陳偉 詹明惠

【摘 要】 信息系統(tǒng)AC（應用控制）審計是目前信息系統(tǒng)審計領域研究與應用的重要內容，大數據技術和金融科技的發(fā)展與應用為信息系統(tǒng)AC審計帶來了機遇和挑戰(zhàn)。金融科技環(huán)境下研究如何開展信息系統(tǒng)AC審計對防范化解金融科技風險具有重要意義。文章首先分析了研究金融科技環(huán)境下信息系統(tǒng)AC審計方法的重要性;然后，以金融科技貸款業(yè)務系統(tǒng)為例，提出了基于大數據可視化技術的信息系統(tǒng)AC審計方法，并采用R語言實現了該方法;在此基礎上，結合案例，詳細地分析了該方法的應用，從而驗證了該方法的可行性與有效性;最后，通過與常用信息系統(tǒng)應用控制審計方法進行比較，進一步證明了文章提出的審計方法的優(yōu)勢。研究結果為今后防范化解金融科技系統(tǒng)風險提供了理論經驗與技術方法。

【關鍵詞】 大數據審計; 信息系統(tǒng)審計; AC（應用控制）審計; 金融科技; 數據可視化

【中圖分類號】 F239.1;C931.6? 【文獻標識碼】 A? 【文章編號】 1004-5937（2021）01-0120-06

一、引言

信息系統(tǒng)審計是目前審計領域研究與應用的重要內容[1]，其中，信息系統(tǒng)AC（應用控制，Application Control）審計是信息系統(tǒng)審計的重要內容。簡單地講，信息系統(tǒng)應用控制是為了適應各種數據處理的特殊控制要求，保證數據處理完整、準確地完成而建立的內部控制，它針對的是與信息系統(tǒng)應用相關的事務和數據，目的是確保數據的準確性、完整性、有效性、可驗證性、可靠性和一致性。應用控制審計的目的就是確保被審計單位的應用系統(tǒng)控制符合相關要求[2]。

傳統(tǒng)環(huán)境下，被審計單位信息化程度低，應用系統(tǒng)較簡單，因此，對于信息系統(tǒng)應用控制審計只需要做訪談或簡單的測試即可。金融科技的研究與應用是近年來金融信息化領域的熱點問題。隨著金融科技的廣泛應用，目前金融機構信息化程度較高，應用系統(tǒng)較多。因此，金融科技信息系統(tǒng)應用控制審計成為一個重要挑戰(zhàn)。為了防范化解金融風險，金融科技風險審計成為目前審計工作的一項重要內容。金融科技環(huán)境下，僅靠現有的審計方法很難發(fā)現潛在的信息系統(tǒng)風險，創(chuàng)新審計方法成為必然。

盡管目前已有一些關于大數據審計方法的研究，如大數據審計的現狀與發(fā)展[3]，大數據環(huán)境下電子數據審計的機遇、挑戰(zhàn)與方法[4]，基于大數據可視化技術的審計線索特征挖掘方法[5]，以及基于社會網絡分析的金融科技系統(tǒng)用戶管理風險審計方法[6]等，但目前直接針對金融科技系統(tǒng)應用控制風險審計方法的研究仍較少。本文結合目前大數據審計技術、信息系統(tǒng)審計，以及金融科技風險審計的研究與應用現狀，探索如何采用大數據可視化技術開展信息系統(tǒng)應用控制審計。

二、基于大數據可視化技術的信息系統(tǒng)應用控制審計方法分析

（一）大數據可視化技術分析

常見的大數據審計技術一般包括大數據多數據源綜合分析技術、大數據可視化分析技術，以及大數據智能分析技術。其中，大數據可視化分析技術是目前較為流行的技術。常用的大數據可視化分析技術包括氣泡圖、柱狀圖、折線圖、餅圖、散點圖、熱力圖、標簽云（文本可視化分析）等[7-9]。

