大数据时代下社保基金云审计风险控制分析范文

摘要：云审计不仅符合大数据时代下审计新需求，更为社保基金审计监督手段的创新提供了理论指导。因此，文章从被审计端、云端和审计终端三个视角出发，在梳理社保基金云审计系统流程的基础上，分析了其在具体应用中可能面临的风险，并针对性的提出风险控制建议，以期通过社保基金云审计的应用和风险控制为后续大数据审计监督提供经验和启示。

关键词：社保基金；云审计；风险控制

据人社部官方统计数据显示，截至2016年9月底，我国缴纳基本养老保险、基本医疗保险、失业保险、工伤保险和生育保险的参保人数分别为8.71亿人、6.98亿人、1.78亿人、2.16亿人、1.82亿人，前三季度五项社保基金总收入4.9万亿元，总支出4.3万亿元。可见，依靠传统的审计技术来监督规范如此庞大的社保基金财务数据已无法满足要求，必须革新社保基金审计技术以适应大数据时代的要求（王章礼，余鲁，2016）。新兴的云计算为处理大数据审计需求提供了契机，云计算可实现审计工作在云端的一个系统内集中处理，审计人员无需进行数据的汇总、分析测试，无需关注审计软件的兼容性和使用何种计算机程序，只需将重心放在审计任务即可。可见，借助云计算使得审计作业更加规范化、审计结果更加科学准确、审计工作效率大幅提高，更加契合在大数据背景下有效开展审计业务的先进技术手段（魏祥健，2015）。虽然云审计相比于传统审计技术在数据采集、存储、计算处理和安全方面存在显著的优越性，但系统运作机制的复杂性也导致其背后隐藏的风险和影响远高于传统审计技术。而国内众多学者都将研究的焦点放在云审计系统构建和应用研究方面（张永杰，2015；陈伟，2012；姜梅等，2007），对于云审计应用过程中的风险控制关注甚少。因此本文以社保基金云审计应用为例，对云审计应用过程中的风险控制进行深入探讨，以期为未来审计机关大规模开展云审计有效应对可能发生的风险提供借鉴意义。

一、社保基金云审计应用系统分析

大数据时代下，需要借助先进的技术支持才能对社保基金征缴、支出和管理产生的庞大数据的真实性、完整性和合法性进行有效监督规范，而云计算将是最佳选择，依靠其强大的数据采集、存储和分析功能，审计终端不需要购买服务器、存储器等硬件设备，而是通过网络直接使用云端提供的SaaS、PaaS、IaaS等服务对被审计端开展审计业务，提高审计工作效率的同时还可以有效降低工作成本（详见图1）。具体而言：首先，被审计端需要及时将各地区社保基金征缴数据、支付数据、管理数据和其他文件资料等内容进行汇总采集。尤其关注参保人数及信息完整性、缴费基数和缴费比率、企业缴费情况、是否存在欠缴、不缴或者选择性参保等问题。在原始数据采集过程中被审计单位也要对数据进行备份处理，同时严禁人为删减数据，以保证原始数据的完整性和准确性。并通过云端接口技术，将采集数据按时上传云端，以备审计机关进行检查监督。

其次，云端负责对被审计端上传的原始数据进行加工处理并将处理结果传输给审计终端，这些操作均由云端完成，也称为“云审计”。数据处理流程主要包括：第一，对原始数据进行清理和加工。按照不同类型社保基金的特点和数据存储格式转换成符合审计终端要求的标准数据，再根据预先编制的审计计划重新汇聚，以形成满足审计分析使用的基础表和分析表；第二，对海量数据进行智能分析。借助云端自有的各类审计模型（审计对象模型、审计数据模型、审计疑点模型、审计底稿模型等）对社保基金原始数据、基础表和分析表之间的内在逻辑关系进行自动化和智能化分析，以发现疑点数据、有效数据和无效数据，并实时保存和备份原始数据和分析报告；第三，海量数据存储。被审计端将所有采集的社保基金原始数据上传云端后，云端都将会自动保存并备份，使得原始数据保存有了“双保险”，更有效解决了被审计端对海量数据存储的硬件设备难题。

另外，通过云端存储功能审计人员也可以随时调用查看社保基金原始数据以开展审计作业；第四，对可疑数据自动生成预警报告。“审计云”将根据数据库内容和数据表的自动分析生成的数据结构变更分析报告，预警结果按不同分类提供给审计人员，以便其能够及时把握审计线索，规避审计风险，提高审计效率。可见，“云审计”实现了各类审计信息的数字化，有效促进信息的交流和共享，使得审计资源得到充分利用。

