下载文档原格式
“1+N”非现场数据分析审计在电网企业的应用作者:胡少波黄永斌来源:《中国内部审计》2020年第01期[摘要]本文运用大数据分析技术,探索“1+N”非现场数据分析模式的内涵、流程和方法,创新数字化审计作业模式,并在浙江电网内审工作中进行应用,取得良好效果。
[关键词]大数据数字化审计“1+N” 非现场新时代发展数字化审计,创新数字化审计作业模式,实现审计管理、审计实施、质量控制、数据共享等全方位的数字化,将有效提升审计效率质量,促进企业法治建设。
一、数字化审计作业模式内容及创新数字化审计作业模式主要包括远程持续审计监督及集中非现场数据分析,本文重点探讨集中非现场数据分析作业模式的内容及创新方法。
(一)集中非现场数据分析作业模式集中非现场数据分析是在审计项目的前期准备阶段,通过被审计单位的各业务管理系统及其他方式,围绕审计重点收集相关业务数据,搭建数据分析环境,通过数据分析核查、筛选,发现异常、疑点和风险,了解被审计单位相关业务基本情况,为实施现场审计提供指引和参考,提高审计效能。
审计项目实施单位按照“总体分析、分散核实”的方式组织开展审计项目。
根据审计项目计划安排,编制集中非现场数据分析工作方案,在审计项目实施前按专业开展集中非现场数据分析,形成问题、疑点清单及数据分析指引。
各审计组应根据问题、疑点清单及数据分析指引成果,编制审计实施方案、调配审计人员,组织现场审计实施。
在现场审计阶段,对有关情况进行分散核实,完成对问题、疑点清单及数据分析指引成果的核实,并在现场审计阶段完成后形成数据分析核实情况报告。
(二)“1+N”非现场数据分析模式创新“1+N”模式非现场数据分析的组织模式,就是一次非现场数据分析对应N个现场审计组。
通过集中人员开展跨项目、跨单位的数据分析,强化数据分析过程管控,提升数据分析成效,总结数据分析经验,为公司范围内审计项目非现场数据分析工作的开展提供示范作用;通过深入挖掘数据价值,提前确定审计重点和方向,提升现场审计效率;通过查找异常风险,形成疑点清单,缩短现场审计时间;通过提炼审计经验,总结形成数字化审计案例及审计模型。
非现场审计实施方案非现场审计是指审计人员通过电子交流手段进行审计工作,无需实地走访被审计单位。
下面是一个非现场审计实施方案。
一、准备工作1.明确审计目标:确定审计的范围、目标和重点。
2.组织人员:建立审计项目组,包括审计组长、审计组员和技术人员。
3.获取必要资料:收集和整理被审计单位的相关资料和数据,确保数据准确可靠。
4.制定审计计划:根据审计目标和资源情况,制定审计计划和时间安排。
二、技术准备1.建立审计系统:建立包括数据库、网络和审计管理系统在内的技术平台。
2.确定审计方法:根据审计目标和范围,确定所需的审计方法和技术工具。
3.测试审计系统和工具:对审计系统和工具进行测试,确保其正常运行和数据的安全可靠。
4.培训技术人员:对审计人员进行培训,提高其运用技术工具和系统的能力。
三、实施过程1.收集资料:通过电子邮件、网上数据查询和文件共享等方式,收集被审计单位的相关资料。
2.数据分析:对收集到的数据进行分析和比对,发现潜在问题和风险。
3.远程会议:通过视频会议等方式,与被审计单位的负责人进行沟通和交流,了解其经营状况和财务情况。
4.风险评估:根据收集到的资料和数据分析结果,评估被审计单位的风险状况,并提出合理建议。
5.问题整理:将发现的问题和风险整理成报告,并与被审计单位确认。
四、总结与汇报1.编写审计报告:根据审计结果和问题整理,编写审计报告,包括问题陈述、分析原因以及提出改进意见等。
2.提出改进建议:根据审计发现,提出具体的改进措施和建议,帮助被审计单位改善其经营和财务状况。
3.向上级汇报:向上级主管部门提交审计报告和建议,供其决策和管理参考。
4.跟进改进措施实施:监督和跟进被审计单位对改进建议的实施情况,确保问题得到解决和改善。
五、风险控制1.安全保密:加强数据保护和信息安全控制,防止数据泄露和借机攻击。
2.数据准确性:核实所收集的数据的准确性和可信度,防止出现错误和漏报。
