大数据环境下审计风险及防控分析

随着信息化技术的高速发展,特别是大数据时代的来临，计算机技术在国民经济和社会生活各个领域的应用日益广泛,并深刻影响着审计环境、审计模式、审计技术等诸多方面。国务院在《关于加强审计工作的意见》中指出：“探索在审计实践中运用大数据技术的途径，加大数据综合利用力度，提高运用信息化技术查核问题、评价判断、宏观分析的能力。创新电子审计技术，提高审计工作能力、质量和效率。推进对各部门、单位计算机信息系统安全性、可靠性和经济性的审计”，如何在保证大数据环境下充分运用信息化技术提高审计工作能力、质量和效率的同时防范审计风险是审计人员面临的一个重要挑战。本文将重点分析大数据环境下审计面临的具体风险，并提出防控建议。

一、大数据的概念

什么是大数据？最早提出“大数据”时代到来的是全球知名咨询公司麦肯锡。麦肯锡提出：“数据，已经渗透到当今每一个行业和业务职能领域，成为重要的生产因素。人们对于海量数据的挖掘和运用，预示着新一波生产率增长和消费者盈余浪潮的到来”，并对大数据做出了以下定义：“大数据是一种规模大到在获取、存储、管理、分析方面大大超出了传统数据库软件工具能力范围的数据集合，具有海量的数据规模、快速的数据流转、多样的数据类型和价值密度低四大特征。”大数据带给我们的三个颠覆性观念转变：（1）不是随机样本，而是全体数；（2）不是精确性，而是混杂性；（3）不是因果关系，而是相关关系。

二、大数据环境下面临的审计风险

（1）数据采集风险

采集数据是审计分析的第一步，也是关系到审计质量的关键一步。特别是大数据环境下审计人员需要采集被审计单位的海量业务数据，在数据采集过程中审计人员主要面临两个风险：一是保证所采集数据的真实性、完整性，满足审计分析的需要；二是保证数据采集过程中被审计单位的系统安全性。

（2）大数据存储和管理的风险

海量的大数据从被审计单位采集回来，在存储和管理方面审计机关和人员面临两方面的风险：一是数据存储风险，海量的大数据如何进行存储，保证数据的完整性，同时可以供审计人员进行审计分析操作；二是数据管理的风险，被审计单位提供的数据包含大量的个人基本信息、敏感信息，审计人员面对如何对这些数据进行管理，从技术上和制度上保证这些数据不泄露到社会上的风险。

（3）数据分析质量风险

审计人员从被审计单位获取了审计需要的大量数据，接下来要做的就是数据整理、分析，发展审计疑点，对审计疑点进行核实，并生成审计证据。在数据分析过程中审计人员会面对以下审计风险：

1、面对海量数据和有限的审计时间，审计人员无法在审计要求的时间内对数据进行充分的研究、整理、分析和发现审计疑点，审计质量不高。

2、只对被审计单位的数据进行分析，忽略对被审计单位信息系统安全性、可靠性的关注，如果被审计单位系统出现重大漏洞，会对审计产生一定风险。

3、审计人员技术水平滞后，面对采集回来的数据无法进行处理和分析。比如，现在社保、公积金、医院等大量的数据使用OEACLE数据库进行管理，而我们的审计人员在进行计算机中级培训的时候学习的是SQLSERVER数据库，有些单位只有极少数审计人员或者没有审计人员熟悉掌握OEACEL数据库。审计人员采集回来数据如果要进行分析，只能依靠外部人员，或者转换成熟悉的数据库格式。但是依靠外部人员存在数据如何保密的风险，转换成其他数据库格式又存在数据丢失的风险。

4、电子数据不同于纸质资料，具有无形性和脆弱性的特点。其中，无形性是指电子证据存储在存储介质中，其内容与载体相互分离，复制不改变其完整性和真实性，相较纸质证据而言，