最后，在审计终端审计人员可通过笔记本电脑、PDA、手机等便携式设备直接登陆“云审计”平台即可调用储存在云端的原始数据和审计模型，无需掌握后台技术，直接查看云端自动生成的审计分析结果。借助于“云审计”平台提供的强大数据计算处理能力显著减少了审计终端的数据处理负担，而web浏览器更让审计终端简化成一个单纯的输入输出设备，不需安装、升级和维护软件或硬件设备，审计人员一样可以有效开展审计作业，得出审计结果。

二、社保基金云审计应用风险分析

（一）被审计端风险分析

被审计端作为社保基金原始数据采集源头，应重点关注数据采集的数量和质量，因为前端审计数据采集的完整性、准确性直接影响后续云端的数据分析和审计疑点反馈的针对性和全面性，进而增加了现场审计失败的风险。由于社保基金具有内容广、业务量大、多元化和异构型等特征，易发生参保人数遗漏或信息不完整、参保企业欠缴、不缴或者选择性参保、缴费基数和缴费率不合规等问题，这都会影响前端审计数据采集的完整性和准确性。具体而言，当前社保中心的数据采集都建立在连接外网的基础上，而网络资源的共享性和开放性使得社保中心数据库易遭受病毒、黑客攻击，网络环境的不稳定性加剧了社保基金原始数据采集的难度，难以有效保证数据采集的质量。

此外，社保基金原始数据都以无纸化的电子数据保存在磁介质内，这为无权访问或接触数据的舞弊者删减或修改社保基金数据提供了机会，且电子数据的更改不留痕迹，舞弊行为无处可寻。因此任何非法的访问或接触行为都会影响社保基金数据的完整性和准确性，进而增加了审计失败的风险。尤其是大数据群体对办公设备的配置要求较高，内存不足或系统瘫痪都会使得数据采集失去连续性，而系统区与数据区的混合使用也加剧了系统出错的风险，使得原始数据采集和保存工作面临较大挑战。另外，数据上传过程中也面临传输不完整、上传失败、甚至是数据外泄的风险。尤其是数据传输过程中的访问登陆、加密监控、安全性和稳定性等都依赖于每个基础API内置的安全性。如果云端服务商未能消除接口端API中的不安全因素，亦会增加社保基金数据在传输过程中遭受攻击的风险。

（二）云端风险分析

1.从云端本身来看，其面临的主要风险有：第一，虚拟环境运行安全风险。即作为一种IT技术也会遭受网络病毒、恶意程序、黑客等的攻击，一旦云端遭受“攻击”，产生的危害可能远大于被审计端原始数据采集网络运行威胁产生的危害，因为云端既承担数据保存，也负责数据的加工处理和预警分析，如果云端在数据分析过程遭遇恶意程序，可能会得出无效或错误的分析报告，加重审计负担；第二，内部操作风险。反映了云端后台人员对于被审计端传输过来的数据未进行有效管理致使数据外泄，或内部人员对原始数据进行了修改或删减，影响了原始数据的完整性和准确性。

2.从数据安全角度来看，云端主要面临的风险有：第一，数据存储风险。社保基金数据作为敏感数据，应严格保证数据的保密性、完整性和可控性。但由于云端通过虚拟化技术将被审计端的数据存储在不同服务器上，使其无法准确定位存储数据的位置并提供针对性的保密措施，从而加大了敏感数据外泄或被窃取的风险。另外，数据存储的物理控制和逻辑控制全部由云端服务商控制，被审计端和审计终端缺乏对数据存储的必要控制，一旦云端服务商出现系统故障或遭受“攻击”致使系统瘫痪，如何有效保证存储数据的快速恢复和数据备份安全成为云端不得不面临的难题；第二，数据隔离风险。云端服务商可能为多个用户提供不同等级或特性的数据存储服务，出现了多个用户共享计算环境，特别是在公用云环境下，如果不能对重要数据进行有效隔离，易引发云端在数据管理和分配用户数据时出现混乱，加剧了存储数据的安全隐患。

3.从云审计系统安全来看，云端面临的风险有：第一，访问控制无效风险。在多用户运行环境下，云端服务商通过远程端口访问技术同时向多用户提供不同的数据服务，该种情况下如果云端服务商在用户访问控制和身份识别方面存在漏洞则可能导致非法登陆等问题。因此如何对审计终端和被审计端用户的身份识别进行有效控制成为云端保证审计数据安全的关键屏障；第二，平台共享风险。云端服务商通过提供统一的基础设施服务（IaaS）让多用户共享平台的应用系统和运算资源，而底层组件却未提供强大的隔离措施以保证不同用户间应用程序运行环境和数据处理资源的隔离，易引发不同用户间应用程序的相互干扰，并为非法用户干扰破坏合法用户运行应用系统以窃取、篡改原始数据埋下了隐患；第三，平台传输风险。云端提供的强大数据传输、加工和处理服务都以高速、安全的网络传输平台为基础。尤其针对于社保基金等大数据存取、处理和频繁性信息交换都严重依赖于平台网络宽带传输的负荷能力，一旦平台网络传输超负荷运行将会导致审计终端无法正常开展审计作业，影响作业计划的顺利实施。