3.沟通协作:加强与被审计单位的沟通协作,解决沟通障碍和理解偏差。
数据隐私保护探讨在审计工作中保护数据隐私的方法和措施数据隐私保护是当前信息时代面临的一个重要问题。
在大数据时代,随着数据的快速增长和广泛应用,数据隐私越来越受到人们的关注。
特别是在审计工作中,由于审计涉及到大量敏感数据的处理和分析,保护数据隐私显得尤为重要。
本文将探讨在审计工作中保护数据隐私的方法和措施。
一、法律法规保护数据隐私保护的第一道防线就是法律法规。
国家制定了一系列相关法律法规,例如《中华人民共和国网络安全法》等,明确了对个人隐私的保护原则和措施。
在审计工作中,应该严格遵守相关法律法规,确保合规操作,并加强对员工的培训,使其充分了解和认识到数据隐私保护的重要性。
二、权限管理在审计工作中,数据隐私保护的一个重要手段是权限管理。
通过建立合理的权限管理机制,明确不同用户或角色对数据的访问权限,可以减少非授权人员获取敏感数据的可能性。
管理员应该根据用户的职责和需要,设置相应的权限,并定期进行审查和更新。
同时,应采用强密码策略,确保只有授权人员才能访问数据。
三、数据加密数据加密是保护数据隐私的核心技术之一。
在审计工作中,可以采用对敏感数据进行加密处理的方式,确保数据在传输、存储和处理过程中的安全性。
加密可以增加数据的安全性,即使数据被非法获取,也无法解读其中的内容。
因此,在审计工作中,可以选择合适的加密算法和密钥管理方式,对敏感数据进行加密保护。
四、数据备份和归档数据备份和归档是保护数据隐私的重要手段之一。
在审计工作中,备份数据可以作为一种防护措施。
定期备份数据可以防止数据丢失或损坏,同时也可以帮助恢复数据。
备份数据应该妥善保管,确保备份数据的安全性。
此外,对于已经归档的数据,也应采取相应的安全措施进行保护,以防止非授权人员获取。
五、安全审计安全审计是对数据隐私保护进行监测和评估的一种方法。
通过对系统和操作日志进行审计分析,可以及时发现异常操作和潜在的安全风险,从而采取相应措施加以防范。
在审计工作中,应该建立完善的安全审计机制,并进行定期检查和评估,以确保数据隐私保护的有效性和可靠性。
工程审计中的信息安全与保密管理方法随着信息技术的迅猛发展,工程审计中的信息安全和保密管理变得尤为重要。
在进行工程审计时,保护项目相关信息的安全性和保密性,可以防范潜在的风险和安全威胁。
本文将介绍工程审计中的信息安全与保密管理方法,以确保审计过程的高效和可靠性。
一、建立完善的信息安全管理制度为了保护审计过程中的信息安全,首先应建立完善的信息安全管理制度。
该制度应包括规章制度、操作规范、权限管理、应急预案等内容,确保所有参与审计的人员都有明确的责任和义务,同时了解和遵守相关安全规定。
1. 规章制度:明确审计人员在审计过程中应遵循的各项规定,包括信息使用权限、数据备份与恢复等方面的规定。
2. 操作规范:制定并执行详细的操作规范,确保信息系统的正常运行,包括软件安装、网络接入等操作。
3. 权限管理:根据不同人员的职责和权限,明确其在审计中能够访问的信息和操作权限,确保信息的安全。
4. 应急预案:建立应急预案,对可能出现的安全事故和突发事件进行相应的处理和响应,减小安全风险。
二、加密保障信息安全信息加密是工程审计中保障信息安全的重要手段之一。
通过加密敏感信息,即使被非法获取也难以解读,确保信息的机密性。
1. 数据加密:对于关键信息和敏感数据,采用可靠的加密算法进行数据加密,确保数据在传输和存储过程中的安全。
2. 网络传输加密:采用安全协议和加密通道,保护数据在网络传输中的安全性,防止遭受网络攻击和数据泄漏。
3. 访问权限控制:建立严格的权限控制机制,对敏感信息的访问和操作进行有效的控制和管理,确保信息的保密性。
三、完善信息安全监控和审计为了确保信息安全与保密管理措施的有效性,需要建立信息安全监控和审计机制,及时发现和处理信息安全事件。
1. 安全日志监控:建立安全日志记录系统,监控关键信息和操作日志,及时发现异常操作和安全事件,并采取相应措施进行处置。
