賈代平

[摘要]面對(duì)日益專業(yè)化的信息系統(tǒng)，如何提取和挖掘數(shù)據(jù)是數(shù)字化審計(jì)面臨的突出問題。本文在分析信息系統(tǒng)服務(wù)框架的基礎(chǔ)上，討論了數(shù)據(jù)字典和交易檔案這兩類具有審計(jì)價(jià)值的原生數(shù)據(jù)及其應(yīng)用。前者為觀察業(yè)務(wù)數(shù)據(jù)提供全局指引，由此解決審計(jì)視角下的數(shù)據(jù)完整性問題;后者為業(yè)務(wù)數(shù)據(jù)提供時(shí)間維度，實(shí)現(xiàn)基于時(shí)間點(diǎn)的數(shù)據(jù)透視和業(yè)務(wù)追蹤。最后通過實(shí)證方式構(gòu)建了一套模擬審計(jì)環(huán)境，用于示范、交流與培訓(xùn)本文的審計(jì)思路與方法。

[關(guān)鍵詞]信息系統(tǒng)審計(jì)? ?數(shù)據(jù)字典? ?交易檔案? ?數(shù)據(jù)資源? ?數(shù)字化能力

伴隨企業(yè)和行業(yè)的數(shù)字化轉(zhuǎn)型，信息系統(tǒng)審計(jì)已成為審計(jì)研究的一個(gè)重要分支，基于各類電子化數(shù)據(jù)開展審計(jì)工作已成為審計(jì)領(lǐng)域的新常態(tài)。相對(duì)于快速發(fā)展的數(shù)據(jù)技術(shù)及其IT基礎(chǔ)設(shè)施，信息系統(tǒng)審計(jì)的理論與實(shí)踐則顯得滯后。為推動(dòng)信息系統(tǒng)審計(jì)的發(fā)展，2021年初，中國(guó)內(nèi)部審計(jì)協(xié)會(huì)發(fā)布了《第3205號(hào)內(nèi)部審計(jì)實(shí)務(wù)指南——信息系統(tǒng)審計(jì)》，起草人在解讀中明確指出，“信息系統(tǒng)審計(jì)需求的不斷增長(zhǎng)與有效供給顯著不足的矛盾愈來愈突出，已成為困擾內(nèi)審?fù)实囊淮笸袋c(diǎn)”。

一、信息系統(tǒng)審計(jì)的數(shù)據(jù)觀

信息系統(tǒng)審計(jì)高度依賴各類數(shù)字化資源，需要審計(jì)人員在實(shí)踐中提高對(duì)各類數(shù)據(jù)源及其運(yùn)行平臺(tái)的認(rèn)識(shí)。一方面，受訪問方式和信源結(jié)構(gòu)的限制，審計(jì)人員或?qū)徲?jì)工具能夠提取到的數(shù)據(jù)只是整體業(yè)務(wù)數(shù)據(jù)的局部，即審計(jì)視角下的數(shù)據(jù)并不能反映業(yè)務(wù)數(shù)據(jù)的全貌，這會(huì)導(dǎo)致后續(xù)的業(yè)務(wù)審計(jì)出現(xiàn)類似“盲人摸象”的情境。另一方面，在早期的審計(jì)實(shí)踐中，紙質(zhì)的業(yè)務(wù)檔案曾經(jīng)發(fā)揮著重要作用，查檔是審計(jì)作業(yè)必不可少的環(huán)節(jié)。進(jìn)入信息化審計(jì)階段后，面對(duì)電子化的數(shù)據(jù)，檔案的價(jià)值卻被普遍地忽視了，導(dǎo)致數(shù)字化審計(jì)常面臨無檔可查的局面。事實(shí)上，現(xiàn)代信息系統(tǒng)在處理各類業(yè)務(wù)數(shù)據(jù)的同時(shí)，出于平臺(tái)內(nèi)在運(yùn)行機(jī)制的需要，并行記錄著所有業(yè)務(wù)數(shù)據(jù)的數(shù)字化軌跡，即業(yè)務(wù)數(shù)據(jù)的變化歷史，這就是信息化條件下的新型檔案。信息系統(tǒng)審計(jì)中，要提高審計(jì)能力，提升審計(jì)的數(shù)字化水平，需要我們打開數(shù)據(jù)視野，重視檔案的價(jià)值，發(fā)掘數(shù)據(jù)平臺(tái)帶給我們的立體化信息。

