關(guān)于大數(shù)據(jù)廣泛應(yīng)用的內(nèi)部審計(jì)如何確保數(shù)據(jù)安全的幾點(diǎn)思考

方曉慧 康雅萍 方永欣

摘要：隨著信息技術(shù)的發(fā)展，企業(yè)面臨著越來越多的業(yè)務(wù)數(shù)據(jù)，運(yùn)用大數(shù)據(jù)技術(shù)開展審計(jì)工作是順應(yīng)時(shí)代和業(yè)務(wù)發(fā)展的趨勢。大數(shù)據(jù)技術(shù)被廣泛應(yīng)用于內(nèi)部審計(jì)工作，提高了審計(jì)工作的效率和效果，同時(shí)也帶來了數(shù)據(jù)安全方面的風(fēng)險(xiǎn)。本文對大數(shù)據(jù)給內(nèi)部審計(jì)帶來的變化、大數(shù)據(jù)帶來的風(fēng)險(xiǎn)以及如何應(yīng)對風(fēng)險(xiǎn)進(jìn)行了思考。

關(guān)鍵詞：大數(shù)據(jù);安全;內(nèi)部審計(jì)發(fā)

一、大數(shù)據(jù)發(fā)展與內(nèi)部審計(jì)發(fā)展

（一）內(nèi)部審計(jì)目標(biāo)的新定位

大數(shù)據(jù)推動企業(yè)內(nèi)部審計(jì)向更復(fù)雜更多變的方向發(fā)展，內(nèi)部審計(jì)不再是單純的查找問題和發(fā)現(xiàn)風(fēng)險(xiǎn)，內(nèi)部審計(jì)的目標(biāo)更偏重于企業(yè)價(jià)值的增值。在對企業(yè)大數(shù)據(jù)的分析中，對異常情況的本質(zhì)和根源進(jìn)行探索與研究，分析數(shù)據(jù)對于企業(yè)發(fā)展整體的影響，并通過先進(jìn)的技術(shù)，鑒別有效信息和無用信息，更有效的、有針對性的發(fā)揮內(nèi)部審計(jì)咨詢功能，提升內(nèi)部審計(jì)的價(jià)值，推動增值型審計(jì)的發(fā)展。

（二）內(nèi)部審計(jì)方法的新變革

大數(shù)據(jù)環(huán)境下，傳統(tǒng)的函證、盤點(diǎn)、檢查等抽樣技術(shù)手段也不能滿足內(nèi)部審計(jì)工作的需要，審計(jì)工作由部分抽樣到全面檢查不斷轉(zhuǎn)變。審計(jì)人員在面對海量的數(shù)據(jù)時(shí)，通過對數(shù)據(jù)進(jìn)行深度挖掘，利用審計(jì)經(jīng)驗(yàn)總結(jié)數(shù)據(jù)特征，獲取更加合理可靠的審計(jì)數(shù)據(jù)，使得監(jiān)督更加全面，保證內(nèi)部審計(jì)質(zhì)量。

（三）內(nèi)部審計(jì)成果的新應(yīng)用

隨著大數(shù)據(jù)在內(nèi)部審計(jì)中的應(yīng)用，內(nèi)部審計(jì)成果的匯報(bào)不再局限于審計(jì)報(bào)告，在審計(jì)過程中大量被采集、分類、篩選、整合的數(shù)據(jù)，這些都可以為公司在今后的經(jīng)營活動中提供更多的決策參考，改善經(jīng)營管理。內(nèi)部審計(jì)人員可以通過對審計(jì)中獲取的數(shù)據(jù)和資料進(jìn)行宏觀和綜合的分析，為企業(yè)決策者提供科學(xué)的證明和決策建議，全力推動增值型內(nèi)部審計(jì)的發(fā)展。

二、大數(shù)據(jù)及大數(shù)據(jù)審計(jì)安全風(fēng)險(xiǎn)

