贾代平
[摘要]面对日益专业化的信息系统,如何提取和挖掘数据是数字化审计面临的突出问题。本文在分析信息系统服务框架的基础上,讨论了数据字典和交易档案这两类具有审计价值的原生数据及其应用。前者为观察业务数据提供全局指引,由此解决审计视角下的数据完整性问题;后者为业务数据提供时间维度,实现基于时间点的数据透视和业务追踪。最后通过实证方式构建了一套模拟审计环境,用于示范、交流与培训本文的审计思路与方法。
[关键词]信息系统审计 数据字典 交易档案 数据资源 数字化能力
伴随企业和行业的数字化转型,信息系统审计已成为审计研究的一个重要分支,基于各类电子化数据开展审计工作已成为审计领域的新常态。相对于快速发展的数据技术及其IT基础设施,信息系统审计的理论与实践则显得滞后。为推动信息系统审计的发展,2021年初,中国内部审计协会发布了《第3205号内部审计实务指南——信息系统审计》,起草人在解读中明确指出,“信息系统审计需求的不断增长与有效供给显著不足的矛盾愈来愈突出,已成为困扰内审同仁的一大痛点”。
一、信息系统审计的数据观
信息系统审计高度依赖各类数字化资源,需要审计人员在实践中提高对各类数据源及其运行平台的认识。一方面,受访问方式和信源结构的限制,审计人员或审计工具能够提取到的数据只是整体业务数据的局部,即审计视角下的数据并不能反映业务数据的全貌,这会导致后续的业务审计出现类似“盲人摸象”的情境。另一方面,在早期的审计实践中,纸质的业务档案曾经发挥着重要作用,查档是审计作业必不可少的环节。进入信息化审计阶段后,面对电子化的数据,档案的价值却被普遍地忽视了,导致数字化审计常面临无档可查的局面。事实上,现代信息系统在处理各类业务数据的同时,出于平台内在运行机制的需要,并行记录着所有业务数据的数字化轨迹,即业务数据的变化历史,这就是信息化条件下的新型档案。信息系统审计中,要提高审计能力,提升审计的数字化水平,需要我们打开数据视野,重视档案的价值,发掘数据平台带给我们的立体化信息。
二、两类具有审计价值的数据资源
面对快速发展的信息系统及其数据技术,审计思路与方法需要与时俱进。2015年12月,中共中央办公厅、国务院办公厅印发了《关于完善审计制度若干重大问题的框架意见》及相关配套文件,其中《关于实行审计全覆盖的实施意见》第七条“创新审计技术方法”明确指出,构建大数据审计工作模式,提高审计能力、质量和效率,扩大审计监督的广度和深度。我们认为,要达成这个数字化审计目标,审计人员首先需要熟悉现代信息系统的服务框架和数据源的基本结构。
(一)信息服务的总体架构
信息系统的本质是为用户提供数据和数据处理服务。这里的服务就是一种无形的产品,和所有其它的有形产品一样,同样存在着生产和消费两个环节。无论信息系统的外在形式如何,都可据此划分为服务生产和服务消费两大部分,在IT领域把这两个部分形象地比喻为台前、幕后,台前的部分(即面向业务用户的部分)叫做客户端/前端(Client/Foreground),幕后的部分(即实施数据处理的部分)叫做服务端/后端(Server/Background)。服务端可以同时提供多种不同类型的业务处理(如企业的人事、财务、投资、销售等),用户通过不同的客户端来获得对应的服务。这样的架构下,一种类型的客户端只能够访问对应的局部数据,不同的客户端访问后端数据的不同部分。更进一步,即使是同一类型的客户端,由于账户连接的身份不同,能够处理的业务数据也会有所不同。
上述的这种局部数据观(或称局部数据视野)对业务用户来说是合理的,但对审计用户来说显然存在相当大的局限性。长期以来,数字化审计在这种数据访问模式下开展工作,往往造成“只见树木、不见森林”的结果。
(二)信息系统中枢:数据字典
