试论大数据环境下审计风险的防范应对策略
(一)增加制度风险
目前只有《内部审计准则》的第28号文件《信息系统审计》能够作为参考依据,但是其中仅有笼统的原则性规定,不具备具体的实施指导意见。《商业企业信息科技风险管理指引》以及《企业内部控制规范》中只有零星内容能够作为参照依据。大数据时代的审计依据和操作规范尚属空白,关于审计的目的、审计的方法以及审计的对象等问题亟待解决,因此大数据时代下审计的制度风险是不能避免的。
(二)增加固有风险
在大数据时代的背景下,信息的报送过程存在极大的风险。大数据使用的是云存储技术,这种不同于以往的技术模式决定了数据的所有人不能够完全持有对存储于云端的数据的控制权和管理权。云技术下的数据安全水平令人担忧,稍有管理疏忽就有可能使数据泄露。同时,黑客随时可能对云服务器发动攻击,窃取数据信息。
由于大数据自身固有的安全漏洞,黑客能够攻击数据所有人的数据挖掘与分析技术,像数据的所有人一样对于数据进行挖掘和分析,以此来获得有价值的数据信息,导致数据所有人难以对数据和运营风险进行很好的掌控。同时,云服务器中数据的完整性与安全性不受数据报送者的主观意志影响,其安全性并不受报送者的主观行为左右,一些对于数据的威胁是数据所有人无法预先知晓的。
云技术下的审计活动也是如此,数据的安全性以及合规性并不能得到完全的保证。大数据审计发展在传统信息审计的基础之上,其依旧作为“对于数据进行收集并评估,以此来判断某个计算机系统是否能够达到保护资产、完成目标、维护系统完整以及合理利用资源的需求。”因此,审计的固有风险在数据报送的风险下大大地增加。
(三)增加检查风险
1.数据采集与分析的难度增加。大数据背景下的审计数据采集和分析存在以下特点:数据集成度高,传统的小组分散审计模式难以起效;数据量大,审计人员难以把握重点;数据结构复杂审计人员难以全面掌握;数据类型多,难以进行采集、整理。
2.审计取证的难度大。大数据的审计证据不以纸为载体,加大了审计人员取证的难度。大数据背景下审计的对象部门所提供的数字版证据的真实性和完整性难以得到充分的保证。因此,审计证据所存在的缺陷会直接影响审计结果的可靠度,引起潜在的审计风险。
3.审计软件功能滞后,受到开发能力的限制。当前使用的真机软件存在一定的缺陷,导致审计工作出现错误。同时,数据接口的不统一导致审计软件在实际使用中不能充分地发挥作用。
二、大数据环境下审计风险的防范对策
(一)完善业务规范和审计准则
大数据背景下,审计工作的目标单位的运行模式与传统不同,利用互联网的经营活动越来越多。因此政府需要尽快制定电子商务方面的法律法规,并且需要把电子认证与管理提升到法律的高度。同时,信息化审计的相关规范需要尽快出台,以此来约束大数据环境下审计活动的具体实施过程,使审计活动与信息化时代的经济活动更好地契合。
(二)重视数据安全
审计数据的安全性关乎社会的稳定,因此必须要得到重视。大数据背景之下,任何一个级别的审计数据泄露都会对社会造成严重的影响。
保障数据安全可以从如下几个方面入手:第一,由于APT攻击具有潜伏期长、攻击手段多样、攻击方式隐蔽等特点,因此需要重点防范。审计单位需要制定针对APT攻击的应急预案,同时注意不要安装来路不明的软件;第二,必须要根据数据密级和用户的身份设定用户访问权限,通过严格的用户身份验证来管理数据访问过程;第三,将数据安全放在大数据系统的首位,合理整合流程和硬件软件;第四,通过数据实时分析软件,及时查找到数据攻击和潜在威胁,并且立即进行处理。
此外,对于已经提取出来的信息数据需要采取物理隔离手段,防止无关人员的接触。
(三)全方位采集与处理数据
ORACLE数据库系统是当前的主流数据库系统之一,审计目标单位经常将数据量庞大作为理由,不向审计机关提供所有的数据信息,只提供处理之后的标准表。在标准表的转制过程中会造成数据的损失,而修改之后的标准表会将非法数据的漏洞抹去,导致审计工作产生错误。
原始数据是审计工作的最有效证据,审计人员通过采集目标单位的数据库原始数据和数据字典,就能够进行正确的数据处理,得到正确的审计结果。
大数据背景下,系统的设计缺陷和错误的使用方式会造成数据错误和混乱。实践证明,不合理、不规律的数据不等于不可用的数据,这些数据经过分析后,依旧能够为审计工作引领方向,定位到问题集中出现的字段,能够帮助审计人员找到疑点,发现问题。
(四)完善审计取证手段
大数据背景下的审计取证工作具有很大的难度,因此需要完善审计取证的手段。第一,各相关单位和部门要使用统一的接口的软件,打印出数据资料的同时,需要提供标准格式的备份供审计人员进行远程审计;第二,利用审计机关的服务信息库对审计目标单位的相关经济信息进行保存,以便随时进行查阅和整理;第三,进行电子证书、实时监测、勾稽关系监测等新兴技术手段的实践,同传统的审计取证手段相结合,获得完整的审计证据。
与此同时,审计单位需要对于审计目标单位的相关单位或部门进行协调与沟通,以此来获得审计数据。审计过程中要将保密工作作为重点工作进行,审计完成后,将数据传输至统一的数据平台中,并进行分类归档,以便将来进行检索查阅。
(五)优化计算机系统
为了使海量的审计数据能够实现有效的转接,技术人员需要开发出专用的审计软件和数据接口。通过对现有的信息软件进行升级改造,实现审计过程专用的数据接口的统一,实现供审计的原始数据与审计软件的数据结构统一,同时实现即使在两者数据结构不统一的情况下,通过专用的审计数据接口,能够将供审计的数据转化成审计软件能够处理的数据。
功能完善的审计软件既能提升审计工作的效率和准确率,又能实现审计数据的自动采集和转制,降低审计工作的风险。审计软件可以进行海量数据的及时处理,降低了审计单位的人力资源成本,又能够有效避免因人为失误造成的错误和数据篡改。因此,审计软件需要有强大的功能和安全性能,以此来应对大数据背景下的审计工作存在的风险。
(六)提升审计团队业务能力
首先,审计人员需要具有扎实的理论基础和实践经验,能够应对审计工作带来的挑战;然后,审计工作人员需要掌握计算机审计软件和数据库的使用方法,能够通过信息技术采集、整理、分析审计数据,完成审计工作;最后,审计工作人员需要保持自身的廉洁形象,以高道德标准严格要求自己,这样才能够保证审计结果的公正、有效性。
(作者单位为众华会计师事务所<特殊普通合伙>)
