陈伟 李晓鹏 居江宁

作者单位：南京审计大学 审计署金融审计司 审计署驻上海特派员办事处

一、引 言

随着信息技术的发展，大数据时代的到来为审计工作带来了机遇和挑战。目前国内高度关注大数据技术及其在审计中的应用。审计署曾指出要积极跟踪国内外大数据分析技术的新进展、新动态，探索在审计实践中运用大数据技术的途径，为推动大数据背景下的审计信息化建设做好准备。2015年8月国务院印发《促进大数据发展行动纲要》。2015年12月中共中央办公厅、国务院办公厅印发的《关于实行审计全覆盖的实施意见》指出，“创新审计技术方法是实现审计全覆盖的一个重要手段，要求构建大数据审计工作模式，提高审计能力、质量和效率，扩大审计监督的广度和深度”。社会审计也高度重视大数据技术，中国注册会计师协会（2017）提出了研究大数据、人工智能等先进信息技术在注册会计师行业的落地应用，促进会计师事务所信息化。笔者分析了大数据环境下电子数据审计的机遇、挑战与方法（陈伟，2016），研究了大数据环境下基于模糊匹配的审计方法（陈伟，2016）、大数据环境下基于数据可视化技术的电子数据审计方法（陈伟，2017）、基于大数据可视化技术的审计线索特征挖掘方法（陈伟，2018），以及基于Benford定律的大数据审计方法（陈伟等，2017）。国外实务界与学术界也高度关注大数据技术在审计中的应用。国际内部审计师协会2011年发布了《数据分析技术》指南（Lambrechts等，2011），2017年又发布了《理解与审计大数据》指南（GTAG，2017）；美国注册会计师协会（AICPA）（2014）分析了大数据环境对审计工作的影响；Brown（2015）认为要多关注审计人员处理大数据的能力，比如如何对审计人员进行大数据审计方面的培训，如何开发大数据审计工具或借助其他领域的软件工具来开展大数据审计；Earley（2015）分析了大数据技术给审计工作带来的机遇和挑战，研究了大数据技术在CPA审计中的应用；Gepp（2018）研究了大数据在审计研究与实践中的目前现状与未来机遇。综上所述，研究大数据环境下的审计理论与方法具有重要的理论意义和应用价值。

信息化环境下，除了通过审计电子数据获得审计证据之外（陈伟，2012），审计被审计单位的信息系统，即信息系统审计，也是目前开展审计工作的一项重要工作。对于一些信息化程度高、对信息系统依赖大的行业，如银行等，信息系统审计更为重要。中国银监会2017年4月发布的关于银行业风险防控工作的指导意见（银监发〔2017〕6号）中指出：“（三十四）加强信息科技风险防控。银行业金融机构要全面强化网络信息安全管理，提高身份认证机制安全性；加大对新兴电子渠道风险的管理力度，完善灾备体系，制定完善应对预案；完善外包管理体系，降低外包风险，不得将信息科技管理责任外包。对发生严重信息科技风险事件的银行业金融机构，各级监管机构要及时采取必要的强制性监管措施。”2017年7月14日在北京召开的全国金融工作会议上指出：强化监管，提高防范化解风险能力是一项重要工作。

综上所述，信息系统审计是目前审计信息化的一项重要工作，大数据环境同样对信息系统审计产生了影响。因此，大数据环境下如何开展信息系统审计成为一个重要问题。本文结合目前大数据与信息系统审计的研究与应用现状，以信息系统用户及权限管理审计为例，研究大数据环境下的信息系统审计问题。

二、大数据环境下的信息系统审计研究背景分析

（一）大数据审计的原理

1．大数据的内涵及特点

2008年9月4日《Nature》（自然）杂志首次提出大数据（Big data）的概念。2011年6月，世界著名咨询机构麦肯锡公司发布了报告《Big data： The next frontier for innovation, competition, and productivity》（大数据：下一个创新、竞争和生产力的前沿），给出了大数据定义：大数据指的是大小超出常规数据库工具获取、存储、管理和分析能力的数据集（Manyika，2011）。Gartner（高德纳咨询公司）把大数据定义为：大数据是具有大容量、快速、和（或）多样性等特点的信息资产，为了能提高决策、洞察发现和流程优化，这种信息资产需要新形式的处理方法。大数据时代的到来为各行业提供了机遇和挑战。《Science》（科学）杂志2011年专刊讨论如何管理大数据（Science，2011）。目前，大数据的研究和应用已经成为国内外的热点。世界各国均高度重视大数据相关问题的研究与探索，并从国家战略层面推出研究规划以应对大数据带来的机遇和挑战。

