■/錢(qián) 瑞 王 帆
大數(shù)據(jù)時(shí)代下社保基金云審計(jì)風(fēng)險(xiǎn)控制研究
■/錢(qián) 瑞 王 帆
云審計(jì)不僅符合大數(shù)據(jù)時(shí)代下審計(jì)新需求,更為社?;饘徲?jì)監(jiān)督手段的創(chuàng)新提供了理論指導(dǎo)。因此,文章從被審計(jì)端、云端和審計(jì)終端三個(gè)視角出發(fā),在梳理社保基金云審計(jì)系統(tǒng)流程的基礎(chǔ)上,分析了其在具體應(yīng)用中可能面臨的風(fēng)險(xiǎn),并針對(duì)性的提出風(fēng)險(xiǎn)控制建議,以期通過(guò)社?;鹪茖徲?jì)的應(yīng)用和風(fēng)險(xiǎn)控制為后續(xù)大數(shù)據(jù)審計(jì)監(jiān)督提供經(jīng)驗(yàn)和啟示。
社?;?云審計(jì) 風(fēng)險(xiǎn)控制
據(jù)人社部官方統(tǒng)計(jì)數(shù)據(jù)顯示,截至2016年9月底,我國(guó)繳納基本養(yǎng)老保險(xiǎn)、基本醫(yī)療保險(xiǎn)、失業(yè)保險(xiǎn)、工傷保險(xiǎn)和生育保險(xiǎn)的參保人數(shù)分別為8.71億人、6.98億人、1.78億人、2.16億人、1.82億人,前三季度五項(xiàng)社?;鹂偸杖?.9萬(wàn)億元,總支出4.3萬(wàn)億元??梢?jiàn),依靠傳統(tǒng)的審計(jì)技術(shù)來(lái)監(jiān)督規(guī)范如此龐大的社?;鹭?cái)務(wù)數(shù)據(jù)已無(wú)法滿足要求,必須革新社保基金審計(jì)技術(shù)以適應(yīng)大數(shù)據(jù)時(shí)代的要求(王章禮,余魯,2016)。新興的云計(jì)算為處理大數(shù)據(jù)審計(jì)需求提供了契機(jī),云計(jì)算可實(shí)現(xiàn)審計(jì)工作在云端的一個(gè)系統(tǒng)內(nèi)集中處理,審計(jì)人員無(wú)需進(jìn)行數(shù)據(jù)的匯總、分析測(cè)試,無(wú)需關(guān)注審計(jì)軟件的兼容性和使用何種計(jì)算機(jī)程序,只需將重心放在審計(jì)任務(wù)即可??梢?jiàn),借助云計(jì)算使得審計(jì)作業(yè)更加規(guī)范化、審計(jì)結(jié)果更加科學(xué)準(zhǔn)確、審計(jì)工作效率大幅提高,更加契合在大數(shù)據(jù)背景下有效開(kāi)展審計(jì)業(yè)務(wù)的先進(jìn)技術(shù)手段(魏祥健,2015)。
雖然云審計(jì)相比于傳統(tǒng)審計(jì)技術(shù)在數(shù)據(jù)采集、存儲(chǔ)、計(jì)算處理和安全方面存在顯著的優(yōu)越性,但系統(tǒng)運(yùn)作機(jī)制的復(fù)雜性也導(dǎo)致其背后隱藏的風(fēng)險(xiǎn)和影響遠(yuǎn)高于傳統(tǒng)審計(jì)技術(shù)。而國(guó)內(nèi)眾多學(xué)者都將研究的焦點(diǎn)放在云審計(jì)系統(tǒng)構(gòu)建和應(yīng)用研究方面(張永杰,2015;陳偉,2012;姜梅等,2007),對(duì)于云審計(jì)應(yīng)用過(guò)程中的風(fēng)險(xiǎn)控制關(guān)注甚少。因此本文以社保基金云審計(jì)應(yīng)用為例,對(duì)云審計(jì)應(yīng)用過(guò)程中的風(fēng)險(xiǎn)控制進(jìn)行深入探討,以期為未來(lái)審計(jì)機(jī)關(guān)大規(guī)模開(kāi)展云審計(jì)有效應(yīng)對(duì)可能發(fā)生的風(fēng)險(xiǎn)提供借鑒意義。
大數(shù)據(jù)時(shí)代下,需要借助先進(jìn)的技術(shù)支持才能對(duì)社?;鹫骼U、支出和管理產(chǎn)生的龐大數(shù)據(jù)的真實(shí)性、完整性和合法性進(jìn)行有效監(jiān)督規(guī)范,而云計(jì)算將是最佳選擇,依靠其強(qiáng)大的數(shù)據(jù)采集、存儲(chǔ)和分析功能,審計(jì)終端不需要購(gòu)買(mǎi)服務(wù)器、存儲(chǔ)器等硬件設(shè)備,而是通過(guò)網(wǎng)絡(luò)直接使用云端提供的SaaS、PaaS、IaaS等服務(wù)對(duì)被審計(jì)端開(kāi)展審計(jì)業(yè)務(wù),提高審計(jì)工作效率的同時(shí)還可以有效降低工作成本(詳見(jiàn)圖1)。具體而言:
