陳偉 詹明惠 陳文夏

一、引言

近年來，金融業(yè)務(wù)和模式不斷創(chuàng)新，以網(wǎng)上銀行、電子銀行、手機(jī)銀行、直銷銀行、微信銀行以及多種第三方支付方式為代表的新金融業(yè)務(wù)和模式快速發(fā)展。隨著金融行業(yè)信息化技術(shù)的廣泛應(yīng)用，信息科技風(fēng)險成為金融行業(yè)關(guān)注的重點(diǎn)。目前，大數(shù)據(jù)、人工智能、云計算等技術(shù)的應(yīng)用和發(fā)展使得金融機(jī)構(gòu)信息化程度越來越高，信息化應(yīng)用范圍越來越廣，對信息化的依賴程度越來越高，使用的應(yīng)用系統(tǒng)也越來越多，業(yè)務(wù)系統(tǒng)也越來越復(fù)雜。這些金融科技的快速發(fā)展和廣泛應(yīng)用也增加了風(fēng)險的識別難度，創(chuàng)新審計方法成為必然。金融科技環(huán)境下，目前常用的信息系統(tǒng)（信息科技）審計方法，如訪談、現(xiàn)場觀察、文檔查看、抽樣、穿行測試等已不能完全滿足需要，僅靠現(xiàn)有的審計方法很難發(fā)現(xiàn)相關(guān)潛在的信息系統(tǒng)風(fēng)險，信息科技風(fēng)險審計方法需要不斷創(chuàng)新。

綜上所述，金融科技風(fēng)險審計是目前審計工作的一項重要內(nèi)容。盡管目前已有一些關(guān)于大數(shù)據(jù)審計方法的研究，但目前仍缺少直接針對金融科技風(fēng)險審計方法的研究。本文結(jié)合目前大數(shù)據(jù)與信息系統(tǒng)審計的研究與應(yīng)用現(xiàn)狀，在已有的基于大數(shù)據(jù)技術(shù)的信息系統(tǒng)用戶及權(quán)限管理審計研究的基礎(chǔ)上（陳偉，2019），探索如何采用社會網(wǎng)絡(luò)分析等大數(shù)據(jù)審計技術(shù)開展金融科技風(fēng)險審計。

二、常用審計方法的不足

用戶及權(quán)限管理是信息系統(tǒng)運(yùn)行管理中的一項重要內(nèi)容，它要求“應(yīng)保證只有經(jīng)授權(quán)的用戶才能訪問，防止非授權(quán)訪問”。因此，在開展信息系統(tǒng)運(yùn)行管理審計時，審計人員需要檢查業(yè)務(wù)系統(tǒng)是否能保證只有經(jīng)授權(quán)的用戶才能訪問，能否防止非授權(quán)訪問。對于金融科技系統(tǒng)審計來說，審計人員可以通過分析金融科技系統(tǒng)中是否存在操作用戶有多個賬號的情況，以及這些賬號是否都可以正常使用等達(dá)到防范相關(guān)金融科技風(fēng)險的目的。

傳統(tǒng)環(huán)境下，被審計單位信息化程度低，應(yīng)用系統(tǒng)較少，操作用戶較少，因此，對于用戶及權(quán)限管理審計只需要做簡單的訪談或現(xiàn)場察看一下被審計單位的應(yīng)用系統(tǒng)即可。但隨著金融科技的廣泛應(yīng)用，目前被審計單位信息化程度高，應(yīng)用系統(tǒng)較多，一些單位應(yīng)用系統(tǒng)多達(dá)幾百個，甚至上千個，另外，操作用戶也較多。因此，金融科技系統(tǒng)的用戶及權(quán)限管理是一個重要挑戰(zhàn)。目前常用的審計方法存在以下不足：

重號分析是數(shù)值分析中的一種常用方法，它用來查找被審計數(shù)據(jù)某個字段（或某些字段）中是否存在重復(fù)的數(shù)據(jù)。通過重號分析方法，審計人員可以查找被審計單位應(yīng)用系統(tǒng)中是否存在用戶擁有多個賬號的情況。以審計軟件IDEA舉例，重號分析方法應(yīng)用的示例如圖1所示。

對于重號分析方法，也可以采用SQL語句實現(xiàn)。以Microsoft Access數(shù)據(jù)庫軟件為例，采用SQL語句進(jìn)行重號分析的示例如圖2所示。

由圖1和圖2不難看出：常用的重號分析方法雖然也能查找被審計單位的信息系統(tǒng)中操作用戶是否存在一人擁有多個賬號的情況，但不能很清楚、形象地展示出擁有多個賬號的操作用戶分別分布在哪些部門、操作用戶和所在部門的關(guān)系，以及對于每一個操作用戶，其擁有的多個賬號是否都可以正常使用等詳細(xì)信息。