（三）审计终端风险分析

1.审计人员方面。社保基金云审计的应用效果取决于审计人员的专业素质和技能，一旦审计人员的专业能力无法匹配社保基金云审计的要求将严重影响审计监督的质量。具体而言，社保基金云审计对审计人员的胜任能力要求很高，不仅体现在审计业务知识方面，还要求其具备丰富的计算机技术并对云端的网络技术和软硬件系统有充分的了解。而在实务中很多审计人员的思维方式和操作方式还停留在传统审计技术层面，再加上缺乏系统的计算机技术和网络知识增加了因个人违规操作而导致的审计失败。如：擅自修改系统设置、数据处理不当等问题。此外，社保基金云审计是审计技术的优化创新，而传统的社保基金法规、准则体系已不能有效指导和规范新环境下社保基金云审计的实践操作及实务中出现的新问题。因此亟需一套标准的审计技术规范体系以供审计人员采用统一的标准对社保基金展开审计监督。而标准技术规范体系的缺乏也在一定程度上加剧了审计人员违规操作的风险，增大了审计失败的隐患。

2.现场审计方面。审计人员通过云端提供的预警分析报告和审计分析报告确定现场审计的重点，但这种“借力”第三方的审计模式致使审计终端在未对被审计端的内部控制有效性进行评估时就依赖于其上传的原始数据进行预警分析，如果被审计端的内部控制存在重大缺陷使其数据采集存在完整性缺失或准确性不够导致云端数据处理与分析报告错误或无效，从而误导了现场审计致使审计程序无效或审计失败。此外，在传统审计技术中审计证据都以纸质形式保存容易获取审计证据，而在云审计模式下财务与业务信息都以电子数据存储在磁介质中，现场审计时审计人员只能通过网络查询获取无纸化审计线索，而一些传统的审计方式无法有效开展（如观察法、盘点法），从而影响了审计证据的适当性和充分性，增加了审计失败的风险。

三、社保基金云审计应用风险控制

（一）被审计端风险控制

1.创建安全的网络运行环境。被审计端网络运行安全直接影响到社保基金原始数据采集的完整性和准确性，因此安全的网络运行环境是社保基金云审计顺利开展的第一道“防火墙”。具体安全措施包括：采用物理隔离技术、搭建完善的安全监控体系等。物理隔离技术是指当社保基金系统网络安全遭受外界网络威胁时，即采用专有的安全协议、加密验证等措施对网络访问请求进行严格的身份认证，并在不同安全级别的网络之间构建隔离模型以有效遏制隐患对系统产生的威胁。而完善的安全监控体系包括防火墙技术、非法入侵技术和病毒防护技术，以有效防止黑客入侵和网络病毒产生的危害（张宏等，2014）。

2.建立系统操作日志和远程访问监控系统。系统操作日志能够记录所有对社保基金系统操作程序，具体包括访问者身份、访问时间、登陆次数和地点及操作事项等。通过完整记录被审计端系统操作日志能够有效识别访问人员的非法操作，为日后现场审计获取审计证据提供了便利。远程访问监控是通过对特定权限的访问人员的身份、访问时间和登陆次数以及操作权限进行实时监控，以保证被审计端访问人员在合理权限内进行合规操作。

3.定期检测并维护基础设施安全。基础设施安全检测和维护具体包括内存设备和系统运行异常清除工作。在内存设备方面可利用虚拟技术并统一管理不同型号存储设备，通过漏洞检测技术、访问控制策略增强内存设备和网络服务器的稳定性，以保证社保基金数据采集系统良好的运行状态。系统运行异常清除是指在系统运行过程中及时清除由于死机、系统不兼容等问题导致的系统异常，以有效释放系统资源、扩充系统运行空间。

4.采用数据专网传输和数据加密控制。数据专网传输控制能够对数据传输全过程进行有效监控，防止数据传输过程出现的泄露和威胁，即通过被审计端楼宇内现有局域网资源，对原始数据进行转化和传输，并在数据转化过程中加入数据加密技术，对普通文本和数据进行编码以产生不可理解的密文步骤，只有通过密码才能解密并获取数据原始格式和文本，即使在上传云端过程出现数据泄露，没有正确的解密密码也无法打开原始数据，该举措也能有效防止云端后台人员对原始数据进行删改，保证数据的完整性和准确性（秦荣生，2014）。

