陈伟 詹明惠
【摘 要】 信息系统AC(应用控制)审计是目前信息系统审计领域研究与应用的重要内容,大数据技术和金融科技的发展与应用为信息系统AC审计带来了机遇和挑战。金融科技环境下研究如何开展信息系统AC审计对防范化解金融科技风险具有重要意义。文章首先分析了研究金融科技环境下信息系统AC审计方法的重要性;然后,以金融科技贷款业务系统为例,提出了基于大数据可视化技术的信息系统AC审计方法,并采用R语言实现了该方法;在此基础上,结合案例,详细地分析了该方法的应用,从而验证了该方法的可行性与有效性;最后,通过与常用信息系统应用控制审计方法进行比较,进一步证明了文章提出的审计方法的优势。研究结果为今后防范化解金融科技系统风险提供了理论经验与技术方法。
【关键词】 大数据审计; 信息系统审计; AC(应用控制)审计; 金融科技; 数据可视化
【中图分类号】 F239.1;C931.6 【文献标识码】 A 【文章编号】 1004-5937(2021)01-0120-06
一、引言
信息系统审计是目前审计领域研究与应用的重要内容[1],其中,信息系统AC(应用控制,Application Control)审计是信息系统审计的重要内容。简单地讲,信息系统应用控制是为了适应各种数据处理的特殊控制要求,保证数据处理完整、准确地完成而建立的内部控制,它针对的是与信息系统应用相关的事务和数据,目的是确保数据的准确性、完整性、有效性、可验证性、可靠性和一致性。应用控制审计的目的就是确保被审计单位的应用系统控制符合相关要求[2]。
传统环境下,被审计单位信息化程度低,应用系统较简单,因此,对于信息系统应用控制审计只需要做访谈或简单的测试即可。金融科技的研究与应用是近年来金融信息化领域的热点问题。随着金融科技的广泛应用,目前金融机构信息化程度较高,应用系统较多。因此,金融科技信息系统应用控制审计成为一个重要挑战。为了防范化解金融风险,金融科技风险审计成为目前审计工作的一项重要内容。金融科技环境下,仅靠现有的审计方法很难发现潜在的信息系统风险,创新审计方法成为必然。
尽管目前已有一些关于大数据审计方法的研究,如大数据审计的现状与发展[3],大数据环境下电子数据审计的机遇、挑战与方法[4],基于大数据可视化技术的审计线索特征挖掘方法[5],以及基于社会网络分析的金融科技系统用户管理风险审计方法[6]等,但目前直接针对金融科技系统应用控制风险审计方法的研究仍较少。本文结合目前大数据审计技术、信息系统审计,以及金融科技风险审计的研究与应用现状,探索如何采用大数据可视化技术开展信息系统应用控制审计。
二、基于大数据可视化技术的信息系统应用控制审计方法分析
(一)大数据可视化技术分析
常见的大数据审计技术一般包括大数据多数据源综合分析技术、大数据可视化分析技术,以及大数据智能分析技术。其中,大数据可视化分析技术是目前较为流行的技术。常用的大数据可视化分析技术包括气泡图、柱状图、折线图、饼图、散点图、热力图、标签云(文本可视化分析)等[7-9]。
(二)基于大数据可视化技术的信息系统应用控制审计方法原理
大数据可视化技术为信息系统应用控制审计带来了机遇。大数据环境下,为了更好地审计信息系统的应用控制风险,可以从被审计单位信息管理部门采集相关数据。通过对这些数据进行分析,可以掌握目前该被审计单位相关应用系统的应用控制风险。基于大数据可视化技术的信息系统应用控制审计方法原理可简单描述为:采集被审计信息系统的相關数据,采用大数据可视化技术对相关数据进行建模和可视化分析,通过对可视化结果图形和图像进行分析和观察,发现被审计信息系统应用控制中的风险。在此基础上,通过对以上发现的这些风险做进一步的延伸审计和审计事实确认,最终获得审计证据,从而为防范化解信息系统风险打下了基础。
综上分析,基于大数据可视化技术的信息系统应用控制审计方法原理如图1所示。
三、基于大数据可视化技术的信息系统应用控制审计案例及分析