概括来说，大数据主要具有4个特点：大量（V o l u m e）、多样性（V a r i e t y）、快速（Velocity）、真实性（Veracity），有的文献认为大数据还有具有可视化（Visualization）、价值（Value）、变化性（Variability）等特点（GTAG，2017）。

2．大数据审计的内涵

大数据审计（Big Data Auditing）目前尚无统一定义。根据目前大数据审计的研究与应用情况，大数据审计可以看成是随着大数据技术的发展而产生的一种新的审计方式，其内容包括大数据环境下的电子数据审计（如何利用大数据技术审计电子数据、如何审计大数据环境下的电子数据）和大数据环境下的计算机信息系统审计（如何利用大数据技术审计信息系统、如何审计大数据环境下的信息系统）两方面的内容，大数据审计所包括的主要内容可简要归纳为如图1所示。其中，大数据环境下的电子数据审计问题是目前研究与应用的热点。由此可见，大数据审计是伴随着大数据时代的到来，审计信息化的进一步发展。

（二）信息系统审计简介

信息系统审计（Information System Audit，ISA）一般理解为对计算机系统的审计，国际信息系统审计和控制协会把信息系统审计定义为：信息系统审计是收集和评估证据，以确定信息系统与相关资源能否适当地保护资产、维护数据完整、提供相关和可靠的信息、有效完成组织目标、高效率地利用资源并且存在有效的内部控制，以确保满足业务、运作和控制目标，在发生非期望事件的情况下，能够及时地阻止、检测或更正的过程。目前开展信息系统审计时一般从以下两个方面出发：

图1 大数据审计的主要内容

图2 基于大数据技术的信息系统用户及权限管理审计方法原理

图3 相关文本数据可视化分析结果示例

1．一般控制审计

简单地讲，信息系统一般控制是除了信息系统应用程序控制以外的其他控制，它应用于一个单位信息系统全部或较大范围的内部控制。其基本目标为：防止系统被非法侵入、保护信息系统、确保数据安全、保证在意外情况下的持续运行等。

根据以上信息系统一般控制的主要内容及目标，信息系统一般控制审计就是对信息系统整体环境控制的审计，其主要内容一般包括信息系统开发、测试和维护审计、信息系统运行管理审计、信息系统安全审计、业务连续性管理审计、IT外包审计等（陈伟，2017）。

2．应用控制审计

简单地讲，信息系统应用控制是为了适应各种数据处理的特殊控制要求，保证数据处理完整、准确地完成而建立的内部控制，它针对的是与信息系统应用相关的事务和数据，目的是确保数据的准确性、完整性、有效性、可验证性、可靠性和一致性。

应用控制审计就是为了达到以上目的，对应用系统控制的审计。

（三）大数据环境下信息系统审计的主要变化

1．大数据环境对信息系统审计的需求越来越强

随着大数据环境的发展，信息系统中的数据量越来越大，数据的存储方式也随之不断变化，数据的安全性越来越重要。因此，大数据环境对信息系统审计的需求越来越强。

2．大数据环境对信息系统审计的技术要求越来越高

随着大数据环境的发展，被审计单位信息化程度越来越高，信息化应用范围越来越广，对信息化的依赖程度越来越高，使用的应用系统也越来越多，业务系统也越来越复杂。因此，大数据环境对信息系统审计的技术要求越来越高。

