摘要:大数据时代、云计算技术的到来,给信息系统审计工作带来了新的机遇和挑战,在这种情况下,为了充分发挥大数据和云计算技术在信息系统审计应用中的优势,如何将大数据、云计算与信息系统审计的工作进行有机的结合,是审计机构需要思考的问题。因此,本文在分析大数据环境下信息系统审计面临审计内容、审计技术方法、审计思维和获取审计线索等方面的挑战的基础上,构建了大数据环境下基于云计算的信息系统审计实施框架,并对该框架下信息系统审计的整个实施流程进行了阐述,为云计算下实施信息系统审计提供了理论支持。
关键词:云计算 大数据 信息系统审计
2015年中共中央办公厅、国务院办公厅印发了《关于实行审计全覆盖的实施意见》(以下简称《实施意见》),《实施意见》指出审计机关要建立健全数据定期报送制度,加大数据集中力度,对获取的数据资料严格保密;适应大数据审计需要,构建国家审计数据系统和数字化审计平台,积极运用大数据技术,加大业务数据与财务数据、单位数据与行业数据以及跨行业、跨领域数据的综合比对和关联分析力度,提高运用信息化技术查核问题、评价判断、宏观分析的能力;探索建立审计实时监督系统,实施联网审计。大数据、云计算的快速发展与应用,在给审计行业带来机遇的同时,也带来了一系列的挑战,并引起了业界学者的广泛关注,如魏祥健(2014)在对云计算的研究与应用现状分析的基础上,提出了云审计的概念,并构建了云审计平台的架构,研究了云审计平台下的协同审计模式及协同审计模式的实现方式。程平等(2016)在对云会计环境下大数据审计关注要点进行分析的基础上,构建了云会计环境下基于COBIT标准的大数据审计框架体系,然后对该框架下的大数据审计实施过程进行了深入的阐述。陈伟等(2012)在对联网审计现状研究的基础上,从被审计单位使用云平台、审计单位使用云平台、审计单位和被审单位都使用云平台研究了联网审计实现方法,从云平台整体控制与应用控制的视角、基于云平台选择的视角、基于云平台服务的视角研究了实施联网审计存在的风险。
纵观现有的研究发现,目前关于大数据、云计算环境下的审计研究主要集中在数据审计的研究方面,而关于大数据、云计算环境下的信息系统审计的相关研究涉及的较少,鉴于此,本文在分析大数据对传统信息系统审计产生影响的基础上,构建了大数据时代基于云计算的信息系统审计实施框架,并对该框架下的信息系统审计实施流程进行了深入的阐述。
一、大数据对传统信息系统审计产生的影响
随着社会信息化和行业信息化的普及,特别是大数据、云计算技术的兴起,越来越多的企事业单位(如医疗、交通、金融、零售、电力等行业内的单位)开始运用大数据、云计算为代表的信息技术去重构信息系统,这些信息系统是孕育数据的“母体”,它们产生了种类繁多、数量巨大的信息流和数据流,正是因为信息系统的大爆炸造就了大数据时代的到来,同时,大数据的爆发性增长又进一步催生了更加复杂、更加庞大的信息系统。信息系统审计是以信息系统为对象的审计,而企业中的信息系统是一个由人和计算机组成的产、供、销及财务于一体的综合性信息系统,因此,开展信息系统审计需要对信息系统的每个要素(包括人、信息、数据、各種设备、以及控制和服务等)进行审计。大数据对信息系统审计的实施提出了更高的要求,对信息系统审计的内容、审计技术方法、审计思维和审计线索等方面产生了较大的影响。
(一)大数据对信息系统审计内容产生的影响。大数据在给信息系统审计带来方便的同时,也影响了信息系统审计,给信息系统审计的内容带来了新的挑战。根据审计署关于印发信息系统审计指南——计算机审计实务公告第34号的通知,信息系统审计的内容包括一般控制审计、应用控制审计和项目管理审计。
1.一般控制审计。一般控制审计是指对被审计单位信息系统正常运行的制度和工作程序进行审查,包括信息系统总体控制审计(主要指信息系统总体控制的战略规划、组织架构、岗位职责等)、信息安全技术控制审计(主要指物理安全控制、网络安全控制、主机安全控制、应用安全控制等)和信息安全管理控制审计(主要指安全管理机构、安全管理制度、系统建设安全管理、系统运维安全管理等)。大数据时代,信息系统在运营的过程中,会有海量的结构化、半结构化和非结构的数据产生,为了保障这些种类繁多、结构复杂、数量庞大的数据的安全,必须要建立庞大的组织管理体系并采取相应的安全策略(如对网络、信息系统硬件等采取相应的安全控制措施),这同时也对信息系统审计人员提出了更高的要求,要求信息系统审计人员在掌握审计知识的同时,还必须要了解各种现代化信息技术、信息安全管理体系、IT安全技术等有关知识。
