陳偉

【摘 要】 信息系統(tǒng)審計是審計領(lǐng)域關(guān)注的一項重要內(nèi)容，大數(shù)據(jù)技術(shù)的發(fā)展為開展信息系統(tǒng)審計提供了機遇也帶來了挑戰(zhàn)。文章以業(yè)務(wù)連續(xù)性管理（BCM）審計為例，研究大數(shù)據(jù)環(huán)境下如何開展信息系統(tǒng)審計。首先分析了常用審計方法的不足，其次根據(jù)目前開展大數(shù)據(jù)審計的需要提出了基于大數(shù)據(jù)技術(shù)的業(yè)務(wù)連續(xù)性管理審計方法，并分析了該方法的原理。在此基礎(chǔ)上，以某商業(yè)銀行審計為例，基于文本數(shù)據(jù)可視化分析技術(shù)和大數(shù)據(jù)多數(shù)據(jù)源綜合分析技術(shù)，分析了基于大數(shù)據(jù)技術(shù)的業(yè)務(wù)連續(xù)性管理審計方法的應(yīng)用，并總結(jié)了該方法的優(yōu)點。研究結(jié)果為今后開展大數(shù)據(jù)環(huán)境下的信息系統(tǒng)審計提供了技術(shù)方法和經(jīng)驗數(shù)據(jù)。

【關(guān)鍵詞】 大數(shù)據(jù)審計; 信息系統(tǒng)審計; 業(yè)務(wù)連續(xù)性管理（BCM）; 數(shù)據(jù)可視化

【中圖分類號】 F239.1;C931.6? 【文獻標(biāo)識碼】 A? 【文章編號】 1004-5937（2019）11-0113-04

一、引言

信息系統(tǒng)審計是目前審計信息化的一項重要工作，大數(shù)據(jù)環(huán)境同樣對信息系統(tǒng)審計產(chǎn)生了影響。因此，大數(shù)據(jù)環(huán)境下如何開展信息系統(tǒng)審計成為一個重要問題。大數(shù)據(jù)環(huán)境下，僅僅靠常用的訪談、現(xiàn)場觀察、文檔查看、抽樣、穿行測試等信息系統(tǒng)審計方法很難發(fā)現(xiàn)相關(guān)潛在的系統(tǒng)風(fēng)險，而豐富的內(nèi)外部數(shù)據(jù)為探索如何采用大數(shù)據(jù)相關(guān)技術(shù)開展信息系統(tǒng)審計提供了基礎(chǔ)。筆者結(jié)合目前大數(shù)據(jù)審計[ 1-2 ]與信息系統(tǒng)審計的研究與應(yīng)用現(xiàn)狀，以業(yè)務(wù)連續(xù)性管理（Business Continuity Management，BCM）審計為例，研究大數(shù)據(jù)環(huán)境下的信息系統(tǒng)審計問題。

二、研究背景分析

（一）業(yè)務(wù)連續(xù)性管理審計簡介

業(yè)務(wù)連續(xù)性管理是為了防止業(yè)務(wù)活動中斷，保護關(guān)鍵業(yè)務(wù)流程不受信息系統(tǒng)失效或自然災(zāi)害的影響，將意外事件或災(zāi)難對業(yè)務(wù)的影響降低到最低水平。業(yè)務(wù)連續(xù)性管理包括識別和降低風(fēng)險，制定連續(xù)性計劃，建立應(yīng)對意外事件或災(zāi)難的響應(yīng)與恢復(fù)機制，測試和檢查業(yè)務(wù)連續(xù)性計劃的有效性與合規(guī)性，維護業(yè)務(wù)連續(xù)性計劃。業(yè)務(wù)連續(xù)性管理審計的目的就是確保被審計單位的業(yè)務(wù)連續(xù)性管理符合相關(guān)要求[ 3-4 ]。

（二）目前常用信息系統(tǒng)審計方法存在的不足

在開展業(yè)務(wù)連續(xù)性管理審計時，審計人員一般根據(jù)業(yè)務(wù)連續(xù)性管理的相關(guān)要求，逐項檢查被審計單位是否有業(yè)務(wù)連續(xù)性管理相關(guān)制度，以及相應(yīng)的執(zhí)行落實情況。比如在開展業(yè)務(wù)連續(xù)性管理審計時，審計人員可以關(guān)注以下內(nèi)容：檢查是否建立一個專門組織或指定一個部門負責(zé)本機構(gòu)業(yè)務(wù)連續(xù)性管理工作;檢查是否制定規(guī)范的業(yè)務(wù)連續(xù)性計劃（包括業(yè)務(wù)連續(xù)性管理相關(guān)規(guī)章制度、文件以及人員名單）;檢查是否制定規(guī)范的IT服務(wù)連續(xù)性計劃（包括與IT服務(wù)連續(xù)性計劃執(zhí)行相關(guān)的規(guī)章制度、文件以及人員名單）;檢查業(yè)務(wù)連續(xù)性計劃是否有年度應(yīng)急演練等。

