基于大数据技术的BCM审计方法研究

作 者:
陈伟 

作者简介:
陈伟,博士,南京审计大学教授,江苏省审计信息工程重点实验室副主任,研究方向为审计信息化、大数据审计。

原文出处:
会计之友

内容提要:

02


期刊代号:V3
分类名称:审计文摘
复印期号:2019 年 08 期

关 键 词:

字号:

      信息系统审计是目前审计信息化的一项重要工作,大数据环境同样对信息系统审计产生了影响。因此,大数据环境下如何开展信息系统审计成为一个重要问题。大数据环境下,仅仅靠常用的访谈、现场观察、文档查看、抽样、穿行测试等信息系统审计方法很难发现相关潜在的系统风险,而丰富的内外部数据为探索如何采用大数据相关技术开展信息系统审计提供了基础。笔者结合目前大数据审计与信息系统审计的研究与应用现状,以业务连续性管理(Business Continuity Management,BCM)审计为例,研究大数据环境下的信息系统审计问题。

      二、研究背景分析

      (一)业务连续性管理审计简介

      业务连续性管理是为了防止业务活动中断,保护关键业务流程不受信息系统失效或自然灾害的影响,将意外事件或灾难对业务的影响降低到最低水平。业务连续性管理包括识别和降低风险,制定连续性计划,建立应对意外事件或灾难的响应与恢复机制,测试和检查业务连续性计划的有效性与合规性,维护业务连续性计划。业务连续性管理审计的目的就是确保被审计单位的业务连续性管理符合相关要求。

      (二)目前常用信息系统审计方法存在的不足

      在开展业务连续性管理审计时,审计人员一般根据业务连续性管理的相关要求,逐项检查被审计单位是否有业务连续性管理相关制度,以及相应的执行落实情况。比如在开展业务连续性管理审计时,审计人员可以关注以下内容:检查是否建立一个专门组织或指定一个部门负责本机构业务连续性管理工作;检查是否制定规范的业务连续性计划(包括业务连续性管理相关规章制度、文件以及人员名单);检查是否制定规范的IT服务连续性计划(包括与IT服务连续性计划执行相关的规章制度、文件以及人员名单);检查业务连续性计划是否有年度应急演练等。

      目前常用的信息系统审计方法,如访谈、现场观察、文档查看、抽样、穿行测试等多是依据相关法律、法规、规章制度,基于审计人员的审计经验对相关问题进行地毯式排查或重点式查找,不能很好地发现一些隐藏的审计线索,因此,需要探索如何采用相关大数据技术开展信息系统审计。

      (三)大数据分析技术方法的选择

      根据目前业务连续性管理审计的需要和大数据分析技术的应用现状,可以采用以下审计方法:

      1.大数据多数据源综合分析技术

      大数据多数据源综合分析技术是通过对采集来的各行、各业、各类大数据,采用数据查询等常用方法或其他大数据技术方法进行相关数据的综合比对和关联分析,从而发现更多隐藏的审计线索。这种方法是目前审计领域应用大数据比较成熟和主流的内容。

      大数据环境下,可以通过大数据的多数据源综合分析技术发现相关线索,例如审计人员可以通过常用的SQL数据查询方法比较业务连续性管理相关数据和人力资源数据,或通过数值分析(重号分析)方法查找被审计系统中业务连续性管理数据是否重复,从而确认业务连续性管理相关制度的有效性。

      2.大数据可视化分析技术

      大数据可视化分析技术是从人作为分析主体和需求主体的视角出发,强调基于人机交互的、符合人的认知规律的分析方法,目的是将人所具备的、机器并不擅长的认知能力融入到数据分析过程中。大数据可视化分析技术也是目前大数据审计应用比较成熟和主流的内容。本文根据业务连续性管理审计的需要,选择了适合文本数据分析需要的标签云技术。

      三、基于大数据技术的业务连续性管理审计方法原理分析

      (一)大数据环境下业务连续性管理审计所需的主要数据

      1.被审计单位主要内部数据

      大数据环境为业务连续性管理审计提供了全方位分析的相关数据,审计人员可以从被审计单位采集相关业务介绍、部门年度工作总结、风险分析报告、审计报告等相关文本数据,通过这些文本数据,审计人员可以了解目前被审计单位的相关业务情况、风险等,便于审计人员开展相关审计工作。

      (1)风险分析报告

      通过分析被审计单位的相关风险分析报告等文本数据,审计人员可以判断该单位的信息系统建设、运行等工作中是否发生过相关风险。比如,审计人员采集被审计单位的“公司交易系统故障事件总结报告”等文本数据。

      (2)人力资源部门数据

      从被审计单位人力资源部门采集相关员工信息数据,通过该数据,可以掌握目前被审计单位所有员工信息以及变化情况,比如员工的相关信息(如工号等)、员工离职或单位内部岗位调整等信息。

      (3)被审计单位办公系统数据

      从被审计单位办公系统中采集公布的业务连续性管理应急人员名单,通过该数据,可以掌握目前该被审计单位业务连续性管理应急人员变化情况,比如用户离职或单位内部岗位调整等信息。

      (4)相关业务连续性管理制度

      通过分析被审计单位的相关业务连续性管理制度等文本数据,审计人员可以判断该单位是否有相关业务连续性管理制度,相关业务连续性管理制度的内容是否合理等。

      2.被审计单位主要外部数据

      除了通过以上方法获得被审计单位的内部数据之外,审计人员还可以通过一些大数据工具抓取外部相关网站上的数据,如关于被审计单位的相关信息安全事件的新闻报道、监管部门出具的相关警示函等,通过对这些数据的采集和分析,便于审计人员辅助判断被审计单位在业务连续性管理方面是否出现过相关风险。

相关文章: