浅谈大数据技术下的BCM审计方法范文

【摘要】信息系统审计是审计领域关注的一项重要内容，大数据技术的发展为开展信息系统审计提供了机遇也带来了挑战。文章以业务连续性管理（BCM）审计为例，研究大数据环境下如何开展信息系统审计。首先分析了常用审计方法的不足，其次根据目前开展大数据审计的需要提出了基于大数据技术的业务连续性管理审计方法，并分析了该方法的原理。在此基础上，以某商业银行审计为例，基于文本数据可视化分析技术和大数据多数据源综合分析技术，分析了基于大数据技术的业务连续性管理审计方法的应用，并总结了该方法的优点。研究结果为今后开展大数据环境下的信息系统审计提供了技术方法和经验数据。

【关键词】大数据审计；信息系统审计；业务连续性管理（BCM）；数据可视化

一、引言

信息系统审计是目前审计信息化的一项重要工作，大数据环境同样对信息系统审计产生了影响。因此，大数据环境下如何开展信息系统审计成为一个重要问题。大数据环境下，仅仅靠常用的访谈、现场观察、文档查看、抽样、穿行测试等信息系统审计方法很难发现相关潜在的系统风险，而丰富的内外部数据为探索如何采用大数据相关技术开展信息系统审计提供了基础。笔者结合目前大数据审计[1-2]与信息系统审计的研究与应用现状，以业务连续性管理（BusinessContinuityManagement，BCM）审计为例，研究大数据环境下的信息系统审计问题。

二、研究背景分析

（一）业务连续性管理审计简介业务连续性管理是为了防止业务活动中断，保护关键业务流程不受信息系统失效或自然灾害的影响，将意外事件或灾难对业务的影响降低到最低水平。业务连续性管理包括识别和降低风险，制定连续性计划，建立应对意外事件或灾难的响应与恢复机制，测试和检查业务连续性计划的有效性与合规性，维护业务连续性计划。业务连续性管理审计的目的就是确保被审计单位的业务连续性管理符合相关要求[3-4]。

（二）目前常用信息系统审计方法存在的不足在开展业务连续性管理审计时，审计人员一般根据业务连续性管理的相关要求，逐项检查被审计单位是否有业务连续性管理相关制度，以及相应的执行落实情况。比如在开展业务连续性管理审计时，审计人员可以关注以下内容：检查是否建立一个专门组织或指定一个部门负责本机构业务连续性管理工作；检查是否制定规范的业务连续性计划（包括业务连续性管理相关规章制度、文件以及人员名单）；检查是否制定规范的IT服务连续性计划（包括与IT服务连续性计划执行相关的规章制度、文件以及人员名单）；检查业务连续性计划是否有年度应急演练等。目前常用的信息系统审计方法，如访谈、现场观察、文档查看、抽样、穿行测试等多是依据相关法律、法规、规章制度，基于审计人员的审计经验对相关问题进行地毯式排查或重点式查找，不能很好地发现一些隐藏的审计线索，因此，需要探索如何采用相关大数据技术开展信息系统审计。

（三）大数据分析技术方法的选择根据目前业务连续性管理审计的需要和大数据分析技术的应用现状，可以采用以下审计方法：1.大数据多数据源综合分析技术大数据多数据源综合分析技术是通过对采集来的各行、各业、各类大数据，采用数据查询等常用方法或其他大数据技术方法进行相关数据的综合比对和关联分析，从而发现更多隐藏的审计线索。这种方法是目前审计领域应用大数据比较成熟和主流的内容。大数据环境下，可以通过大数据的多数据源综合分析技术发现相关线索，例如审计人员可以通过常用的SQL数据查询方法比较业务连续性管理相关数据和人力资源数据，或通过数值分析（重号分析）方法查找被审计系统中业务连续性管理数据是否重复，从而确认业务连续性管理相关制度的有效性。2.大数据可视化分析技术大数据可视化分析技术[5-6]是从人作为分析主体和需求主体的视角出发，强调基于人机交互的、符合人的认知规律的分析方法，目的是将人所具备的、机器并不擅长的认知能力融入到数据分析过程中。大数据可视化分析技术也是目前大数据审计应用比较成熟和主流的内容。本文根据业务连续性管理审计的需要，选择了适合文本数据分析需要的标签云技术。

