大数据审计所面临的风险和挑战研究

原创 雍博文 审计观察

大数据指无法在一定时间范围内用常规软件工具进行捕捉、管理和处理的数据集合，是需要新处理模式才能具有更强的决策力、洞察发现力和流程优化能力的海量、高增长率和多样化的信息资产，具有大量、高速、多样、低价值密度、真实性五个特点。随着大数据在人们日常工作生活中的普及，在很大程度上影响着人们的工作生活方式。就审计工作来看，传统的审计手段已然无法适应新时代审计事业发展的需要，因此主动融入大数据审计时代，主动运用大数据审计技术方法成为推动审计事业发展首要路径。但我们也应清醒地认识到大数据审计正面临着新的风险与挑战，要以积极的态度采用积极的方式方法应对。通过分析，作者认为大数据审计在数据、人员、存储介质和传输通道、保密方面存在多种不确定风险。

一、大数据审计面临的新的风险

大数据审计与审计大数据密不可分，前者主要关注“审计”，后者着眼“数据”，大数据审计不再走随机分析法（抽样调查）这样捷径，而采用对所有数据进行分析处理并与特定事项相关联，从而发现其潜在的规律。所谓审计大数据，就是一切可用于审计分析的数据集合。审计人员运用大数据分析方法对审计大数据进行计算、分析，充分释放出审计大数据的内在价值，促进审计成果更好地为国家治理服务。但大数据审计目前正处在发育阶段，数据的管理与采集、存储和运用仍存在较多的问题，不但给审计工作增加了难度，更提高了审计风险。

（一）数据本身存在的风险

1、被审计单位通过业务流程产生的数据存在固有风险

有的被审计单位内部控制体系不健全或执行不严，不能及时预防或检测出存在的重大错误，有的被审计单位人为故意，用虚假资料捏造经济业务数据，审计时将存在重大错误或虚假数据当成一般数据进行分析处理，分析结果难以识别存在的问题，包括：

（1）内部控制体系不健全或执行不严造成的数据干扰风险。有的单位内控制度对审核程序设计不严密，上一阶段形成的业务数据存在的重大错误没有被发现，下一个阶段的业务又继续办理，造成看似正常业务流程掩盖了重大错误；有的极个别业务人员绕过业务流程，在流程之外办理业务，该业务数据并没有录入信息系统，造成业务数据不全。

（2）被审计单位的舞弊造成的风险。个别被审计单位出于不同的目的，用虚假资料捏造经济业务数，产生的数据自然存在风险。

2、数据割裂、片段、不连续

目前，各级审计机关与被审计对象之间的信息系统尚未完全建立数据访问与数据共享机制，审计大数据的获取仍停留在按需收集的阶段。虽然审计部门每年都能获得财政、地税、社保等主要数据，以及残联、车管、房产等三方辅助数据，但这些数据都是被动获得，并非相关部门主动收集、整理上报，因此未安排审计的单位部门或行业，以保密或其他理由为借口，不提供或不完全提供相关数据，导致数据在时间上出现不连续，在内容上出现割裂和碎片化。

3、数据实时性不强，错误、冗余、难关联

在基层，一是信息系统管理人员严重缺失，很多部门信息系统已建立多年却不能有效使用，数据实时性不强，收集的数据口径不一，出现不同程度的错误、冗余；二是各部门各自为阵现象较为明显，部门间数据很难实现共享，通过审计机关收集的数据必须经过审计人员投入大量精力整理后才能关联；三是各行业的信息系统在开发前对基层业务流程调研不足，导致开发出来的信息系统与业务流程脱节，业务人员不能完全在信息系统中办理日常业务，业务流程走完后还要录入一次，既浪费人力物力，又不能保证数据的完整性；四是信息系统逻辑检验不严，该录入的数据不录入也没有必要的提示，导致形成的数据前后矛盾，有的甚至为空。

4、数据字典缺失、完整性被破坏

如医院、保险等一些专业性较强的行业，信息系统数据庞大，信息系统管理人员只懂系统不懂专业，导出的数据并不能完全满足审计人员的需要，再加上部分管理人员并不能提供完整、准确的数据字典，审计人员只能自己摸索字段含义，导致最终形成的数据并非完整、准确的业务数据，甚至可能导致分析结果存在根本性错误。

