信息系统审计是目前审计领域研究与应用的重要内容,其中,信息系统AC(应用控制,Application Control)审计是信息系统审计的重要内容。简单地讲,信息系统应用控制是为了适应各种数据处理的特殊控制要求,保证数据处理完整、准确地完成而建立的内部控制,它针对的是与信息系统应用相关的事务和数据,目的是确保数据的准确性、完整性、有效性、可验证性、可靠性和一致性。应用控制审计的目的就是确保被审计单位的应用系统控制符合相关要求。 传统环境下,被审计单位信息化程度低,应用系统较简单,因此,对于信息系统应用控制审计只需要做访谈或简单的测试即可。金融科技的研究与应用是近年来金融信息化领域的热点问题。随着金融科技的广泛应用,目前金融机构信息化程度较高,应用系统较多。因此,金融科技信息系统应用控制审计成为一个重要挑战。为了防范化解金融风险,金融科技风险审计成为目前审计工作的一项重要内容。金融科技环境下,仅靠现有的审计方法很难发现潜在的信息系统风险,创新审计方法成为必然。 尽管目前已有一些关于大数据审计方法的研究,如大数据审计的现状与发展,大数据环境下电子数据审计的机遇、挑战与方法,基于大数据可视化技术的审计线索特征挖掘方法,以及基于社会网络分析的金融科技系统用户管理风险审计方法等,但目前直接针对金融科技系统应用控制风险审计方法的研究仍较少。本文结合目前大数据审计技术、信息系统审计,以及金融科技风险审计的研究与应用现状,探索如何采用大数据可视化技术开展信息系统应用控制审计。 二、基于大数据可视化技术的信息系统应用控制审计方法分析 (一)大数据可视化技术分析 常见的大数据审计技术一般包括大数据多数据源综合分析技术、大数据可视化分析技术,以及大数据智能分析技术。其中,大数据可视化分析技术是目前较为流行的技术。常用的大数据可视化分析技术包括气泡图、柱状图、折线图、饼图、散点图、热力图、标签云(文本可视化分析)等。 (二)基于大数据可视化技术的信息系统应用控制审计方法原理 大数据可视化技术为信息系统应用控制审计带来了机遇。大数据环境下,为了更好地审计信息系统的应用控制风险,可以从被审计单位信息管理部门采集相关数据。通过对这些数据进行分析,可以掌握目前该被审计单位相关应用系统的应用控制风险。基于大数据可视化技术的信息系统应用控制审计方法原理可简单描述为:采集被审计信息系统的相关数据,采用大数据可视化技术对相关数据进行建模和可视化分析,通过对可视化结果图形和图像进行分析和观察,发现被审计信息系统应用控制中的风险。在此基础上,通过对以上发现的这些风险做进一步的延伸审计和审计事实确认,最终获得审计证据,从而为防范化解信息系统风险打下了基础。 综上分析,基于大数据可视化技术的信息系统应用控制审计方法原理如图1所示。
三、基于大数据可视化技术的信息系统应用控制审计案例及分析 (一)案例背景简介 一般来说,对信息系统开展应用控制审计的主要思路如下: 1.分析被审计信息系统的业务流程。 2.根据被审计信息系统的业务流程,识别被审计信息系统的应用控制活动。 3.根据识别出的被审计信息系统流程中关键的应用控制点,采用大数据可视化技术对其进行建模和测试分析。 4.通过对相关数据进行测试分析,发现被审计信息系统的相关应用控制风险,并与被审计单位进行沟通确认。 以某商业银行金融科技贷款业务信息系统审计为例,假设审计人员现已从该行信息科技部获取了贷款业务系统审计所需的“对公客户数据”“贷款分户账数据”“贷款分户明细数据”“对私分户明细数据”“企业性质数据”等数据。如图2所示。现通过对这些数据进行分析,检查该商业银行金融科技贷款业务信息系统的应用控制风险。 (二)信息系统输入控制风险可视化分析示例 1.数据缺失问题分析 如果被审计信息系统输入缺少系统检验,则系统中会出现数据缺失的情况。因此,为了检查被审计的贷款业务信息系统是否存在输入控制风险,可以对相关数据进行分析,检查系统中是否存在数据缺失问题,从而判断被审计信息系统是否存在输入控制风险。比如,在贷款信息录入过程中,如果贷款卡号输入缺少系统检验,则系统中会出现贷款卡号为空的情况。如果贷款开户日期输入缺少系统检验,则系统中会出现贷款开户日期为空的情况。 以贷款业务信息系统中的“对公客户数据”为例,查看“对公客户数据”中的数据缺失情况,借助R语言进行建模对其进行可视化分析,其结果示例如图3所示。 在图3中,颜色的深浅表示数据值的大小,浅色表示数据值小,深色表示数据值大,深灰色表示数据值缺失。由图3可以清晰地看出被审计单位的贷款业务信息系统中存在数据缺失的情况,其中有些字段的缺失值较少,有些字段的缺失值较多,同时也存在一些字段的值完全缺失,如“公司电话”“联系人”等字段,这些问题的存在对该被审计单位金融科技系统的运行管理造成潜在的风险隐患。 2.数据重复问题分析