全球数据跨境流动合作倡议
2024-11-22
世界互联网大会|美创数据库保险箱(DBSafe)发布!
2024-11-21
世界互联网大会|美创数据认知与分类分级系统(AICogniSort)重磅发布!
2024-11-21
美创案例|盐城公积金管理中心数据安全创新实践
2024-11-15
5=1!美创科技在中国数据安全软件市场主要厂商份额位列第五
2024-11-01
存储域
数据库加密 诺亚防勒索访问域
数据库防水坝 数据库防火墙 数据库安全审计 动态脱敏流动域
静态脱敏 数据水印 API安全 医疗防统方运维服务
数据库运维服务 中间件运维服务 国产信创改造服务 驻场运维服务 供数服务安全咨询服务
数据出境安全治理服务 数据安全能力评估认证服务 数据安全风险评估服务 数据安全治理咨询服务 数据分类分级咨询服务 个人信息风险评估服务 数据安全检查服务一、大数据审计是什么
谈到“大数据审计”这一名词,作为专业审计人员的我们都有听说过,但“大数据审计”究竟是什么、到底要做什么,可能一部分人就不能很好的回答出来。其实“大数据审计”就是利用大数据的思维方法进行审计分析的一种统称。与传统的审计相比,大数据审计更加强调事物的整体性和相关性,随着现代企业应用数据的不断增加,传统的抽样审计的方法无论是精确性还是时效性都渐渐的无法满足需求,而在大数据思维和计算机辅助审计技术(CAAT)的支持下,审计人员可以对检查主体的所有相关数据进行全覆盖审查,在审计检查过程可以通过发现数据的相关性,从中找到规律,然后进行逻辑推理和判断,进而确认差异。
二、大数据审计的基础
大数据审计的应用需要一定的基础支持,这些基础包括:数据的基础、人员的基础以及管理层支持的基础。
1.数据的基础
数据的基础可以分为数据的线上化、数据的可采集以及数据的可用三方面。
(1)数据线上化。大数据审计最重要的基础就是数据的线上化,可以说如果数据没有线上化就无法通过计算机做大量、全量的数据分析,就更不要提大数据审计了。其实近些年来,大部分企业都在做数据线上化的工作,比如我们的0A审批系统、财务系统、ERP系统等。但在很多公司中,各个系统之间都是相互独立的,而大数据审计的优势之一便是即便不同系统的数据无法互通,仍可采通过集数据进行关联性分析,快速准确的发现数据的异常。
(2)数据可采集。当然,只有数据线上化是不够的,不同系统后台数据的形式是各不相同的。我们不能在系统后台中直接做数据分析,而是需要将系统后台的数据采集到本机,转化成我们需要的格式(通常为XLS或CSV格式)进行分析。这就需要保证数据是可以采集的。首先我们要获取各系统数据库的访问权限,在系统的数据库中通过使用编写结构化语言(SQL)脚本的方式来获取我们需要的数据。
(3)数据可用。有些系统由于未做输入限制或输入校验,导致我们在数据的采集过程中会得到一些无效数据(如:借方金额的字段中包合:字母、符号、空值等对我们分析造成影响的数据)。对于这些无效的、缺失的数据,进行适当的剔除,以及统一格式不ー致数据的整个过程,可以统称为数据清洗(Data Cleaning)。数据清洗后便得到了数据分析的基础数据。当然,如果在数据提取过程中发现大量数据为无效数据,则应该多去关注一下操作人员及系统本身是否存在其它问题,这另当别论。
2.人员的基础
大数据审计是方法,而实施大数据审计的主体是专业的审计入员。审计人员需要掌握数据分析的基本技能,以及对分析过程中异常的、有价值的数据进行识别的能力。除了日常工作中的积累以外,还需要审计人员去学习提升数据分析的技能。这对审计人员来讲是一项新的挑战。一般情况下,可以通过外部机构培训、同行业或相关行业学习交流以及组织内部学习等方式达成目的。