三、基于大数据技术的业务连续性管理审计方法原理分析

（一）大数据环境下业务连续性管理审计所需的主要数据1.被审计单位主要内部数据大数据环境为业务连续性管理审计提供了全方位分析的相关数据，审计人员可以从被审计单位采集相关业务介绍、部门年度工作总结、风险分析报告、审计报告等相关文本数据，通过这些文本数据，审计人员可以了解目前被审计单位的相关业务情况、风险等，便于审计人员开展相关审计工作。（1）风险分析报告通过分析被审计单位的相关风险分析报告等文本数据，审计人员可以判断该单位的信息系统建设、运行等工作中是否发生过相关风险。比如，审计人员采集被审计单位的“公司交易系统故障事件总结报告”等文本数据。（2）人力资源部门数据从被审计单位人力资源部门采集相关员工信息数据，通过该数据，可以掌握目前被审计单位所有员工信息以及变化情况，比如员工的相关信息（如工号等）、员工离职或单位内部岗位调整等信息。（3）被审计单位办公系统数据从被审计单位办公系统中采集公布的业务连续性管理应急人员名单，通过该数据，可以掌握目前该被审计单位业务连续性管理应急人员变化情况，比如用户离职或单位内部岗位调整等信息。（4）相关业务连续性管理制度通过分析被审计单位的相关业务连续性管理制度等文本数据，审计人员可以判断该单位是否有相关业务连续性管理制度，相关业务连续性管理制度的内容是否合理等。2.被审计单位主要外部数据除了通过以上方法获得被审计单位的内部数据之外，审计人员还可以通过一些大数据工具抓取外部相关网站上的数据，如关于被审计单位的相关信息安全事件的新闻报道、监管部门出具的相关警示函等，通过对这些数据的采集和分析，便于审计人员辅助判断被审计单位在业务连续性管理方面是否出现过相关风险。

（二）基于大数据技术的业务连续性管理审计方法原理基于大数据技术的业务连续性管理审计方法主要是充分利用被审计单位内部和外部的数据，通过对这些数据的对比分析以及借助大数据可视化技术等分析方法，发现被审计单位业务连续性管理方面的相关风险。相对目前常用的方法，这种方法的优点是能发现相关隐蔽的系统风险，靠数据说话、靠数据决策，能通过可视化的方式更好地反映出体制和机制上的问题。具体原理分析如下：根据对被审计单位的调查，在访谈和现场观察等基础上，采集被审计单位的内外部业务连续性管理相关信息，如人力资源部门数据、风险报告、审计报告、相关业务连续性管理制度等结构化和非结构化数据，以及从外部相关监管部门网站或其他网站上公开数据源采集来的相关文本数据，如监管部门出具的相关警示函等。然后，在审计大数据预处理的基础上，审计人员一方面可以采用标签云等大数据可视化分析技术，对相关警示函、业务办公会会议纪要等非结构化数据进行建模和整体分析，同时结合自己的审计背景知识，通过对可视化的分析结果进行分析和观察，快速从被审计大数据信息中发现异常数据，检测是否存在信息系统风险情况，获得审计线索；另一方面，审计人员可以借助SQL查询方法和审计软件对被审计单位的结构化数据进行建模和分析，获得相关证据。在此基础上，通过对这些结果数据做进一步的延伸审计和审计事实确认，最终获得审计证据。综上分析，基于大数据技术的业务连续性管理审计方法原理如图1所示。

四、基于大数据技术的业务连续性管理审计方法应用案例及分析

（一）案例简介根据前文对基于大数据技术的业务连续性管理审计方法原理的分析，本案例以某商业银行审计为背景，以业务连续性管理审计为例，分析大数据技术在业务连续性管理审计方法中的部分应用（本案例中相关数据已经过脱密处理）。