目前常用的信息系統(tǒng)審計方法，如訪談、現(xiàn)場觀察、文檔查看、抽樣、穿行測試等多是依據(jù)相關(guān)法律、法規(guī)、規(guī)章制度，基于審計人員的審計經(jīng)驗對相關(guān)問題進行地毯式排查或重點式查找，不能很好地發(fā)現(xiàn)一些隱藏的審計線索，因此，需要探索如何采用相關(guān)大數(shù)據(jù)技術(shù)開展信息系統(tǒng)審計。

（三）大數(shù)據(jù)分析技術(shù)方法的選擇

根據(jù)目前業(yè)務(wù)連續(xù)性管理審計的需要和大數(shù)據(jù)分析技術(shù)的應(yīng)用現(xiàn)狀，可以采用以下審計方法：

1.大數(shù)據(jù)多數(shù)據(jù)源綜合分析技術(shù)

大數(shù)據(jù)多數(shù)據(jù)源綜合分析技術(shù)是通過對采集來的各行、各業(yè)、各類大數(shù)據(jù)，采用數(shù)據(jù)查詢等常用方法或其他大數(shù)據(jù)技術(shù)方法進行相關(guān)數(shù)據(jù)的綜合比對和關(guān)聯(lián)分析，從而發(fā)現(xiàn)更多隱藏的審計線索。這種方法是目前審計領(lǐng)域應(yīng)用大數(shù)據(jù)比較成熟和主流的內(nèi)容。

大數(shù)據(jù)環(huán)境下，可以通過大數(shù)據(jù)的多數(shù)據(jù)源綜合分析技術(shù)發(fā)現(xiàn)相關(guān)線索，例如審計人員可以通過常用的SQL數(shù)據(jù)查詢方法比較業(yè)務(wù)連續(xù)性管理相關(guān)數(shù)據(jù)和人力資源數(shù)據(jù)，或通過數(shù)值分析（重號分析）方法查找被審計系統(tǒng)中業(yè)務(wù)連續(xù)性管理數(shù)據(jù)是否重復(fù)，從而確認業(yè)務(wù)連續(xù)性管理相關(guān)制度的有效性。

2.大數(shù)據(jù)可視化分析技術(shù)

大數(shù)據(jù)可視化分析技術(shù)[ 5-6 ]是從人作為分析主體和需求主體的視角出發(fā)，強調(diào)基于人機交互的、符合人的認知規(guī)律的分析方法，目的是將人所具備的、機器并不擅長的認知能力融入到數(shù)據(jù)分析過程中。大數(shù)據(jù)可視化分析技術(shù)也是目前大數(shù)據(jù)審計應(yīng)用比較成熟和主流的內(nèi)容。本文根據(jù)業(yè)務(wù)連續(xù)性管理審計的需要，選擇了適合文本數(shù)據(jù)分析需要的標(biāo)簽云技術(shù)。

三、基于大數(shù)據(jù)技術(shù)的業(yè)務(wù)連續(xù)性管理審計方法原理分析

（一）大數(shù)據(jù)環(huán)境下業(yè)務(wù)連續(xù)性管理審計所需的主要數(shù)據(jù)

1.被審計單位主要內(nèi)部數(shù)據(jù)

大數(shù)據(jù)環(huán)境為業(yè)務(wù)連續(xù)性管理審計提供了全方位分析的相關(guān)數(shù)據(jù)，審計人員可以從被審計單位采集相關(guān)業(yè)務(wù)介紹、部門年度工作總結(jié)、風(fēng)險分析報告、審計報告等相關(guān)文本數(shù)據(jù)，通過這些文本數(shù)據(jù)，審計人員可以了解目前被審計單位的相關(guān)業(yè)務(wù)情況、風(fēng)險等，便于審計人員開展相關(guān)審計工作。

（1）風(fēng)險分析報告

通過分析被審計單位的相關(guān)風(fēng)險分析報告等文本數(shù)據(jù)，審計人員可以判斷該單位的信息系統(tǒng)建設(shè)、運行等工作中是否發(fā)生過相關(guān)風(fēng)險。比如，審計人員采集被審計單位的“公司交易系統(tǒng)故障事件總結(jié)報告”等文本數(shù)據(jù)。

（2）人力資源部門數(shù)據(jù)

從被審計單位人力資源部門采集相關(guān)員工信息數(shù)據(jù)，通過該數(shù)據(jù)，可以掌握目前被審計單位所有員工信息以及變化情況，比如員工的相關(guān)信息（如工號等）、員工離職或單位內(nèi)部崗位調(diào)整等信息。

（3）被審計單位辦公系統(tǒng)數(shù)據(jù)

從被審計單位辦公系統(tǒng)中采集公布的業(yè)務(wù)連續(xù)性管理應(yīng)急人員名單，通過該數(shù)據(jù)，可以掌握目前該被審計單位業(yè)務(wù)連續(xù)性管理應(yīng)急人員變化情況，比如用戶離職或單位內(nèi)部崗位調(diào)整等信息。