二、兩類具有審計(jì)價(jià)值的數(shù)據(jù)資源

面對(duì)快速發(fā)展的信息系統(tǒng)及其數(shù)據(jù)技術(shù)，審計(jì)思路與方法需要與時(shí)俱進(jìn)。2015年12月，中共中央辦公廳、國(guó)務(wù)院辦公廳印發(fā)了《關(guān)于完善審計(jì)制度若干重大問題的框架意見》及相關(guān)配套文件，其中《關(guān)于實(shí)行審計(jì)全覆蓋的實(shí)施意見》第七條“創(chuàng)新審計(jì)技術(shù)方法”明確指出，構(gòu)建大數(shù)據(jù)審計(jì)工作模式，提高審計(jì)能力、質(zhì)量和效率，擴(kuò)大審計(jì)監(jiān)督的廣度和深度。我們認(rèn)為，要達(dá)成這個(gè)數(shù)字化審計(jì)目標(biāo)，審計(jì)人員首先需要熟悉現(xiàn)代信息系統(tǒng)的服務(wù)框架和數(shù)據(jù)源的基本結(jié)構(gòu)。

（一）信息服務(wù)的總體架構(gòu)

信息系統(tǒng)的本質(zhì)是為用戶提供數(shù)據(jù)和數(shù)據(jù)處理服務(wù)。這里的服務(wù)就是一種無形的產(chǎn)品，和所有其它的有形產(chǎn)品一樣，同樣存在著生產(chǎn)和消費(fèi)兩個(gè)環(huán)節(jié)。無論信息系統(tǒng)的外在形式如何，都可據(jù)此劃分為服務(wù)生產(chǎn)和服務(wù)消費(fèi)兩大部分，在IT領(lǐng)域把這兩個(gè)部分形象地比喻為臺(tái)前、幕后，臺(tái)前的部分（即面向業(yè)務(wù)用戶的部分）叫做客戶端/前端（Client/Foreground），幕后的部分（即實(shí)施數(shù)據(jù)處理的部分）叫做服務(wù)端/后端（Server/Background）。服務(wù)端可以同時(shí)提供多種不同類型的業(yè)務(wù)處理（如企業(yè)的人事、財(cái)務(wù)、投資、銷售等），用戶通過不同的客戶端來獲得對(duì)應(yīng)的服務(wù)。這樣的架構(gòu)下，一種類型的客戶端只能夠訪問對(duì)應(yīng)的局部數(shù)據(jù)，不同的客戶端訪問后端數(shù)據(jù)的不同部分。更進(jìn)一步，即使是同一類型的客戶端，由于賬戶連接的身份不同，能夠處理的業(yè)務(wù)數(shù)據(jù)也會(huì)有所不同。

上述的這種局部數(shù)據(jù)觀（或稱局部數(shù)據(jù)視野）對(duì)業(yè)務(wù)用戶來說是合理的，但對(duì)審計(jì)用戶來說顯然存在相當(dāng)大的局限性。長(zhǎng)期以來，數(shù)字化審計(jì)在這種數(shù)據(jù)訪問模式下開展工作，往往造成“只見樹木、不見森林”的結(jié)果。

（二）信息系統(tǒng)中樞：數(shù)據(jù)字典

不同于普通的業(yè)務(wù)用戶，面對(duì)信息系統(tǒng)，審計(jì)用戶需要有全局?jǐn)?shù)據(jù)視野。要實(shí)現(xiàn)審計(jì)主管部門要求的審計(jì)全覆蓋，首先要保障對(duì)數(shù)據(jù)源的全覆蓋，任何數(shù)據(jù)上的盲區(qū)都可能帶來審計(jì)監(jiān)督上的疏漏。由于客戶端是數(shù)據(jù)的受控端，而服務(wù)端才是數(shù)據(jù)的大本營(yíng)和控制端，因此要消除審計(jì)視野下的數(shù)據(jù)盲區(qū)，需要我們改變觀察數(shù)據(jù)的角度。認(rèn)識(shí)數(shù)據(jù)的服務(wù)端，才能在業(yè)務(wù)上縱覽全局。