(一)案例背景简介
一般来说,对信息系统开展应用控制审计的主要思路如下:
1.分析被审计信息系统的业务流程。
2.根据被审计信息系统的业务流程,识别被审计信息系统的应用控制活动。
3.根据识别出的被审计信息系统流程中关键的应用控制点,采用大数据可视化技术对其进行建模和测试分析。
4.通过对相关数据进行测试分析,发现被审计信息系统的相关应用控制风险,并与被审计单位进行沟通确认。
以某商业银行金融科技贷款业务信息系统审计为例,假设审计人员现已从该行信息科技部获取了贷款业务系统审计所需的“对公客户数据”“贷款分户账数据”“贷款分户明细数据”“对私分户明细数据”“企业性质数据”等数据。如图2所示。现通过对这些数据进行分析,检查该商业银行金融科技贷款业务信息系统的应用控制风险。
(二)信息系统输入控制风险可视化分析示例
1.数据缺失问题分析
如果被审计信息系统输入缺少系统检验,则系统中会出现数据缺失的情况。因此,为了检查被审计的贷款业务信息系统是否存在输入控制风险,可以对相关数据进行分析,检查系统中是否存在数据缺失问题,从而判断被审计信息系统是否存在输入控制风险。比如,在贷款信息录入过程中,如果贷款卡号输入缺少系统检验,则系统中会出现贷款卡号为空的情况。如果贷款开户日期输入缺少系统检验,则系统中会出现贷款开户日期为空的情况。
以贷款业务信息系统中的“对公客户数据”为例,查看“对公客户数据”中的数据缺失情况,借助R语言进行建模对其进行可视化分析,其结果示例如图3所示。
在图3中,颜色的深浅表示数据值的大小,浅色表示数据值小,深色表示数据值大,深灰色表示数据值缺失。由图3可以清晰地看出被审计单位的贷款业务信息系统中存在数据缺失的情况,其中有些字段的缺失值较少,有些字段的缺失值较多,同时也存在一些字段的值完全缺失,如“公司电话”“联系人”等字段,这些问题的存在对该被审计单位金融科技系统的运行管理造成潜在的风险隐患。
2.数据重复问题分析
如果被审计信息系统输入缺少系统检验,则系统中会出现数据重复输入的情况。因此,为了检查被审计的贷款业务信息系统是否存在输入控制风险,可以对相关数据进行分析,检查系统中是否存在数据重复问题,从而判断被审计信息系统是否存在输入控制风险。
以采集到的贷款业务信息系统中的“对公客户数据”为例,查看客户“代码证号”字段是否存在重复数据,借助R语言进行建模对其进行可视化分析,其结果示例如图4所示。
图4显示了对公客户数据中客户“代码证号”字段的数据重复情况。其中,气泡的大小表示数据重复的情况,气泡越大,表示该数据重复次数越多。根据气泡的大小,审计人员可以快速、清晰地观察出被审计金融科技系统中数据重复的情况。
通过图4的分析结果,审计人员可以发现被审计的贷款业务信息系统未能很好地控制数据重复输入问题,这些问题的存在对该被审计单位金融科技系统的运行管理造成潜在的风险隐患。
3.业务规则错误分析
如果被审计信息系统输入缺少系统检验,则系统中会出现业务规则错误问题。因此,为了检查被审计的贷款业务信息系统是否存在输入控制风险,可以对相关数据进行分析,检查系统中是否存在业务规则错误问题,从而判断被审计信息系统是否存在输入控制风险。自1999年居民身份证编号由15位升至18位。因此,如果被审计数据中存在非15位或18位身份证编号的情况,则表明出现了业务规则错误问题。
以采集到的贷款业务信息系统中的“对公客户数据”为例,查看“对公客户数据”中身份证号的位数是否正确。借助R语言进行建模对其进行可视化分析,其结果示例如图5所示。
从图5的分析结果可以整体了解该贷款业务信息系统“对公客户数据”中身份证号位数情况,偏离15位或18位两条线上的数据皆为异常数据。由图5可以清晰地发现被审计单位的贷款业务信息系统中存在身份证号位数不正确的情况,这些问题的存在对被审计单位金融科技系统的运行管理造成潜在的风险隐患。
(三)信息系统处理控制风险可视化分析示例