2.应用控制审计。应用控制审计主要包括信息系统业务流程控制审计(包括业务流程设计、业务流程处理以及业务流程功能)和信息系统数据控制审计(包括数据输入控制审计、数据处理控制审计和数据输出控制审计),大数据环境下,为了保证信息系统产生的类型繁多的、数量庞大的数据安全和有效,需要对信息系统的业务流程、数据输入、数据处理以及处理输出设置更多的、必要的控制环节,而且各个控制环节之间的逻辑关系更加复杂、联系更加紧密,针对这样的情况,如何使用有效的审计技术方法,对信息系统业务流程控制、数据输入控制、数据输出控制、接口控制以及数据库管理系统控制等进行高效检测,成为大数据时代信息系统审计人员必须面对的难题。
3.项目管理审计。项目管理审计主要包括信息系统建设经济性审计(包括信息系统规划经济性审计、信息系统建设经济性审计、信息系统运维经济性审计等)、信息系统建设管理审计(包括项目审批管理审计、项目建设管理审计、项目资金管理审计、项目验收管理审计等)和信息系统绩效审计(包括信息系统总体绩效、信息资源共享能力的绩效、管理决策支持能力的绩效等)。大数据环境下,信息系统各个模块间的勾稽关系变更非常复杂,产生的数据流与信息流也呈现几何级的增长,因此,相对传统的信息系统审计来说,信息系统审计的各个环节变得纷繁复杂,信息系统审计人员需要调查和了解的事物也比传统的信息系统审计多得多,这都给大数据时代信息系统审计人员提出了更高的要求和挑战。
(二)大数据对信息系统审计技术方法产生的影响。随着现代审计不断发展,审计工作方法逐渐现代化,形成了许多行之有效的审计技术方法和工具,如系统调查方法、资料审查方法、检查流程图法、控制矩阵法、测试数据法、平行模拟法、受控处理法、嵌入审计程序法等方法。使用的工具如现场审计实施系统(AO)、通用审计软件、数据库审计工具、系统和网络漏洞扫描、日志安全审计等。
大数据环境下,随着结构化、半结构化和非结构化数据的持续增长,以及分析数据来源的多样化,传统的很多信息系统审计技术方法和工具已经无法适应信息系统审计的要求,这就需要更新审计的理念、优化审计应用模型、创新信息系统审计技术方法和工具,构建大数据时代信息系统审计技术方法体系。在实施信息系统审计过程中,必然要使用到云计算、大数据、分布式结构、云数据库、联网审计、数据挖掘等新型的技术手段和工具。
(三)大数据对信息系统审计的审计思维产生的影响。在传统的小数据时代,由于审计人员力量和数据分析能力的双重限制,不可能采集和分析所有的数据,因此往往采用抽样审计的方法。由于抽取样本的有限性,而忽視了大量的业务活动,无法完全发现和揭示被审计单位的重大舞弊行为,隐藏着严重的审计风险。大数据技术的产生,使得数据信息的采集与分析可以跨行业、跨企业,审计范围不再受制于抽样样本,而是可以着眼于全部数据,审计人员可以建立“样本=总体”的审计思维模式,这种基于总体审计的思维模式,转变了信息系统审计的审计思维模式,给信息系统审计人员提供了一种从总体上把握审计对象的手段,更能发现问题的本质。
(四)大数据对信息系统审计发现审计线索产生的影响。审计信息化大力推行的进程中,审计人员逐渐习惯根据以往审计经验设计分析思路,然后再收集数据来验证不同数据之间的勾稽关系,从而发现审计疑点,获取审计证据,这些数据体现的更多是因果关系。大数据技术的产生,使得信息系统审计有更多的途径与方式发现审计线索,获取审计证据,大数据分析将更多地运用相关关系进行审计证据的收集与获取,而降低了对事物间因果关系的依赖。如将多种审计方法模型植入云服务中,海量的结构化、半结构化和非结构化数据自动根据模型寻找审计证据,这些审计模型体现的更多的是事物间的相关关系,而不是过分的依赖因果关系,信息系统审计人员在审计过程中要能够掌握分析数据的方法,利用数据挖掘、统计分析等相关技术对这些相关关系进行分析,发现事物发展变化的趋势,发现各种苗头性、倾向性的问题,获取审计证据。
