大数据审计：物联网建设的制度保障

网会计问题ＯＦ４ＣＣＯ！！ＮＴＩＮＧ，系列文章（１１）　大数据审计：物联网建设的制度保障　上海大学管理学院　【摘许金叶　许琳　要】物联网建设的本质不是“互联互通”，而是远程智能控制，而能够沟通感知层、网络层与应用层，实现远程智能　控制的只有大数据。因此，确保大数据的真实、可信与安全便成为物联网建设的重要任务。大数据审计是实现这个任务的重　要工作之一。基于这个背景，文章介绍了大数据审计的目标、审计的依据、审计对象、企业三层审计制度等内容。　【关键词】大数据审计；　物联网；　云计算　物联网建设的本质不是“互联互通”，而是远程智　能控制，而能够沟通感知层、网络层与应用层，实现远　程智能控制的只有大数据。因此，确保大数据的真实、　可信与安全便成为物联网建设的核心任务。大数据审　计是实现这个任务的重要工作之一。基于这个背景，本　文介绍了大数据审计的目标、审计的依据、审计内容、　企业三层审计制度等内容。　一、大数据风险暴露：物联网建设数据风险规避的　需要　物联网的发展使企业从“小数据时代”进入“大数　据时代”，而这些巨量的非结构化为主的大数据的处理　只有云计算技术（或平台）才能够实现。因此，当业务和　数据从传统的信息系统环境转移到“云”上后，数据与　业务的安全、操作合规、业务持续、数据真实、安全、可　信等是企业信息化考虑过程中除了效率和成本之外的　核心问题。虽然云服务提供商会考虑如何为用户提供　安全、可信的云计算解决方案，但用户必须考虑如何确　保自己的信息资源的可信与可控。大数据风险不仅具　有传统网络环境下的风险，还具有云环境下的风险。　（一）传统网络环境下的大数据风险　１．大数据暴露在“第三只眼”的风险　由于网络的虚拟化、无边界、流动性等特征。数据　及其系统面临较多的安全问题。黑客的入侵、恶意代码　的攻击、拒绝服务攻击、网络钓鱼或敏感信息外泄等，　如：网络中的病毒、木马、恶意软件对公司数据或系统　的监测、攻击，导致公司的数据或系统不能够正常运转　与应用；数据在网络、服务器、存储、平台到应用的过程　经常遭到泄露和被第三方窃取的问题，特别是公司内　部员工恶意利用实体的方式，接触备份敏感数据，或是　利用在系统上的权限，存取第三数据，窃听重要会议机　密，获取商业机密；系统内部自然、人为因素导致数据　或系统不能够正常运作：由于火灾、地震等自然因素，　或硬件与软件运行过程的正常与不正常因素，导致数　据或系统不能够正常运作。　２．数据质量问题导致数据的误用　“与有形产品不同，垃圾的数据只能产生垃圾的信　息。”由于在大数据过程中经常出现数据不准确、不完　整、不及时等数据质量的问题，因此，在数据分析处理　的过程中必须确保大数据的质量。　３．数据被人为操纵的风险　数据分析的目的是解决企业业务问题、提升业务　决策。由于业务的理解因人而异，业务决策的目标也因　人而异。数据分析所应用的数据和模型不同，分析的结　果也将会不同。也就是说，数据分析如果不能够客观，　将会产生被人为操纵的风险。因此，企业必须通过审计　杜绝那种自私的操纵统计数据的做法，并增强注重客　观性的企业文化。　（二）大数据暴露于云计算平台下的风险　１．大数据暴露于服务供应商的风险　在物联网、云计算环境下，企业的数据置于企业边　界之外的公共共享网络上，并且数据的所有权、管理权　及使用权发生了分离——企业用户失去了对数据资源　的直接控制，直接面临着用户与服务提供商的安全　问题。　２．数据暴露于共享平台上租户的风险　在物联网、云计算环境下，企业数据经常处在与其　他客户共享的情况中，许多数据加密也未能防止数据　泄露，且必须进行资源隔离，特别是对数据休眠期间的　安全隔离。由于企业数据的信任边界审计，许多数据虚　拟化技术未能确知托管于什么地方，这些动态变化的　信任边界要求逻辑层的访问控制和授权管理得到审计　与信任。　３．数据暴露于企业业务变化的风险　企业数据会由于企业需求变化、投资变化、监管策　略变化从一个云平台迁移到另外一个云平台，数据兼　容性和互操作性、各个平台的统一合规标准等需要审　计。