关于大数据广泛应用的内部审计如何确保数据安全的几点思考
2021-09-13方晓慧康雅萍方永欣
方晓慧 康雅萍 方永欣
摘要:随着信息技术的发展,企业面临着越来越多的业务数据,运用大数据技术开展审计工作是顺应时代和业务发展的趋势。大数据技术被广泛应用于内部审计工作,提高了审计工作的效率和效果,同时也带来了数据安全方面的风险。本文对大数据给内部审计带来的变化、大数据带来的风险以及如何应对风险进行了思考。
关键词:大数据;安全;内部审计发
一、大数据发展与内部审计发展
(一)内部审计目标的新定位
大数据推动企业内部审计向更复杂更多变的方向发展,内部审计不再是单纯的查找问题和发现风险,内部审计的目标更偏重于企业价值的增值。在对企业大数据的分析中,对异常情况的本质和根源进行探索与研究,分析数据对于企业发展整体的影响,并通过先进的技术,鉴别有效信息和无用信息,更有效的、有针对性的发挥内部审计咨询功能,提升内部审计的价值,推动增值型审计的发展。
(二)内部审计方法的新变革
大数据环境下,传统的函证、盘点、检查等抽样技术手段也不能满足内部审计工作的需要,审计工作由部分抽样到全面检查不断转变。审计人员在面对海量的数据时,通过对数据进行深度挖掘,利用审计经验总结数据特征,获取更加合理可靠的审计数据,使得监督更加全面,保证内部审计质量。
(三)内部审计成果的新应用
随着大数据在内部审计中的应用,内部审计成果的汇报不再局限于审计报告,在审计过程中大量被采集、分类、筛选、整合的数据,这些都可以为公司在今后的经营活动中提供更多的决策参考,改善经营管理。内部审计人员可以通过对审计中获取的数据和资料进行宏观和综合的分析,为企业决策者提供科学的证明和决策建议,全力推动增值型内部审计的发展。
二、大数据及大数据审计安全风险
(一)典型电信运营商大数据安全事件
2020年底,美国第三大电信运营商T-Mobile在官方网站上发布通知称,发现黑客在未经授权的情况下访问了一些客户的账户信息,包括T-Mobile为提供手机服务而收集和制作的客户数据。影响了约20万名T-Mobile用户。
2020年5月,一位安全研究人员在网上找到了一个开放的ElasticSearch数据库,其中包含4TB的互联网使用数据,即83亿条记录。泰国手机运营商AdvancedInfoService被迫在涉嫌数据泄露后删除了其中一个数据库。
2018年2月,瑞士最大的电信运营商Swisscom宣布,有80万用户的数据信息在2017年秋季被盗取。
2015年10月,英国电信公司TalkTalk的网站被黑客攻击,导致约400万用户个人信息以及银行账号等数据遭受泄露。
2015年初,某省电信公司与第三方合作开展大数据分析业务,违规将现网原始数据通过自动化接口每日定期提供给境外合作伙伴,产生严重数据泄漏案例事件。
(二)大数据的各类安全风险
内部管理风险:在敏感数据的采集、传输、存储、使用、共享、销毁各环节,可能存在人员、机房、设备管理不到位带来的严重安全隐患,也存在不同部门之间、不同平台之间因数据共享带来的安全风险。
对外合作风险:运营商数据类型丰富、商业价值大、精准度高,在大数据对外合作方面前景广阔,与第三方在数据交换、系统建设、建模分析、业务拓展、运维支撑等方面均有合作,一旦发生安全事件,将对企业声誉、公司利益、业务开展、用户隐私等产生重大影响。
平台系统风险:大数据平台集中存储了B域、M域、O域的海量数据,易成为重点攻击目标,若出现网络规划、账号管理、系统加固、数据防护不当等情况,可能发生安全事件,造成海量敏感信息泄漏,并威胁公司数据资产安全。
(三)大数据审计面临的主要风险
审计数据采集和整理风险:获取到的审计数据的完整性和真实性不足,数据质量不高,可能会影响审计工作质量。各系统间数据标准、数据格式不一致,也给数据整理带来较大困难。
审计数据管理风险:审计数据的集中存储过程中,由于安全防护不到位,导致数据被被窃取或破坏,审计人员违规使用互联网传送数据或使用非专用设备处理涉密信息也可能导致的数据泄露。
三、大数据安全风险管理举措
(一)建立健全大数据安全管理流程
实施审计数据端到端安全管控。在数据采集环节加强安全管控,传输环节进行加密保护,存储环节对敏感信息加密存储并做好数据容灾备份,使用环节进行权限访问控制,共享环节通过保密协议等方式明确安全责任,销毁环节采用可靠技术手段删除敏感信息。
(二)强化对外合作管理力度
强化第三方安全管理。对合作方进行安全资质审查,评估合作第三方的信息安全保障能力,设立黑名单机制,确保其具备相应的保密及运营资质、管理制度及技术防护手段,切实保证审计数据安全。
明确业务合作方安全责任。与合作方界定双方大数据管理责任界面,明确审计数据保护制度、数据保护手段、限制数据使用范围和场景等,细化大数据管理的颗粒度。
(三)做好平台系统安全防护
数据及应用层面部署数据安全防护能力,在开发、测试和系统部署过程中落实数据安全保护手段及防护能力,避免安全漏洞。健全数据容灾备份机制,完善数据备份和恢复手段,保证数据的可恢复性及业务的连续性。
网络及系统层面强化安全评估检查,定期开展安全风险督查检查,建立分权制衡机制,涉及敏感数据操作,应多人共同协作完成,实现“关键操作,分权制衡”。部署安全防护设备,采取安全域隔离、防火墙、入侵检测、防DDoS等措施,加强大数据相关设备自身的网络及数据安全防护。
四、结语
本文对大数据发展给内部审计带来的变化、大数据发展面临的安全风险进行了深入分析,对建立大数据安全保障体系、确保数据安全进行了思考,提出了若干大数据安全風险管理举措,为大数据技术更好地在审计中深度利用提供参考。
参考文献:
[1]段敏.浅谈大数据时代背景对会计与审计的影响[J].创新创业理论研究与实践,2019,2(04):172-173.
[2]徐振华.大数据时代对会计和审计的影响分析[J].现代经济信息,2019(18):237.