浅谈大数据时代计算机审计数据采集分析的难点及解决办法
一.数据采集的常用方法和步骤
(一)调查了解。在得知被审计单位运用财务、业务软件等信息系统的情况下进行调查了解,不仅要了解常规审计方法下的所有内容,而且还要了解与计算机审计有关的相关信息系统及其电子数据情况,内容包括信息系统的名称、功能及业务流程、软件开发商及版本、后台数据库格式及版本、数据库结构或数据字典等。根据审前调查所了解的情况,预先采集部分数据,对数据进行初步分析,以确定合适的计算机审计软件和审计方式。
(二)数据采集。开展计算机审计的主要流程有:分析审计环境-提出审计需求-采集数据-分析数据-生成审计疑点-疑点核实-成果利用。审计人员根据审前调查了解的信息,采集相关信息系统的数据。
数据采集的方法一般有:1.利用数据备份的方法,采集符合审计人员需求的数据,例如,被审计单位的财务软件为用友、金蝶系列,利用数据库的查询语句将所需数据提取转换,利用数据转出功能转存为excel电子表格。2.利用被审计单位的业务系统所使用数据库的数据转出功能,直接还原数据库进行审计分析。3.利用软件信息系统数据存放服务器的定期备份数据,直接找到文件的存放位置,直接将数据库对应扩展名的备份数据拷贝即可。
数据采集时要注意:一是应当要求被审计单位提供信息系统的数据库结构或者数据字典,便于数据分析;二是应当采集信息系统的全部数据,避免在审计中发现缺少关键数据表而重新采集;三是避免对被审计单位相关信息系统及其电子数据造成不良影响。
(三)数据转换。审计人员采集到数据后,一般要把财务数据转换到AO2011软件中,业务数据转换到SQL Server数据库或AO2011软件中。数据转换完成后,应当与纸质报表等资料进行核对,确保转换的数据无误。
1.财务数据的转换。AO2011自带一些常用的财务数据转换模版,采集到的财务数据如果符合AO2011转换模版的数据版本及数据格式要求,就可以直接转换为AO2011电子数据,否则审计人员就需要分析数据库结构,至少找出三张表(科目表、科目余额表、凭证表),手工转换为AO2011电子数据。如在对某国企的绩效审计中,采集到的财务数据是用友U8 V10.1企业版的备份文件,AO2011自带的转换模板只适用于8.x备份或拷贝文件。审计人员先将用友财务软件的备份文件恢复到SQL数据库中,再根据三张表code(会计科目表)、GL_accsum(科目余额表)、GL_accvouch(凭证表),以及等辅助表,在AO2011生成财务账套及辅助账。
2.业务数据的转换。业务数据的转换方法一般有:(1)通过SQL Server的导入功能,将txt/csv/mdb/xls等格式的数据导入到SQL数据库;(2)使用SQL数据库的还原或附加数据库功能;(3)构建原始数据库运行环境,还原数据库备份文件(如在采集到Oracle备份数据后,必须在Oracle数据库中还原备份文件),再导入到SQL数据库。
(四)数据整理及分析
1.数据表结构分析及汉化。数据库中的表名和字段名通常是英文字符,审计人员可以对照数据库结构或者数据字典,对数据表进行汉化,将表名和字段名修改为汉字。汉化的步骤一般是:(1)建立“表字段汉化对照表”,至少有英文表名、中文表名、英文字段名、中文字段名等信息;(2)通过“审计数据分析”软件对数据库的表名和字段名进行批量修改,也可以使用Excel软件在“表字段汉化对照表”中设置公式,批量加入修改表名和字段名的SQL语句。
2.信息系统的安全性审计。审计人员为了揭示信息系统的信息安全风险,保证审计所需数据的可靠性和可用性,降低审计风险,根据审计项目目标的需要,在软件安全、信息系统功能及运行等方面,有所侧重地检查信息系统的安全性、有效性和经济性。
3.数据关联分析。审计人员通过数据表间的关联字段进行数据关联分析,找出审计疑点。对经验证确有效果的审计方法,编制审计分析模型,快速分析和查找问题。
(五)延伸调查及核实。审计人员对审计疑点进行延伸调查及核实,取得审计证据,为审计报告提供准确依据。为解决电子数据无痕迹、易篡改等问题,审计人员应将相关的电子数据表打印出来,交给被审计单位盖章,作为审计取证单的附件。如果相关的电子数据表特别庞大等原因无法打印成册,审计人员可以委托专业机构对电子数据证据进行鉴定、取证。
二、当前计算机审计数据采集中存在的问题
1.被审计单位从数据安全和保密的角度出发,拖延甚至不提供电子数据。