首先,被審計(jì)端需要及時(shí)將各地區(qū)社保基金征繳數(shù)據(jù)、支付數(shù)據(jù)、管理數(shù)據(jù)和其他文件資料等內(nèi)容進(jìn)行匯總采集。尤其關(guān)注參保人數(shù)及信息完整性、繳費(fèi)基數(shù)和繳費(fèi)比率、企業(yè)繳費(fèi)情況、是否存在欠繳、不繳或者選擇性參保等問(wèn)題。在原始數(shù)據(jù)采集過(guò)程中被審計(jì)單位也要對(duì)數(shù)據(jù)進(jìn)行備份處理,同
圖1 社?;鹪茖徲?jì)系統(tǒng)流程
圖1 社?;鹪茖徲?jì)系統(tǒng)流程時(shí)嚴(yán)禁人為刪減數(shù)據(jù),以保證原始數(shù)據(jù)的完整性和準(zhǔn)確性。并通過(guò)云端接口技術(shù),將采集數(shù)據(jù)按時(shí)上傳云端,以備審計(jì)機(jī)關(guān)進(jìn)行檢查監(jiān)督。
其次,云端負(fù)責(zé)對(duì)被審計(jì)端上傳的原始數(shù)據(jù)進(jìn)行加工處理并將處理結(jié)果傳輸給審計(jì)終端,這些操作均由云端完成,也稱為“云審計(jì)”。數(shù)據(jù)處理流程主要包括:第一,對(duì)原始數(shù)據(jù)進(jìn)行清理和加工。按照不同類型社?;鸬奶攸c(diǎn)和數(shù)據(jù)存儲(chǔ)格式轉(zhuǎn)換成符合審計(jì)終端要求的標(biāo)準(zhǔn)數(shù)據(jù),再根據(jù)預(yù)先編制的審計(jì)計(jì)劃重新匯聚,以形成滿足審計(jì)分析使用的基礎(chǔ)表和分析表;第二,對(duì)海量數(shù)據(jù)進(jìn)行智能分析。借助云端自有的各類審計(jì)模型(審計(jì)對(duì)象模型、審計(jì)數(shù)據(jù)模型、審計(jì)疑點(diǎn)模型、審計(jì)底稿模型等)對(duì)社?;鹪紨?shù)據(jù)、基礎(chǔ)表和分析表之間的內(nèi)在邏輯關(guān)系進(jìn)行自動(dòng)化和智能化分析,以發(fā)現(xiàn)疑點(diǎn)數(shù)據(jù)、有效數(shù)據(jù)和無(wú)效數(shù)據(jù),并實(shí)時(shí)保存和備份原始數(shù)據(jù)和分析報(bào)告;第三,海量數(shù)據(jù)存儲(chǔ)。被審計(jì)端將所有采集的社?;鹪紨?shù)據(jù)上傳云端后,云端都將會(huì)自動(dòng)保存并備份,使得原始數(shù)據(jù)保存有了“雙保險(xiǎn)”,更有效解決了被審計(jì)端對(duì)海量數(shù)據(jù)存儲(chǔ)的硬件設(shè)備難題。另外,通過(guò)云端存儲(chǔ)功能審計(jì)人員也可以隨時(shí)調(diào)用查看社保基金原始數(shù)據(jù)以開(kāi)展審計(jì)作業(yè);第四,對(duì)可疑數(shù)據(jù)自動(dòng)生成預(yù)警報(bào)告?!皩徲?jì)云”將根據(jù)數(shù)據(jù)庫(kù)內(nèi)容和數(shù)據(jù)表的自動(dòng)分析生成的數(shù)據(jù)結(jié)構(gòu)變更分析報(bào)告,預(yù)警結(jié)果按不同分類提供給審計(jì)人員,以便其能夠及時(shí)把握審計(jì)線索,規(guī)避審計(jì)風(fēng)險(xiǎn),提高審計(jì)效率??梢?jiàn),“云審計(jì)”實(shí)現(xiàn)了各類審計(jì)信息的數(shù)字化,有效促進(jìn)信息的交流和共享,使得審計(jì)資源得到充分利用。