2. 安全事件响应:建立安全事件响应机制,指定专人负责安全事件的处理和响应工作,迅速采取措施应对异常情况。
审计程序中的数据隐私保护与安全管理在数字化时代,数据已成为企业运营和管理的核心资源。
然而,随着数据的不断增长和应用场景的多样化,数据泄露和安全问题也日益突出。
特别是在审计程序中,数据的隐私保护和安全管理显得尤为重要。
本文将从数据隐私保护和安全管理两个方面展开论述,为审计程序提供有效的数据保护措施。
一、数据隐私保护1. 加强数据收集和储存时的隐私保护在审计程序中,数据的收集和储存是不可避免的环节。
为了保护数据的隐私,应采取以下措施:1.1 采用加密技术:对敏感数据进行加密,确保即使数据被盗取,也无法获取真实内容。
1.2 强化访问权限控制:设立权限层级,只允许授权人员访问敏感数据,避免非授权人员的滥用和泄露。
1.3 数据分散存储:将数据分散存储在多个位置,即使发生一处数据泄露,也不会导致全部数据外泄。
2. 保护数据传输过程中的隐私安全数据传输过程中是数据泄露的薄弱环节,为保护数据的隐私安全,应采取以下措施:2.1 使用安全的传输协议:采用HTTPS或VPN等安全传输协议,加密数据传输,防止数据在传送过程中被窃取或篡改。
2.2 加强数据传输的验证机制:在数据传输过程中,使用数字签名等验证手段确保数据的完整性和真实性,防止数据被冒充或篡改。
二、安全管理1. 审计数据权限管理在审计程序中,数据权限管理是确保数据安全的重要措施。
应该建立严格的权限管理制度,明确每个人员的权限范围,只有授权人员才能访问和操作相关数据。
同时,定期对权限进行检查和调整,确保权限的合理性和及时性。
2. 强化数据备份与恢复机制数据备份是防止数据丢失和恢复的重要手段。
在审计程序中,应制定完善的数据备份策略,确保数据定期备份,并将备份数据存储在安全可靠的地方。
同时,应建立恢复机制,以便在数据丢失或受损时能够快速恢复数据,保证审计工作的连续性和有效性。
3. 实施数据监控与检测有效的数据监控与检测是防范和发现数据安全问题的关键。
应采用安全监控系统,对系统和数据进行实时监测,及时发现异常行为和安全威胁。
数据库安全审计方法与实施策略数据库是现代企业信息化建设的重要组成部分,存储着大量的关键数据。
然而,随着互联网的快速发展,数据库安全问题也日益突出。
黑客攻击、数据泄露和不当操作等风险对数据库的安全性造成了严重的威胁。
因此,数据库安全审计方法和实施策略的重要性不可忽视。
一、数据库安全审计方法1. 日志审计日志是数据库记录的关键信息,通过对数据库的日志进行审计,可以监控和追踪对数据库的访问和操作。
日志审计可以识别非法的操作行为和异常访问,同时也可以为安全分析提供重要依据。
通过设定合适的日志级别和审计策略,捕获和记录数据库的所有操作,包括登录和退出、数据增删改、权限变更等,以便及时发现和解决安全问题。
2. 数据库访问控制审计数据库的访问控制是数据库安全的基础,通过加强访问控制审计可以有效防止未经授权的访问和操作。
访问控制审计应包括权限管理的审计、用户访问控制的审计和身份认证的审计等方面。
通过分析数据库的权限设置、用户账号的使用情况和登录记录,可以及时发现未经授权的访问和可能存在的风险隐患。
3. 异常行为监测异常行为监测是数据库安全审计的重要手段之一,主要通过分析和识别数据库的异常操作行为来发现安全漏洞。
常见的异常行为包括频繁的登录失败、远程登录等。
通过对这些异常行为进行实时监测和记录,可以尽早发现并采取相应的防御措施。
4. 审计数据的分析与挖掘数据库安全审计不仅仅是对审计数据的采集和记录,更需要对这些数据进行深入分析与挖掘。
通过运用数据挖掘技术,可以发现数据库中隐藏的安全威胁,预测未来可能出现的安全风险,并提供相应的解决策略。
例如,对登录失败日志进行时间和地域分析,可以发现并禁用异常登录的账号,保障数据库的安全。
二、数据库安全实施策略1. 加强数据库的物理安全物理安全是数据库安全的第一道防线。
首先,应将数据库安装在安全可靠的环境中,避免非授权人员接触。
