關于大數據廣泛應用的內部審計如何確保數據安全的幾點思考

方曉慧 康雅萍 方永欣

摘要：隨著信息技術的發展，企業面臨著越來越多的業務數據，運用大數據技術開展審計工作是順應時代和業務發展的趨勢。大數據技術被廣泛應用于內部審計工作，提高了審計工作的效率和效果，同時也帶來了數據安全方面的風險。本文對大數據給內部審計帶來的變化、大數據帶來的風險以及如何應對風險進行了思考。

關鍵詞：大數據;安全;內部審計發

一、大數據發展與內部審計發展

（一）內部審計目標的新定位

大數據推動企業內部審計向更復雜更多變的方向發展，內部審計不再是單純的查找問題和發現風險，內部審計的目標更偏重于企業價值的增值。在對企業大數據的分析中，對異常情況的本質和根源進行探索與研究，分析數據對于企業發展整體的影響，并通過先進的技術，鑒別有效信息和無用信息，更有效的、有針對性的發揮內部審計咨詢功能，提升內部審計的價值，推動增值型審計的發展。

（二）內部審計方法的新變革

大數據環境下，傳統的函證、盤點、檢查等抽樣技術手段也不能滿足內部審計工作的需要，審計工作由部分抽樣到全面檢查不斷轉變。審計人員在面對海量的數據時，通過對數據進行深度挖掘，利用審計經驗總結數據特征，獲取更加合理可靠的審計數據，使得監督更加全面，保證內部審計質量。

（三）內部審計成果的新應用

隨著大數據在內部審計中的應用，內部審計成果的匯報不再局限于審計報告，在審計過程中大量被采集、分類、篩選、整合的數據，這些都可以為公司在今后的經營活動中提供更多的決策參考，改善經營管理。內部審計人員可以通過對審計中獲取的數據和資料進行宏觀和綜合的分析，為企業決策者提供科學的證明和決策建議，全力推動增值型內部審計的發展。

二、大數據及大數據審計安全風險

（一）典型電信運營商大數據安全事件

2020年底，美國第三大電信運營商T-Mobile在官方網站上發布通知稱，發現黑客在未經授權的情況下訪問了一些客戶的賬戶信息，包括T-Mobile為提供手機服務而收集和制作的客戶數據。影響了約20萬名T-Mobile用戶。

2020年5月，一位安全研究人員在網上找到了一個開放的ElasticSearch數據庫，其中包含4TB的互聯網使用數據，即83億條記錄。泰國手機運營商AdvancedInfoService被迫在涉嫌數據泄露后刪除了其中一個數據庫。

2018年2月，瑞士最大的電信運營商Swisscom宣布，有80萬用戶的數據信息在2017年秋季被盜取。

2015年10月，英國電信公司TalkTalk的網站被黑客攻擊，導致約400萬用戶個人信息以及銀行賬號等數據遭受泄露。

2015年初，某省電信公司與第三方合作開展大數據分析業務，違規將現網原始數據通過自動化接口每日定期提供給境外合作伙伴，產生嚴重數據泄漏案例事件。

（二）大數據的各類安全風險

內部管理風險：在敏感數據的采集、傳輸、存儲、使用、共享、銷毀各環節，可能存在人員、機房、設備管理不到位帶來的嚴重安全隱患，也存在不同部門之間、不同平臺之間因數據共享帶來的安全風險。

對外合作風險：運營商數據類型豐富、商業價值大、精準度高，在大數據對外合作方面前景廣闊，與第三方在數據交換、系統建設、建模分析、業務拓展、運維支撐等方面均有合作，一旦發生安全事件，將對企業聲譽、公司利益、業務開展、用戶隱私等產生重大影響。

平臺系統風險：大數據平臺集中存儲了B域、M域、O域的海量數據，易成為重點攻擊目標，若出現網絡規劃、賬號管理、系統加固、數據防護不當等情況，可能發生安全事件，造成海量敏感信息泄漏，并威脅公司數據資產安全。

（三）大數據審計面臨的主要風險

審計數據采集和整理風險：獲取到的審計數據的完整性和真實性不足，數據質量不高，可能會影響審計工作質量。各系統間數據標準、數據格式不一致，也給數據整理帶來較大困難。

審計數據管理風險：審計數據的集中存儲過程中，由于安全防護不到位，導致數據被被竊取或破壞，審計人員違規使用互聯網傳送數據或使用非專用設備處理涉密信息也可能導致的數據泄露。

三、大數據安全風險管理舉措

（一）建立健全大數據安全管理流程

實施審計數據端到端安全管控。在數據采集環節加強安全管控，傳輸環節進行加密保護，存儲環節對敏感信息加密存儲并做好數據容災備份，使用環節進行權限訪問控制，共享環節通過保密協議等方式明確安全責任，銷毀環節采用可靠技術手段刪除敏感信息。

（二）強化對外合作管理力度

強化第三方安全管理。對合作方進行安全資質審查，評估合作第三方的信息安全保障能力，設立黑名單機制，確保其具備相應的保密及運營資質、管理制度及技術防護手段，切實保證審計數據安全。

明確業務合作方安全責任。與合作方界定雙方大數據管理責任界面，明確審計數據保護制度、數據保護手段、限制數據使用范圍和場景等，細化大數據管理的顆粒度。

（三）做好平臺系統安全防護

數據及應用層面部署數據安全防護能力，在開發、測試和系統部署過程中落實數據安全保護手段及防護能力，避免安全漏洞。健全數據容災備份機制，完善數據備份和恢復手段，保證數據的可恢復性及業務的連續性。

網絡及系統層面強化安全評估檢查，定期開展安全風險督查檢查，建立分權制衡機制，涉及敏感數據操作，應多人共同協作完成，實現“關鍵操作，分權制衡”。部署安全防護設備，采取安全域隔離、防火墻、入侵檢測、防DDoS等措施，加強大數據相關設備自身的網絡及數據安全防護。

四、結語

本文對大數據發展給內部審計帶來的變化、大數據發展面臨的安全風險進行了深入分析，對建立大數據安全保障體系、確保數據安全進行了思考，提出了若干大數據安全風險管理舉措，為大數據技術更好地在審計中深度利用提供參考。

參考文獻：

[1]段敏.淺談大數據時代背景對會計與審計的影響[J].創新創業理論研究與實踐，2019，2（04）：172-173.

[2]徐振華.大數據時代對會計和審計的影響分析[J].現代經濟信息，2019（18）：237.