陳偉 詹明惠 陳文夏

一、引言

近年來(lái)，金融業(yè)務(wù)和模式不斷創(chuàng)新，以網(wǎng)上銀行、電子銀行、手機(jī)銀行、直銷銀行、微信銀行以及多種第三方支付方式為代表的新金融業(yè)務(wù)和模式快速發(fā)展。隨著金融行業(yè)信息化技術(shù)的廣泛應(yīng)用，信息科技風(fēng)險(xiǎn)成為金融行業(yè)關(guān)注的重點(diǎn)。目前，大數(shù)據(jù)、人工智能、云計(jì)算等技術(shù)的應(yīng)用和發(fā)展使得金融機(jī)構(gòu)信息化程度越來(lái)越高，信息化應(yīng)用范圍越來(lái)越廣，對(duì)信息化的依賴程度越來(lái)越高，使用的應(yīng)用系統(tǒng)也越來(lái)越多，業(yè)務(wù)系統(tǒng)也越來(lái)越復(fù)雜。這些金融科技的快速發(fā)展和廣泛應(yīng)用也增加了風(fēng)險(xiǎn)的識(shí)別難度，創(chuàng)新審計(jì)方法成為必然。金融科技環(huán)境下，目前常用的信息系統(tǒng)（信息科技）審計(jì)方法，如訪談、現(xiàn)場(chǎng)觀察、文檔查看、抽樣、穿行測(cè)試等已不能完全滿足需要，僅靠現(xiàn)有的審計(jì)方法很難發(fā)現(xiàn)相關(guān)潛在的信息系統(tǒng)風(fēng)險(xiǎn)，信息科技風(fēng)險(xiǎn)審計(jì)方法需要不斷創(chuàng)新。

綜上所述，金融科技風(fēng)險(xiǎn)審計(jì)是目前審計(jì)工作的一項(xiàng)重要內(nèi)容。盡管目前已有一些關(guān)于大數(shù)據(jù)審計(jì)方法的研究，但目前仍缺少直接針對(duì)金融科技風(fēng)險(xiǎn)審計(jì)方法的研究。本文結(jié)合目前大數(shù)據(jù)與信息系統(tǒng)審計(jì)的研究與應(yīng)用現(xiàn)狀，在已有的基于大數(shù)據(jù)技術(shù)的信息系統(tǒng)用戶及權(quán)限管理審計(jì)研究的基礎(chǔ)上（陳偉，2019），探索如何采用社會(huì)網(wǎng)絡(luò)分析等大數(shù)據(jù)審計(jì)技術(shù)開(kāi)展金融科技風(fēng)險(xiǎn)審計(jì)。

二、常用審計(jì)方法的不足

用戶及權(quán)限管理是信息系統(tǒng)運(yùn)行管理中的一項(xiàng)重要內(nèi)容，它要求“應(yīng)保證只有經(jīng)授權(quán)的用戶才能訪問(wèn)，防止非授權(quán)訪問(wèn)”。因此，在開(kāi)展信息系統(tǒng)運(yùn)行管理審計(jì)時(shí)，審計(jì)人員需要檢查業(yè)務(wù)系統(tǒng)是否能保證只有經(jīng)授權(quán)的用戶才能訪問(wèn)，能否防止非授權(quán)訪問(wèn)。對(duì)于金融科技系統(tǒng)審計(jì)來(lái)說(shuō)，審計(jì)人員可以通過(guò)分析金融科技系統(tǒng)中是否存在操作用戶有多個(gè)賬號(hào)的情況，以及這些賬號(hào)是否都可以正常使用等達(dá)到防范相關(guān)金融科技風(fēng)險(xiǎn)的目的。