最后,在審計(jì)終端審計(jì)人員可通過(guò)筆記本電腦、PDA、手機(jī)等便攜式設(shè)備直接登陸“云審計(jì)”平臺(tái)即可調(diào)用儲(chǔ)存在云端的原始數(shù)據(jù)和審計(jì)模型,無(wú)需掌握后臺(tái)技術(shù),直接查看云端自動(dòng)生成的審計(jì)分析結(jié)果。借助于“云審計(jì)”平臺(tái)提供的強(qiáng)大數(shù)據(jù)計(jì)算處理能力顯著減少了審計(jì)終端的數(shù)據(jù)處理負(fù)擔(dān),而web瀏覽器更讓審計(jì)終端簡(jiǎn)化成一個(gè)單純的輸入輸出設(shè)備,不需安裝、升級(jí)和維護(hù)軟件或硬件設(shè)備,審計(jì)人員一樣可以有效開(kāi)展審計(jì)作業(yè),得出審計(jì)結(jié)果。
(一)被審計(jì)端風(fēng)險(xiǎn)分析
被審計(jì)端作為社保基金原始數(shù)據(jù)采集源頭,應(yīng)重點(diǎn)關(guān)注數(shù)據(jù)采集的數(shù)量和質(zhì)量,因?yàn)榍岸藢徲?jì)數(shù)據(jù)采集的完整性、準(zhǔn)確性直接影響后續(xù)云端的數(shù)據(jù)分析和審計(jì)疑點(diǎn)反饋的針對(duì)性和全面性,進(jìn)而增加了現(xiàn)場(chǎng)審計(jì)失敗的風(fēng)險(xiǎn)。由于社?;鹁哂袃?nèi)容廣、業(yè)務(wù)量大、多元化和異構(gòu)型等特征,易發(fā)生參保人數(shù)遺漏或信息不完整、參保企業(yè)欠繳、不繳或者選擇性參保、繳費(fèi)基數(shù)和繳費(fèi)率不合規(guī)等問(wèn)題,這都會(huì)影響前端審計(jì)數(shù)據(jù)采集的完整性和準(zhǔn)確性。
具體而言,當(dāng)前社保中心的數(shù)據(jù)采集都建立在連接外網(wǎng)的基礎(chǔ)上,而網(wǎng)絡(luò)資源的共享性和開(kāi)放性使得社保中心數(shù)據(jù)庫(kù)易遭受外圍病毒、黑客攻擊,網(wǎng)絡(luò)環(huán)境的不穩(wěn)定性加劇了社?;鹪紨?shù)據(jù)采集的難度,難以有效保證數(shù)據(jù)采集的質(zhì)量。此外,社?;鹪紨?shù)據(jù)都以無(wú)紙化的電子數(shù)據(jù)保存在磁介質(zhì)內(nèi),這為無(wú)權(quán)訪問(wèn)或接觸數(shù)據(jù)的舞弊者刪減或修改社?;饠?shù)據(jù)提供了機(jī)會(huì),且電子數(shù)據(jù)的更改不留痕跡,舞弊行為無(wú)處可尋。因此任何非法的訪問(wèn)或接觸行為都會(huì)影響社?;饠?shù)據(jù)的完整性和準(zhǔn)確性,進(jìn)而增加了審計(jì)失敗的風(fēng)險(xiǎn)。尤其是大數(shù)據(jù)群體對(duì)辦公設(shè)備的配置要求較高,內(nèi)存不足或系統(tǒng)癱瘓都會(huì)使得數(shù)據(jù)采集失去連續(xù)性,而系統(tǒng)區(qū)與數(shù)據(jù)區(qū)的混合使用也加劇了系統(tǒng)出錯(cuò)的風(fēng)險(xiǎn),使得原始數(shù)據(jù)采集和保存工作面臨較大挑戰(zhàn)。另外,數(shù)據(jù)上傳過(guò)程中也面臨傳輸不完整、上傳失敗、甚至是數(shù)據(jù)外泄的風(fēng)險(xiǎn)。尤其是數(shù)據(jù)傳輸過(guò)程中的訪問(wèn)登陸、加密監(jiān)控、安全性和穩(wěn)定性等都依賴于每個(gè)基礎(chǔ)API內(nèi)置的安全性。如果云端服務(wù)商未能消除接口端API中的不安全因素,亦會(huì)增加社保基金數(shù)據(jù)在傳輸過(guò)程中遭受攻擊的風(fēng)險(xiǎn)(見(jiàn)圖2)。
(二)云端風(fēng)險(xiǎn)分析
