大数据、云计算的快速发展与应用,在给审计行业带来机遇的同时,也带来了一系列的挑战,并引起了业界学者的广泛关注。纵观现有的研究发现,目前关于大数据、云计算环境下的审计研究主要集中在数据审计研究方面,而关于大数据、云计算环境下信息系统审计的相关研究涉及较少。鉴于此,本文在分析大数据对传统信息系统审计产生影响的基础上,构建了大数据时代基于云计算的信息系统审计实施框架,并对该框架下的信息系统审计实施流程进行了深入的阐述。 一、大数据对传统信息系统审计产生的影响 随着社会信息化和行业信息化的普及,特别是大数据、云计算技术的兴起,越来越多的企事业单位(如医疗、交通、金融、零售、电力等行业内的单位)开始运用大数据、云计算为代表的信息技术去重构信息系统,这些信息系统是孕育数据的“母体”,它们产生了种类繁多、数量巨大的信息流和数据流。信息系统审计以信息系统为审计对象,而企业的信息系统是一个由人和计算机组成的集产、供、销及财务于一体的综合性信息系统,因此,开展信息系统审计需要对信息系统的每个要素(包括人、信息、数据、各种设备以及控制和服务等)进行审计。大数据对信息系统审计的实施提出了更高的要求,对信息系统审计的内容、审计技术方法、审计思维和审计线索等方面产生了较大的影响。 (一)大数据对信息系统审计内容产生的影响 大数据在给信息系统审计带来便利的同时,也影响了信息系统审计,给信息系统审计的内容带来了新的挑战。根据审计署关于印发信息系统审计指南——计算机审计实务公告第34号的通知,信息系统审计的内容包括一般控制审计、应用控制审计和项目管理审计。 1.一般控制审计 一般控制审计是指对被审计单位信息系统正常运行的制度和工作程序进行审查,包括信息系统总体控制审计(主要指信息系统总体控制的战略规划、组织架构、岗位职责等)、信息安全技术控制审计(主要指物理安全控制、网络安全控制、主机安全控制、应用安全控制等)和信息安全管理控制审计(主要指安全管理机构、安全管理制度、系统建设安全管理、系统运维安全管理等)。大数据时代,信息系统在运营的过程中,会产生海量的结构化、半结构化和非结构化数据,为了保障这些种类繁多、结构复杂、数量庞大的数据安全,必须要建立庞大的组织管理体系并采取相应的安全策略(如对网络、信息系统硬件等采取相应的安全控制措施),这同时也对信息系统审计人员提出了更高的要求,要求信息系统审计人员在掌握审计知识的同时,还必须要了解各种现代化信息技术、信息安全管理体系、IT安全技术等有关知识。 2.应用控制审计 应用控制审计主要包括信息系统业务流程控制审计(包括业务流程设计、业务流程处理以及业务流程功能)和信息系统数据控制审计(包括数据输入控制审计、数据处理控制审计和数据输出控制审计)。大数据环境下,为了保证信息系统产生的类型繁多、数量庞大的数据安全和有效,需要对信息系统的业务流程、数据输入、数据处理以及数据输出设置更多的、必要的控制环节,而且各个控制环节之间的逻辑关系更加复杂、联系更加紧密。针对这样的情况,如何使用有效的审计技术方法,对信息系统业务流程控制、数据输入控制、数据输出控制、接口控制以及数据库管理系统控制等进行高效检测,成为大数据时代信息系统审计人员必须面对的难题。 3.项目管理审计 项目管理审计主要包括信息系统建设经济性审计(包括信息系统规划经济性审计、信息系统建设经济性审计、信息系统运维经济性审计等)、信息系统建设管理审计(包括项目审批管理审计、项目建设管理审计、项目资金管理审计、项目验收管理审计等)和信息系统绩效审计(包括信息系统总体绩效、信息资源共享能力的绩效、管理决策支持能力的绩效等)。大数据环境下,信息系统各个模块间的勾稽关系更加复杂,产生的数据流与信息流也呈现几何级的增长,因此,相对传统的信息系统审计而言,信息系统审计的各个环节变得纷繁复杂,信息系统审计人员需要调查和了解的事物也比传统的信息系统审计多得多,这都给大数据时代信息系统审计人员提出了更高的要求和挑战。 (二)大数据对信息系统审计技术方法产生的影响 大数据环境下,随着结构化、半结构化和非结构化数据的持续增长,以及分析数据来源的多样化,很多传统的信息系统审计技术方法和工具已经无法适应信息系统审计的要求,这就需要更新审计理念、优化审计应用模型、创新信息系统审计技术方法和工具,构建大数据时代信息系统审计技术方法体系。在实施信息系统审计过程中,必然要使用到云计算、大数据、分布式结构、云数据库、联网审计、数据挖掘等新型的技术手段和工具。如系统调查法、资料审查法、检查流程图法、控制矩阵法、测试数据法、平行模拟法、受控处理法、嵌入审计程序法等方法。使用的工具如现场审计实施系统(AO)、通用审计软件、数据库审计工具、系统和网络漏洞扫描、日志安全审计等。 (三)大数据对信息系统审计人员审计思维产生的影响 在传统的小数据时代,由于审计人员力量和数据分析能力的双重限制,不可能采集和分析所有的数据,因此往往采用抽样审计的方法。这种抽样审计的模式,由于抽取样本的有限性,而忽视了大量的业务活动,无法完全发现和揭示被审计单位的重大舞弊行为,隐藏着严重的审计风险。大数据技术的产生,使得数据信息的采集与分析可以跨行业、跨企业,审计范围不再受制于抽样样本,而是可以着眼于全部数据,审计人员可以建立“样本=总体”的审计思维模式,这种基于总体审计的思维模式,转变了信息系统审计的审计思维模式,给信息系统审计人员提供了一种从总体上把握审计对象的手段,更能发现问题的本质。