為了協(xié)調(diào)全局性的數(shù)據(jù)管理，現(xiàn)代信息系統(tǒng)的服務(wù)端都有一個(gè)類似信息中樞的部件——數(shù)據(jù)字典（Data Dictionary），它是數(shù)據(jù)服務(wù)平臺(tái)內(nèi)置的一套數(shù)據(jù)結(jié)構(gòu)，所有的數(shù)據(jù)對(duì)象都會(huì)被注冊(cè)在這里。如果把服務(wù)端比作一座圖書館，則數(shù)據(jù)字典相當(dāng)于館藏圖書的總目錄。重要的是，這個(gè)信息中樞始終保持閑人免進(jìn)的狀態(tài)（只讀屬性），其內(nèi)容由平臺(tái)系統(tǒng)（通常是DBMS）負(fù)責(zé)自動(dòng)更新與維護(hù)。這為審計(jì)人員真實(shí)掌握整體業(yè)務(wù)數(shù)據(jù)的全貌提供了一個(gè)客觀的觀察手段。

（三）業(yè)務(wù)處理的過程化數(shù)據(jù)：交易檔案

現(xiàn)代信息系統(tǒng)目前已經(jīng)發(fā)展為一種廣義的IT基礎(chǔ)設(shè)施，在提供基本的數(shù)據(jù)存儲(chǔ)和訪問服務(wù)的同時(shí)，數(shù)據(jù)保障服務(wù)也成為平臺(tái)服務(wù)的標(biāo)配，如數(shù)據(jù)安全、聯(lián)機(jī)鏡像與備份、高可用性與高性能等，由此產(chǎn)生出豐富的基礎(chǔ)數(shù)據(jù)，交易檔案（Transaction Archive/Log）就是其中之一。這里的交易是一種廣義的概念，信息系統(tǒng)中的所有業(yè)務(wù)處理都是以交易的形式執(zhí)行的，交易是數(shù)據(jù)處理的基本單元。

交易檔案類似于人工處理業(yè)務(wù)時(shí)形成的紙質(zhì)化檔案，它是現(xiàn)代信息系統(tǒng)正常運(yùn)行的原生數(shù)據(jù)，是客戶端的業(yè)務(wù)處理在信息系統(tǒng)里留下的交易軌跡和憑據(jù)，也是服務(wù)端自身的一種數(shù)據(jù)保障機(jī)制。從技術(shù)層面看，交易檔案使所有的業(yè)務(wù)處理在服務(wù)端都處于有跡可尋、有據(jù)可查的狀態(tài);從業(yè)務(wù)層面看，業(yè)務(wù)處理的結(jié)果體現(xiàn)在數(shù)據(jù)的改變上，業(yè)務(wù)處理的過程體現(xiàn)在交易檔案里。交易檔案對(duì)于內(nèi)部審計(jì)的核心價(jià)值在于，它完整地保存了交易過程中的數(shù)字化軌跡，讓數(shù)據(jù)在動(dòng)態(tài)的業(yè)務(wù)處理中始終保持可追溯性。

電子化的交易檔案在存儲(chǔ)、檢索和再利用方面有著天然優(yōu)勢(shì)，可以發(fā)揮與紙質(zhì)檔案同樣的作用，且更加全面、高效。不過由于交易檔案是信息系統(tǒng)在運(yùn)行過程中的一種衍生資源，具有較強(qiáng)的專業(yè)性和一定程度的隱蔽性，當(dāng)前在審計(jì)領(lǐng)域并未得到充分利用。大數(shù)據(jù)時(shí)代，隨著紙質(zhì)檔案的逐漸消失，檔案電子化趨勢(shì)已成為必然，要實(shí)現(xiàn)高效的信息系統(tǒng)審計(jì)，交易檔案應(yīng)該發(fā)揮其更大的價(jià)值。

三、數(shù)據(jù)字典在信息系統(tǒng)審計(jì)中的應(yīng)用

（一）數(shù)據(jù)字典中的元數(shù)據(jù)