1.從云端本身來(lái)看,其面臨的主要風(fēng)險(xiǎn)有:第一,虛擬環(huán)境運(yùn)行安全風(fēng)險(xiǎn)。即作為一種IT技術(shù)也會(huì)遭受網(wǎng)絡(luò)病毒、惡意程序、黑客等的攻擊,一旦云端遭受“外圍攻擊”,產(chǎn)生的危害可能遠(yuǎn)大于被審計(jì)端原始數(shù)據(jù)采集網(wǎng)絡(luò)運(yùn)行威脅產(chǎn)生的危害,因?yàn)樵贫思瘸袚?dān)數(shù)據(jù)保存,也負(fù)責(zé)數(shù)據(jù)的加工處理和預(yù)警分析,如果云端在數(shù)據(jù)分析過(guò)程遭遇惡意程序,可能會(huì)得出無(wú)效或錯(cuò)誤的分析報(bào)告,加重審計(jì)負(fù)擔(dān);第二,內(nèi)部操作風(fēng)險(xiǎn)。反映了云端后臺(tái)人員對(duì)于被審計(jì)端傳輸過(guò)來(lái)的數(shù)據(jù)未進(jìn)行有效管理致使數(shù)據(jù)外泄,或內(nèi)部人員對(duì)原始數(shù)據(jù)進(jìn)行了修改或刪減,影響了原始數(shù)據(jù)的完整性和準(zhǔn)確性。
2.從數(shù)據(jù)安全角度來(lái)看,云端主要面臨的風(fēng)險(xiǎn)有:第一,數(shù)據(jù)存儲(chǔ)風(fēng)險(xiǎn)。社保基金數(shù)據(jù)作為敏感數(shù)據(jù),應(yīng)嚴(yán)格保證數(shù)據(jù)的保密性、完整性和可控性。但由于云端通過(guò)虛擬化技術(shù)將被審計(jì)端的數(shù)據(jù)存儲(chǔ)在不同服務(wù)器上,使其無(wú)法準(zhǔn)確定位存儲(chǔ)數(shù)據(jù)的位置并提供針對(duì)性的保密措施,從而加大了敏感數(shù)據(jù)外泄或被竊取的風(fēng)險(xiǎn)。另外,數(shù)據(jù)存儲(chǔ)的物理控制和邏輯控制全部由云端服務(wù)商控制,被審計(jì)端和審計(jì)終端缺乏對(duì)數(shù)據(jù)存儲(chǔ)的必要控制,一旦云端服務(wù)商出現(xiàn)系統(tǒng)故障或遭受“外圍攻擊”致使系統(tǒng)癱瘓,如何有效保證存儲(chǔ)數(shù)據(jù)的快速恢復(fù)和數(shù)據(jù)備份安全成為云端不得不面臨的難題;第二,數(shù)據(jù)隔離風(fēng)險(xiǎn)。云端服務(wù)商可能為多個(gè)用戶提供不同等級(jí)或特性的數(shù)據(jù)存儲(chǔ)服務(wù),出現(xiàn)了多個(gè)用戶共享計(jì)算環(huán)境,特別是在公用云環(huán)境下,如果不能對(duì)重要數(shù)據(jù)進(jìn)行有效隔離,易引發(fā)云端在數(shù)據(jù)管理和分配用戶數(shù)據(jù)時(shí)出現(xiàn)混亂,加劇了存儲(chǔ)數(shù)據(jù)的安全隱患。
3.從云審計(jì)系統(tǒng)安全來(lái)看,云端面臨的風(fēng)險(xiǎn)有:第一,訪問(wèn)控制無(wú)效風(fēng)險(xiǎn)。在多用戶運(yùn)行環(huán)境下,云端服務(wù)商通過(guò)遠(yuǎn)程端口訪問(wèn)技術(shù)同時(shí)向多用戶提供不同的數(shù)據(jù)服務(wù),該種情況下如果云端服務(wù)商在用戶訪問(wèn)控制和身份識(shí)別方面存在漏洞則可能導(dǎo)致非法登陸等問(wèn)題。因此如何對(duì)審計(jì)終端和被審計(jì)端用戶的身份識(shí)別進(jìn)行有效控制成為云端保證審計(jì)數(shù)據(jù)安全的關(guān)鍵屏障;第二,平臺(tái)共享風(fēng)險(xiǎn)。云端服務(wù)商通過(guò)提供統(tǒng)一的基礎(chǔ)設(shè)施服務(wù)(IaaS)讓多用戶共享平臺(tái)的應(yīng)用系統(tǒng)和運(yùn)算資源,而底層組件卻未提供強(qiáng)大的隔離措施以保證不同用戶間應(yīng)用程序運(yùn)行環(huán)境和數(shù)據(jù)處理資源的隔離,易引發(fā)不同用戶間應(yīng)用程序的相互干擾,并為非法用戶干擾破壞合法用戶運(yùn)行應(yīng)用系統(tǒng)以竊取、篡改原始數(shù)據(jù)埋下了隱患;第三,平臺(tái)傳輸風(fēng)險(xiǎn)。云端提供的強(qiáng)大數(shù)據(jù)傳輸、加工和處理服務(wù)都以高速、安全的網(wǎng)絡(luò)傳輸平臺(tái)為基礎(chǔ)。尤其針對(duì)于社?;鸬却髷?shù)據(jù)存取、處理和頻繁性信息交換都嚴(yán)重依賴于平臺(tái)網(wǎng)絡(luò)寬帶傳輸?shù)呢?fù)荷能力,一旦平臺(tái)網(wǎng)絡(luò)傳輸超負(fù)荷運(yùn)行將會(huì)導(dǎo)致審計(jì)終端無(wú)法正常開(kāi)展審計(jì)作業(yè),影響作業(yè)計(jì)劃的順利實(shí)施(見(jiàn)圖2)。