5、信息系统存在的漏洞

信息系统自身存在的漏洞是审计人员与被审计单位最容易忽视的。其主要体现在被审计单位的信息系统的建立与维护大部分是由三方专业机构负责，在使用过程中根据实际操作的便利性调整相关模块，但对流程的合理性、权利的监管情况考虑不完善。

各部门各行业正在使用的信息系统，有的是自行开发的，在系统设计时根本就没有考虑数据规范化的问题；有的是上级主管部门委托企业开发设计的，在开发时没有进行充分调查，特别是没有与基层业务操作人员见面，开发的系统操作不简便，基层业务人员根本不容易使用；有的系统短时间内不断升级，更有甚者新版本完全抛弃老版本，致使新老版本数据不兼容，老版本形成的历史数据也被抛弃，形成数据断代。

6、数据关联度差

不同信息系统之间的数据关联性差，这个问题在不同单位、不同行业的信息系统中普遍存在，而大数据的魅力和价值只有在数据关联、汇聚、融合后方能体现出来。当前一方面由于被审计单位业务不规范，审计机关从多个口径获取的数据存在表述不一致、信息不完整、内容不规范的问题，人为地给数据关联匹配制造了障碍。

（二）人员因素风险

1、数据采集与转换的人员风险

大数据分析的关键还在“分析”上，分析就离不开人。现行的数据采集转换工作，受到数据采集人员的影响很大。一是采集人员不熟悉被审计单位的信息系统，如果没有与被审计单位进行充分的沟通交流，可能导致采集不成功，或者采集的数据不完全；二是转换过程中，可能存在不同数据库系统之间的不兼容，导致数据不能完全转换为审计可用数据；三是个别采集转换人员责任心不强，在采集转换过程中未充分关注数据的完整性和逻辑关系，导致转换后的数据不能满足分析的需要，甚至可能导致分析后形成错误的结果。

2、大数据分析缺少思路和工具

在审计过程中，审计人员根据经验判断哪些方面可能存在问题，计算机分析人员根据审计人员提供的思路设计分析语句并筛查出结果。这是我们现在运用大数据审计常用的模式，这一模式在审计工作中取得了一定的成效。但我们需要注意的是：如果审计人员提出的思路本身就存在问题，或者审计人员提出的思路与获取的审计数据不能非常紧密地结合或无法结合，或者审计人员提出的所有审计思路不能查出被审计单位的问题而问题本身又客观存在，这时候就存在较大的审计风险。

现实条件下，我们所运用的分析工具，审计思路与审计思路的实现难以做到无缝衔接，审计人员和计算机分析人员必须紧密配合。如果能做到审计人员提出审计思路，分析工具就可以智能化地判断审计思路是否适当、是否能通过分析语句实现，并自动生成查询语句，那么我们的“智慧审计”就实现了。

3、分析和核查过程中存在的人员风险

在数据分析和审计人员现场核实的过程中，因为审计人员和计算机分析人员受经验、学识、思路等因素影响，可能存在风险。

（1）数据准备所面临的风险。在数据准备阶段，审计人员需要收集被审计单位大量数据，包括标准化数据和非标准化数据，财务数据和业务数据。对财务数据、业务数据等标准化数据的采集转换很多审计人员都能正确采集转换，但对业务数据中的非标准化数据，采集转换过程中可能存在较大风险。

（2）数据分析与审计业务结合中存在的风险。审计人员与数据分析人员之间沟通交流不充分，审计人员不能用数据思维提出审计思路，分析人员不能完全理解审计思路，导致数据分析结果与审计思路不同轨、不同向，从而影响审计质量，埋下风险隐患。

（三）数据安全风险

1、存储介质存在的风险

数据的存储会受到存储介质本身质量、存储介质技术发展、存储介质使用和存放环境等因素的影响，可能存在存储介质损坏的风险。这种问题在基层审计机关存在的可能性更大，因为基层审计机关的办公条件、技术条件都还难以短期内满足更高要求的存储要求，如保存环境、保管方式不妥造成储存介质损毁、被盗，则对于数据的重新获取造成极大困难，对审计工作的保密性也会产生巨大影响。

2、数据传输使用中存在的风险

大数据审计环境下，审计人员在开展日常审计业务中，常常忽视数据安全风险。数据安全风险主要包括：一是数据在审计人员间的调取、使用缺乏有效的授权约束机制；二是数据在存储和转移过程中遇到的数据泄密和数据丢失；三是数据在现场审计结束后缺乏统一的数据移交和保密措施。