數(shù)據(jù)字典被比喻為信息系統(tǒng)內(nèi)部的信息中樞，負(fù)責(zé)存儲(chǔ)和管理一類特殊數(shù)據(jù)——元數(shù)據(jù)（Metadata）。英文里對(duì)元數(shù)據(jù)的解釋是：Data about data，這里的第二個(gè)data指的是業(yè)務(wù)數(shù)據(jù)（Business data），它記錄著服務(wù)端的全部管理和運(yùn)行信息。對(duì)于內(nèi)部審計(jì)人員來說，可能關(guān)注的問題有：服務(wù)端有哪些真實(shí)的訪問賬戶、每個(gè)賬戶下有哪些數(shù)據(jù)對(duì)象（表、視圖、報(bào)表等）、每個(gè)數(shù)據(jù)對(duì)象的結(jié)構(gòu)及數(shù)據(jù)訪問的權(quán)限分配有哪些等。審計(jì)人員通過訪問數(shù)據(jù)字典，可以完整地了解全部的業(yè)務(wù)數(shù)據(jù)及其在服務(wù)端的組織情況。借助數(shù)據(jù)字典，審計(jì)人員面對(duì)信息系統(tǒng)，不再“盲人摸象”，而是擁有“大象”的全部。

（二）數(shù)據(jù)觀察的全局化視野

數(shù)據(jù)字典是信息系統(tǒng)服務(wù)端的核心部件，服務(wù)于數(shù)據(jù)管理目標(biāo)，面向業(yè)務(wù)的普通賬戶連接并不會(huì)意識(shí)到它的存在。如圖1所示，業(yè)務(wù)端的賬戶1連接訪問的是數(shù)據(jù)集（局部業(yè)務(wù)數(shù)據(jù)）A，審計(jì)端的賬戶2連接訪問的是數(shù)據(jù)集B，兩個(gè)數(shù)據(jù)集的范圍可能存在交叉也可能完全隔離，這取決于服務(wù)端的數(shù)據(jù)訪問控制。理想情況，這里的數(shù)據(jù)集A和B應(yīng)該完全等價(jià)，這是實(shí)現(xiàn)真實(shí)審計(jì)的前提。然而實(shí)際情況并非總是如此，審計(jì)實(shí)踐中出現(xiàn)的真假兩套賬、賬外賬等違規(guī)違紀(jì)情形，都是A和B不等價(jià)的具體表現(xiàn)。

鑒于數(shù)據(jù)集A、B的不等價(jià)，信息系統(tǒng)中的數(shù)據(jù)在審計(jì)視角下和業(yè)務(wù)視角下呈現(xiàn)出兩套不同的數(shù)據(jù)景象。作為客戶端應(yīng)用，如果審計(jì)用戶使用常規(guī)的業(yè)務(wù)連接（如圖1所示的連接2）就不會(huì)發(fā)現(xiàn)數(shù)據(jù)集A的存在，更不會(huì)感知到A和B的不同，當(dāng)然也不可能感知到其它可能的數(shù)據(jù)集。然而所有的數(shù)據(jù)集都在創(chuàng)建時(shí)被平臺(tái)自動(dòng)注冊(cè)在數(shù)據(jù)字典中，如果審計(jì)用戶能夠通過具有管理權(quán)限的賬戶連接系統(tǒng)，如圖1的虛線部分所示，就能夠透過數(shù)據(jù)字典有效地觀察到全部的數(shù)據(jù)集（數(shù)據(jù)對(duì)象）及其業(yè)務(wù)內(nèi)容。

這里數(shù)據(jù)字典對(duì)于業(yè)務(wù)審計(jì)的應(yīng)用價(jià)值在于，它讓審計(jì)人員擺脫“盲人摸象”的境地，讓所有的業(yè)務(wù)數(shù)據(jù)透明化，消除審計(jì)視角下的數(shù)據(jù)盲區(qū)，實(shí)現(xiàn)業(yè)務(wù)數(shù)據(jù)全覆蓋。

四、交易檔案在信息系統(tǒng)審計(jì)中的應(yīng)用

（一）交易檔案的兩個(gè)側(cè)面

本質(zhì)上信息系統(tǒng)的運(yùn)行過程就是不斷執(zhí)行各種交易（業(yè)務(wù)處理）的過程，且服務(wù)端在執(zhí)行業(yè)務(wù)處理的過程中會(huì)即時(shí)生成電子化的交易檔案。其技術(shù)上的目的是為了應(yīng)對(duì)業(yè)務(wù)處理過程中可能存在的兩種情形，中途取消（undo）或事后重演（redo），于是交易檔案就有對(duì)應(yīng)的兩個(gè)部分，undo檔案和redo檔案。這是交易檔案的一體兩面，前者是為了防止交易在執(zhí)行過程中被取消（人工終止或因故失敗），數(shù)據(jù)需要被還原到交易前狀態(tài)，后者是交易被成功執(zhí)行后留下的例行記錄（交易憑據(jù)）。當(dāng)用戶發(fā)起一項(xiàng)業(yè)務(wù)請(qǐng)求時(shí)，用戶關(guān)心的是處理結(jié)果，而服務(wù)平臺(tái)關(guān)心的則是交易的可靠性和數(shù)字化軌跡。從審計(jì)的角度，交易檔案恰好成為我們觀察業(yè)務(wù)處理的一種過程化數(shù)據(jù)。