（二）基于大數據可視化技術的信息系統(tǒng)應用控制審計方法原理

大數據可視化技術為信息系統(tǒng)應用控制審計帶來了機遇。大數據環(huán)境下，為了更好地審計信息系統(tǒng)的應用控制風險，可以從被審計單位信息管理部門采集相關數據。通過對這些數據進行分析，可以掌握目前該被審計單位相關應用系統(tǒng)的應用控制風險。基于大數據可視化技術的信息系統(tǒng)應用控制審計方法原理可簡單描述為：采集被審計信息系統(tǒng)的相關數據，采用大數據可視化技術對相關數據進行建模和可視化分析，通過對可視化結果圖形和圖像進行分析和觀察，發(fā)現被審計信息系統(tǒng)應用控制中的風險。在此基礎上，通過對以上發(fā)現的這些風險做進一步的延伸審計和審計事實確認，最終獲得審計證據，從而為防范化解信息系統(tǒng)風險打下了基礎。

綜上分析，基于大數據可視化技術的信息系統(tǒng)應用控制審計方法原理如圖1所示。

三、基于大數據可視化技術的信息系統(tǒng)應用控制審計案例及分析

（一）案例背景簡介

一般來說，對信息系統(tǒng)開展應用控制審計的主要思路如下：

1.分析被審計信息系統(tǒng)的業(yè)務流程。

2.根據被審計信息系統(tǒng)的業(yè)務流程，識別被審計信息系統(tǒng)的應用控制活動。

3.根據識別出的被審計信息系統(tǒng)流程中關鍵的應用控制點，采用大數據可視化技術對其進行建模和測試分析。

4.通過對相關數據進行測試分析，發(fā)現被審計信息系統(tǒng)的相關應用控制風險，并與被審計單位進行溝通確認。

以某商業(yè)銀行金融科技貸款業(yè)務信息系統(tǒng)審計為例，假設審計人員現已從該行信息科技部獲取了貸款業(yè)務系統(tǒng)審計所需的“對公客戶數據”“貸款分戶賬數據”“貸款分戶明細數據”“對私分戶明細數據”“企業(yè)性質數據”等數據。如圖2所示?，F通過對這些數據進行分析，檢查該商業(yè)銀行金融科技貸款業(yè)務信息系統(tǒng)的應用控制風險。

（二）信息系統(tǒng)輸入控制風險可視化分析示例

1.數據缺失問題分析

如果被審計信息系統(tǒng)輸入缺少系統(tǒng)檢驗，則系統(tǒng)中會出現數據缺失的情況。因此，為了檢查被審計的貸款業(yè)務信息系統(tǒng)是否存在輸入控制風險，可以對相關數據進行分析，檢查系統(tǒng)中是否存在數據缺失問題，從而判斷被審計信息系統(tǒng)是否存在輸入控制風險。比如，在貸款信息錄入過程中，如果貸款卡號輸入缺少系統(tǒng)檢驗，則系統(tǒng)中會出現貸款卡號為空的情況。如果貸款開戶日期輸入缺少系統(tǒng)檢驗，則系統(tǒng)中會出現貸款開戶日期為空的情況。

以貸款業(yè)務信息系統(tǒng)中的“對公客戶數據”為例，查看“對公客戶數據”中的數據缺失情況，借助R語言進行建模對其進行可視化分析，其結果示例如圖3所示。

在圖3中，顏色的深淺表示數據值的大小，淺色表示數據值小，深色表示數據值大，深灰色表示數據值缺失。由圖3可以清晰地看出被審計單位的貸款業(yè)務信息系統(tǒng)中存在數據缺失的情況，其中有些字段的缺失值較少，有些字段的缺失值較多，同時也存在一些字段的值完全缺失，如“公司電話”“聯系人”等字段，這些問題的存在對該被審計單位金融科技系統(tǒng)的運行管理造成潛在的風險隱患。

