淺談大數據技術下的BCM審計方法范文

本站小編為你精心準備了淺談大數據技術下的BCM審計方法參考范文，愿這些范文能點燃您思維的火花，激發您的寫作靈感。歡迎深入閱讀并收藏。

【摘要】信息系統審計是審計領域關注的一項重要內容，大數據技術的發展為開展信息系統審計提供了機遇也帶來了挑戰。文章以業務連續性管理（bcm）審計為例，研究大數據環境下如何開展信息系統審計。首先分析了常用審計方法的不足，其次根據目前開展大數據審計的需要提出了基于大數據技術的業務連續性管理審計方法，并分析了該方法的原理。在此基礎上，以某商業銀行審計為例，基于文本數據可視化分析技術和大數據多數據源綜合分析技術，分析了基于大數據技術的業務連續性管理審計方法的應用，并總結了該方法的優點。研究結果為今后開展大數據環境下的信息系統審計提供了技術方法和經驗數據。

【關鍵詞】大數據審計；信息系統審計；業務連續性管理（BCM）；數據可視化

一、引言

信息系統審計是目前審計信息化的一項重要工作，大數據環境同樣對信息系統審計產生了影響。因此，大數據環境下如何開展信息系統審計成為一個重要問題。大數據環境下，僅僅靠常用的訪談、現場觀察、文檔查看、抽樣、穿行測試等信息系統審計方法很難發現相關潛在的系統風險，而豐富的內外部數據為探索如何采用大數據相關技術開展信息系統審計提供了基礎。筆者結合目前大數據審計[1-2]與信息系統審計的研究與應用現狀，以業務連續性管理（BusinessContinuityManagement，BCM）審計為例，研究大數據環境下的信息系統審計問題。

二、研究背景分析

（一）業務連續性管理審計簡介業務連續性管理是為了防止業務活動中斷，保護關鍵業務流程不受信息系統失效或自然災害的影響，將意外事件或災難對業務的影響降低到最低水平。業務連續性管理包括識別和降低風險，制定連續性計劃，建立應對意外事件或災難的響應與恢復機制，測試和檢查業務連續性計劃的有效性與合規性，維護業務連續性計劃。業務連續性管理審計的目的就是確保被審計單位的業務連續性管理符合相關要求[3-4]。

（二）目前常用信息系統審計方法存在的不足在開展業務連續性管理審計時，審計人員一般根據業務連續性管理的相關要求，逐項檢查被審計單位是否有業務連續性管理相關制度，以及相應的執行落實情況。比如在開展業務連續性管理審計時，審計人員可以關注以下內容：檢查是否建立一個專門組織或指定一個部門負責本機構業務連續性管理工作；檢查是否制定規范的業務連續性計劃（包括業務連續性管理相關規章制度、文件以及人員名單）；檢查是否制定規范的IT服務連續性計劃（包括與IT服務連續性計劃執行相關的規章制度、文件以及人員名單）；檢查業務連續性計劃是否有年度應急演練等。目前常用的信息系統審計方法，如訪談、現場觀察、文檔查看、抽樣、穿行測試等多是依據相關法律、法規、規章制度，基于審計人員的審計經驗對相關問題進行地毯式排查或重點式查找，不能很好地發現一些隱藏的審計線索，因此，需要探索如何采用相關大數據技術開展信息系統審計。

（三）大數據分析技術方法的選擇根據目前業務連續性管理審計的需要和大數據分析技術的應用現狀，可以采用以下審計方法：1.大數據多數據源綜合分析技術大數據多數據源綜合分析技術是通過對采集來的各行、各業、各類大數據，采用數據查詢等常用方法或其他大數據技術方法進行相關數據的綜合比對和關聯分析，從而發現更多隱藏的審計線索。這種方法是目前審計領域應用大數據比較成熟和主流的內容。大數據環境下，可以通過大數據的多數據源綜合分析技術發現相關線索，例如審計人員可以通過常用的SQL數據查詢方法比較業務連續性管理相關數據和人力資源數據，或通過數值分析（重號分析）方法查找被審計系統中業務連續性管理數據是否重復，從而確認業務連續性管理相關制度的有效性。2.大數據可視化分析技術大數據可視化分析技術[5-6]是從人作為分析主體和需求主體的視角出發，強調基于人機交互的、符合人的認知規律的分析方法，目的是將人所具備的、機器并不擅長的認知能力融入到數據分析過程中。大數據可視化分析技術也是目前大數據審計應用比較成熟和主流的內容。本文根據業務連續性管理審計的需要，選擇了適合文本數據分析需要的標簽云技術。