除了需要提高审计人员自身的数据分析技能外,在一些大型金融企业中还专门配备了IT人员支持大数据审计。比如:在一个风险模型的运营团队中,通常包含了业务专家和模型开发人员两种角色。业务专家一般由经验丰富的审计人员担任,基于对业务流程的熟悉以及既往的审计发现,提供模型的构建线索;而模型开发入员一般由IT入员负责,部分审计入员作为辅助角色,负责模型逻辑的编写、验证工作及后续的上线工作等。
3.管理层的支持的基础
还有一个重要的基础是公司管理层对大数据审计的支持。在一个尚未开展大数据审计的公司,大数据审计需要在系统、数据的和人员的培训与招聘方面花费不菲的费用。因为内部审计的工作性质,导致其本身几乎不产生经济放益,而大数据审计建设的初期,由于系统数据尚未完备、人员技术能力尚末达标的等因素,很难做出成绩,也往往达不到管理层预期。所以作为大数据审计的推进者,首先自身需要足够了解大数据审计的具体方法及全流程,结合本企业的实际情况,预估需要投入的资源,并制定项目蓝图及具体可行的实施方法,给予管理层较为明确项目计划——项目阶段、资源需求、阶段性达成时间节点以及预期的达成情况等,让管理层明白大数据审计的投入和产出、以获取谅解和支持。
三、数据分析及规则模型的构建方法
基于以上的基础,审计人员便可以对海量的财务、业务数据进行数据分析。大数据审计方法从宏观角度可以分为“事中控制:规则模型监控”和“事后审查:数据分析”两个部分。
1.事中控制:规则模型监控。是以建立、运行规则建模的方式达到监控异常数据,将尚未发生或发生中的风险进行控制的目的。规则模型建立的素材来源一般是本公司既往发生过的风险事件、外部单位及监管部门公开批露的风险事件,同时也可以是审计人员在项目风险评估中发现的风险事项。将一件风险事件中风险的具体表现规则进行折分,便可以形成风险标签。风险标签一般情况下包含以下因素:风险事件发生的对象、风险事件的名称、风险事件可应用的审计场景、风险事件的成因及来源、可影响风险事件的可变因素、可变因素引起风险的临界值等几个要素。
当然,单一风险标的应用范围有限,通常会仅聚焦在一个点上,不能从多方位去分析问题,因此将多个可关联的同一对象的风险标签进行组合,便可以对这一对象进行多维度的分析,这便形成了规则模型的雏形。通过规则模型的应用,可实时将系统中符合模型设定条件的数据提取出来,及时传递给审计人员,以审查核实异常。当然,规则模型是需要检查人员在检查过程中不断的验证是否真实存在异常,还是我们的模型设计条件存在瑕疵。通过找出影响模型准确性的因素,发现到底是缺少或冗余了哪些条件,并将可以优化的建议提交给模型开发人员进行优化。
这里还存在一个问题,就是虽然风险点来源多种多样,但是模型验证的数据一般都为本公司的数据,这些数据到底数据够不够“大”呢?其实在一些技术成熟的金融企业,风险模型本身已经作为一种“产品”来存在。一个成熟的风险模型不但可以满足本公司的审计需求,同样也交给同行业其他公司使用。同业公司在使用过程中可以将模型的使用情况进行反馈,这样同业公司既节省了研发投入,本公司也可以在优化模型的同时获取一定的增值效益。这也许是审计发展中一种独特的“衍生价值”吧。
2.事后审查:数据分析。是在审计项目中,针对有的数据,使用数据分析的方法找出异常数据,进而确认问题的一种方法。与传统的抽样审计方法相比,大数据审计通常使用的是全量分析的方式,更加关注数据之间的整体性与关联性,而不局限于某个个体的单独特性。