（二）基于文本数据可视化分析技术的业务连续性管理风险分析为了便于从整体上把握被审计单位业务连续性计划的年度应急演练执行情况等，快速发现可疑数据，审计人员可以采集相关文本数据，如被审计单位的业务连续性计划相关制度、年度应急演练执行总结材料等，采用大数据可视化工具对其进行分析，其结果如图2所示。由图2可以发现：被审计单位的年度应急演练执行情况与业务连续性计划相关制度描述相一致，因此，可以初步判断该单位在业务连续性管理方面有年度应急演练，相关业务连续性管理制度内容合理。

（三）基于大数据多数据源综合分析技术的业务连续性管理风险分析1.应急人员名单中存在离职人员的风险分析为了分析被审计单位业务连续性管理相关规章制度是否存在风险，可以对相关大数据进行分析。比如为了分析“应急人员名单中是否有离职人员”，可以对采集来的被审计单位的人力资源部员工信息、业务连续性管理的应急人员名单信息等结构化数据进行分析，相应的SQL语句分别如下：SELECT*FROM离职人员名单，应急联络人信息WHERE离职人员名单.姓名=应急联络人信息.姓名审计人员可以采用数据库工具或审计软件完成以上分析。假设采用自主研发的“易智通软件”（电子数据审计模拟实验室软件）对采集来的人力资源部员工信息、业务连续性管理的应急人员名单信息等数据进行分析，其结果如图3所示。由图3可以发现：被审计单位业务连续性管理的应急人员名单中存在3名离职员工。业务连续性管理的应急人员名单中存在离职员工给被审计单位业务连续性管理的效果造成严重的风险隐患。同理，审计人员可以对类似情况进行更多的分析，如内部调动人员对被审计单位业务连续性管理的风险分析。2.应急人员信息不准确风险分析为了进一步确认被审计单位业务连续性管理的应急人员名单中是否存在不同的人联系方式相同的情况，现采用自主研发的“易智通软件”（电子数据审计模拟实验室软件）对采集来的应急人员名单信息数据进行重号分析，其分析结果如图4所示。由图4中的分析结果可以发现：被审计单位的应急人员名单中存在手机信息重复的情况。经向被审计单位延伸取证，最终确认原因为业务连续性管理的应急人员名单信息不准确，造成被审计单位有两名员工的手机信息为其他人的信息。该被审计单位业务连续性管理的应急人员名单信息不准确，对被审计单位信息系统的业务连续性管理造成潜在的严重风险。

五、总结

大数据时代的到来为信息系统审计提供了机遇，目前常用的信息系统审计方法不能有效地满足大数据环境下信息系统审计的需要，如何借助大数据技术发现被审计单位隐藏的相关信息系统风险情况成为大数据环境下开展信息系统审计工作的一项重要任务。本文根据这一需要，结合目前大数据审计的研究与应用现状，研究了基于大数据技术的业务连续性管理审计方法，并结合案例，采用大数据可视化分析工具、自主研发的审计软件分析了如何实施业务连续性管理审计，进而证明了本研究的可行性和有效性。研究结果为今后审计人员开展相关审计项目、防范化解金融科技风险提供了理论方法和经验数据。本文研究的方法已应用于某大型审计项目之中，取得了良好的效果。当然，本文研究的方法不能解决业务连续性管理审计的所有问题，但有效地弥补了常用业务连续性管理审计方法的不足，从而使审计人员更全面地发现被审计单位在业务连续性管理方面存在的一些隐蔽问题，更好地帮助被审计单位发现相关风险。

【参考文献】

［1］陈伟，居江宁.大数据审计：现状与发展［J］.中国注册会计师，2017（12）：77-81.

［2］陈伟，SMIELIAUSKASW.大数据环境下的电子数据审计：机遇、挑战与方法［J］.计算机科学，2016（1）：8-13，34.

［3］陈伟.计算机审计［M］.北京：中国人民大学出版社，2017.

［4］陈伟，SMIELIAUSKASW.云计算环境下的联网审计实现方法探析［J］.审计研究，2012（3）：37-44.

［5］陈伟，居江宁.基于大数据可视化技术的审计线索特征挖掘方法研究［J］.审计研究，2018（1）：16-21.

［6］陈伟，SMIELIAUSKASW.大数据环境下基于数据可视化技术的电子审计方法［J］.中国注册会计师，2017（1）：101-106.

作者：陈伟 单位：南京审计大学