基于大數據技術的BCM審計方法研究

陳偉

【摘 要】 信息系統審計是審計領域關注的一項重要內容，大數據技術的發展為開展信息系統審計提供了機遇也帶來了挑戰。文章以業務連續性管理（BCM）審計為例，研究大數據環境下如何開展信息系統審計。首先分析了常用審計方法的不足，其次根據目前開展大數據審計的需要提出了基于大數據技術的業務連續性管理審計方法，并分析了該方法的原理。在此基礎上，以某商業銀行審計為例，基于文本數據可視化分析技術和大數據多數據源綜合分析技術，分析了基于大數據技術的業務連續性管理審計方法的應用，并總結了該方法的優點。研究結果為今后開展大數據環境下的信息系統審計提供了技術方法和經驗數據。

【關鍵詞】 大數據審計; 信息系統審計; 業務連續性管理（BCM）; 數據可視化

【中圖分類號】 F239.1;C931.6? 【文獻標識碼】 A? 【文章編號】 1004-5937（2019）11-0113-04

一、引言

信息系統審計是目前審計信息化的一項重要工作，大數據環境同樣對信息系統審計產生了影響。因此，大數據環境下如何開展信息系統審計成為一個重要問題。大數據環境下，僅僅靠常用的訪談、現場觀察、文檔查看、抽樣、穿行測試等信息系統審計方法很難發現相關潛在的系統風險，而豐富的內外部數據為探索如何采用大數據相關技術開展信息系統審計提供了基礎。筆者結合目前大數據審計[ 1-2 ]與信息系統審計的研究與應用現狀，以業務連續性管理（Business Continuity Management，BCM）審計為例，研究大數據環境下的信息系統審計問題。

二、研究背景分析

（一）業務連續性管理審計簡介

業務連續性管理是為了防止業務活動中斷，保護關鍵業務流程不受信息系統失效或自然災害的影響，將意外事件或災難對業務的影響降低到最低水平。業務連續性管理包括識別和降低風險，制定連續性計劃，建立應對意外事件或災難的響應與恢復機制，測試和檢查業務連續性計劃的有效性與合規性，維護業務連續性計劃。業務連續性管理審計的目的就是確保被審計單位的業務連續性管理符合相關要求[ 3-4 ]。

（二）目前常用信息系統審計方法存在的不足

在開展業務連續性管理審計時，審計人員一般根據業務連續性管理的相關要求，逐項檢查被審計單位是否有業務連續性管理相關制度，以及相應的執行落實情況。比如在開展業務連續性管理審計時，審計人員可以關注以下內容：檢查是否建立一個專門組織或指定一個部門負責本機構業務連續性管理工作;檢查是否制定規范的業務連續性計劃（包括業務連續性管理相關規章制度、文件以及人員名單）;檢查是否制定規范的IT服務連續性計劃（包括與IT服務連續性計劃執行相關的規章制度、文件以及人員名單）;檢查業務連續性計劃是否有年度應急演練等。

目前常用的信息系統審計方法，如訪談、現場觀察、文檔查看、抽樣、穿行測試等多是依據相關法律、法規、規章制度，基于審計人員的審計經驗對相關問題進行地毯式排查或重點式查找，不能很好地發現一些隱藏的審計線索，因此，需要探索如何采用相關大數據技術開展信息系統審計。

（三）大數據分析技術方法的選擇

根據目前業務連續性管理審計的需要和大數據分析技術的應用現狀，可以采用以下審計方法：

1.大數據多數據源綜合分析技術

大數據多數據源綜合分析技術是通過對采集來的各行、各業、各類大數據，采用數據查詢等常用方法或其他大數據技術方法進行相關數據的綜合比對和關聯分析，從而發現更多隱藏的審計線索。這種方法是目前審計領域應用大數據比較成熟和主流的內容。

大數據環境下，可以通過大數據的多數據源綜合分析技術發現相關線索，例如審計人員可以通過常用的SQL數據查詢方法比較業務連續性管理相關數據和人力資源數據，或通過數值分析（重號分析）方法查找被審計系統中業務連續性管理數據是否重復，從而確認業務連續性管理相關制度的有效性。

2.大數據可視化分析技術

大數據可視化分析技術[ 5-6 ]是從人作為分析主體和需求主體的視角出發，強調基于人機交互的、符合人的認知規律的分析方法，目的是將人所具備的、機器并不擅長的認知能力融入到數據分析過程中。大數據可視化分析技術也是目前大數據審計應用比較成熟和主流的內容。本文根據業務連續性管理審計的需要，選擇了適合文本數據分析需要的標簽云技術。

三、基于大數據技術的業務連續性管理審計方法原理分析

（一）大數據環境下業務連續性管理審計所需的主要數據

1.被審計單位主要內部數據

大數據環境為業務連續性管理審計提供了全方位分析的相關數據，審計人員可以從被審計單位采集相關業務介紹、部門年度工作總結、風險分析報告、審計報告等相關文本數據，通過這些文本數據，審計人員可以了解目前被審計單位的相關業務情況、風險等，便于審計人員開展相關審計工作。

（1）風險分析報告

通過分析被審計單位的相關風險分析報告等文本數據，審計人員可以判斷該單位的信息系統建設、運行等工作中是否發生過相關風險。比如，審計人員采集被審計單位的“公司交易系統故障事件總結報告”等文本數據。

（2）人力資源部門數據

從被審計單位人力資源部門采集相關員工信息數據，通過該數據，可以掌握目前被審計單位所有員工信息以及變化情況，比如員工的相關信息（如工號等）、員工離職或單位內部崗位調整等信息。

（3）被審計單位辦公系統數據

從被審計單位辦公系統中采集公布的業務連續性管理應急人員名單，通過該數據，可以掌握目前該被審計單位業務連續性管理應急人員變化情況，比如用戶離職或單位內部崗位調整等信息。