二、大数据审计中应对风险和挑战的策略研究

大数据审计中虽然存在一些风险和挑战，但科学组织下大数据审计能够实现精准锁定问题方向、能够变抽查式审计为全面审计、能够大大提高审计效率并节省人力物力，是实现“穿透式审计”和“智慧审计”的必由途径，所以开展大数据审计是当前审计机关和审计人员必须认真思考并积极投身于其中的一件大事。结合本人工作，提出以下应对措施：

（一）审计机关提前介入各行业信息系统开发

信息系统的开发，不仅要满足本系统业务办理等功能，还应当确保潜在使用者在需要时能获取相关数据，扩大信息系统的运用层面。因此，建议在上级审计机关提前介入各行业、各系统的信息系统开发工作，确保在遵守保密纪律的前提下，让各系统、各行业的信息系统更好地满足大数据审计的需要。

（二）各行业数据自动归集

审计所需数据的提取、归集是开展大数据审计的前提，没有提取到数据或提取的数据不完全，数据筛查和分析的结果就会出现偏差，这将在很大程度上影响审计质量，埋下审计风险。因此，建议各行业、各系统在开发信息系统时，应考虑数据的自动归集问题。即信息系统在完成业务流程后自动将所形成的数据向集中数据归集平台传送数据，这样可以解决审计人员分析提取数据的工作量，大大缩短审计时间，提高审计时效，也可以避免出现数据不全和传输过程中失密泄密的风险。这是解决数据从哪里来的问题。

（三）审计系统集中建设大数据归集平台

前文提到数据自动归集，但数据归集到哪里去？谁可以接受数据？这是我们必须解决的问题。数据自动归集通过传输通道向大数据归集平台传送，建议在审计厅建立数据归集平台，将各系统、各行业的财务数据和业务数据集中分类存储，为各级审计机关进行大数据审计分析打好数据基础。

（四）审计分析思路库与计算机专业人员的结合

做好了审计大数据的标准化工作，建立了数据自动传输机制大数据风险，建好了数据归集平台，我们就解决了数据本身存在风险和传输通道风险，在一定程度上也解决了保密风险和人员风险。为了更好地解决保密风险和人员风险，我们需要在省厅的层面建立审计分析思路库，这个思路库的建设可以集中全省审计人员的智慧，由审计人员提出审计思路，经审核确认正确可行，交由计算机技术人员转换成筛查分析语句，保存在思路库中，以备审计人员直接使用。

这样一来，既解决了人员风险，利用了全体优秀审计人员的专业优势，又与计算机专业人员的优势相结合，可以极大地提高审计大数据的利用效率，提高大数据审计分析的精准度，从而解决因审计人员与计算机专业人员结合不好的问题。

在今后的人才队伍建设中，培养一批既懂大数据分析技术又懂审计业务的复合型人才队伍，提高审计的准确性与效率。

（五）审计作业网络与其他网络物理隔离

为了大数据审计各环节不出现失密泄密事件，除了加强对审计人员的保密培训外，还应当从数据环境上做好保密防范工作。建议金审三期工程建设应考虑将审计作业网络与其他网络作物理隔离，这样的考虑主要为了保证审计作业资料的保密和联网审计上下联动。

（六）加强审计人员教育

无论建立多么好的机制，打造多么好的环境，如果没有人会用、能用，一切都将是空谈。因此，加强对审计人员的培训，让审计人员学会用大数据的思维思考审计工作，用大数据思维提出审计思路，用大数据思维进行审计分析，才能真正融入大数据审计时代。

（七）数据安全的应对措施

采取多种方法确保数据的安全。一是加强储存数据的管理，避免人为疏忽造成损坏与丢失。二是设置严格的访问和控制程序，避免无关人员获取数据。三是严控转移程序，严防数据外泄。四是加强内部控制制度建设，建立权责明确的交接手续。

一个全新的伟大时代已经到来。我们有充分的理由相信，我们审计人完全能够经受住各种挑战，不断提升个人能力与团队战斗力，提高风险防控能力，以最好的状态完成党和国家赋予审计的新使命。（作者单位：四川省广元市朝天区审计局）

（编辑：源码门户网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!