圖2 社?;鹪茖徲?jì)應(yīng)用風(fēng)險(xiǎn)分析
(三)審計(jì)終端風(fēng)險(xiǎn)分析
1.審計(jì)人員方面。社?;鹪茖徲?jì)的應(yīng)用效果取決于審計(jì)人員的專業(yè)素質(zhì)和技能,一旦審計(jì)人員的專業(yè)能力無(wú)法匹配社?;鹪茖徲?jì)的要求將嚴(yán)重影響審計(jì)監(jiān)督的質(zhì)量。具體而言,社?;鹪茖徲?jì)對(duì)審計(jì)人員的勝任能力要求很高,不僅體現(xiàn)在審計(jì)業(yè)務(wù)知識(shí)方面,還要求其具備豐富的計(jì)算機(jī)技術(shù)并對(duì)云端的網(wǎng)絡(luò)技術(shù)和軟硬件系統(tǒng)有充分的了解。而在實(shí)務(wù)中很多審計(jì)人員的思維方式和操作方式還停留在傳統(tǒng)審計(jì)技術(shù)層面,再加上缺乏系統(tǒng)的計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)知識(shí)增加了因個(gè)人違規(guī)操作而導(dǎo)致的審計(jì)失敗。如:擅自修改系統(tǒng)設(shè)置、數(shù)據(jù)處理不當(dāng)?shù)葐?wèn)題。此外,社保基金云審計(jì)是審計(jì)技術(shù)的優(yōu)化創(chuàng)新,而傳統(tǒng)的社保基金法規(guī)、準(zhǔn)則體系已不能有效指導(dǎo)和規(guī)范新環(huán)境下社?;鹪茖徲?jì)的實(shí)踐操作及實(shí)務(wù)中出現(xiàn)的新問(wèn)題。因此亟需一套標(biāo)準(zhǔn)的審計(jì)技術(shù)規(guī)范體系以供審計(jì)人員采用統(tǒng)一的標(biāo)準(zhǔn)對(duì)社?;鹫归_(kāi)審計(jì)監(jiān)督。而標(biāo)準(zhǔn)技術(shù)規(guī)范體系的缺乏也在一定程度上加劇了審計(jì)人員違規(guī)操作的風(fēng)險(xiǎn),增大了審計(jì)失敗的隱患。
2.現(xiàn)場(chǎng)審計(jì)方面。審計(jì)人員通過(guò)云端提供的預(yù)警分析報(bào)告和審計(jì)分析報(bào)告確定現(xiàn)場(chǎng)審計(jì)的重點(diǎn),但這種“借力”第三方的審計(jì)模式致使審計(jì)終端在未對(duì)被審計(jì)端的內(nèi)部控制有效性進(jìn)行評(píng)估時(shí)就依賴于其上傳的原始數(shù)據(jù)進(jìn)行預(yù)警分析,如果被審計(jì)端的內(nèi)部控制存在重大缺陷使其數(shù)據(jù)采集存在完整性缺失或準(zhǔn)確性不夠?qū)е略贫藬?shù)據(jù)處理與分析報(bào)告錯(cuò)誤或無(wú)效,從而誤導(dǎo)了現(xiàn)場(chǎng)審計(jì)致使審計(jì)程序無(wú)效或?qū)徲?jì)失敗。此外,在傳統(tǒng)審計(jì)技術(shù)中審計(jì)證據(jù)都以紙質(zhì)形式保存容易獲取審計(jì)證據(jù),而在云審計(jì)模式下財(cái)務(wù)與業(yè)務(wù)信息都以電子數(shù)據(jù)存儲(chǔ)在磁介質(zhì)中,現(xiàn)場(chǎng)審計(jì)時(shí)審計(jì)人員只能通過(guò)網(wǎng)絡(luò)查詢獲取無(wú)紙化審計(jì)線索,而一些傳統(tǒng)的審計(jì)方式無(wú)法有效開(kāi)展(如觀察法、盤(pán)點(diǎn)法),從而影響了審計(jì)證據(jù)的適當(dāng)性和充分性,增加了審計(jì)失敗的風(fēng)險(xiǎn)(見(jiàn)圖2)。
(一)被審計(jì)端風(fēng)險(xiǎn)控制