需要注意的是，聯(lián)機(jī)記錄交易檔案雖然是信息系統(tǒng)服務(wù)端的內(nèi)置行為，但交易檔案的保存時(shí)限卻和傳統(tǒng)的紙質(zhì)檔案一樣，完全由用戶根據(jù)業(yè)務(wù)管理的需要來確定，這也是信息系統(tǒng)服務(wù)平臺(tái)需要運(yùn)維的主要原因之一。目前電子化的交易檔案在信息系統(tǒng)中的存儲(chǔ)、管理和維護(hù)也日益規(guī)范化、持久化。

（二）數(shù)據(jù)與業(yè)務(wù)處理的可追溯性

交易檔案在信息系統(tǒng)的數(shù)據(jù)管理與日常運(yùn)維中有著多方面的用途，下面僅討論它在業(yè)務(wù)審計(jì)上的應(yīng)用。

如圖2所示，當(dāng)前時(shí)間為t2時(shí)刻，交易檔案存在于t1至t2區(qū)間（從技術(shù)上兩類檔案的區(qū)間可以相同也可以不同），并在t1時(shí)間點(diǎn)存在歷史數(shù)據(jù)的備份。通過t1時(shí)刻的數(shù)據(jù)備份，我們可以掌握t1時(shí)刻的靜態(tài)數(shù)據(jù)。但備份不能隨時(shí)進(jìn)行，故這些靜態(tài)數(shù)據(jù)只能存在于一些固定的歷史時(shí)刻。在業(yè)務(wù)審計(jì)過程中，如果我們需要觀察這些固定時(shí)刻之外的業(yè)務(wù)數(shù)據(jù)，就可以利用交易檔案來還原曾經(jīng)的業(yè)務(wù)處理過程，實(shí)施基于時(shí)間點(diǎn)的數(shù)據(jù)推演。這一機(jī)制為審計(jì)線索的追蹤提供了可靠的技術(shù)手段。

值得一提的是，利用交易檔案執(zhí)行數(shù)據(jù)推演可以正向進(jìn)行也可以反向進(jìn)行，如圖2的箭頭方向所示，兩個(gè)方向的推演都需要以某個(gè)時(shí)刻的業(yè)務(wù)數(shù)據(jù)作為起點(diǎn)。反向推演常以當(dāng)前狀態(tài)為起點(diǎn)，正向推演則需要以某個(gè)歷史時(shí)刻的狀態(tài)為起點(diǎn)（常由備份時(shí)刻實(shí)現(xiàn)，如圖2所示的t1時(shí)刻）。這里綜合運(yùn)用交易檔案的不同部分，可以實(shí)現(xiàn)更靈活的業(yè)務(wù)追蹤。如圖2所示，正反兩個(gè)方向都可以到達(dá)tx時(shí)刻;以此作為新的起點(diǎn)，數(shù)據(jù)推演可以繼續(xù)向前或向后，從而實(shí)現(xiàn)對(duì)歷史業(yè)務(wù)數(shù)據(jù)的動(dòng)態(tài)觀察。這就是由交易檔案實(shí)現(xiàn)的電子化查檔，相較于傳統(tǒng)紙質(zhì)檔案的查檔操作，這種方式更加方便、快捷、高效。

交易檔案作為信息系統(tǒng)一類重要的數(shù)據(jù)資源，其應(yīng)用遠(yuǎn)不限于上述的查檔與追蹤。融合應(yīng)用場(chǎng)景，可以實(shí)現(xiàn)更加廣泛的審計(jì)輔助，如在審計(jì)具有關(guān)聯(lián)關(guān)系的業(yè)務(wù)時(shí)，業(yè)務(wù)流程、時(shí)間節(jié)點(diǎn)等都是可能的審計(jì)要素，X、Y兩個(gè)業(yè)務(wù)事件，X至Y是正常的業(yè)務(wù)往來，Y至X則可能是某種違規(guī)、違紀(jì)行為。由此可見，交易檔案的應(yīng)用，改變了信息系統(tǒng)審計(jì)觀察數(shù)據(jù)的方式，業(yè)務(wù)數(shù)據(jù)不再是靜態(tài)的存在，而是一個(gè)動(dòng)態(tài)可追溯的過程。

