(jī)遇[J].珞珈管理評(píng)論，2013 （2）.