1.創(chuàng)建安全的網(wǎng)絡(luò)運(yùn)行環(huán)境。被審計(jì)端網(wǎng)絡(luò)運(yùn)行安全直接影響到社?;鹪紨?shù)據(jù)采集的完整性和準(zhǔn)確性,因此安全的網(wǎng)絡(luò)運(yùn)行環(huán)境是社?;鹪茖徲?jì)順利開(kāi)展的第一道“防火墻”。具體安全措施包括:采用物理隔離技術(shù)、搭建完善的安全監(jiān)控體系等。物理隔離技術(shù)是指當(dāng)社?;鹣到y(tǒng)網(wǎng)絡(luò)安全遭受外界網(wǎng)絡(luò)威脅時(shí),即采用專有的安全協(xié)議、加密驗(yàn)證等措施對(duì)網(wǎng)絡(luò)訪問(wèn)請(qǐng)求進(jìn)行嚴(yán)格的身份認(rèn)證,并在不同安全級(jí)別的網(wǎng)絡(luò)之間構(gòu)建隔離模型以有效遏制外圍隱患對(duì)系統(tǒng)產(chǎn)生的威脅。而完善的安全監(jiān)控體系包括防火墻技術(shù)、非法入侵技術(shù)和病毒防護(hù)技術(shù),以有效防止黑客入侵和網(wǎng)絡(luò)病毒產(chǎn)生的危害(張宏等,2014)。
2.建立系統(tǒng)操作日志和遠(yuǎn)程訪問(wèn)監(jiān)控系統(tǒng)。系統(tǒng)操作日志能夠記錄所有對(duì)社保基金系統(tǒng)操作程序,具體包括訪問(wèn)者身份、訪問(wèn)時(shí)間、登陸次數(shù)和地點(diǎn)及操作事項(xiàng)等。通過(guò)完整記錄被審計(jì)端系統(tǒng)操作日志能夠有效識(shí)別訪問(wèn)人員的非法操作,為日后現(xiàn)場(chǎng)審計(jì)獲取審計(jì)證據(jù)提供了便利。遠(yuǎn)程訪問(wèn)監(jiān)控是通過(guò)對(duì)特定權(quán)限的訪問(wèn)人員的身份、訪問(wèn)時(shí)間和登陸次數(shù)以及操作權(quán)限進(jìn)行實(shí)時(shí)監(jiān)控,以保證被審計(jì)端訪問(wèn)人員在合理權(quán)限內(nèi)進(jìn)行合規(guī)操作。
3.定期檢測(cè)并維護(hù)基礎(chǔ)設(shè)施安全?;A(chǔ)設(shè)施安全檢測(cè)和維護(hù)具體包括內(nèi)存設(shè)備和系統(tǒng)運(yùn)行異常清除工作。在內(nèi)存設(shè)備方面可利用虛擬技術(shù)并統(tǒng)一管理不同型號(hào)存儲(chǔ)設(shè)備,通過(guò)漏洞檢測(cè)技術(shù)、訪問(wèn)控制策略增強(qiáng)內(nèi)存設(shè)備和網(wǎng)絡(luò)服務(wù)器的穩(wěn)定性,以保證社?;饠?shù)據(jù)采集系統(tǒng)良好的運(yùn)行狀態(tài)。系統(tǒng)運(yùn)行異常清除是指在系統(tǒng)運(yùn)行過(guò)程中及時(shí)清除由于死機(jī)、系統(tǒng)不兼容等問(wèn)題導(dǎo)致的系統(tǒng)異常,以有效釋放系統(tǒng)資源、擴(kuò)充系統(tǒng)運(yùn)行空間。
4.采用數(shù)據(jù)專網(wǎng)傳輸和數(shù)據(jù)加密控制。數(shù)據(jù)專網(wǎng)傳輸控制能夠?qū)?shù)據(jù)傳輸全過(guò)程進(jìn)行有效監(jiān)控,防止數(shù)據(jù)傳輸過(guò)程出現(xiàn)的泄露和外圍威脅,即通過(guò)被審計(jì)端樓宇內(nèi)現(xiàn)有局域網(wǎng)資源,對(duì)原始數(shù)據(jù)進(jìn)行轉(zhuǎn)化和傳輸,并在數(shù)據(jù)轉(zhuǎn)化過(guò)程中加入數(shù)據(jù)加密技術(shù),對(duì)普通文本和數(shù)據(jù)進(jìn)行編碼以產(chǎn)生不可理解的密文步驟,只有通過(guò)密碼才能解密并獲取數(shù)據(jù)原始格式和文本,即使在上傳云端過(guò)程出現(xiàn)數(shù)據(jù)泄露,沒(méi)有正確的解密密碼也無(wú)法打開(kāi)原始數(shù)據(jù),該舉措也能有效防止云端后臺(tái)人員對(duì)原始數(shù)據(jù)進(jìn)行刪改,保證數(shù)據(jù)的完整性和準(zhǔn)確性(秦榮生,2014)(見(jiàn)圖3)。