3．大数据环境下信息系统审计方法需要不断创新

大数据环境下，除了目前常用的信息系统审计方法，如访谈、现场观察、文档查看、抽样、穿行测试等之外，还可以探索如何采用大数据的相关技术开展信息系统审计。

图4 “离职人员用户权限未销户情况”SQL语句

图5 “离职人员用户权限尚未销户情况”数据分析结果示例

三、大数据环境下用户及权限管理审计方法原理分析

（一）用户及权限管理审计简介

如前文所述，信息系统运行管理审计是信息系统审计的一项重要内容。信息系统运行管理主要是对上线系统的日常运行进行管理。信息系统的日常运行要与信息系统开发和维护分离，确保一个单位信息科技部门内部的岗位制约。其中，用户及权限管理是信息系统运行管理中的一项重要内容，它要求：保证只有经授权的用户才能访问，防止非授权访问。因此，在开展信息系统运行管理审计时，审计人员需要检查业务系统是否能保证只有经授权的用户才能访问，能否防止非授权访问。本节以用户及权限管理审计为例，分析大数据环境下如何开展信息系统审计。

传统环境下，被审计单位信息化程度低，应用系统较少，操作用户较少，因此，对于用户及权限管理审计只需要做简单的访谈或现场察看一下被审计单位的应用系统即可。但目前大数据环境下，被审计单位信息化程度高，应用系统较多，一些单位应用系统多达几百个，甚至上千个，另外，操作用户较多。因此，用户及权限管理是一个重要挑战。特别是对一些员工流动（离职或单位内部岗位调整等）比较频繁的单位，这种问题更为严重。

（二）用户及权限管理审计的数据来源

大数据环境下，对于复杂信息系统的用户及权限管理审计需要全方位分析相关数据，一般可以对以下数据进行分析：

1.数据库中的操作用户信息数据

从被审计单位信息管理部门采集相关操作用户信息数据，通过该数据，可以掌握目前被审计单位所有应用系统中的操作用户情况，比如用户状态、用户相关信息等。

2.人力资源部门数据

从被审计单位人力资源部门采集相关员工信息数据，通过该数据，可以掌握目前被审计单位所有员工变化情况，比如用户离职或单位内部岗位调整等信息。

3.系统操作日志数据

从被审计单位信息管理部门采集相关应用系统操作日志数据，通过该数据，可以掌握目前所有应用系统中的员工在该应用系统中的相关操作信息。

4.被审计单位内部非结构化数据

除了以上结构化数据之外，还可以从被审计单位采集被审计单位的部门年度工作总结、风险分析报告、信息系统的相关审计报告等非结构化数据。通过这些文本数据，可以了解目前被审计单位应用系统曾经发生过哪些风险，便于审计人员辅助判断应用系统的用户及权限管理问题。

5.被审计单位外部数据

除了通过以上方法获得被审计单位内部的数据之外，审计人员还可以通过一些大数据工具抓取相关网上公开数据，或者通过一些大数据工具自动搜索网上关于被审计单位的一些公开报道的风险信息，这些外部数据便于审计人员辅助判断被审计单位在应用系统用户及权限管理方面存在的风险情况。另外，必要的情况下，可以查询相关工商数据、银行数据等信息。

（三）用户及权限管理审计的数据分析方法

1.大数据多数据源综合分析技术

一般采用基于SQL的数据查询方法。数据查询是目前电子数据审计中最常用的审计数据分析方法。数据查询是指审计人员针对实际的被审计对象，根据自己的经验，按照一定的审计分析模型，在通用软件（如Oracle、SQL Server、Microsoft Access）和审计软件中采用SQL语句来分析采集来的电子数据。或采用一些审计软件通过运行各种各样的查询命令以某些预定义的格式来检测被审计单位的电子数据。这种方法既提高了审计的正确性与准确性，也使审计人员从冗长乏味的计算工作中解放出来，告别以前手工翻账的作业模式。另外，运用SQL语句的强大查询功能，通过构建一些复杂的SQL语句，可以完成模糊查询以及多表之间的交叉查询等功能，从而可以完成复杂的审计数据分析功能。

图7 操作用户信息数据重号分析结果示例

图8 离职、内部调动人员部门分布情况可视化分析示例

大数据环境下，审计人员可以采用常用的数据查询方法，通过比较数据库中的操作用户数据和人力资源数据，查找离职员工账号仍然正常或员工单位内部岗位调整的相关信息，并可以通过比较离职或单位内部岗位调整员工信息和应用系统操作日志数据，分析这些员工在应用系统中的相关操作信息。