2.數據重復問題分析

如果被審計信息系統(tǒng)輸入缺少系統(tǒng)檢驗，則系統(tǒng)中會出現數據重復輸入的情況。因此，為了檢查被審計的貸款業(yè)務信息系統(tǒng)是否存在輸入控制風險，可以對相關數據進行分析，檢查系統(tǒng)中是否存在數據重復問題，從而判斷被審計信息系統(tǒng)是否存在輸入控制風險。

以采集到的貸款業(yè)務信息系統(tǒng)中的“對公客戶數據”為例，查看客戶“代碼證號”字段是否存在重復數據，借助R語言進行建模對其進行可視化分析，其結果示例如圖4所示。

圖4顯示了對公客戶數據中客戶“代碼證號”字段的數據重復情況。其中，氣泡的大小表示數據重復的情況，氣泡越大，表示該數據重復次數越多。根據氣泡的大小，審計人員可以快速、清晰地觀察出被審計金融科技系統(tǒng)中數據重復的情況。

通過圖4的分析結果，審計人員可以發(fā)現被審計的貸款業(yè)務信息系統(tǒng)未能很好地控制數據重復輸入問題，這些問題的存在對該被審計單位金融科技系統(tǒng)的運行管理造成潛在的風險隱患。

3.業(yè)務規(guī)則錯誤分析

如果被審計信息系統(tǒng)輸入缺少系統(tǒng)檢驗，則系統(tǒng)中會出現業(yè)務規(guī)則錯誤問題。因此，為了檢查被審計的貸款業(yè)務信息系統(tǒng)是否存在輸入控制風險，可以對相關數據進行分析，檢查系統(tǒng)中是否存在業(yè)務規(guī)則錯誤問題，從而判斷被審計信息系統(tǒng)是否存在輸入控制風險。自1999年居民身份證編號由15位升至18位。因此，如果被審計數據中存在非15位或18位身份證編號的情況，則表明出現了業(yè)務規(guī)則錯誤問題。

以采集到的貸款業(yè)務信息系統(tǒng)中的“對公客戶數據”為例，查看“對公客戶數據”中身份證號的位數是否正確。借助R語言進行建模對其進行可視化分析，其結果示例如圖5所示。

從圖5的分析結果可以整體了解該貸款業(yè)務信息系統(tǒng)“對公客戶數據”中身份證號位數情況，偏離15位或18位兩條線上的數據皆為異常數據。由圖5可以清晰地發(fā)現被審計單位的貸款業(yè)務信息系統(tǒng)中存在身份證號位數不正確的情況，這些問題的存在對被審計單位金融科技系統(tǒng)的運行管理造成潛在的風險隱患。

（三）信息系統(tǒng)處理控制風險可視化分析示例

如果被審計信息系統(tǒng)缺少處理控制，則系統(tǒng)中會出現數據異常情況。因此，為了檢查被審計的貸款業(yè)務信息系統(tǒng)是否存在處理控制風險，可以對相關數據進行分析，檢查系統(tǒng)中是否存在異常情況，從而判斷被審計信息系統(tǒng)是否存在處理控制風險。根據對貸款業(yè)務信息系統(tǒng)業(yè)務的分析，部分處理控制風險分析示例如下。

1.存貸款業(yè)務授權情況分析

以采集到的貸款業(yè)務信息系統(tǒng)中的“對私分戶明細數據”為例，分析是否存在交易金額大于50 000元但沒有進行授權的存貸款情況。借助R語言進行建模對其進行可視化分析，其結果示例如圖6所示。

圖6顯示了“對私分戶明細數據”中交易金額大于50 000元的交易數據存貸款業(yè)務授權情況，其中，黑色三角表示的數據為交易金額大于50 000元，且操作員和授權人為同一個人（也是說沒有進行授權）。根據圖6的分析結果，審計人員可以快速、清晰觀察出被審計貸款業(yè)務信息系統(tǒng)中存在交易金額大于50 000元但沒有進行授權的存貸款交易情況，從而發(fā)現被審計貸款業(yè)務信息系統(tǒng)在處理控制方面存在的處理控制風險。