（一）典型電信運(yùn)營商大數(shù)據(jù)安全事件

2020年底，美國第三大電信運(yùn)營商T-Mobile在官方網(wǎng)站上發(fā)布通知稱，發(fā)現(xiàn)黑客在未經(jīng)授權(quán)的情況下訪問了一些客戶的賬戶信息，包括T-Mobile為提供手機(jī)服務(wù)而收集和制作的客戶數(shù)據(jù)。影響了約20萬名T-Mobile用戶。

2020年5月，一位安全研究人員在網(wǎng)上找到了一個(gè)開放的ElasticSearch數(shù)據(jù)庫，其中包含4TB的互聯(lián)網(wǎng)使用數(shù)據(jù)，即83億條記錄。泰國手機(jī)運(yùn)營商AdvancedInfoService被迫在涉嫌數(shù)據(jù)泄露后刪除了其中一個(gè)數(shù)據(jù)庫。

2018年2月，瑞士最大的電信運(yùn)營商Swisscom宣布，有80萬用戶的數(shù)據(jù)信息在2017年秋季被盜取。

2015年10月，英國電信公司TalkTalk的網(wǎng)站被黑客攻擊，導(dǎo)致約400萬用戶個(gè)人信息以及銀行賬號等數(shù)據(jù)遭受泄露。

2015年初，某省電信公司與第三方合作開展大數(shù)據(jù)分析業(yè)務(wù)，違規(guī)將現(xiàn)網(wǎng)原始數(shù)據(jù)通過自動化接口每日定期提供給境外合作伙伴，產(chǎn)生嚴(yán)重?cái)?shù)據(jù)泄漏案例事件。

（二）大數(shù)據(jù)的各類安全風(fēng)險(xiǎn)

內(nèi)部管理風(fēng)險(xiǎn)：在敏感數(shù)據(jù)的采集、傳輸、存儲、使用、共享、銷毀各環(huán)節(jié)，可能存在人員、機(jī)房、設(shè)備管理不到位帶來的嚴(yán)重安全隱患，也存在不同部門之間、不同平臺之間因數(shù)據(jù)共享帶來的安全風(fēng)險(xiǎn)。

對外合作風(fēng)險(xiǎn)：運(yùn)營商數(shù)據(jù)類型豐富、商業(yè)價(jià)值大、精準(zhǔn)度高，在大數(shù)據(jù)對外合作方面前景廣闊，與第三方在數(shù)據(jù)交換、系統(tǒng)建設(shè)、建模分析、業(yè)務(wù)拓展、運(yùn)維支撐等方面均有合作，一旦發(fā)生安全事件，將對企業(yè)聲譽(yù)、公司利益、業(yè)務(wù)開展、用戶隱私等產(chǎn)生重大影響。

平臺系統(tǒng)風(fēng)險(xiǎn)：大數(shù)據(jù)平臺集中存儲了B域、M域、O域的海量數(shù)據(jù)，易成為重點(diǎn)攻擊目標(biāo)，若出現(xiàn)網(wǎng)絡(luò)規(guī)劃、賬號管理、系統(tǒng)加固、數(shù)據(jù)防護(hù)不當(dāng)?shù)惹闆r，可能發(fā)生安全事件，造成海量敏感信息泄漏，并威脅公司數(shù)據(jù)資產(chǎn)安全。

（三）大數(shù)據(jù)審計(jì)面臨的主要風(fēng)險(xiǎn)

審計(jì)數(shù)據(jù)采集和整理風(fēng)險(xiǎn)：獲取到的審計(jì)數(shù)據(jù)的完整性和真實(shí)性不足，數(shù)據(jù)質(zhì)量不高，可能會影響審計(jì)工作質(zhì)量。各系統(tǒng)間數(shù)據(jù)標(biāo)準(zhǔn)、數(shù)據(jù)格式不一致，也給數(shù)據(jù)整理帶來較大困難。

審計(jì)數(shù)據(jù)管理風(fēng)險(xiǎn)：審計(jì)數(shù)據(jù)的集中存儲過程中，由于安全防護(hù)不到位，導(dǎo)致數(shù)據(jù)被被竊取或破壞，審計(jì)人員違規(guī)使用互聯(lián)網(wǎng)傳送數(shù)據(jù)或使用非專用設(shè)備處理涉密信息也可能導(dǎo)致的數(shù)據(jù)泄露。