2.审计软件中的数值分析（重号分析）方法

数值分析是根据被审计数据记录中某一字段具体的数据值的分布情况、出现频率等指标，对该字段进行分析，从而发现审计线索的一种审计数据分析方法。这种方法是从“微观”的角度对电子数据进行分析，审计人员在使用时不用考虑具体的被审计对象和具体的业务。在完成数值分析之后，针对分析出的可疑数据，再结合具体的业务进行审计判断，从而发现审计线索，获得审计证据。相对于其他方法，这种审计数据分析方法易于发现被审计数据中的隐藏信息。常用的数值分析方法主要有重号分析、断号分析和Benford定律分析。其中，重号分析用来查找被审计数据某个字段（或某些字段）中重复的数据。

通过数值分析（重号分析）方法，审计人员可以查找被审计系统中用户的账号是否重复。

3.文本文件可视化分析方法

大数据环境下，审计人员可以借助大数据可视化分析工具（Koh，2010；陈伟，2017），分析被审计单位的相关会议纪要、部门年度工作总结、风险分析报告、信息系统的相关审计报告等非结构化数据，查找突出风险，发现用户权限管理方面的问题。另外，审计人员可以借助大数据可视化分析工具，分析不同部门人员的离职、内部调动频率，从而为用户及权限管理及审计提供决策依据。

4.被审计单位外部数据分析

在必要的情况下，审计人员可以借助数据库工具、审计软件、大数据可视化分析工具、文本分析软件等对采集来的被审计单位外部数据进行分析，便于审计人员辅助判断应用系统的用户及权限管理问题。

（四）基于大数据技术的信息系统用户及权限管理审计方法原理

根据对被审计单位的调查，在访谈和现场观察等基础上，采集被审计单位的员工变动信息、全单位操作用户信息、用户操作日志等结构化数据，以及相关会议纪要、部门年度工作总结、风险分析报告、信息系统的相关审计报告等非结构化数据；在审计大数据集成和预处理的基础上，基于“集中分析，分散核查”的审计思路，采用大数据可视化工具对相关数据进行分析，审计人员通过对可视化的分析结果进行观察，快速从被审计大数据信息中发现异常数据，获得审计线索。另外，审计人员可以根据需要，对异常数据做细化分析，从不同果数据做进一步的延伸审计和审计事实确认，最终获得审计证据。

综上分析，基于大数据技术的信息系统用户及权限管理审计方法原理如图2所示。的方面获得对被审计数据的理解，从而全面地分析被审计数据。在可视化分析结果的基础上，审计人员可以借助SQL查询方法和审计软件对被审计数据进行建模和分析，进一步获得相关证据。在此基础上，通过对这些结

信息系统审计（I n f o r m a t i o n S y s t e m A u d i t，I S A）一般理解为对计算机系统的审计，国际信息系统审计和控制协会把信息系统审计定义为：信息系统审计是收集和评估证据，以确定信息系统与相关资源能否适当地保护资产、维护数据完整、提供相关和可靠的信息、有效完成组织目标、高效率地利用资源并且存在有效的内部控制，以确保满足业务、运作和控制目标，在发生非期望事件的情况下，能够及时地阻止、检测或更正的过程。

四、大数据环境下用户及权限管理审计方法应用案例及分析

信息系统用户及权限管理审计的关键过程环节分析如下：

1.相关文本数据可视化分析

为了便于审计人员从整体上把握被审计大数据情况，快速发现可疑数据，提高审计效率，实现“集中分析，分散核查”的审计方式，采集相关文本数据，如被审计单位的相关会议纪要、部门年度工作总结、风险分析报告、信息系统的相关审计报告等，以及从网上采集来的被审计单位相关风险信息，采用大数据可视化工具对其进行分析，其结果如图3所示。

由图3可以发现：被审计单位的信息系统在密码、权限、用户等管理上一直受到相关部门的重视。另外，通过查阅从网上采集来的被审计单位相关风险信息，被审计单位存在多次被相关监管部门通告的情况，因此，信息系统的权限和用户管理存在一定的风险。