傳統(tǒng)環(huán)境下，被審計(jì)單位信息化程度低，應(yīng)用系統(tǒng)較少，操作用戶較少，因此，對(duì)于用戶及權(quán)限管理審計(jì)只需要做簡(jiǎn)單的訪談或現(xiàn)場(chǎng)察看一下被審計(jì)單位的應(yīng)用系統(tǒng)即可。但隨著金融科技的廣泛應(yīng)用，目前被審計(jì)單位信息化程度高，應(yīng)用系統(tǒng)較多，一些單位應(yīng)用系統(tǒng)多達(dá)幾百個(gè)，甚至上千個(gè)，另外，操作用戶也較多。因此，金融科技系統(tǒng)的用戶及權(quán)限管理是一個(gè)重要挑戰(zhàn)。目前常用的審計(jì)方法存在以下不足：

重號(hào)分析是數(shù)值分析中的一種常用方法，它用來(lái)查找被審計(jì)數(shù)據(jù)某個(gè)字段（或某些字段）中是否存在重復(fù)的數(shù)據(jù)。通過(guò)重號(hào)分析方法，審計(jì)人員可以查找被審計(jì)單位應(yīng)用系統(tǒng)中是否存在用戶擁有多個(gè)賬號(hào)的情況。以審計(jì)軟件IDEA舉例，重號(hào)分析方法應(yīng)用的示例如圖1所示。

對(duì)于重號(hào)分析方法，也可以采用SQL語(yǔ)句實(shí)現(xiàn)。以Microsoft Access數(shù)據(jù)庫(kù)軟件為例，采用SQL語(yǔ)句進(jìn)行重號(hào)分析的示例如圖2所示。

由圖1和圖2不難看出：常用的重號(hào)分析方法雖然也能查找被審計(jì)單位的信息系統(tǒng)中操作用戶是否存在一人擁有多個(gè)賬號(hào)的情況，但不能很清楚、形象地展示出擁有多個(gè)賬號(hào)的操作用戶分別分布在哪些部門、操作用戶和所在部門的關(guān)系，以及對(duì)于每一個(gè)操作用戶，其擁有的多個(gè)賬號(hào)是否都可以正常使用等詳細(xì)信息。

三、基于社會(huì)網(wǎng)絡(luò)分析的金融科技系統(tǒng)用戶管理風(fēng)險(xiǎn)審計(jì)方法分析

1.相關(guān)大數(shù)據(jù)審計(jì)技術(shù)分析

為了更好地滿足大數(shù)據(jù)環(huán)境下開(kāi)展審計(jì)工作的需要，需要一些大數(shù)據(jù)審計(jì)技術(shù)，常見(jiàn)的大數(shù)據(jù)審計(jì)技術(shù)一般可以概況為：（1）大數(shù)據(jù)智能分析技術(shù)，有效的方法如社會(huì)網(wǎng)絡(luò)分析、自然語(yǔ)言分析等；（2）大數(shù)據(jù)可視化分析技術(shù)，有效的方法如文本可視化分析技術(shù)（如標(biāo)簽云分析）以及其他常見(jiàn)的大數(shù)據(jù)可視化分析技術(shù)（Koh，2010；GTAG，2017；Gepp，2018），如氣泡圖（Bubble Chart）、柱狀圖（Bar Chart）、折線圖（Line Chart）、餅圖（Pie Chart）、散點(diǎn)圖（Scatter Chart）、雷達(dá)圖（Radar Chart）、熱力圖（Heat map）等；（3）大數(shù)據(jù)多數(shù)據(jù)源綜合分析技術(shù)，也就是通過(guò)對(duì)采集來(lái)的各行、各業(yè)、各類大數(shù)據(jù)，采用數(shù)據(jù)查詢等常用方法或其他大數(shù)據(jù)技術(shù)方法進(jìn)行相關(guān)數(shù)據(jù)的綜合比對(duì)和關(guān)聯(lián)分析，從而發(fā)現(xiàn)更多隱藏的審計(jì)線索。