其次,数据库服务器的防火墙和安全设施要得到保护,并且要定期检查和升级,确保其能够抵御各种网络攻击。
非现场数字化审计与现场审计协同路径创新作者:崔竹李培培李璨融来源:《财会月刊·上半月》2022年第11期【摘要】非现场数字化审计是“十四五”时期国家审计落实党中央、国务院要求,坚持科技强审、加强审计信息化建设的重要内容。
本文通过全面梳理非现场数字化审计现状,剖析其与现场审计之间的协同问题,构建数据、人员和项目管理三个维度的非现场数字化审计与现场审计协同治理影响因素分析框架,其中数据因素是首要因素,人员因素次之,项目管理因素的影响较小。
基于此,提出应用非现场数字化审计平台、统筹非现场数字化审计模式和管控非现场数字化审计程序的政策建议,以期对促进数字化环境下审计组织协同创新和国家审计高质量发展提供有益参考。
【关键词】数字化转型;非现场数字化审计;大数据审计;协同治理【中图分类号】F239.1 【文献标识码】A 【文章编号】1004-0994(2022)21-0086-7信息通信技术创新驱动着审计的数字化转型。
面对数字技术变革带来的机遇与挑战,国家审计不断在审计理念、审计组织管理(包括人员管理、数据管理等)、审计技术方法等方面进行变革,现已初步形成了“总体分析、发现疑点、分散核实、系统研究”的数字化审计模式,数据审计理念基本确立。
近年来随着环境的变化,传统的现场审计方式面临一定挑战,非现场数字化审计的实践进一步深入,其已成为新时期国家审计高质量发展的重要着力点。
数字化背景下的管理活动呈现出高频率实时、全周期交互、跨组织整合、多主体协同等特征,线上线下行为日益走向全面融合、广泛联系和高频互动[1] 。
适应数字化环境下的管理特征变革要求,将现代信息技术与传统审计业务有效结合,构建非现场数字化审计与现场审计协同的组织模式变革路径,具有重要的现实意义。
一、非现场数字化审计发展现状及其与现场审计协同面临的问题(一)非现场数字化审计的界定按照审计人员开展审计工作的地点或场所,审计组织方式可分为现场审计和非现场审计。
数据库安全审计与监控的技术与实现数据库安全审计与监控是保护数据库免受各种安全威胁的重要措施。
通过审计和监控,可以及时发现和防范潜在的风险和威胁,保证数据库的稳定和安全性。
本文将介绍数据库安全审计与监控的相关技术和实现方法。
一、数据库安全审计的技术与实现1. 数据库审计概述数据库审计是指对数据库中的各种操作进行审核和记录,以便跟踪和追溯用户的行为。
通过数据库审计,可以识别潜在的安全隐患,保护数据库的完整性和机密性。
2. 审计内容和需求数据库审计内容包括但不限于用户登录和退出、数据操作和修改、安全事件和警报等。
审计需求因组织的安全策略和监管要求而有所不同,可以通过配置审计策略来满足不同需求。
3. 审计策略和参数设置为了满足审计需求,可以针对不同的操作类型和对象设置相应的审计策略和参数。
常见的审计参数包括记录对象、记录级别、记录格式等。
4. 审计日志管理数据库审计产生的日志需要进行合理管理和保护。
实施审计日志的加密和备份,确保日志的完整性和可追溯性,同时避免日志篡改和丢失。
5. 审计的数据库工具和技术目前市场上存在多种数据库审计工具和技术,如Oracle Database Audit Vault、IBM Security Guardium、微软的SQL Server Audit等。
这些工具能够帮助管理员轻松地进行数据库审计和监控。
二、数据库安全监控的技术与实现1. 数据库事件监控数据库事件监控主要针对数据库运行期间的异常事件进行监控,通过实时监控数据库日志、SQL执行、异常行为等方式,以及时发现潜在的安全威胁。
2. 用户访问控制与权限管理用户访问控制是数据库安全的基础,有效的用户认证和授权机制能够防止非法用户访问数据库。
权限管理则是指对用户赋予不同的权限级别和范围,以确保数据的安全性。
3. 威胁检测和入侵防御通过使用网络安全设备进行威胁检测和入侵防御,可以及时识别和阻断数据库的恶意攻击和未经授权的访问。