如果被审计信息系统缺少处理控制,则系统中会出现数据异常情况。因此,为了检查被审计的贷款业务信息系统是否存在处理控制风险,可以对相关数据进行分析,检查系统中是否存在异常情况,从而判断被审计信息系统是否存在处理控制风险。根据对贷款业务信息系统业务的分析,部分处理控制风险分析示例如下。
1.存贷款业务授权情况分析
以采集到的贷款业务信息系统中的“对私分户明细数据”为例,分析是否存在交易金额大于50 000元但没有进行授权的存贷款情况。借助R语言进行建模对其进行可视化分析,其结果示例如图6所示。
图6显示了“对私分户明细数据”中交易金额大于50 000元的交易数据存贷款业务授权情况,其中,黑色三角表示的数据为交易金额大于50 000元,且操作员和授权人为同一个人(也是说没有进行授权)。根据图6的分析结果,审计人员可以快速、清晰观察出被审计贷款业务信息系统中存在交易金额大于50 000元但没有进行授权的存贷款交易情况,从而发现被审计贷款业务信息系统在处理控制方面存在的处理控制風险。
2.贷款主体单位性质控制情况分析
如果对贷款主体单位性质缺少控制,则容易发生向行政事业单位和商业银行发放贷款的风险等。以采集到的贷款业务信息系统中的“对公客户数据”和“企业性质数据”为例,分析“对公客户数据”中是否存在贷款主体单位性质为金融机构的数据,借助R语言进行建模对其进行可视化分析,其结果示例如图7所示。
图7显示了“对公客户数据”中“贷款主体单位性质”数据情况。根据分析结果,审计人员可以快速、清晰地观察出被审计“对公客户数据”中存在贷款主体单位性质为金融机构的数据,这对被审计单位的业务管理造成潜在的风险隐患。
(四)审计结果及分析
根据以上分析结果,审计人员可以对“贷款业务系统”做进一步的测试和审计事实确认,最终发现“贷款业务系统”存在的相关应用控制风险示例如下:
1.“贷款业务系统”输入控制风险
(1)贷款卡号输入缺少系统检验,造成贷款卡号字段数据缺失问题的发现。
(2)对公客户数据的代码证号输入缺少检验,造成对公客户数据存在信息重复的客户代码证号数据。
(3)对公客户数据的法人身份证号输入缺少检验,造成身份证号位数错误问题的发生。
2.“贷款业务系统”处理控制风险
(1)对存贷款交易授权缺少控制,造成“对私分户明细数据”中出现交易金额大于50 000元的存贷款没有进行授权的不合规情况。
(2)对贷款主体单位性质缺少控制,数据中出现向金融机构进行贷款的情况,造成容易产生向商业银行发放贷款的风险等。
同理,可以对“贷款业务系统”的其他相关应用控制风险进行分析。
通过以上过程,最终获得审计证据。
四、与常用信息系统应用控制审计方法的比较
为了进一步证明本文研究方法的优势,我们分析一下信息系统应用控制审计中常用的数据分析方法。
(一)基于电子表格软件的信息系统应用控制审计数据分析方法
以Excel为例,部分基于电子表格软件的信息系统应用控制审计数据分析方法示例如下:
1.在分析被审计信息系统中数据是否存在缺失时,可以通过“筛选”命令来查找是否存在数据值为“空”的数据。例如,在分析客户“贷款卡号”字段是否有缺失数据时,可以选中“贷款卡号”,然后点击“筛选”,在下拉菜单中查看“空”值数据。
2.在分析被审计信息系统中数据是否存在重复时,可以利用函数统计某一字段数据出现的次数。例如,在分析客户“代码证号”字段是否有重复数据时,可以采用COUNTIF函数计算出数据出现次数,然后采用“筛选”命令,筛选出出现次数大于一次的数据,从而发现重复数据。
3.在分析被审计信息系统中数据是否存在业务规则错误时,可以利用函数统计某一字段数据的位数。例如,在分析客户“身份证号”字段是否有业务规则错误数据时,可以采用LENB函数计算出数据的位数,然后采用“筛选”命令,筛选出身份证号位数不为15或18的数据,从而发现错误数据。
(二)基于SQL语言的信息系统应用控制审计数据分析方法