2.社會(huì)網(wǎng)絡(luò)分析方法概述

網(wǎng)絡(luò)指的是各種關(guān)聯(lián)，社會(huì)網(wǎng)絡(luò)就是社會(huì)關(guān)系所構(gòu)成的一種結(jié)構(gòu)關(guān)系，一個(gè)社會(huì)網(wǎng)絡(luò)是由一些特定范圍的行動(dòng)者以及行動(dòng)者之間的關(guān)系組成，它可以反映行動(dòng)者之間的社會(huì)關(guān)系。社會(huì)網(wǎng)絡(luò)分析（Social Network Analysis）是對(duì)社會(huì)網(wǎng)絡(luò)的關(guān)系結(jié)構(gòu)及其屬性加以分析的一套規(guī)范和方法，它基于信息學(xué)、數(shù)學(xué)、社會(huì)學(xué)、管理學(xué)、心理學(xué)等多學(xué)科的融合理論和方法，為理解人類各種社會(huì)關(guān)系的形成、行為特點(diǎn)分析以及信息傳播的規(guī)律提供的一種可計(jì)算的分析方法。社會(huì)網(wǎng)絡(luò)分析采用的方式和方法從概念上有別于傳統(tǒng)的統(tǒng)計(jì)分析和數(shù)據(jù)處理方法，它是研究一組行動(dòng)者的關(guān)系的研究方法，關(guān)注的焦點(diǎn)是關(guān)系和關(guān)系的模式。

目前，社會(huì)網(wǎng)絡(luò)分析在市場(chǎng)營(yíng)銷、廣告、企業(yè)招聘、跟蹤預(yù)測(cè)流感的爆發(fā)、預(yù)測(cè)票房等方面得到應(yīng)用，一些流行的大數(shù)據(jù)可視化分析工具，如R語(yǔ)言、Python、Gephi、Pajek等也具有強(qiáng)大的社會(huì)網(wǎng)絡(luò)分析功能。因此，大數(shù)據(jù)環(huán)境下，可以采用Python、Pajek、Gephi等工具實(shí)現(xiàn)社會(huì)網(wǎng)絡(luò)分析方法，完成審計(jì)數(shù)據(jù)分析，發(fā)現(xiàn)相關(guān)審計(jì)線索。

相關(guān)社會(huì)網(wǎng)絡(luò)分析工具簡(jiǎn)介如下：

（1）Pajek：Pajek在斯洛文尼亞語(yǔ)中是蜘蛛的意思。Pajek在Windows環(huán)境下運(yùn)行，是一種大型復(fù)雜網(wǎng)絡(luò)分析工具，可用于目前所存在的各種復(fù)雜非線性網(wǎng)絡(luò)的分析和可視化操作。

（2）Gephi：Gephi是一款開(kāi)源免費(fèi)、跨平臺(tái)的復(fù)雜網(wǎng)絡(luò)分析軟件，它基于Java虛擬機(jī)（Java Virtual Machine，JVM），允許開(kāi)發(fā)者開(kāi)發(fā)新程序，創(chuàng)建新功能。它可以用于社會(huì)網(wǎng)絡(luò)分析、探索性數(shù)據(jù)分析、可視化分析等方面。

（3）開(kāi)源工具：除了采用Pajek、Gephi等工具實(shí)現(xiàn)社會(huì)網(wǎng)絡(luò)分析方法之外，審計(jì)人員也可以采用開(kāi)源工具R語(yǔ)言、Python等實(shí)現(xiàn)基于社會(huì)網(wǎng)絡(luò)的審計(jì)數(shù)據(jù)分析。本文以R語(yǔ)言為例，研究并實(shí)現(xiàn)基于社會(huì)網(wǎng)絡(luò)分析的金融科技系統(tǒng)用戶管理風(fēng)險(xiǎn)審計(jì)方法。