确保数据的安全、可靠与可信。　飘　Ｆ　　Ｏ网Ｆ会计问题系列文章（１１），４ＣＣ０（ＮＴＩＮ（；流动性等特征。数据及其系统面临较多的安全问题。例　如：商业机密被第三方所利用、商业机密或个人隐私的　数据被公司内部别有用心地“恶意”利用、自然灾害等　意外情况的发生等。因此，大数据安全是大数据可靠、　有效使用的前提。为了有效保护系统和数据安全，做好　灾害预警等，数据审计对于数据安全和物联网的建设　有着至关重要的意义。因此，大数据审计首推对大数据　的安全性发表意见。它不仅要对提供大数据服务供应　商的安全可信性发表意见，同时也包括对服务提供商　本身的可信性发表意见，对企业内部的大数据收集、处　理等过程的数据安全性发表意见。　２．对大数据来源和数据质量的可靠性发表意见　大数据获取过程中对数据的处理，是为后续流程　提供高质量数据的基础，因此，如何获取数据以及对数　据如何处理，对后续高效高质量的数据分析起着至关　重要的作用。　大数据审计的目标是确保大数据质量的准确性、　完整性、一致性、时效性、可信性以及可解释性。具体而　言，当采集的源数据存在数值缺失、空值、冗余、错误、格　式不一致、含义不清等问题时，审计人员应当进行数据　整理、加工，剔除错误或偏离期望的值，以提高审计分　析的准确性和效率；保证数据不缺属性，确保数据完整　性；使数据之间不存在差异，相互可内洽，达到数据的　一致性：数据的“新鲜感”——及时送达数据确保数据　的时效性；在整个数据整合过程中，统计出有多少数据　是用户依赖的，以测数据的可信性；最后，也是最重要　的，是保证数据容易被理解，以达到其可解释性。　３．对大数据分析的有效性发表意见　通过数据产生、数据获取、数据存储、数据分析、数　据可视化，最后到达数据结果，是业务部门数据操作的　整套流程，也是检验数据是否合理、有效性的最重要一　步。大数据往往被深埋在非常大型的数据库中，且往往　包含多年的历史数据，同时数据量和搜索工作量都非　常大。数据分析的有效性不仅取决于数据质量，也取决　于数据分析的合理性。数据审计必须对数据分析的合　规性是否达到数据分析效果进行审计。大数据审计人　员通过开展数据分析，科学高效地确定项目、编制方　案、实施审计、出具报告，从而确保数据的准确性和有　效性。　（二）数据分析过程：大数据审计的对象维　数据分析过程是数据审计架构的对象，是解决大　数据审计的源头。根据大数据生命周期业务流程，大数　据审计需要对如下大数据分析业务环节的数据安全　性、可靠性、有效性进行审计：数据源分析、数据获取、数　据存储、数据分析、数据共享、数据可视化等大数据分　析过程。具体如图２。　图２基于数据分析过程的审计框架　１．数据源分析　物联网、云计算中的数据源头为企业外部数据和　企业内部数据。为确保企业数据安全性、可靠性及数据　分析的有效性，必须对数据源进行分析安全性等审计。　如：审计数据存储的可信度，审计数据的完整性、数据　的可靠性、数据的一致性等分析；数据格式分析；数据　更新方式分析等等。　２．数据获取　数据获取过程是指物联网通过云计算平台获取数　据的过程，主要包括数据整合、数据清洗、数据转换、数　据加载等业务过程。由于云环境下数据平台上有多租　户的出现，必须明确数据的权属。这个过程要确保数据　安全、可靠，有效使用的制度主要有对数据分类并对数　据进行标识、分配权限。同时，针对不同数据进行分级，　制定数据加密等安全策略。　３．数据存储　物联网和云计算环境下的数据必须保证所有的数　据包括所有副本和备份，存储在合同、服务级别协议和　法规允许的地理位置。建立数据访问控制；进行数据加　密，建立内容发现制度，确保数据安全审计工作有效进　行；要求对数据进行数据等级区分，分开存放；如果存　在数据共享。应该对访问权限进行严格精细化控制，并　可以实时监控和提供审计措施。　４．数据分析　大数据分析实务中避免数据遭到任何哪怕是轻微　的泄漏，以避免侵害到数据拥有者和数据相关者的利　益。