2.貸款主體單位性質控制情況分析

如果對貸款主體單位性質缺少控制，則容易發(fā)生向行政事業(yè)單位和商業(yè)銀行發(fā)放貸款的風險等。以采集到的貸款業(yè)務信息系統(tǒng)中的“對公客戶數據”和“企業(yè)性質數據”為例，分析“對公客戶數據”中是否存在貸款主體單位性質為金融機構的數據，借助R語言進行建模對其進行可視化分析，其結果示例如圖7所示。

圖7顯示了“對公客戶數據”中“貸款主體單位性質”數據情況。根據分析結果，審計人員可以快速、清晰地觀察出被審計“對公客戶數據”中存在貸款主體單位性質為金融機構的數據，這對被審計單位的業(yè)務管理造成潛在的風險隱患。

（四）審計結果及分析

根據以上分析結果，審計人員可以對“貸款業(yè)務系統(tǒng)”做進一步的測試和審計事實確認，最終發(fā)現“貸款業(yè)務系統(tǒng)”存在的相關應用控制風險示例如下：

1.“貸款業(yè)務系統(tǒng)”輸入控制風險

（1）貸款卡號輸入缺少系統(tǒng)檢驗，造成貸款卡號字段數據缺失問題的發(fā)現。

（2）對公客戶數據的代碼證號輸入缺少檢驗，造成對公客戶數據存在信息重復的客戶代碼證號數據。

（3）對公客戶數據的法人身份證號輸入缺少檢驗，造成身份證號位數錯誤問題的發(fā)生。

2.“貸款業(yè)務系統(tǒng)”處理控制風險

（1）對存貸款交易授權缺少控制，造成“對私分戶明細數據”中出現交易金額大于50 000元的存貸款沒有進行授權的不合規(guī)情況。

（2）對貸款主體單位性質缺少控制，數據中出現向金融機構進行貸款的情況，造成容易產生向商業(yè)銀行發(fā)放貸款的風險等。

同理，可以對“貸款業(yè)務系統(tǒng)”的其他相關應用控制風險進行分析。

通過以上過程，最終獲得審計證據。

四、與常用信息系統(tǒng)應用控制審計方法的比較

為了進一步證明本文研究方法的優(yōu)勢，我們分析一下信息系統(tǒng)應用控制審計中常用的數據分析方法。

（一）基于電子表格軟件的信息系統(tǒng)應用控制審計數據分析方法

以Excel為例，部分基于電子表格軟件的信息系統(tǒng)應用控制審計數據分析方法示例如下：

1.在分析被審計信息系統(tǒng)中數據是否存在缺失時，可以通過“篩選”命令來查找是否存在數據值為“空”的數據。例如，在分析客戶“貸款卡號”字段是否有缺失數據時，可以選中“貸款卡號”，然后點擊“篩選”，在下拉菜單中查看“空”值數據。

2.在分析被審計信息系統(tǒng)中數據是否存在重復時，可以利用函數統(tǒng)計某一字段數據出現的次數。例如，在分析客戶“代碼證號”字段是否有重復數據時，可以采用COUNTIF函數計算出數據出現次數，然后采用“篩選”命令，篩選出出現次數大于一次的數據，從而發(fā)現重復數據。

3.在分析被審計信息系統(tǒng)中數據是否存在業(yè)務規(guī)則錯誤時，可以利用函數統(tǒng)計某一字段數據的位數。例如，在分析客戶“身份證號”字段是否有業(yè)務規(guī)則錯誤數據時，可以采用LENB函數計算出數據的位數，然后采用“篩選”命令，篩選出身份證號位數不為15或18的數據，從而發(fā)現錯誤數據。