(二)云端風(fēng)險(xiǎn)控制
圖3 社保基金云審計(jì)應(yīng)用風(fēng)險(xiǎn)控制
1.構(gòu)建完善的云端安全防御系統(tǒng)。云端的虛擬化技術(shù)面臨著黑客惡意攻擊、病毒代碼篡改數(shù)據(jù)等隱患。所以針對(duì)虛擬環(huán)境的安全訴求,云端應(yīng)構(gòu)建完善的安全防御系統(tǒng),至少包含虛擬化安全檢測(cè)引擎、故障檢測(cè)、漏洞掃描和風(fēng)險(xiǎn)預(yù)警等功能,以對(duì)云端虛擬環(huán)境由內(nèi)向外、自下而上進(jìn)行實(shí)時(shí)監(jiān)控和漏洞掃描,并設(shè)置異常情況預(yù)警以及時(shí)排除故障,提高云計(jì)算系統(tǒng)的穩(wěn)定性和可靠性。
2.加強(qiáng)訪問(wèn)控制技術(shù)。審計(jì)終端和被審計(jì)端借力云端實(shí)現(xiàn)審計(jì)連環(huán)作業(yè)時(shí),通過(guò)統(tǒng)一身份認(rèn)證以控制用戶登錄和訪問(wèn)權(quán)限,身份認(rèn)證可采用“雙密碼”管理,既有固定登陸密碼,也要設(shè)置動(dòng)態(tài)提醒或特有標(biāo)識(shí)密碼(如指紋),即可有效防止非法用戶或冒名盜用他人用戶名進(jìn)入云端非法下載或修改數(shù)據(jù)的風(fēng)險(xiǎn)。
3.采用智能探針與分析提取技術(shù),保證數(shù)據(jù)安全。智能探針技術(shù)可以對(duì)被審計(jì)端上傳數(shù)據(jù)打上污點(diǎn)標(biāo)簽進(jìn)行分類管理和存儲(chǔ),還可以持續(xù)跟蹤任何對(duì)打上污點(diǎn)標(biāo)簽數(shù)據(jù)的操作行為。云端可利用該項(xiàng)技術(shù)對(duì)被審計(jì)端上傳的數(shù)據(jù)進(jìn)行智能保存并持續(xù)監(jiān)控以保證數(shù)據(jù)的完整性。另外鑒于云端包含的數(shù)據(jù)量大但相對(duì)價(jià)值密度較低,且多用戶共享數(shù)據(jù)可能產(chǎn)生的共享風(fēng)險(xiǎn),云端可借鑒大數(shù)據(jù)分析提取技術(shù)與智能探針相結(jié)合,識(shí)別不同數(shù)據(jù)的使用頻率和應(yīng)用價(jià)值,對(duì)數(shù)據(jù)進(jìn)行職能隔離的同時(shí)也可以為審計(jì)終端調(diào)取、共享數(shù)據(jù)提供便利(曹洪澤,劉強(qiáng),2006)。
4.加強(qiáng)設(shè)備安全配置管理。系統(tǒng)安全配置管理主要用于檢測(cè)復(fù)雜環(huán)境下云端性能問(wèn)題以提高云平臺(tái)的實(shí)際處理能力??赏ㄟ^(guò)遠(yuǎn)程Web管理(https協(xié)議傳輸)與命令行方式對(duì)設(shè)備進(jìn)行安全管理,當(dāng)設(shè)備遭遇突發(fā)事件時(shí)可實(shí)現(xiàn)自動(dòng)保存、備份和恢復(fù),同時(shí)也可實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)穩(wěn)定性、網(wǎng)絡(luò)狀態(tài)和設(shè)備運(yùn)行狀態(tài),并定期生成記錄日志以供備查(見(jiàn)圖3)。
(三)審計(jì)終端風(fēng)險(xiǎn)控制