三、基于大數據技術的業務連續性管理審計方法原理分析

（一）大數據環境下業務連續性管理審計所需的主要數據1.被審計單位主要內部數據大數據環境為業務連續性管理審計提供了全方位分析的相關數據，審計人員可以從被審計單位采集相關業務介紹、部門年度工作總結、風險分析報告、審計報告等相關文本數據，通過這些文本數據，審計人員可以了解目前被審計單位的相關業務情況、風險等，便于審計人員開展相關審計工作。（1）風險分析報告通過分析被審計單位的相關風險分析報告等文本數據，審計人員可以判斷該單位的信息系統建設、運行等工作中是否發生過相關風險。比如，審計人員采集被審計單位的“公司交易系統故障事件總結報告”等文本數據。（2）人力資源部門數據從被審計單位人力資源部門采集相關員工信息數據，通過該數據，可以掌握目前被審計單位所有員工信息以及變化情況，比如員工的相關信息（如工號等）、員工離職或單位內部崗位調整等信息。（3）被審計單位辦公系統數據從被審計單位辦公系統中采集公布的業務連續性管理應急人員名單，通過該數據，可以掌握目前該被審計單位業務連續性管理應急人員變化情況，比如用戶離職或單位內部崗位調整等信息。（4）相關業務連續性管理制度通過分析被審計單位的相關業務連續性管理制度等文本數據，審計人員可以判斷該單位是否有相關業務連續性管理制度，相關業務連續性管理制度的內容是否合理等。2.被審計單位主要外部數據除了通過以上方法獲得被審計單位的內部數據之外，審計人員還可以通過一些大數據工具抓取外部相關網站上的數據，如關于被審計單位的相關信息安全事件的新聞報道、監管部門出具的相關警示函等，通過對這些數據的采集和分析，便于審計人員輔助判斷被審計單位在業務連續性管理方面是否出現過相關風險。

（二）基于大數據技術的業務連續性管理審計方法原理基于大數據技術的業務連續性管理審計方法主要是充分利用被審計單位內部和外部的數據，通過對這些數據的對比分析以及借助大數據可視化技術等分析方法，發現被審計單位業務連續性管理方面的相關風險。相對目前常用的方法，這種方法的優點是能發現相關隱蔽的系統風險，靠數據說話、靠數據決策，能通過可視化的方式更好地反映出體制和機制上的問題。具體原理分析如下：根據對被審計單位的調查，在訪談和現場觀察等基礎上，采集被審計單位的內外部業務連續性管理相關信息，如人力資源部門數據、風險報告、審計報告、相關業務連續性管理制度等結構化和非結構化數據，以及從外部相關監管部門網站或其他網站上公開數據源采集來的相關文本數據，如監管部門出具的相關警示函等。然后，在審計大數據預處理的基礎上，審計人員一方面可以采用標簽云等大數據可視化分析技術，對相關警示函、業務辦公會會議紀要等非結構化數據進行建模和整體分析，同時結合自己的審計背景知識，通過對可視化的分析結果進行分析和觀察，快速從被審計大數據信息中發現異常數據，檢測是否存在信息系統風險情況，獲得審計線索；另一方面，審計人員可以借助SQL查詢方法和審計軟件對被審計單位的結構化數據進行建模和分析，獲得相關證據。在此基礎上，通過對這些結果數據做進一步的延伸審計和審計事實確認，最終獲得審計證據。綜上分析，基于大數據技術的業務連續性管理審計方法原理如圖1所示。

四、基于大數據技術的業務連續性管理審計方法應用案例及分析

（一）案例簡介根據前文對基于大數據技術的業務連續性管理審計方法原理的分析，本案例以某商業銀行審計為背景，以業務連續性管理審計為例，分析大數據技術在業務連續性管理審計方法中的部分應用（本案例中相關數據已經過脫密處理）。