数据库安全审计与数据隐私保护的方法与工具随着数字化时代的到来,数据安全和隐私保护变得更加重要。
尤其是数据库中存储了大量的敏感信息,如果这些数据泄露或受到未经授权的访问,可能会对个人、组织甚至国家造成严重的损失。
因此,进行数据库安全审计和数据隐私保护是至关重要的。
数据库安全审计是一种监督和检测数据库系统中潜在安全风险和威胁的过程。
它包括跟踪数据库用户活动、监控数据库访问和权限使用情况、分析异常行为以及记录和报告数据库事件。
数据库安全审计的目标是识别数据库系统中的潜在漏洞,防止未经授权的访问、数据泄露和滥用。
在数据库安全审计中,有一些常用的方法和工具可以帮助我们更好地完成任务。
首先是日志分析,通过对数据库系统生成的日志进行分析和过滤,可以识别异常操作和潜在安全问题。
其次是漏洞扫描,利用漏洞扫描工具可以扫描数据库系统中存在的安全漏洞并提供修复建议。
此外,还可以通过安全审计工具进行实时监控和报警,警告管理员有关数据库安全事件的发生。
数据隐私保护是指采取一系列措施来保护数据库中的敏感信息不被未经授权的访问和使用。
在进行数据隐私保护时,首先需要识别敏感数据,例如个人身份信息、银行账户信息、医疗记录等,然后采取加密、脱敏、访问控制等措施来保护这些敏感数据。
加密是一种常用的数据隐私保护方法,通过对数据进行加密,即使数据被盗取或泄露,也不会被未经授权的人看到明文内容。
在数据库中,可以使用对称加密或非对称加密算法对敏感数据进行加密和解密操作。
此外,还可以采用脱敏技术,在保证数据结构的完整性的前提下,将敏感数据转换为经过脱敏处理的数据。
这样,即使在非敏感环境下访问数据库,也可以减少数据泄露的风险。
访问控制也是数据隐私保护的重要手段之一,通过访问控制可以约束数据库用户的访问权限,限制他们对敏感数据的访问。
在数据库中,可以使用基于角色的访问控制或基于权限的访问控制来定义和管理用户的权限。
另外,还可以采用多层次的访问控制策略,按照数据的敏感程度设置不同的访问权限,提高数据安全保护能力。
审计中的数据隐私和安全保护最佳实践和风险管理数据隐私和安全保护在审计中起着至关重要的作用。
审计旨在评估组织的内部控制和业务流程,以确保数据的准确性、完整性和可靠性。
然而,数据泄露和安全漏洞的威胁也越来越大。
本文将介绍审计中的数据隐私和安全保护的最佳实践和风险管理。
一、加密和权限控制加密是数据隐私和安全保护的重要手段之一。
在审计中,应使用加密技术保护敏感数据,包括存储数据、传输数据以及数据备份。
加密可以有效防止非授权访问和数据窃取。
除了加密,合理的权限控制也是必不可少的。
只有授权人员能够访问和修改敏感数据,其他人员应该被限制在授权范围内进行操作。
审计人员应该对权限进行审查,确保数据只能被合法授权的人员访问。
二、日志记录和监控日志记录和监控是实现数据隐私和安全保护的关键工具。
审计人员应该对系统进行日志记录,记录所有重要的操作和事件。
这些日志可以作为审计的证据,用来追踪和检测不正常的行为。
审计人员还应该监控系统的安全性和完整性。
通过实时监控,可以及时发现安全漏洞和异常情况,并采取相应的应对措施。
例如,当系统检测到非法访问时,可以立即发出警报并封锁相关账户,保护数据的隐私和安全。
三、更新和漏洞修复及时更新和修复系统和应用程序中的漏洞是保护数据隐私和安全的重要措施。
审计人员应该定期检查和更新系统,包括操作系统、数据库和安全软件等。
同时,及时修复已知漏洞和安全问题,避免被黑客利用。
在更新和漏洞修复的过程中,应该进行仔细的测试和验证,确保更新不会影响系统的正常运行。
同时,应该建立备份机制,以防意外情况导致数据的丢失或破坏。
四、人员培训和意识提升人员培训和意识提升是确保数据隐私和安全保护最佳实践的重要环节。
审计人员和组织员工应该接受相关的培训,了解数据隐私和安全的重要性,掌握数据保护的基本知识和技能。
此外,定期进行安全意识提升活动也是必要的。
通过讲座、演习和案例分析等方式,提高员工对数据隐私和安全保护的认识和理解,加强他们的安全意识和防范意识。
基于加密技术的非现场数据审计方法作者:***