1.應(yīng)加強(qiáng)審計(jì)人員的綜合培訓(xùn)。為了更好適應(yīng)社保基金云審計(jì)的發(fā)展要求,當(dāng)務(wù)之急是加強(qiáng)對(duì)審計(jì)人員的綜合培訓(xùn),培訓(xùn)內(nèi)容不僅包括審計(jì)業(yè)務(wù),還要涵蓋計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)等方面,增強(qiáng)其計(jì)算機(jī)實(shí)戰(zhàn)技能和云審計(jì)信息化技術(shù),提高審計(jì)人員“借力”云平臺(tái)的應(yīng)用能力。將定期的學(xué)習(xí)培訓(xùn)規(guī)劃與實(shí)務(wù)應(yīng)用相結(jié)合,使更多的審計(jì)人員成為崗位上的專才和實(shí)踐中的專家。另外,建立專門(mén)的技術(shù)攻關(guān)與指導(dǎo)小組,為審計(jì)人員解決實(shí)踐應(yīng)用過(guò)程中的技術(shù)難題提供技術(shù)指導(dǎo)和專家咨詢,幫助其更快的適應(yīng)云審計(jì)的發(fā)展要求。
2.應(yīng)實(shí)施遠(yuǎn)程與現(xiàn)場(chǎng)循環(huán)審計(jì)。云計(jì)算為審計(jì)終端實(shí)施遠(yuǎn)程審計(jì)提供了便利,借助云端提供的數(shù)據(jù)處理和存儲(chǔ)能力有效緩解了被審計(jì)端的數(shù)據(jù)存儲(chǔ)和審計(jì)終端的數(shù)據(jù)處理需求,但云端的數(shù)據(jù)處理與分析報(bào)告的準(zhǔn)確性仍有待于現(xiàn)場(chǎng)審計(jì)的檢驗(yàn)。為此實(shí)施遠(yuǎn)程與現(xiàn)場(chǎng)循環(huán)審計(jì),通過(guò)聯(lián)機(jī)分析與數(shù)據(jù)查詢了解被審計(jì)端原始數(shù)據(jù)采集和上傳的內(nèi)部控制及具體執(zhí)行情況,以判斷云端數(shù)據(jù)處理結(jié)果的可信賴程度并確定審計(jì)重點(diǎn)。采用遠(yuǎn)程審計(jì)與現(xiàn)場(chǎng)審計(jì)相結(jié)合以固化審計(jì)經(jīng)驗(yàn),并將編程技術(shù)與建模思路相融合為審計(jì)人員后續(xù)開(kāi)展審計(jì)工作提供技術(shù)指導(dǎo)(徐貴麗,2014)(見(jiàn)圖3)。
[1]王章禮,余魯.大數(shù)據(jù)時(shí)代我國(guó)社會(huì)審計(jì)模式創(chuàng)新研究〔J〕.中國(guó)注冊(cè)會(huì)計(jì)師,2016(11).
[2]魏祥健.云計(jì)算環(huán)境下的云審計(jì)系統(tǒng)設(shè)計(jì)與風(fēng)險(xiǎn)控制〔J〕.會(huì)計(jì)之友,2015(01).
[3]張永杰.云計(jì)算視域下養(yǎng)老保險(xiǎn)基金聯(lián)網(wǎng)審計(jì)系統(tǒng)建構(gòu)分析〔J〕.審計(jì)研究,2015(05).
[4]陳偉,Wally Smieliauskas.云計(jì)算環(huán)境聯(lián)網(wǎng)審計(jì)實(shí)現(xiàn)方法探析〔J〕.審計(jì)研究,2012(03).
[5]姜梅,吳萬(wàn)春,邢金榮,田德新,孫可君.社會(huì)保障基金聯(lián)網(wǎng)審計(jì)的應(yīng)用研究〔J〕.審計(jì)研究,2007(04).
[6]張宏,徐士元,趙芳芳,王志.移動(dòng)互聯(lián)網(wǎng)安全審計(jì)云〔J〕.信息安全與通信保密,2014(02).
[7]秦榮生.大數(shù)據(jù)、云計(jì)算技術(shù)對(duì)審計(jì)的影響研究〔J〕.審計(jì)研究,2014(06).
[8]曹洪澤,劉強(qiáng).聯(lián)網(wǎng)審計(jì)及其關(guān)鍵技術(shù)研究〔J〕.北京理工大學(xué)學(xué)報(bào),2006(07).
[9]徐貴麗.云審計(jì):機(jī)遇、挑戰(zhàn)與發(fā)展趨勢(shì)〔J〕.中國(guó)注冊(cè)會(huì)計(jì)師,2014(03).
◇作者信息:浙江工商大學(xué)財(cái)務(wù)與會(huì)計(jì)學(xué)院
◇責(zé)任編輯:張力恒
◇責(zé)任校對(duì):張力恒
F239.44
:A
:1004-6070(2017)04-0059-06
本文系浙江省軟科學(xué)項(xiàng)目“政策跟蹤審計(jì)維護(hù)信息經(jīng)濟(jì)發(fā)展的作用機(jī)理及實(shí)現(xiàn)方式研究”(2016C35038)的階段性成果。