1.可以采用SQL语句查找被审计信息系统中是否存在信息缺失的数据,例如,查找“对公客户数据”中是否存在贷款卡号为空的数据,相应的SQL语句分别如下:
2.可以采用SQL语句查找被审计信息系统中是否存在信息重复的数据,例如,查找“对公客户数据”中是否存在信息重复的客户“代码证号”数据,相應的SQL语句如下:
3.可以采用SQL语句查找被审计信息系统中是否存在信息错误的数据,例如,查找“对公客户数据”中是否存在身份证号的位数不正确的数据,相应的SQL语句如下:
4.可以采用SQL语句查找被审计信息系统中是否存贷款业务未授权的数据,例如,查找“对私分户明细数据”中是否存在交易金额大于50 000元但没有进行授权的存贷款情况,相应的SQL语句分别如下:
同理,可以采用SQL语句对“贷款业务系统”的其他相关应用控制风险进行分析。通过在Microsoft Access、SQL Server等数据库中运行以上SQL语句,可以很容易地查找出以上相关问题。以查找“对公客户数据”中是否存在信息重复的客户代码证号数据为例,其分析结果示例如图8所示。
(三)比较分析
由以上分析不难看出:目前使用的基于电子表格软件和数据库软件的数据分析方法虽然也能查找被审计单位信息系统中是否存在数据缺失问题、数据重复问题以及业务规则错误情况等,但不能很清晰、形象地展示出数据的整体情况以及存在的问题,不能很好地揭示出被审计信息系统中存在的应用控制风险。
五、结语
信息系统应用控制审计是信息系统审计的重要内容,随着金融科技的广泛应用和快速发展,目前常用的信息系统审计方法不能很好地满足金融科技应用系统风险审计的需要,采用大数据审计技术开展金融科技风险审计成为一种有效的方法。本文根据这一需要,以金融科技贷款业务系统为例,研究了如何采用大数据可视化技术开展信息系统应用控制风险审计。实际应用案例表明:通过可视化图形更能直观、清晰地揭示审计线索,获得审计证据,从而达到防范化解相关金融科技风险的目的。当然,本文研究的方法不可能解决所有的金融科技信息系统应用控制风险审计问题,但能有效地弥补目前已有方法的不足。
【参考文献】
[1] 陈伟.基于大数据技术的BCM审计方法研究[J].会计之友,2019(11):113-116.
[2] 陈伟.大数据审计理论、方法与应用[M].北京:科学出版社,2019.
[3] 陈伟,居江宁.大数据审计:现状与发展[J].中国注册会计师,2017(12):77-81.
[4] 陈伟,SMIELIAUSKAS W.大数据环境下的电子数据审计:机遇、挑战与方法[J].计算机科学,2016(1):8-13,34.
[5] 陈伟,居江宁.基于大数据可视化技术的审计线索特征挖掘方法研究[J].审计研究,2018(1):16-21.
[6] 陈伟,詹明惠,陈文夏.基于社会网络分析的金融科技系统用户管理风险审计方法研究[J].中国注册会计师,2019(12):74-78.
[7] GEPP A,LINNENLUECKE M K,O'NEILL T,et al.Big Data techniques in auditing research and practice:current trends and future opportunities[J].Journal of Accounting Literature,2018(1):102-115.
[8] GTAG.Understanding and Auditing Big Data[EB/OL].http://www.theiia.org,2017.
[9] KOH K,LEE B,KIM B.Mani wordle:providing flexible control over wordle[J].IEEE Trans.on Visualization and Computer Graphics,2010(6):1190-1197.