数据分析的方法有很多,这里举一个视图法的例子:为了更好的让信息接收人识别信息是否存在差异,通常使用一些可视化的工具图表,以便于使用者能够直观的发现异常情況。对一些大中型企业来说,由于其数据量庞大,传统的EXCEL工具受限于有限的处理据的能力已经无法满足需求,而 EXCEL比较好的替代工具是一款由斯坦福大学开发的名为Tableau的软件,它处理数据的能力更加强大,而且它能帮助分析实际存在的任何结构化数据,可在几分钟之内生成美观的图表、坐标图、仪表盘与报告。利用 Tableau 简便的拖放式界面,可以自定义视图、布局、形状、颜色等等,帮助展现自己的数据视角。而且最为重要的是,它能够支持txt文本、XLS文件、SQL以及Oracle等多达45种格式的数据。以分析财务明细账的费用科目操作为例:
Tableau软件可以将科目名称、期间、经办人、报销次数、报销金额、成本中心等元素“拖拽”到横纵轴上,并以柱状图、线性图、散点图、面积图等多种图案相结合的方式进行展示。使分析人员能够很直观的观察到哪些样本的报销次数较高、报销金额较大,哪些报销人对同时应多个成本中心、报销次均费用较高、报销期间较为集中等,以不同方向发现数据异常。
四、大数据审计的误区
在部分企业中,大数据审计工作存在着一些误区,有的误区会影响到了审计效率,而有些误区更是将整个审计的方向“带歪掉”。
1.过分依赖数据
无论是事中控制还是事后审查,大数据审计都只是工具。审计人员的目的不是分析数据,而是通过确认和咨询服务发现风险,及时给管理层提供建议以保证股东及其他利益相关者的权益最大化。审计人员不应该仅把目光放在数据方面,更应该熟悉组织,了解组织所有者的关键需求,并时刻保持风险的识别与预判能力。我们分析出的数据要有价值,对企业要有帮助,不然任何数据分析都是镜花水月、一纸空谈。
2.人员分工不明确
部分企业中由于职责分配不清晰,在没有IT人员的技术支持下,由非专业的审计人员在全程负责模型的开发与运维工作。受限于专业技术水平,往往来源于金融、财务、业务、审计等专业的审计人员无法很好的完成像规则模型构建这类全流程工作。其实在大数据审计中,特别是构建规则模型的工作中,需要审计人员与IT人员通力协作。本着术业有专攻的原则,审计人员与IT人员都应该发挥各自专长:审计人员应担任起业务专家的角色,提供风险点、提供检查思路,拆解风险标签,为IT人员提供模型构建的基础;IT人员应负责后端的脚本撰写,脚本转换及后续的规则模型构建、上线、运维的工作。而审计人员同时也应参与模型的测试工作,找出影响模型准确性的因素,及时将优化建议传达给IT人员,以提高模型的准确性。
五、大数据审计与传统抽样审计
那么是不是有了大数据审计,就不需要传统的抽样审计了?其实并不完全是这样。虽然目前审计总体的发展趋势是由抽样审计向大数据审计演变,但是:
1.对于大部分企业而言,受限于信息化、数据化进程的缓慢,采集信息渠道的匮乏及审计人员数据分析技能水平欠缺等因素,大数据审计还暂时无法实现;
2.相对于新生的大数据审计而言,抽样审计已经存在、发展了很长时间。我们从最初的简单随机抽样研究出了多种多样的抽样方法,而各种抽样方法均有其薄弱及可取之处。大数据审计与传统抽样审计两者并非“非黑印白”的关系。大数据审计毕竟是新生儿,我们可以吸取前人经验、思路、教训,用以完善新生事物,这才是可持续发展的道路;
3.部分纸质材料(如合同等)是无法数据化的,因为其无法使用常规的数据分析方法,也没必要完全数据化。
综上,对于大部分企业而言,抽样审计方法仍有其存在的价值。
六、结束语
我们在日常审计工作中会遇到不同的风险事件,掌握“大数据审计”方法的我们能够更容易的通过数据发现异常,但是我们不能仅仅通过异常的表象就进行判定。没有两件完全一样的风险事件,每个相似的风险事件产生的原因都不尽相同一一其背后都隐藏着的不一样的故事。审计人员应该是一个会读故事、懂故事、讲故事的人。利用好大数据工具,我们能够更好的“读”出每个风险事件成因,“懂”得业务流程的薄弱环节,“讲”出企业存在风险,为董事会及利益相关者披露风险,减少损失,这是内部审计人员的职责所在,更是内部审计这个职业的魅力所在。
转载