不同于普通的业务用户,面对信息系统,审计用户需要有全局数据视野。要实现审计主管部门要求的审计全覆盖,首先要保障对数据源的全覆盖,任何数据上的盲区都可能带来审计监督上的疏漏。由于客户端是数据的受控端,而服务端才是数据的大本营和控制端,因此要消除审计视野下的数据盲区,需要我们改变观察数据的角度。认识数据的服务端,才能在业务上纵览全局。
为了协调全局性的数据管理,現代信息系统的服务端都有一个类似信息中枢的部件——数据字典(Data Dictionary),它是数据服务平台内置的一套数据结构,所有的数据对象都会被注册在这里。如果把服务端比作一座图书馆,则数据字典相当于馆藏图书的总目录。重要的是,这个信息中枢始终保持闲人免进的状态(只读属性),其内容由平台系统(通常是DBMS)负责自动更新与维护。这为审计人员真实掌握整体业务数据的全貌提供了一个客观的观察手段。
(三)业务处理的过程化数据:交易档案
现代信息系统目前已经发展为一种广义的IT基础设施,在提供基本的数据存储和访问服务的同时,数据保障服务也成为平台服务的标配,如数据安全、联机镜像与备份、高可用性与高性能等,由此产生出丰富的基础数据,交易档案(Transaction Archive/Log)就是其中之一。这里的交易是一种广义的概念,信息系统中的所有业务处理都是以交易的形式执行的,交易是数据处理的基本单元。
交易档案类似于人工处理业务时形成的纸质化档案,它是现代信息系统正常运行的原生数据,是客户端的业务处理在信息系统里留下的交易轨迹和凭据,也是服务端自身的一种数据保障机制。从技术层面看,交易档案使所有的业务处理在服务端都处于有迹可寻、有据可查的状态;从业务层面看,业务处理的结果体现在数据的改变上,业务处理的过程体现在交易档案里。交易档案对于内部审计的核心价值在于,它完整地保存了交易过程中的数字化轨迹,让数据在动态的业务处理中始终保持可追溯性。
电子化的交易档案在存储、检索和再利用方面有着天然优势,可以发挥与纸质档案同样的作用,且更加全面、高效。不过由于交易档案是信息系统在运行过程中的一种衍生资源,具有较强的专业性和一定程度的隐蔽性,当前在审计领域并未得到充分利用。大数据时代,随着纸质档案的逐渐消失,档案电子化趋势已成为必然,要实现高效的信息系统审计,交易档案应该发挥其更大的价值。
三、数据字典在信息系统审计中的应用
(一)数据字典中的元数据
数据字典被比喻为信息系统内部的信息中枢,负责存储和管理一类特殊数据——元数据(Metadata)。英文里对元数据的解释是:Data about data,这里的第二个data指的是业务数据(Business data),它记录着服务端的全部管理和运行信息。对于内部审计人员来说,可能关注的问题有:服务端有哪些真实的访问账户、每个账户下有哪些数据对象(表、视图、报表等)、每个数据对象的结构及数据访问的权限分配有哪些等。审计人员通过访问数据字典,可以完整地了解全部的业务数据及其在服务端的组织情况。借助数据字典,审计人员面对信息系统,不再“盲人摸象”,而是拥有“大象”的全部。
(二)数据观察的全局化视野
数据字典是信息系统服务端的核心部件,服务于数据管理目标,面向业务的普通账户连接并不会意识到它的存在。如图1所示,业务端的账户1连接访问的是数据集(局部业务数据)A,审计端的账户2连接访问的是数据集B,两个数据集的范围可能存在交叉也可能完全隔离,这取决于服务端的数据访问控制。理想情况,这里的数据集A和B应该完全等价,这是实现真实审计的前提。然而实际情况并非总是如此,审计实践中出现的真假两套账、账外账等违规违纪情形,都是A和B不等价的具体表现。