（二）基于文本數據可視化分析技術的業務連續性管理風險分析為了便于從整體上把握被審計單位業務連續性計劃的年度應急演練執行情況等，快速發現可疑數據，審計人員可以采集相關文本數據，如被審計單位的業務連續性計劃相關制度、年度應急演練執行總結材料等，采用大數據可視化工具對其進行分析，其結果如圖2所示。由圖2可以發現：被審計單位的年度應急演練執行情況與業務連續性計劃相關制度描述相一致，因此，可以初步判斷該單位在業務連續性管理方面有年度應急演練，相關業務連續性管理制度內容合理。

（三）基于大數據多數據源綜合分析技術的業務連續性管理風險分析1.應急人員名單中存在離職人員的風險分析為了分析被審計單位業務連續性管理相關規章制度是否存在風險，可以對相關大數據進行分析。比如為了分析“應急人員名單中是否有離職人員”，可以對采集來的被審計單位的人力資源部員工信息、業務連續性管理的應急人員名單信息等結構化數據進行分析，相應的SQL語句分別如下：SELECT*FROM離職人員名單，應急聯絡人信息WHERE離職人員名單.姓名=應急聯絡人信息.姓名審計人員可以采用數據庫工具或審計軟件完成以上分析。假設采用自主研發的“易智通軟件”（電子數據審計模擬實驗室軟件）對采集來的人力資源部員工信息、業務連續性管理的應急人員名單信息等數據進行分析，其結果如圖3所示。由圖3可以發現：被審計單位業務連續性管理的應急人員名單中存在3名離職員工。業務連續性管理的應急人員名單中存在離職員工給被審計單位業務連續性管理的效果造成嚴重的風險隱患。同理，審計人員可以對類似情況進行更多的分析，如內部調動人員對被審計單位業務連續性管理的風險分析。2.應急人員信息不準確風險分析為了進一步確認被審計單位業務連續性管理的應急人員名單中是否存在不同的人聯系方式相同的情況，現采用自主研發的“易智通軟件”（電子數據審計模擬實驗室軟件）對采集來的應急人員名單信息數據進行重號分析，其分析結果如圖4所示。由圖4中的分析結果可以發現：被審計單位的應急人員名單中存在手機信息重復的情況。經向被審計單位延伸取證，最終確認原因為業務連續性管理的應急人員名單信息不準確，造成被審計單位有兩名員工的手機信息為其他人的信息。該被審計單位業務連續性管理的應急人員名單信息不準確，對被審計單位信息系統的業務連續性管理造成潛在的嚴重風險。

五、總結

大數據時代的到來為信息系統審計提供了機遇，目前常用的信息系統審計方法不能有效地滿足大數據環境下信息系統審計的需要，如何借助大數據技術發現被審計單位隱藏的相關信息系統風險情況成為大數據環境下開展信息系統審計工作的一項重要任務。本文根據這一需要，結合目前大數據審計的研究與應用現狀，研究了基于大數據技術的業務連續性管理審計方法，并結合案例，采用大數據可視化分析工具、自主研發的審計軟件分析了如何實施業務連續性管理審計，進而證明了本研究的可行性和有效性。研究結果為今后審計人員開展相關審計項目、防范化解金融科技風險提供了理論方法和經驗數據。本文研究的方法已應用于某大型審計項目之中，取得了良好的效果。當然，本文研究的方法不能解決業務連續性管理審計的所有問題，但有效地彌補了常用業務連續性管理審計方法的不足，從而使審計人員更全面地發現被審計單位在業務連續性管理方面存在的一些隱蔽問題，更好地幫助被審計單位發現相關風險。

【參考文獻】

［1］陳偉，居江寧.大數據審計：現狀與發展［J］.中國注冊會計師，2017（12）：77-81.

［2］陳偉，SMIELIAUSKASW.大數據環境下的電子數據審計：機遇、挑戰與方法［J］.計算機科學，2016（1）：8-13，34.

［3］陳偉.計算機審計［M］.北京：中國人民大學出版社，2017.

［4］陳偉，SMIELIAUSKASW.云計算環境下的聯網審計實現方法探析［J］.審計研究，2012（3）：37-44.

［5］陳偉，居江寧.基于大數據可視化技術的審計線索特征挖掘方法研究［J］.審計研究，2018（1）：16-21.

［6］陳偉，SMIELIAUSKASW.大數據環境下基于數據可視化技術的電子審計方法［J］.中國注冊會計師，2017（1）：101-106.

作者：陳偉 單位：南京審計大學