3.基于社會(huì)網(wǎng)絡(luò)分析的金融科技系統(tǒng)用戶管理風(fēng)險(xiǎn)審計(jì)方法原理

基于社會(huì)網(wǎng)絡(luò)分析的金融科技系統(tǒng)用戶管理風(fēng)險(xiǎn)審計(jì)方法原理可簡(jiǎn)單描述為：采集被審計(jì)金融科技系統(tǒng)的全單位操作用戶信息等數(shù)據(jù)，采用社會(huì)網(wǎng)絡(luò)分析工具對(duì)全單位操作用戶信息等相關(guān)結(jié)構(gòu)化數(shù)據(jù)進(jìn)行建模和整體分析，通過(guò)對(duì)社會(huì)網(wǎng)絡(luò)分析的可視化結(jié)果圖形和圖像進(jìn)行分析和觀察，從總體上發(fā)現(xiàn)操作用戶與所在部門之間的相互關(guān)系，從而發(fā)現(xiàn)是否存在用戶屬于不同部門的審計(jì)線索。在此基礎(chǔ)上，進(jìn)行延伸分析，比如，通過(guò)對(duì)全單位操作用戶信息數(shù)據(jù)進(jìn)行分析，了解同時(shí)屬于不同部門的用戶的賬號(hào)狀態(tài)，確認(rèn)其兩個(gè)或多個(gè)賬號(hào)是否都可以正常使用。通過(guò)對(duì)以上發(fā)現(xiàn)的異常數(shù)據(jù)做進(jìn)一步的延伸審計(jì)和審計(jì)事實(shí)確認(rèn)，最終獲得審計(jì)證據(jù)。

綜上分析，基于社會(huì)網(wǎng)絡(luò)分析技術(shù)的金融科技系統(tǒng)用戶管理風(fēng)險(xiǎn)審計(jì)方法原理如圖3所示。

四、基于社會(huì)網(wǎng)絡(luò)分析的金融科技系統(tǒng)用戶管理風(fēng)險(xiǎn)審計(jì)方法應(yīng)用案例及分析

1.案例背景簡(jiǎn)介

為了審計(jì)金融科技系統(tǒng)用戶管理風(fēng)險(xiǎn)，需要從被審計(jì)單位信息管理部門采集相關(guān)操作用戶信息等數(shù)據(jù)。通過(guò)審計(jì)這些數(shù)據(jù)，可以掌握目前該被審計(jì)單位所有應(yīng)用系統(tǒng)中的操作用戶情況，比如用戶狀態(tài)、用戶相關(guān)信息等。以某金融科技系統(tǒng)用戶管理風(fēng)險(xiǎn)審計(jì)為例，假設(shè)現(xiàn)已獲得相關(guān)數(shù)據(jù)，以該金融科技系統(tǒng)中的用戶信息數(shù)據(jù)為例，其表結(jié)構(gòu)如圖4所示。

2.基于社會(huì)網(wǎng)絡(luò)的金融科技系統(tǒng)用戶管理風(fēng)險(xiǎn)整體分析

為了從整體上掌握金融科技系統(tǒng)中是否存在操作用戶在多個(gè)部門均有用戶賬號(hào)的情況，基于前文的分析，采用社會(huì)網(wǎng)絡(luò)分析方法對(duì)全單位操作用戶信息數(shù)據(jù)進(jìn)行分析，整體動(dòng)態(tài)分析結(jié)果的一個(gè)示例如圖5所示。

由圖5可以清晰地發(fā)現(xiàn)：被審計(jì)單位的金融科技系統(tǒng)中存在多名操作用戶在多個(gè)部門擁有用戶賬號(hào)的情況，這對(duì)被審計(jì)單位金融科技系統(tǒng)的運(yùn)行管理造成潛在的風(fēng)險(xiǎn)隱患。

在圖5所示的分析結(jié)果的基礎(chǔ)上，審計(jì)人員可以對(duì)擁有多個(gè)賬號(hào)的用戶做進(jìn)一步的動(dòng)態(tài)察看。以用戶“朱明友”為例，如圖6所示，可以發(fā)現(xiàn)用戶“朱明友”在科技信息部、財(cái)務(wù)部以及審計(jì)部三個(gè)部門同時(shí)擁有用戶賬號(hào)。