2.结构化数据分析

为了进一步分析被审计单位哪些离职、内部调动人员的权限和用户管理是否存在风险，需要对采集来的被审计单位的人力资源部员工信息、全单位操作用户信息、用户操作日志等结构化数据进行分析。比如，分析该数据中“离职人员用户权限尚未销户情况”方面的数据，相应的SQL语句分别如图4所示。

由于数据量大，把采集来的被审计单位的人力资源部员工信息、全单位操作用户信息、用户操作日志等结构化数据全部采集到Oracle数据库中，并借助Oracle数据库的PL/SQL Developer进行分析，结果如图5所示。

由图5可以发现：被审计单位存在35名离职员工的用户及权限尚未中止的情况。为进一步确认这些尚未中止的用户是否仍在使用，考虑到数据量大，仍借助Oracle数据库的PL/SQL Developer分别分析这些离职但权限尚未消户人员的“用户操作日志”信息，并把以上日志导出，其中某一员工的“用户操作日志”信息如图6所示。结合采集来的被审计单位的人力资源部员工信息，通过对比该员工的离职时间，发现该员工离职后用户仍在使用（图6中从箭头指向位置起，红颜色的“用户操作日志”信息为离职后用户仍在使用的日志信息）。同理可分析其他离职但权限尚未消户员工的“用户操作日志”信息。

根据以上分析结果，发现被审计单位存在33名离职员工的用户仍在使用的情况。经向被审计单位延伸取证，最终确认除了1名人员为姓名重复，2名人员为离职后又复职的原因之外，其余30名离职员工的用户仍在正常使用。通过以上过程，不难看出：被审计单位对于离职员工在应用系统中的权限管理缺少有效的控制，给被审计单位信息系统的运行管理造成严重的风险隐患。

同理，审计人员可以分析“内部调动人员的用户权限尚未调整情况”。

3.审计软件重号分析

为了进一步确认被审计单位的员工是否存在一人拥有多个用户的情况，采用自主研发的“易智通软件”（电子数据审计模拟实验室软件）对采集来的全单位操作用户信息数据进行分析，结果如图7所示。

由图7可以发现：被审计单位有664名员工有多个用户，且用户均能正常使用。经向被审计单位延伸取证，最终确认除了128名员工的多个用户需要保留外，其他536名员工的多个用户需要修改。不难看出：多名员工有多个均能正常使用的用户的情况对被审计单位信息系统的运行管理造成潜在的严重风险隐患。

4.离职、内部调动人员部门分布情况可视化分析

一般来说，部门人员变动频率比较高的部门在用户和权限管理方面容易出现问题，需要审计人员重点关注。为了进一步分析哪些部门人员变动频率比较高，可以采用大数据可视化工具对采集来的离职、内部调动人员数据进行综合分析，结果如图8所示。

图8的分析结果表明：该被审计单位在营业部、信息技术中心、分公司工作等部门工作的员工离职和内部调动情况频率较高，建议该被审计单位今后应注重对这些部门用户和权限的管理。

五、总 结

大数据时代的到来使得审计工作不得不面临被审计单位的大数据环境，大数据环境下如何开展信息系统审计成为一个重要问题。随着大数据环境的发展，被审计单位信息化程度越来越高，信息化应用范围越来越广，使用的应用系统也越来越多，业务系统也越来越复杂。这使得目前常用的信息系统审计方法不能有效地满足大数据环境下信息系统审计的需要，采用大数据技术开展信息系统审计成为一种有效的方法。另外，大数据环境下，如何便于审计人员从整体上把握被审计大数据情况，快速发现可疑数据，提高审计效率，实现“集中分析，分散核查”的方式成为大数据环境下开展审计工作的一项重要任务。本文根据这一需要，以信息系统用户及权限管理审计为例，分析了大数据环境下如何开展信息系统审计，并采用数据库工具、大数据可视化工具、自主研发的审计软件分析了如何实施用户及权限管理审计，进而证明了本文研究的可行性和有效性。