大数据审计要审核企业是否可以通过日志文件或　基于代理的工具对数据分析活动进行有效监控；企业　是否制定数据安全的应用逻辑；企业是否制定基于数　据管理解决方案的对象级控制制度；企业是否进行多　份、异地备份方式进行数据备份，防止数据丢失、意外　上市公　ＦＲ　ｌＥ　题（１５）ｓ‘　ＦＡＣＣＯＵＮＴＩＮＧ　勰隰蹶糯鼹　我国企业财务报告舞弊的成因和防范　以华沐通途信息披露“疏忽”为例　张继德１，２　栾艳辉　１．北京工商大学商学院　２．东北财经大学博士后流动站　【摘要】近年来，频频曝光的上市公司财务报告舞弊事件，引发了我国证券市场前所未有的信用危机。财务报告舞弊　不仅严重侵害投资者的利益，而且阻碍资本市场的健康、持续、稳定发展，从而对我国的经济造成重大损害。文章以华沐通　途的财务报告披露为例，对上市公司财务报告舞弊进行深入思考，仔细剖析财务报告舞弊的原因及其方式，最后结合我国　企业实际情况，提出切实可行的防范财务报告舞弊的措施。　【关键词】华沐通途；财务报告舞弊；防范措施　作为证券市场信息传递媒介的财务报告，不仅是投　一、案例回放　资者进行投资决策的基本依据之一，而且是证券市场健　．（一）华沐通途基本情况　康、有效运行、发挥优化资源配置功能的基础。遗憾的　河南新大新材料股份有限公司（股票代码３０００８０，　是，不少上市公司在巨大的经济利益诱惑下铤而走险，　以下简称新大新材）于２０１　０年６月在深交所创业板挂　进行财务报告舞弊，直接损害了广大利益相关者的经济　牌上市，２０１２年３月５日通过的《关于设立“新大新能　利益，并导致严重的经济后果。本文通过华沐通途的信　源投资有限公司”的议案》决定使用自有资金５　０００万　息披露来说明财务报告舞弊，分析其形成的原因及方　元在河南省郑州设立全资子公司。２０１２年６月２０日，　式，并提出相应的财务报告舞弊防范措施。　该公司完成了河南华沐通途新能源科技有限公司（以下　｝本文是北京市教委“科研基地一科技创新平台一会计与投资者保护研究基地”项目（ＰＸＭ＿０１４２１３—００００３１）、北京市教　委社科计划重点项目（ＳＺ２０１２１００１１００７）、国家社科基金青年项目（１１ＣＧＬ０２５）的阶段性成果。　址．驰—驰—Ｓ　的数据覆盖和破坏，必须保证数据可用。　流程控制审计和面向运营环境整体的三层审计。其中：　５．数据可视化　企业管理层面控制审计主要关注整体的ＩＴ治理，合规、　数据可视化是指计算机图形学、图像处理技术和　云战略和规划；流程控制审计主要关注云运营流程中　ｏｆｆｉｃｅ办公软件，将数据或数据分析结果转换威图形、　内嵌的相关安全控制。以保证数据或系统的完整性、准　图像、表格、文件等形式，并可进行交互处理。数据可视　确性、有效性和访问控制；运营环境整体控制主要关注　化是为了洞察分析数据表述的问题，找出问题的答案，　与数据中心运营相关的管理控制，包括基础设施和流　发现关系性规则，进而发现在其他情况下不易发觉的　程、信息安全、业务持续性管理和灾难恢复、事件响应　事情，弥补现有科学分析方法的不足。大数据可视化审　等方面。　计是审查数据可视化是否表达事情的原来面目，是否　本文认为，按参与审计的主体分，大数据审计制　扭曲了事物实际情况；审查数据可视化是否泄露了信　度还应当建立业务人员自查、部门经理审查、审计部　息，是否有利于事情的表达等。　门审查的三级审查制度，步步推进，层层把关，确保大　６．数据共享　数据的安全、可靠、有效性。各个审计主体依据大数据　企业大数据主要通过云平台进行数据的共享。因此，　审计标准，对大数据业务操作流程进行审计，确保大　大数据审计要审查企业是否设定安全的数据共享应用逻　数据的安全性、可靠性与有效性。限于篇幅，不展开　辑；是否制定数据分析解决方案的对象级控制制度；是否　讨论。●　有基于数据内容的数据保护；涵盖如电子邮件、网络传　输、数据库、文件和文件系统是否有加密解决方案。　【参考文献】　（三）三层审计制度：大数据审计的制度维　［１］肖建一，等．中国云计算数据中心运营指南［Ｍ］．清　目前审计按审计内容可分为企业管理层面审计、　华大学出版社，２０１３．　囤