綜上所述，不難發(fā)現(xiàn)：傳統(tǒng)的靜態(tài)社會(huì)網(wǎng)絡(luò)分析方法主要集中于對(duì)某一橫截面數(shù)據(jù)的靜態(tài)分析，并生成靜態(tài)的圖形結(jié)果，不能在分析結(jié)果的基礎(chǔ)上進(jìn)一步動(dòng)態(tài)查看網(wǎng)絡(luò)結(jié)點(diǎn)之間的關(guān)系，不能清楚地對(duì)被審計(jì)數(shù)據(jù)進(jìn)行動(dòng)態(tài)分析，而本文應(yīng)用的社會(huì)網(wǎng)絡(luò)分析方法有效地滿足了“操作用戶和所在部門”之間關(guān)系分析的需要。

3.具有多個(gè)賬號(hào)用戶的具體狀態(tài)情況可視化分析

為了進(jìn)一步分析這些在多個(gè)部門擁有賬號(hào)的用戶的具體信息，如擁有的多個(gè)賬號(hào)是否都可以正常使用，采用散點(diǎn)圖可視化分析方法對(duì)操作用戶信息數(shù)據(jù)做進(jìn)一步的分析，了解有多個(gè)賬號(hào)的用戶賬號(hào)的狀態(tài)情況，其中的一個(gè)分析結(jié)果示例如圖7所示。在圖7中， X坐標(biāo)為擁有多個(gè)賬號(hào)的操作用戶，Y坐標(biāo)為操作用戶所在部門，散點(diǎn)的顏色表示用戶賬號(hào)的狀態(tài)（0表示用戶賬號(hào)可以正常使用，1表示用戶賬號(hào)已凍結(jié)（暫停使用），2表示用戶賬號(hào)已注銷）。

由圖7可以清晰地發(fā)現(xiàn)：被審計(jì)單位金融科技系統(tǒng)中存在多名操作用戶在多個(gè)部門有多個(gè)均能正常使用的用戶賬號(hào)的情況（散點(diǎn)為紅色），這對(duì)被審計(jì)單位金融科技系統(tǒng)的運(yùn)行管理造成潛在的風(fēng)險(xiǎn)隱患。以用戶“朱明友”為例，其在科技信息部、財(cái)務(wù)部以及審計(jì)部三個(gè)部門同時(shí)擁有用戶賬號(hào)，且三個(gè)用戶賬號(hào)的狀態(tài)均為能正常使用（散點(diǎn)為紅色）。

五、總 結(jié)

隨著金融科技的廣泛應(yīng)用和快速發(fā)展，目前常用的信息系統(tǒng)（信息科技）審計(jì)方法不能很好地滿足金融科技應(yīng)用系統(tǒng)風(fēng)險(xiǎn)審計(jì)的需要，采用大數(shù)據(jù)審計(jì)技術(shù)開(kāi)展金融科技風(fēng)險(xiǎn)審計(jì)成為一種有效的方法。本文根據(jù)這一需要，以金融科技系統(tǒng)用戶管理風(fēng)險(xiǎn)審計(jì)為例，分析了如何采用社會(huì)網(wǎng)絡(luò)分析技術(shù)開(kāi)展金融科技風(fēng)險(xiǎn)審計(jì)，并以實(shí)際案例證明了本文研究的可行性和有效性。本文研究的方法已應(yīng)用于某大型審計(jì)項(xiàng)目之中，取得了良好的效果。當(dāng)然，本文研究的方法不可能解決所有的金融科技系統(tǒng)用戶及權(quán)限管理風(fēng)險(xiǎn)審計(jì)問(wèn)題，但能有效地彌補(bǔ)目前已有方法的不足。