云环境下审计大数据应用的探析

(福州大学监察审计处 福建 福州 350108)

一、前言

2015年9月，国务院印发了《促进大数据发展行动纲要》[1]，发文中明确指出要全面推进我国大数据发展和应用，加强建设数据强国。《纲要》的发布意味着大数据将成为未来5-10年国家治理的重要手段。国家前审计长李金华指出：“开展计算机审计是一场革命。如果不搞计算机审计，我们将失去审计资格”。

二、几个概念

(一)云计算。根据美国国家标准技术研究院(NIST)[18]对云计算的定义，其中心思想是统一管理和调度计算机资源，并且通过网络，将其构建为能实现按需服务的计算资源池，用户则更加专注于应用，根据具体的业务需求随时随地便捷地访问计算和存储资源，有效实现工作目标。简单地说，在云计算市场上，客户花钱购买的是“计算”、“存储”和“服务”，而不是“计算机”、“存储器”和“服务器”。有学者预言，未来的云计算市场就像我们所消费的水电市场一样，只要有需求，就可以随时随地得到实现[3]。

(二)大数据。大数据是以容量大、类型多、存取速度快、应用价值高为主要特征的数据集合，正快速发展为对数量巨大、来源分散、格式多样的数据进行采集、存储和关联分析的一种数据处理新形式[4]。

(三)审计大数据。审计大数据是在被审计单位电算化环境下会计数据的基础上拓展形成的。它不仅包含从被审计单位处采集的财务数据和各项原始数据信息，还包括为收集某一审计证据，从关联数据中获得的其他审计数据或从历史数据中获取的有关趋势信息等等。它不仅包括原始的数据，还包括经大数据技术加工处理后的数据；既有数字等结构化和半结构化数据，也有图表、音频等非结构化数据。

三、审计数据在信息化下面临的挑战

(一)审计数据中心的建设困难。第一，管理维护成本大，资源共享较低。目前数据中心一般包括三个部分[6]：一是机房网络、供电系统、消防系统等组成的基础设施硬件平台；二是服务器和存储设备等；三是应用系统、数据存储系统的平台。多数中心围绕复杂的服务器和存储系统，靠多个应用系统放在一起组成数据中心。实际上各个数据中心分别拥有各自独立的网络资源设备、网络安全设备和网络连接设备，不能实现物理硬件资源的共享，不能实现多用户统一访问需求等，这就造成随着数据中心的不断加增，应用系统、服务器等的数量也会跟着增多。如此一来，不仅软硬件资源共享利用程度低下，还大大增加了技术人员的管理难度和使用单位的维护维修成本。第二，数据存储量有限。随着数据量的不断递增，审计机关对数据中心流量处理能力需求也将跟着加增，而服务器建设规模的扩大将导致设备机房面积至少得翻一番才能满足未来数据存储量，这意味着数据中心建设中将有一大笔支出用于解决数据存储问题。而且单纯服务器和存储系统的不断扩大，可能会引发管理上的不便和使用上的安全问题。第三，数据价值挖掘不足。审计人员的职责是从被审单位提供的数据中获取有用的审计证据，结合自身数据分析经验据此发表适当的审计意见和提出建议。然而，落后的数据处理技术无法将财务数据和非财务数据进行关联分析，导致大量存储的数据价值无法被挖掘使用，可能影响审计业务的效率和效果。

(二)审计数据的安全性存在威胁。云计算广泛推广的首要争议是对数据安全管理的问题。审计单位在收集审计证据、存储审计档案时关注的重要问题就是数据资料的安全性和保密性。在云环境下，审计大数据实现云端管理，这就导致被审计单位和审计部门在享受云技术服务的同时，在一定程度上对数据产生不可控的风险。

四、完善云环境下审计大数据的对策建议

(一)提供持续高效的审计大数据云服务。审计大数据的发展是一项技术性极强、复杂性极高的信息系统工程，其高效运作依赖于带宽网络的高速传输和云平台的稳定性。在带宽网络出现故障时，可能会导致云计算的中断，进而影响服务的可靠性，尤其对一些规模较小的单位影响更为明显。加大租用运营商高带宽线路投入，是审计大数据推广的前提保障。

提高云平台的稳定性也是持续高效服务的关注重点。首先应选择具有持续经营发展能力的云供应商，保证服务能持续不断的提供。再者审计机关应关注云供应商的实际情况，包括与其签订各项条约中提到的数据保障条款、服务水平保证条款以及紧急情况相应方案等。此外，还应考虑云平台所处的地理位置和平台架构。

总之，审计部门应根据审计对象、目标等选择最佳的云系统建设方案，确保将来云平台实施后的平稳有序运行。

(二)规范审计数据安全管理。一是建立相关法律体系。由于政府审计工作涉及的数据可能涉及国家重要的敏感信息，因此需要国家参与监管。一方面加大对云服务提供商的监管，规范云审计相关技术，包括云认证标准、数据安全备份、灾难事故预防机制和灾难恢复计划等等。另一方面针对云技术推广过程中可能出现的法律纠纷，比如隐私信息的归属问题、风险责任认定问题、服务保障协议等，都需要有相关法律法规进行界定。二是加强大数据应用安全策略。云审计的运用，使审计部门成为云端大数据的使用者，大数据应用安全控制策略同样适用于审计大数据，这些策略包括加强用户访问限制、防止APT攻击和数据实时分析引擎。对数据使用者严格控制的同时进行实时监控，第一时间发现潜在威胁和各类非法使用行为，实现预警为先事后惩治的监管策略。

(三)加强审计人员信息技术能力培训。复合型人才是开展云审计必不可少的根本力量，在大数据和云计算发展背景下，审计人员不仅要掌握数据采集、加工和处理分析，还要能够根据审计任务构建相应审计模型，对宏观数据进行关联分析，发现和解决问题。

在大数据时代，以电子形式存在的电子数据量是巨大的，传统形式的信息化审计可能无法处理，而大数据等新型信息技术是解决这一困难的有效手段。所以，从长远考虑，快速培养一批精通新型信息技术的复合型审计人才对未来信息化审计发展具有重要意义。具体来说，本文认为可以从以下两个途径加强人才培养：

采取分阶段、分层次对现有的审计人员进行计算机审计技术方法、大数据和云计算知识等后续教育。加强对大数据和云计算的普及，从观念上转变，使其充分认识云技术和大数据。具体培训可以将基层和中高层人员区分开，基层人员更多的注重信息化基本软件的操作，熟练掌握云审计下大数据处理的各个流程，为后续顺利开展云审计储备大量人才。对于中高层人员，除了掌握基本的操作流程之外，还需要能够对云环境下信息系统有一个全方位的管理能力。