鉴于数据集A、B的不等价,信息系统中的数据在审计视角下和业务视角下呈现出两套不同的数据景象。作为客户端应用,如果审计用户使用常规的业务连接(如图1所示的连接2)就不会发现数据集A的存在,更不会感知到A和B的不同,当然也不可能感知到其它可能的数据集。然而所有的数据集都在创建时被平台自动注册在数据字典中,如果审计用户能够通过具有管理权限的账户连接系统,如图1的虚线部分所示,就能够透过数据字典有效地观察到全部的数据集(数据对象)及其业务内容。
这里数据字典对于业务审计的应用价值在于,它让审计人员摆脱“盲人摸象”的境地,让所有的业务数据透明化,消除审计视角下的数据盲区,实现业务数据全覆盖。
四、交易档案在信息系统审计中的应用
(一)交易档案的两个侧面
本质上信息系统的运行过程就是不断执行各种交易(业务处理)的过程,且服务端在执行业务处理的过程中会即时生成电子化的交易档案。其技术上的目的是为了应对业务处理过程中可能存在的两种情形,中途取消(undo)或事后重演(redo),于是交易档案就有对应的两个部分,undo档案和redo档案。这是交易档案的一体两面,前者是为了防止交易在执行过程中被取消(人工终止或因故失败),数据需要被还原到交易前状态,后者是交易被成功执行后留下的例行记录(交易凭据)。当用户发起一项业务请求时,用户关心的是处理结果,而服务平台关心的则是交易的可靠性和数字化轨迹。从审计的角度,交易档案恰好成为我们观察业务处理的一种过程化数据。
需要注意的是,联机记录交易档案虽然是信息系统服务端的内置行为,但交易档案的保存时限却和传统的纸质档案一样,完全由用户根据业务管理的需要来确定,这也是信息系统服务平台需要运维的主要原因之一。目前电子化的交易档案在信息系统中的存储、管理和维护也日益规范化、持久化。
(二)数据与业务处理的可追溯性
交易档案在信息系统的数据管理与日常运维中有着多方面的用途,下面仅讨论它在业务审计上的应用。
如图2所示,当前时间为t2时刻,交易档案存在于t1至t2区间(从技术上两类档案的区间可以相同也可以不同),并在t1时间点存在历史数据的备份。通过t1时刻的数据备份,我们可以掌握t1时刻的静态数据。但备份不能随时进行,故这些静态数据只能存在于一些固定的历史时刻。在业务审计过程中,如果我们需要观察这些固定时刻之外的业务数据,就可以利用交易档案来还原曾经的业务处理过程,实施基于时间点的数据推演。这一机制为审计线索的追踪提供了可靠的技术手段。
值得一提的是,利用交易档案执行数据推演可以正向进行也可以反向进行,如图2的箭头方向所示,两个方向的推演都需要以某个时刻的业务数据作为起点。反向推演常以当前状态为起点,正向推演则需要以某个历史时刻的状态为起点(常由备份时刻实现,如图2所示的t1时刻)。这里综合运用交易档案的不同部分,可以实现更灵活的业务追踪。如图2所示,正反两个方向都可以到达tx时刻;以此作为新的起点,数据推演可以继续向前或向后,从而实现对历史业务数据的动态观察。这就是由交易档案实现的电子化查档,相较于传统纸质档案的查档操作,这种方式更加方便、快捷、高效。
交易档案作为信息系统一类重要的数据资源,其应用远不限于上述的查档与追踪。融合应用场景,可以实现更加广泛的审计辅助,如在审计具有关联关系的业务时,业务流程、时间节点等都是可能的审计要素,X、Y两个业务事件,X至Y是正常的业务往来,Y至X则可能是某种违规、违纪行为。由此可见,交易档案的应用,改变了信息系统审计观察数据的方式,业务数据不再是静态的存在,而是一个动态可追溯的过程。
五、构建信息系统审计的模拟环境
一种新的审计思路与方法能否得到推广应用,取决于它能否被审计人员理解和掌握。为了实践本文提出的信息系统审计思路,同时也为了该项审计方法的推广、交流和培訓,我们构建了一套专门的模拟审计环境,其整体结构如图3所示。