不易区分原件及复印件。脆弱性是指人为篡改或伪造易导致数据的灭失或失实，由此产生易被修改、损坏且不留痕迹的特征。审计人员面临着如何保证从原始数据到最终的审计证据的证据链的完整性，保证电子数据生成的证据的证明力的风险。

三、大数据环境下针对审计风险的防控对策

（1）规范数据采集管理，减少审计风险。

1、做好采集前的准备工作。主要包括三个方面：一是明确本次审计的目的，充分调研、了解满足审计需求需采集的数据范围；二是通过与被审计单位相关人员接触，熟悉被审计单位的信息系统流程和数据结构；三是根据审计目的和了解情况，提出明确的数据需求。

2、选择合适的数据采集时间。通过与被审计单位进行沟通，选择合适的时间，在不影响被审计单位正常业务的前提下进行数据采集。

3、制定科学的数据采集流程，并严格按照流程进行操作。审计人员应不接触被审计单位的系统和后台数据库，应只提出操作需求和数据要求，由被审计单位相关人员进行现场操作，审计人员全场监督。

4、数据采集前、采集后对相关数据进行检查，通过记录计数和控制总数检查、连续性检查、业务数据对比检查、重要数据检查、各处理阶段数据完整性检查、在周期性发生事项的完整性检查等必要的技术手段审查数据的真实性和完整性。

5、采集结束被审计单位应提供“数据真实完整性承诺书”、“数据采集语句”、“日志文件”、“数据采集现场记录（审计人员、被审计单位相关人员签字）”、“数据字典”等相关技术资料。

6、审计机关对移动存储设备进行杀毒，保证无病毒后存储被审计单位提供的资料。

7、由于电子数据无形性和脆弱性的特点，在使用移动存储设备存储同时，应将数据在存入移动存储设备的同时刻制成光盘，光盘上由审计人员和被审计单位相关人员签字，然后将光盘封存、加盖被审计单位公章，作为备份原始数据由审计机关保存。

（2）从技术和制度上完善大数据存储、使用管理，减少审计风险。

1、建立数据中心，集中管理审计大数据。审计数据只有严格规范的存储才能保证数据得到有效的管理和使用，防止出现失密和泄密的问题。地市级审计机关应该严格按照审计署和省厅的要求，建设审计数据中心，将各个行业采集来的大数据进行科学安全的管理。

在建设审计数据中心中应该注意以下方面：一是按照国家规范建设机房、确保数据中心硬件的安全性；二是按照上级要求建设数据中心相关平台；三是确保数据中心的网络安全，数据中心应与互联网物理隔离；四是加强用户管理，只开放必要的用户，同时对密码的长度和规则进行控制，使用CA认证登录；五是加强日志管理，所有对数据中心的操作有完整的日志进行记录；六是加强数据下载管理，严格控制下载权限，保证数据的安全性。

2、完善数据管理、使用制度。一是制定严格的数据管理制度，对数据的管理人员提出严格规范要求，规范审计人员使用数据的审批流程；二是建立完善的机房管理制度，非相关人员不得进入机房，进入机房人员应进行详细登记；三是建立大数据的使用制度，审计人员应该在指定的终端登录数据中心进行数据分析；四是建立数据下载制度，数据中心的数据审计人员在经过分析后需要下载的中间表和最终表应该经过严格的审批流程后由技术人员进行下载；五是审计人员应每年签订数据保密协议，保证不对外泄露相关资料。

（3）提高审计分析质量，减少审计风险。

1、充分使用数据中心，通过建立标准数据库和多行业数据关联提高审计人员的分析效率和质量。

面对大量的原始数据和表格和有限的审计时间，审计人员必须尽快熟悉被审计单位的数据结构、形成审计思路、查找出审计疑点，只有通过标准数据建设，才能将晦涩难懂的原始数据变成审计人员可以快速掌握和使用的数据，从而提高审计质量和效率。

被审计单位的数据库有ORACLE、SQLSERVER、SYBASE等多种形式，而审计人员往往只熟悉一