二、大数据环境下基于云计算的信息系统审计实施框架
(一)架构基础——云计算服务模式。云计算是一种基于Internet通过虚拟化的方式进行资源共享的服务模式,以网络为载体提供基础设施、平台、软件等服务形式,根据美国国家标准与技术研究院的权威定义,云计算的服务模式有SPI(即SaaS、PaaS和IaaS)这三个大类或层次,如下页图1所示。
1.软件即服务(SaaS)。软件即服务处于服务架构的最上层,是一种通过Internet提供软件的模式,云服务提供商将应用软件统一部署在自己的服务器上,用户可以采用“按需租用”方式,按照某种服务水平协议(SLA)向云服务提供商租用所需的软件,可以在各种设备上通过客户端界面(如浏览器)访问,云服务提供商采用“集中管理”的模式负责软件的管理和维护。
2.平台即服务(PaaS)。平台即服务处于服务架构的中间层将软件研发的平台作为一种服务,在这种服务模式下,用户可以根据业务的需要,利用PaaS平台动态地开发和部署所需要的各种应用和服务,而无需自己搭建系统平台。
3.基础设施即服务(IaaS)。基础设施即服务处于服务架构的最底层,是Paas和SaaS服务的基础,通过虚拟化技术将服务器、存储设备、网络资源等基础设施封装成服务提供给用户,用户可以按某种服务水平协议(SLA)“按需租用”云服务提供商的基础设施。
(二)基于云计算的信息系统审计实施框架的构建。云计算服务的SaaS、PaaS、IaaS利用虚拟化技术实现了硬件资源、软件资源以及信息资源的虚拟化管理,实现了异构环境下的互操作性,为架构云计算环境下的信息系统审计实施框架带来了契机。大数据时代云计算环境下的信息系统审计的主要任务是依托云计算SaaS、PaaS、IaaS服务模式,根据大数据时代信息系统审计的特点和要求,通过构建一个支撑平台,实现对信息系统的审计,使信息系统审计的过程更加科学化、更富有效率性,如图2所示。
1.IaaS与审计基础设施资源。IaaS是信息系统审计实施框架的基础,包括硬件资源和网络信息资源两部分,该层采用物理资源虚拟化技术,解决了异构环境下的互操作性,实现了资源的虚拟化管理。服务器、网络设备、操作系统、数据库为系统提供了网络、计算和存储等服务;审计信息资源、业务信息资源和共享数据资源等网络信息资源为上层PaaS提供了网络信息服务。
2.PaaS与审计业务平台。PaaS信息系统审计实施框架的核心,可以为上层应用服务提供运行与维护,为下层基础资源提供资源管理服务,本文按功能将其划分为三大类:一是资源管理服务为审计基础设施资源层提供目录管理、元数据服务、资源管理等服务;二是管理服务,主要提供用户管理、权限管理、访问控制等服务;三是应用开发服务,主要实现审计业务功能的应用开发,如数据分析、数据可视化等服务,以支持审计业务的多样性。PaaS提供了为完成具体审计工作所需的一些服务,通过这些服务的应用,可以更好地适应审计项目的需要。
3.SaaS与审计应用。SaaS云服务与信息系统审计应用结合,实现审计应用软件的云部署,形成各项审计应用服务,主要包括审计应用控制、审计一般控制、审计项目管理、审计案例、审计方法与模型等服务。
三、基于云计算的信息系统审计实施流程分析
根据图2,基于云计算的信息系统审计实施流程与传统的信息系统审计实施流程一样,分为审计准备阶段、审计实施阶段和审计终结阶段三个阶段,如下页图3所示。
1.审计准备阶段。信息系统审计的准备阶段是整个审计程序的重要环节,首先要明确审计的目的和范围,并根据任务的繁重程度,配备信息系统审计人员,成立信息系统审计小组;然后对被审信息系统的的基本情况(如硬件设备、系统软件、应用软件和文档资料等)进行详细的调查和了解,如了解被审信息系统的信息技术环境,包括被审系统实施的信息技术政策和程序,云服务提供商的资质和技术水平、云服务提供商的服务协议范围和标准、云服务基础设施构建等情况;最后,制定信息系统审计方案,确定审计的范围、审计的日程安排以及信息系统审计的方法。