以某单位的财务数据作为模拟审计对象,通过调度程序不断注入典型的财务业务来保持财务数据的动态性,用以模拟生产系统中的数据特性。一方面,通过数据字典我们可以清晰地观察到不同登录账户下的财务数据,了解财务数据在不同账户下的分布,避免数据视野仅局限于某个单一登录账户下的弊端;另一方面,通过交易档案为业务审计提供历史数据的透视能力,即回顾指定资金的历史变更情况及关键时间节点,如图3所示的资金轨迹1、资金轨迹2等(两者的交易频度不同)。
下面简要介绍模拟实证环境的主要模块及其功能。
(一)信息系统数据平台
选择业界广泛使用的ORACLE系统,建立样本数据库,并提供一整套用于业务审计的财务模型(库表结构)。
(二)财务业务模拟器
一套可以按时间调度执行的作业(Schedulable Job),用于模拟财务系统的典型业务。与生产系统不同的是,为方便验证对历史数据的追踪,这里的数据更新项都带有明确的时间戳(Timestamp)信息。
(三)档案管理与维护
随着模拟业务的执行,系统会持续生成交易档案。此部分用于模拟财务系统针对交易档案的管理、归档、有效期控制、过期处理等场景。
(四)数据字典应用
认识和理解数据字典,观察其构成,通过访问数据字典验证数据模型的定义、结构及其用户模式(Schema)、权限等信息,观察全部的财务数据。
(五)交易档案应用
在观察当前财务数据的基础上,追踪财务数据的演化历史,主要功能有历史数据采样、账户资金的数字化轨迹、数据的波动性分析等,如设置阈值,过滤出波动显著的账户及其对应的资金、交易时间节点等。
进一步地,如果结合实际的业务需求,如图3所示的模拟环境可以实施和验证更广泛的审计项目,如数据分析、安全审计、业务风险提示与预警等。
六、总结与展望
在进入“大智移云”时代的今天,信息系统作为一种高度专业化的IT系统,对其进行审计需要越过技术看数据,用数据说话,特别是业务审计。审计人员虽然不需要直接掌握相关技术,但需要理解并接受新技术、新观念对我们看待数据方式的影响。本文从数据服务角度,提出一大类用于信息系统审计的数据观察方法。一方面借助数据字典,审计人员可以打开观察数据的视野,即通过元数据掌握业务数据全貌,消除业务审计中的数据盲区;另一方面,借助交易档案,审计人员可以“看见”过去的历史,即通过基于时间点的数据观察实现对业务数据的追踪,在更宽的时域范围上“透视”数据及其业务处理。综合应用数据字典和交易档案,被审计业务及其数据可以得到立体化的呈现,由此审计人员获得一种全方位的数据观察手段,进而在业务审计中掌握“用数据说话”的主动权。
本文涉及的两类数据资源是现代信息系统背后的原生数据,属于典型的大数据范畴,其内容真实地记录了用户数据的广度(业务范围)和深度(时间跨度),是开展信息系统审计的可靠数据源。然而因存在一定的技术门槛,目前这类数据在审计领域的应用仍处于起步阶段,其价值在信息系统审计实践中有待进一步发掘和利用。
我们认为,大数据并不是空泛的数据,大数据的价值需要落实到具体的应用上。为了实践本文的信息系统审计思路,我们在提供审计方法和模拟环境的基础上,一并提出对应的数据技术支持,希望对推动大数据在审计领域的深入应用有所示范。
(作者单位:山东工商学院,邮编:264005,电子邮箱:joracle@qq.com)
主要参考文献
[1] 白露.美国审计署对美联储信息系统审计的主要做法及启示[J].中国内部审计, 2017(9):84-86
[2] 山东省审计学会课题组,栾心勇,孟祥宇.山东大数据审计探索与实践[J].审计研究, 2020(3):29-35
[3] 严立鹏, 王优. 我国信息系统审计的现状,創新与探索[J].中国新通信, 2018(15):82
[4] Ioan Rus. Technologies and Methods for Auditing Databases[J]. Procedia Economics and Finance, 2015(26): 991-999