2.审计人员通常能熟练运用SQL Server、Access等数据库,但对Oracle、Sybase等其他数据库不够熟悉,在审计中遇到陌生的数据库系统时无法进行数据操作。数据采集的能力不强,根据审计的目标,按照一定的方法和工具对被审计单位的财务业务数据进行采集的能力。数据采集是数据处理、分析的前提,在数据的采集过程中,应保证所采集的数据是真实、有效的,并不断提高数据采集本身的效率。审计人员在数据采集前应对审计的目标不熟悉,不能够准确把握数据采集的范围、内容和重点。在数据范围、内容和重点。在审计过程中,不能够与被审计单位充分沟通及被审计单位的配合。部分审计人员现有的知识无法满足信息系统发展的需要,计算机审计运用的表层化倾向明显,缺乏总结交流与深层次的功能开发,数据的采集能力不强。
3.信息系统的数据无法导出和备份。有的财务软件或业务管理软件没有数据导出和备份功能,信息系统的操作及管理人员没有权限登录后台数据库,无法采集数据。
4.信息系统没有数据库结构和数据字典。有的信息系统没有单独的数据结构表,软件开发商与被审计单位之间因版权保护、费用未结清等原因产生纠纷,不能提供数据库结构和数据字典。
5.在审计中,计算机审计发展之所以滞后于会计电算化的重要原因在于会计软件各种各样,不同种类不同版本的软件在后台数据库配备和数据结构方面各不相同,各个行业各个单位还会根据自身的特殊需求选购或定制软件系统。通用审计软件不可能拥有各个软件的数据接口,因此更多的数据采集和转换工作需要审计人员利用最基本的方法从数据库底层完成数据的导入导出及分析转换。在大数据时代,数据分析需要各种各样的关联性数据,关联性数据越少,数据分析结果就越难从不同角度进行对比验证,发现的审计疑点也会越少。另外,我国现有的计算机信息系统大部分没有预留审计接口,有些系统的数据库还采取特别加密,使审计软件无法访问系统的资料,电子资料的获取成了计算机审计发展的瓶颈。
三、数据采集中存在问题的办法及今后的发展方向
1.加强数据安全。审计人员因审计工作的需要,收集到的电子数据,如社保、财政、住房、车辆、人员信息等数据,往往是涉密数据,如果发生泄密事故,将对审计机关开展大数据审计造成极其不利的负面影响,因此我们必须高度重视对审计数据的管理使用。在加强安全保密宣传教育的同时,根据国家相关的保密法规,建立审计数据管理使用安全责任制,从电子数据归集和使用范围、审计现场使用管理、机关内电子数据使用管理等方面强化电子数据的安全使用管理;定期归集和备份电子数据,妥善保管备份载体,确保数据安全。
2.加强沟通和协调。对于被审计单位拖延甚至不提供电子数据的行为,2015年中办、国办发布的《关于实行审计全覆盖的实施意见》中明确规定:“有关部门、金融机构和国有企事业单位应根据审计工作需要,依法向审计机关提供与本单位本系统履行职责相关的电子数据信息和必要的技术文档,不得制定限制向审计机关提供资料和开放计算机信息系统查询权限的规定,已经制定的应予修订或废止”,审计人员应当根据新规要求被审计单位依法提供相关数据。对于财政、公积金、人社等部门的信息系统数据由上级机关集中管理的情况,审计人员可以请被审计单位与其上级机关联系,由上级机关采集并分割、下发数据。
3.加强计算机审计队伍建设。一是引进一批计算机审计专业技术人才,改善审计队伍结构;二是参加上级审计机关的计算机审计培训,培养一批审计业务精湛的业务骨干;三是出台奖励措施,鼓励审计人员积极参加各种计算机技术水平、职称、资格考试或学历教育,通过学习提高自身素质,更好的适应审计工作需要;四是积极参加上级审计机关统一组织开展的大型审计项目,以实战代替培训,实际参与、切身体会,使审计人员能迅速地提高计算机审计应用水平。
4.拓宽数据来源渠道。单一的数据来源难以发现问题,这就需要拓宽数据来源渠道,采集多种关联性数据,运用大数据分析方法,从而可以发现更多的审计疑点。如在开展扶贫信息系统数据审计中,审计人员采集了扶贫办、编办、交警、工商、房产等部门的建档立卡贫困人口信息数据、行政事业单位财政供养人员信息数据、大型汽车和小型汽车的登记数据、工商户和工商企业登记数据、房屋产权登记数据等17项相关数据,经过数据分析,发现部分建档立卡贫困人口不符合贫困条件等问题线索,市纪委对精准扶贫领域涉及的问题线索,集中时间和力量进行了核查,如果只有建档立卡贫困人口信息数据而缺少其他关联数据,计算机审计也不可能发现较多的问题线索。(魏悦)