2.审计实施阶段。在信息系统审计实施阶段,大数据、云计算对审计思维模式、审计技术手段、审计线索的发现等都产生了影响,充分利用大数据、云计算技术,能有效增强信息系统审计的效果。
审计署关于印发信息系统审计指南——计算机审计实务公告第34号的通知将信息系统审计的内容分为一般控制審计、应用控制审计和项目管理审计三个层次,因此,在云计算环境下,分别实施这三个层次的审计程序。
一般控制审计。云服务模式下,信息系统的基础设施和服务均由云服务提供商提供,用户通过Internet即可“按需购买”和“按需租用”云服务提供商提供的服务,因此,一般控制审计需要从云服务提供商和被审单位两个进行,这样可以使得审计结论更加真实、更加可靠。云环境下的信息系统一般控制主要关注信息系统基础设施(包括信息系统环境、信息系统硬件、系统软件、数据库等)、系统访问(包括逻辑访和物理访问)、网络安全、灾难恢复、信息安全管理等方面。其中IaaS和PaaS涉及到信息系统基础设施、系统访问、网络安全、灾难恢复和信息安全管理,SaaS涉及系统访问。
应用控制审计。云服务模式下,信息系统的应用控制审计包括业务流程控制审计与数据控制审计。不同的企业其信息系统的业务流程也不同,同时云服务选择的多样性也使得企业的业务流程能够随着企业服务的需求不断进行重构,在进行信息系统业务流程控制审计和数据控制审计时,应根据被审单位的特点,从被审单位的企业控制目标入手,分析相关控制目标的业务流程设计、业务流程功能的合理性,找出业务流程中相关的关键控制点,并对相关关键控制点进行测试,但在云服务模式下,对关键控制点进行测试的测试程序复杂度较传统的测试程序提高了,这也对信息系统审计人员提出了更高的要求。
项目管理审计。云服务模式下,信息系统的项目管理审计主要关注项目建设的经济性、项目建设的管理与项目的绩效方面是否与企业的目标相契合,如云服务提供商的选择与管理是否结合企业与供应商双方的因素进行,并签订服务水平协议管理等。
在执行了信息系统一般控制审计程序、应用控制审计程序和项目管理审计程序之后,审计人员就可以从被审单位和云服务提供商获取有关一般控制、应用控制和项目管理等方面的审计证据。
3.审计终结阶段。审计终结阶段是对审计工作的总结,首先对审计实施阶段形成的审计证据进行归类和整理,撰写出审计报告;然后向被审单位出具审计报告,并提出审计意见,被审单位按审计决定的要求,作出改进处理;最后对各种审计资料进行整理归档和管理。
四、结语
大数据时代、云计算技术的到来,给信息系统审计工作带来了新的机遇和挑战,在这种情况下,为了充分发挥大数据和云计算技术在信息系统审计应用中的优势,如何将大数据、云计算与信息系统审计的工作进行有机的结合,是审计机构需要思考的问题。本文在对大数据对传统信息系统审计产生的影响分析的基础上,构建了大数据时代基于云计算的信息系统审计实施框架,并对该框架下的信息系统审计实施流程进行了阐述。借助大数据的结构复杂、海量信息和云计算技术,信息系统审计的过程更加注重不同事物间的相关关系,而不再主要依赖于事物间的因果关系,根据事物间的相关关系,通过数据挖掘、统计分析等技术方法可以发现容易被忽视但存在风险的审计项目,从而提高了审计工作的效率、降低了审计风险。J
参考文献:
[1]魏祥健.云平台架构下的协同审计模式研究[J].审计研究,2014,(6):29-35.
[2]程平,白沂,贺灏璁.云会计环境下基于COBIT标准的大数据审计研究[J].会计之友,2016,(4):125-128.
[3]陈伟,Wally Smieliauskas.云计算环境下的联网审计实现方法探析[J].审计研究,2012,(3):37-44.
[4]秦荣生.大数据、云计算技术对审计的影响研究[J].审计研究,2014,(6):23-28.
[5]牛艳芳,薛岩,孟祥雨.云计算环境下的审计业务模式变革研究[J].南京审计学院学报,2014,(4):95-103.
[6]张艳玲.云审计——审计信息化的发展趋势[J].商业会计,2013,(10).
作者简介:
张金城,男,南京审计大学,教授;主要从事管理信息系统、信息系统审计的教学与研究。
柳巧玲,女,南京审计大学,副教授;主要从事管理信息系统的教学和研究。