（二）基于SQL語言的信息系統(tǒng)應用控制審計數據分析方法

1.可以采用SQL語句查找被審計信息系統(tǒng)中是否存在信息缺失的數據，例如，查找“對公客戶數據”中是否存在貸款卡號為空的數據，相應的SQL語句分別如下：

2.可以采用SQL語句查找被審計信息系統(tǒng)中是否存在信息重復的數據，例如，查找“對公客戶數據”中是否存在信息重復的客戶“代碼證號”數據，相應的SQL語句如下：

3.可以采用SQL語句查找被審計信息系統(tǒng)中是否存在信息錯誤的數據，例如，查找“對公客戶數據”中是否存在身份證號的位數不正確的數據，相應的SQL語句如下：

4.可以采用SQL語句查找被審計信息系統(tǒng)中是否存貸款業(yè)務未授權的數據，例如，查找“對私分戶明細數據”中是否存在交易金額大于50 000元但沒有進行授權的存貸款情況，相應的SQL語句分別如下：

同理，可以采用SQL語句對“貸款業(yè)務系統(tǒng)”的其他相關應用控制風險進行分析。通過在Microsoft Access、SQL Server等數據庫中運行以上SQL語句，可以很容易地查找出以上相關問題。以查找“對公客戶數據”中是否存在信息重復的客戶代碼證號數據為例，其分析結果示例如圖8所示。

（三）比較分析

由以上分析不難看出：目前使用的基于電子表格軟件和數據庫軟件的數據分析方法雖然也能查找被審計單位信息系統(tǒng)中是否存在數據缺失問題、數據重復問題以及業(yè)務規(guī)則錯誤情況等，但不能很清晰、形象地展示出數據的整體情況以及存在的問題，不能很好地揭示出被審計信息系統(tǒng)中存在的應用控制風險。

五、結語

信息系統(tǒng)應用控制審計是信息系統(tǒng)審計的重要內容，隨著金融科技的廣泛應用和快速發(fā)展，目前常用的信息系統(tǒng)審計方法不能很好地滿足金融科技應用系統(tǒng)風險審計的需要，采用大數據審計技術開展金融科技風險審計成為一種有效的方法。本文根據這一需要，以金融科技貸款業(yè)務系統(tǒng)為例，研究了如何采用大數據可視化技術開展信息系統(tǒng)應用控制風險審計。實際應用案例表明：通過可視化圖形更能直觀、清晰地揭示審計線索，獲得審計證據，從而達到防范化解相關金融科技風險的目的。當然，本文研究的方法不可能解決所有的金融科技信息系統(tǒng)應用控制風險審計問題，但能有效地彌補目前已有方法的不足。

【參考文獻】

[1] 陳偉.基于大數據技術的BCM審計方法研究[J].會計之友，2019（11）：113-116.

[2] 陳偉.大數據審計理論、方法與應用[M].北京：科學出版社，2019.

[3] 陳偉，居江寧.大數據審計：現狀與發(fā)展[J].中國注冊會計師，2017（12）：77-81.

[4] 陳偉，SMIELIAUSKAS W.大數據環(huán)境下的電子數據審計：機遇、挑戰(zhàn)與方法[J].計算機科學，2016（1）：8-13，34.

[5] 陳偉，居江寧.基于大數據可視化技術的審計線索特征挖掘方法研究[J].審計研究，2018（1）：16-21.

[6] 陳偉，詹明惠，陳文夏.基于社會網絡分析的金融科技系統(tǒng)用戶管理風險審計方法研究[J].中國注冊會計師，2019（12）：74-78.

[7] GEPP A，LINNENLUECKE M K，O'NEILL T，et al.Big Data techniques in auditing research and practice：current trends and future opportunities[J].Journal of Accounting Literature，2018（1）：102-115.

[8] GTAG.Understanding and Auditing Big Data[EB/OL].http：//www.theiia.org，2017.

[9] KOH K，LEE B，KIM B.Mani wordle：providing flexible control over wordle[J].IEEE Trans.on Visualization and Computer Graphics，2010（6）：1190-1197.