来源:《中国内部审计》2020年第04期
[摘要]本文探索加密技术在大数据审计中的实践应用,设计了一种基于加密技术的非现场数据审计方法,以确保审计数据、审计程序和审计结果的安全性和完整性,不仅适用于内部审计,也适用于监管部门对外部机构的数据检查。
[关键词]大数据加密技术数据安全非现场审计
数据审计环境下,审计人员需要调阅审计对
象的数据进行分析,但部分审计数据较为敏感,将数据复制到审计人员计算机上存在一定的信息安全风险。
对此,笔者结合审计实践,设计了一套加密流程,以非现场形式在审计对象的服务器或计算机上运行审计程序,得到审计结果。
通过该流程,审计人员无需接触全部数据,可确保审计数据的安全性;审计对象无法篡改审计程序和结果,可确保审计结果的有效性。
一、传统数据审计方法
传统数据审计流程中,审计人员需要将审计对象的数据复制至审计人员计算机上进行分析。
典型的调阅数据审计流程如下:首先,审计对象将数据提供给审计人员,复制到审计人员的计算机上;然后,审计人员在计算机上编写审计程序分析数据,得到审计结果。
如图1所示。
在上述流程中,审计对象提供的审计数据包括数据表等结构化数据及文本等非结构化数据;审计人员使用Excel等数据分析软件或Python等编程语言,编写审计程序分析数据,得到审计结果。
目前,大部分审计均采用该流程,但该流程存在信息安全风险。
以信息系统安全审计为例,审计人员调阅审计对象信息系统中的passwd或shadow口令文件,检查操作系统是否有弱口令,但该文件较敏感,导出分析存在口令泄露的风险。
为确保数据安全性,避免上述数据泄露风险,一种思路是审计人员在审计对象提供的环境中编写审计程序分析数据,审计数据不脱离审计对象环境,如图2所示。
目前人民银行对外部机构检查通常采取该方法,但该方法仍存在数据泄露风险,审计人员在审计对象服务器上编写程序时仍可查看和筛选全量的审计数据。
二、基于加密技术的非现场数据审计方法
(一)非现场数据审计方法
为解决上述调阅数据审计和现场数据审计方法存在的数据安全问题,可以采用非现场数据审计方法,流程如下:首先,审计对象提交少量审计数据样本给审计人员;其次,审计人员根据样本数据编写审计程序,将审计程序交给审计对象,由审计对象在其服务器或计算机上运行得到审计结果;最后,审计对象将运行结果交回审计人员。
如图3所示。
通过该方法,审计人员无需复制或查看全量数据即可进行审计,能够确保数据的安全性。
但该方法存在两个问题:一是审计程序可能被审计对象查看或篡改。
审计对象若能查看程序,
可以有针对性地修改审计数据使结果合规;审计对象若能篡改程序,可以令程序直接输出合规的结果。
二是审计结果可能被审计对象篡改。
(二)基于加密技术的非现场数据审计流程
为解决上述问题,笔者设计了一套基于加密技术的非现场数据审计流程,以确保审计程序和结果不可被审计对象查看或篡改。
该流程对审计程序和审计结果进行双重加密,步骤如下:首先,审计对象提交少量审计数据样本给审计人员;其次,审计人员根据样本数据编写审计程序并进行加密打包,并将加密打包的审计程序交给审计对象,由审计对象在其服务器或计算机上运行,得到加密的运行结果,并将运行结果交回审计人员;最后,审计人员使用解密程序对运行结果解密。
审计结束后,审计人员可将解密程序提供给审计对象,由审计对象自行对审计结果解密,使审计对象确信取证的数据未包含全量或敏感数据。
如图4所示。
针对审计程序被查看或篡改问题,该方法对审计程序进行了加密打包;针对审计结果被篡改问题,该方法对审计结果进行了加密,确保不会被篡改。
在审计结束后,审计人员还可将解密程序提供给审计对象进行解密,使审计对象确信未提取全量或敏感数据。
(三)基于加密技术的非现场数据审计示例
审计程序、程序加密打包及结果加密算法的选择较为灵活。
审计程序可以使用C++、Java、Python等编程语言进行编写,适用于Windows、Linux等系统;加密打包可以使用对应编程语言的二进制程序打包及代码混淆工具,使程序内容无法被查看或篡改;审计结果的加密算法可以使用DES、AES、Blowfish等加密算法。