三、大數(shù)據(jù)安全風(fēng)險(xiǎn)管理舉措

（一）建立健全大數(shù)據(jù)安全管理流程

實(shí)施審計(jì)數(shù)據(jù)端到端安全管控。在數(shù)據(jù)采集環(huán)節(jié)加強(qiáng)安全管控，傳輸環(huán)節(jié)進(jìn)行加密保護(hù)，存儲環(huán)節(jié)對敏感信息加密存儲并做好數(shù)據(jù)容災(zāi)備份，使用環(huán)節(jié)進(jìn)行權(quán)限訪問控制，共享環(huán)節(jié)通過保密協(xié)議等方式明確安全責(zé)任，銷毀環(huán)節(jié)采用可靠技術(shù)手段刪除敏感信息。

（二）強(qiáng)化對外合作管理力度

強(qiáng)化第三方安全管理。對合作方進(jìn)行安全資質(zhì)審查，評估合作第三方的信息安全保障能力，設(shè)立黑名單機(jī)制，確保其具備相應(yīng)的保密及運(yùn)營資質(zhì)、管理制度及技術(shù)防護(hù)手段，切實(shí)保證審計(jì)數(shù)據(jù)安全。

明確業(yè)務(wù)合作方安全責(zé)任。與合作方界定雙方大數(shù)據(jù)管理責(zé)任界面，明確審計(jì)數(shù)據(jù)保護(hù)制度、數(shù)據(jù)保護(hù)手段、限制數(shù)據(jù)使用范圍和場景等，細(xì)化大數(shù)據(jù)管理的顆粒度。

（三）做好平臺系統(tǒng)安全防護(hù)

數(shù)據(jù)及應(yīng)用層面部署數(shù)據(jù)安全防護(hù)能力，在開發(fā)、測試和系統(tǒng)部署過程中落實(shí)數(shù)據(jù)安全保護(hù)手段及防護(hù)能力，避免安全漏洞。健全數(shù)據(jù)容災(zāi)備份機(jī)制，完善數(shù)據(jù)備份和恢復(fù)手段，保證數(shù)據(jù)的可恢復(fù)性及業(yè)務(wù)的連續(xù)性。

網(wǎng)絡(luò)及系統(tǒng)層面強(qiáng)化安全評估檢查，定期開展安全風(fēng)險(xiǎn)督查檢查，建立分權(quán)制衡機(jī)制，涉及敏感數(shù)據(jù)操作，應(yīng)多人共同協(xié)作完成，實(shí)現(xiàn)“關(guān)鍵操作，分權(quán)制衡”。部署安全防護(hù)設(shè)備，采取安全域隔離、防火墻、入侵檢測、防DDoS等措施，加強(qiáng)大數(shù)據(jù)相關(guān)設(shè)備自身的網(wǎng)絡(luò)及數(shù)據(jù)安全防護(hù)。

四、結(jié)語

本文對大數(shù)據(jù)發(fā)展給內(nèi)部審計(jì)帶來的變化、大數(shù)據(jù)發(fā)展面臨的安全風(fēng)險(xiǎn)進(jìn)行了深入分析，對建立大數(shù)據(jù)安全保障體系、確保數(shù)據(jù)安全進(jìn)行了思考，提出了若干大數(shù)據(jù)安全風(fēng)險(xiǎn)管理舉措，為大數(shù)據(jù)技術(shù)更好地在審計(jì)中深度利用提供參考。

參考文獻(xiàn)：

[1]段敏.淺談大數(shù)據(jù)時(shí)代背景對會計(jì)與審計(jì)的影響[J].創(chuàng)新創(chuàng)業(yè)理論研究與實(shí)踐，2019，2（04）：172-173.

[2]徐振華.大數(shù)據(jù)時(shí)代對會計(jì)和審計(jì)的影響分析[J].現(xiàn)代經(jīng)濟(jì)信息，2019（18）：237.