五、構(gòu)建信息系統(tǒng)審計(jì)的模擬環(huán)境

一種新的審計(jì)思路與方法能否得到推廣應(yīng)用，取決于它能否被審計(jì)人員理解和掌握。為了實(shí)踐本文提出的信息系統(tǒng)審計(jì)思路，同時(shí)也為了該項(xiàng)審計(jì)方法的推廣、交流和培訓(xùn)，我們構(gòu)建了一套專門的模擬審計(jì)環(huán)境，其整體結(jié)構(gòu)如圖3所示。

以某單位的財(cái)務(wù)數(shù)據(jù)作為模擬審計(jì)對(duì)象，通過調(diào)度程序不斷注入典型的財(cái)務(wù)業(yè)務(wù)來保持財(cái)務(wù)數(shù)據(jù)的動(dòng)態(tài)性，用以模擬生產(chǎn)系統(tǒng)中的數(shù)據(jù)特性。一方面，通過數(shù)據(jù)字典我們可以清晰地觀察到不同登錄賬戶下的財(cái)務(wù)數(shù)據(jù)，了解財(cái)務(wù)數(shù)據(jù)在不同賬戶下的分布，避免數(shù)據(jù)視野僅局限于某個(gè)單一登錄賬戶下的弊端;另一方面，通過交易檔案為業(yè)務(wù)審計(jì)提供歷史數(shù)據(jù)的透視能力，即回顧指定資金的歷史變更情況及關(guān)鍵時(shí)間節(jié)點(diǎn)，如圖3所示的資金軌跡1、資金軌跡2等（兩者的交易頻度不同）。

下面簡(jiǎn)要介紹模擬實(shí)證環(huán)境的主要模塊及其功能。

（一）信息系統(tǒng)數(shù)據(jù)平臺(tái)

選擇業(yè)界廣泛使用的ORACLE系統(tǒng)，建立樣本數(shù)據(jù)庫(kù)，并提供一整套用于業(yè)務(wù)審計(jì)的財(cái)務(wù)模型（庫(kù)表結(jié)構(gòu)）。

（二）財(cái)務(wù)業(yè)務(wù)模擬器

一套可以按時(shí)間調(diào)度執(zhí)行的作業(yè)（Schedulable Job），用于模擬財(cái)務(wù)系統(tǒng)的典型業(yè)務(wù)。與生產(chǎn)系統(tǒng)不同的是，為方便驗(yàn)證對(duì)歷史數(shù)據(jù)的追蹤，這里的數(shù)據(jù)更新項(xiàng)都帶有明確的時(shí)間戳（Timestamp）信息。

（三）檔案管理與維護(hù)

隨著模擬業(yè)務(wù)的執(zhí)行，系統(tǒng)會(huì)持續(xù)生成交易檔案。此部分用于模擬財(cái)務(wù)系統(tǒng)針對(duì)交易檔案的管理、歸檔、有效期控制、過期處理等場(chǎng)景。

（四）數(shù)據(jù)字典應(yīng)用

認(rèn)識(shí)和理解數(shù)據(jù)字典，觀察其構(gòu)成，通過訪問數(shù)據(jù)字典驗(yàn)證數(shù)據(jù)模型的定義、結(jié)構(gòu)及其用戶模式（Schema）、權(quán)限等信息，觀察全部的財(cái)務(wù)數(shù)據(jù)。

（五）交易檔案應(yīng)用

在觀察當(dāng)前財(cái)務(wù)數(shù)據(jù)的基礎(chǔ)上，追蹤財(cái)務(wù)數(shù)據(jù)的演化歷史，主要功能有歷史數(shù)據(jù)采樣、賬戶資金的數(shù)字化軌跡、數(shù)據(jù)的波動(dòng)性分析等，如設(shè)置閾值，過濾出波動(dòng)顯著的賬戶及其對(duì)應(yīng)的資金、交易時(shí)間節(jié)點(diǎn)等。