1.构建完善的云端安全防御系统。云端的虚拟化技术面临着黑客恶意攻击、病毒代码篡改数据等隐患。所以针对虚拟环境的安全诉求，云端应构建完善的安全防御系统，至少包含虚拟化安全检测引擎、故障检测、漏洞扫描和风险预警等功能，以对云端虚拟环境由内向外、自下而上进行实时监控和漏洞扫描，并设置异常情况预警以及时排除故障，提高云计算系统的稳定性和可靠性。

2.加强访问控制技术。审计终端和被审计端借力云端实现审计连环作业时，通过统一身份认证以控制用户登录和访问权限，身份认证可采用“双密码”管理，既有固定登陆密码，也要设置动态提醒或特有标识密码（如指纹），即可有效防止非法用户或冒名盗用他人用户名进入云端非法下载或修改数据的风险。

3.采用智能探针与分析提取技术，保证数据安全。智能探针技术可以对被审计端上传数据打上污点标签进行分类管理和存储，还可以持续跟踪任何对打上污点标签数据的操作行为。云端可利用该项技术对被审计端上传的数据进行智能保存并持续监控以保证数据的完整性。另外鉴于云端包含的数据量大但相对价值密度较低，且多用户共享数据可能产生的共享风险，云端可借鉴大数据分析提取技术与智能探针相结合，识别不同数据的使用频率和应用价值，对数据进行职能隔离的同时也可以为审计终端调取、共享数据提供便利（曹洪泽，刘强，2006）。

4.加强设备安全配置管理。系统安全配置管理主要用于检测复杂环境下云端性能问题以提高云平台的实际处理能力。可通过远程Web管理（https协议传输）与命令行方式对设备进行安全管理，当设备遭遇突发事件时可实现自动保存、备份和恢复，同时也可实时监控网络稳定性、网络状态和设备运行状态，并定期生成记录日志以供备查。

（三）审计终端风险控制

1.应加强审计人员的综合培训。为了更好适应社保基金云审计的发展要求，当务之急是加强对审计人员的综合培训，培训内容不仅包括审计业务，还要涵盖计算机和网络技术等方面，增强其计算机实战技能和云审计信息化技术，提高审计人员“借力”云平台的应用能力。将定期的学习培训规划与实务应用相结合，使更多的审计人员成为岗位上的专才和实践中的专家。另外，建立专门的技术攻关与指导小组，为审计人员解决实践应用过程中的技术难题提供技术指导和专家咨询，帮助其更快的适应云审计的发展要求。

2.应实施远程与现场循环审计。云计算为审计终端实施远程审计提供了便利，借助云端提供的数据处理和存储能力有效缓解了被审计端的数据存储和审计终端的数据处理需求，但云端的数据处理与分析报告的准确性仍有待于现场审计的检验。为此实施远程与现场循环审计，通过联机分析与数据查询了解被审计端原始数据采集和上传的内部控制及具体执行情况，以判断云端数据处理结果的可信赖程度并确定审计重点。采用远程审计与现场审计相结合以固化审计经验，并将编程技术与建模思路相融合为审计人员后续开展审计工作提供技术指导（徐贵丽，2014）。

参考文献：

[1]王章礼，余鲁.大数据时代我国社会审计模式创新研究〔J〕.中国注册会计师，2016（11）.

[2]魏祥健.云计算环境下的云审计系统设计与风险控制〔J〕.会计之友，2015（01）.

[3]张永杰.云计算视域下养老保险基金联网审计系统建构分析〔J〕.审计研究，2015（05）.

[4]陈伟，WallySmieliauskas.云计算环境联网审计实现方法探析〔J〕.审计研究，2012（03）.

[5]姜梅，吴万春，邢金荣，田德新，孙可君.社会保障基金联网审计的应用研究〔J〕.审计研究，2007（04）.

[6]张宏，徐士元，赵芳芳，王志.移动互联网安全审计云〔J〕.信息安全与通信保密，2014（02）.

[7]秦荣生.大数据、云计算技术对审计的影响研究〔J〕.审计研究，2014（06）.

[8]曹洪泽，刘强.联网审计及其关键技术研究〔J〕.北京理工大学学报，2006（07）.

[9]徐贵丽.云审计:机遇、挑战与发展趋势〔J〕.中国注册会计师，2014（03）.

作者：钱瑞；王帆