以Windows操作系统的Python语言和AES加密算法为例。
假设审计对象的审计数据文件为交易数据,如表1所示。
假设审计程序为计算全部交易金额的和(在实际审计过程中,审计程序可以完成更复杂的任務,例如根据条件筛选数据等)。
针对该数据,审计人员需要编写审计程序和解密程序。
1. 审计程序。
审计程序包括审计逻辑函数和结果加密函数。
在完成审计程序编写后,使用打包工具对脚本进行加密打包。
(1)审计逻辑函数。
审计逻辑函数对审计数据文件的第三列进行加和,输出求和结果。
审计逻辑函数代码如下:
def audit(source_file): #source_file为审计数据文件名
with open(source_file, 'r') as f: #打开审计数据
s = 0 #初始化和为0
for line in f: #逐行读取审计数据
s += int(line.split('\t')[2]) #将数据的第3列加和
return s #输出结果
经过审计逻辑函数处理,得到交易金额的和为“300”。
(2)结果加密函数。
结果加密函数中,使用Python加密库中的AES加密算法,使用一个随机密钥对输出结果进行加密。
例如,输出结果为“300”,秘钥为“asdo129xkw9230o0”时,加密结果为“f6aff118ef8c05b5a1bd2009ff7cc536”。
加密算法不仅能加密单个数据,也可加密多行文件。
加密函数代码如下:
def encrypt(result): #result为审计结果
pc = PrpCrypt('asdo129xkw9230o0') # 初始化密钥
return pc.encrypt(result) #对审计结果加密
(3)对审计程序进行加密打包。
使用Pyinstaller打包工具对脚本进行加密打包。
代码如下:
pyinstaller -F program.py
打包后得到program.exe程序,将该程序交由审计对象运行后,即得到加密的审计结果。
以上述结果为例,审计对象运行program.exe程序后,得到审计结果文件
“f6aff118ef8c05b5a1bd2009ff7cc536”,并交回审计人员。
由于审计程序经加密打包,审计对象无法查看或篡改审计程序内容。
2. 解密程序。
審计人员接收到加密的审计结果后,使用解密程序及密钥进行解密。
代码如下:
pc = PrpCrypt('asdo129xkw9230o0') # 初始化密钥
with open(result, 'rb') as f: e = f.read() #读取加密的审计结果
d = pc.decrypt(e) # 解密
通过该程序,审计人员解密上述密文,得到交易金额的和为“300”。
由于加密算法的一致性,审计对象如果任意修改加密结果,解密程序将无法解密,因此可确保审计结果未被篡改。
示例的数据流程如图5所示。
通过上述流程,审计人员无需全部数据即可获取审计结果,审计对象无法查看或篡改审计程序和结果。
在审计结束后,若有必要,审计人员可将解密程序提供给审计对象,由审计对象自行对审计结果解密,使审计对象确信审计结果中未包含全量数据。
三、总结与展望
当前大数据审计趋势下,如何确保审计数据的安全性,是内审人员需要思考的重要问题。
本文设计和示例的基于加密技术的非现场数据审计方法,可确保审计数据、审计程序和审计结果的安全性和完整性。
该方法适用范围较广,不仅适用于内部审计,也可用于监管部门对外部机构的数据检查等领域。
但该方法仅解决审计数据分析过程中的安全性问题,面对实际审计工作中的复杂任务,还需审计人员借助专业经验和数据挖掘算法设计审计逻辑函数,挖掘隐藏在数据背后的审计线索,促进大数据在审计中得到更好应用。
(作者单位:中国人民银行福州中心支行,邮政编码:350003,电子邮箱:
********************)
主要参考文献
任华新.数据加密算法的综述[J].电子世界, 2016(18):95-95。