進(jìn)一步地，如果結(jié)合實(shí)際的業(yè)務(wù)需求，如圖3所示的模擬環(huán)境可以實(shí)施和驗(yàn)證更廣泛的審計(jì)項(xiàng)目，如數(shù)據(jù)分析、安全審計(jì)、業(yè)務(wù)風(fēng)險(xiǎn)提示與預(yù)警等。

六、總結(jié)與展望

在進(jìn)入“大智移云”時(shí)代的今天，信息系統(tǒng)作為一種高度專業(yè)化的IT系統(tǒng)，對(duì)其進(jìn)行審計(jì)需要越過技術(shù)看數(shù)據(jù)，用數(shù)據(jù)說話，特別是業(yè)務(wù)審計(jì)。審計(jì)人員雖然不需要直接掌握相關(guān)技術(shù)，但需要理解并接受新技術(shù)、新觀念對(duì)我們看待數(shù)據(jù)方式的影響。本文從數(shù)據(jù)服務(wù)角度，提出一大類用于信息系統(tǒng)審計(jì)的數(shù)據(jù)觀察方法。一方面借助數(shù)據(jù)字典，審計(jì)人員可以打開觀察數(shù)據(jù)的視野，即通過元數(shù)據(jù)掌握業(yè)務(wù)數(shù)據(jù)全貌，消除業(yè)務(wù)審計(jì)中的數(shù)據(jù)盲區(qū);另一方面，借助交易檔案，審計(jì)人員可以“看見”過去的歷史，即通過基于時(shí)間點(diǎn)的數(shù)據(jù)觀察實(shí)現(xiàn)對(duì)業(yè)務(wù)數(shù)據(jù)的追蹤，在更寬的時(shí)域范圍上“透視”數(shù)據(jù)及其業(yè)務(wù)處理。綜合應(yīng)用數(shù)據(jù)字典和交易檔案，被審計(jì)業(yè)務(wù)及其數(shù)據(jù)可以得到立體化的呈現(xiàn)，由此審計(jì)人員獲得一種全方位的數(shù)據(jù)觀察手段，進(jìn)而在業(yè)務(wù)審計(jì)中掌握“用數(shù)據(jù)說話”的主動(dòng)權(quán)。

本文涉及的兩類數(shù)據(jù)資源是現(xiàn)代信息系統(tǒng)背后的原生數(shù)據(jù)，屬于典型的大數(shù)據(jù)范疇，其內(nèi)容真實(shí)地記錄了用戶數(shù)據(jù)的廣度（業(yè)務(wù)范圍）和深度（時(shí)間跨度），是開展信息系統(tǒng)審計(jì)的可靠數(shù)據(jù)源。然而因存在一定的技術(shù)門檻，目前這類數(shù)據(jù)在審計(jì)領(lǐng)域的應(yīng)用仍處于起步階段，其價(jià)值在信息系統(tǒng)審計(jì)實(shí)踐中有待進(jìn)一步發(fā)掘和利用。

我們認(rèn)為，大數(shù)據(jù)并不是空泛的數(shù)據(jù)，大數(shù)據(jù)的價(jià)值需要落實(shí)到具體的應(yīng)用上。為了實(shí)踐本文的信息系統(tǒng)審計(jì)思路，我們?cè)谔峁徲?jì)方法和模擬環(huán)境的基礎(chǔ)上，一并提出對(duì)應(yīng)的數(shù)據(jù)技術(shù)支持，希望對(duì)推動(dòng)大數(shù)據(jù)在審計(jì)領(lǐng)域的深入應(yīng)用有所示范。

（作者單位：山東工商學(xué)院，郵編：264005，電子郵箱：joracle@qq.com）

主要參考文獻(xiàn)

[1] 白露.美國(guó)審計(jì)署對(duì)美聯(lián)儲(chǔ)信息系統(tǒng)審計(jì)的主要做法及啟示[J].中國(guó)內(nèi)部審計(jì)， 2017（9）：84-86

[2] 山東省審計(jì)學(xué)會(huì)課題組，欒心勇，孟祥宇.山東大數(shù)據(jù)審計(jì)探索與實(shí)踐[J].審計(jì)研究， 2020（3）：29-35

[3] 嚴(yán)立鵬， 王優(yōu). 我國(guó)信息系統(tǒng)審計(jì)的現(xiàn)狀，創(chuàng)新與探索[J].中國(guó)新通信， 2018（15）：82

[4] Ioan Rus. Technologies and Methods for Auditing Databases[J]. Procedia Economics and Finance， 2015（26）： 991-999