三、基于社會網(wǎng)絡(luò)分析的金融科技系統(tǒng)用戶管理風(fēng)險審計方法分析

1.相關(guān)大數(shù)據(jù)審計技術(shù)分析

為了更好地滿足大數(shù)據(jù)環(huán)境下開展審計工作的需要，需要一些大數(shù)據(jù)審計技術(shù)，常見的大數(shù)據(jù)審計技術(shù)一般可以概況為：（1）大數(shù)據(jù)智能分析技術(shù)，有效的方法如社會網(wǎng)絡(luò)分析、自然語言分析等；（2）大數(shù)據(jù)可視化分析技術(shù)，有效的方法如文本可視化分析技術(shù)（如標(biāo)簽云分析）以及其他常見的大數(shù)據(jù)可視化分析技術(shù)（Koh，2010；GTAG，2017；Gepp，2018），如氣泡圖（Bubble Chart）、柱狀圖（Bar Chart）、折線圖（Line Chart）、餅圖（Pie Chart）、散點(diǎn)圖（Scatter Chart）、雷達(dá)圖（Radar Chart）、熱力圖（Heat map）等；（3）大數(shù)據(jù)多數(shù)據(jù)源綜合分析技術(shù)，也就是通過對采集來的各行、各業(yè)、各類大數(shù)據(jù)，采用數(shù)據(jù)查詢等常用方法或其他大數(shù)據(jù)技術(shù)方法進(jìn)行相關(guān)數(shù)據(jù)的綜合比對和關(guān)聯(lián)分析，從而發(fā)現(xiàn)更多隱藏的審計線索。

2.社會網(wǎng)絡(luò)分析方法概述

網(wǎng)絡(luò)指的是各種關(guān)聯(lián)，社會網(wǎng)絡(luò)就是社會關(guān)系所構(gòu)成的一種結(jié)構(gòu)關(guān)系，一個社會網(wǎng)絡(luò)是由一些特定范圍的行動者以及行動者之間的關(guān)系組成，它可以反映行動者之間的社會關(guān)系。社會網(wǎng)絡(luò)分析（Social Network Analysis）是對社會網(wǎng)絡(luò)的關(guān)系結(jié)構(gòu)及其屬性加以分析的一套規(guī)范和方法，它基于信息學(xué)、數(shù)學(xué)、社會學(xué)、管理學(xué)、心理學(xué)等多學(xué)科的融合理論和方法，為理解人類各種社會關(guān)系的形成、行為特點(diǎn)分析以及信息傳播的規(guī)律提供的一種可計算的分析方法。社會網(wǎng)絡(luò)分析采用的方式和方法從概念上有別于傳統(tǒng)的統(tǒng)計分析和數(shù)據(jù)處理方法，它是研究一組行動者的關(guān)系的研究方法，關(guān)注的焦點(diǎn)是關(guān)系和關(guān)系的模式。

目前，社會網(wǎng)絡(luò)分析在市場營銷、廣告、企業(yè)招聘、跟蹤預(yù)測流感的爆發(fā)、預(yù)測票房等方面得到應(yīng)用，一些流行的大數(shù)據(jù)可視化分析工具，如R語言、Python、Gephi、Pajek等也具有強(qiáng)大的社會網(wǎng)絡(luò)分析功能。因此，大數(shù)據(jù)環(huán)境下，可以采用Python、Pajek、Gephi等工具實現(xiàn)社會網(wǎng)絡(luò)分析方法，完成審計數(shù)據(jù)分析，發(fā)現(xiàn)相關(guān)審計線索。

相關(guān)社會網(wǎng)絡(luò)分析工具簡介如下：

（1）Pajek：Pajek在斯洛文尼亞語中是蜘蛛的意思。Pajek在Windows環(huán)境下運(yùn)行，是一種大型復(fù)雜網(wǎng)絡(luò)分析工具，可用于目前所存在的各種復(fù)雜非線性網(wǎng)絡(luò)的分析和可視化操作。

（2）Gephi：Gephi是一款開源免費(fèi)、跨平臺的復(fù)雜網(wǎng)絡(luò)分析軟件，它基于Java虛擬機(jī)（Java Virtual Machine，JVM），允許開發(fā)者開發(fā)新程序，創(chuàng)建新功能。它可以用于社會網(wǎng)絡(luò)分析、探索性數(shù)據(jù)分析、可視化分析等方面。

（3）開源工具：除了采用Pajek、Gephi等工具實現(xiàn)社會網(wǎng)絡(luò)分析方法之外，審計人員也可以采用開源工具R語言、Python等實現(xiàn)基于社會網(wǎng)絡(luò)的審計數(shù)據(jù)分析。本文以R語言為例，研究并實現(xiàn)基于社會網(wǎng)絡(luò)分析的金融科技系統(tǒng)用戶管理風(fēng)險審計方法。

3.基于社會網(wǎng)絡(luò)分析的金融科技系統(tǒng)用戶管理風(fēng)險審計方法原理

基于社會網(wǎng)絡(luò)分析的金融科技系統(tǒng)用戶管理風(fēng)險審計方法原理可簡單描述為：采集被審計金融科技系統(tǒng)的全單位操作用戶信息等數(shù)據(jù)，采用社會網(wǎng)絡(luò)分析工具對全單位操作用戶信息等相關(guān)結(jié)構(gòu)化數(shù)據(jù)進(jìn)行建模和整體分析，通過對社會網(wǎng)絡(luò)分析的可視化結(jié)果圖形和圖像進(jìn)行分析和觀察，從總體上發(fā)現(xiàn)操作用戶與所在部門之間的相互關(guān)系，從而發(fā)現(xiàn)是否存在用戶屬于不同部門的審計線索。在此基礎(chǔ)上，進(jìn)行延伸分析，比如，通過對全單位操作用戶信息數(shù)據(jù)進(jìn)行分析，了解同時屬于不同部門的用戶的賬號狀態(tài)，確認(rèn)其兩個或多個賬號是否都可以正常使用。通過對以上發(fā)現(xiàn)的異常數(shù)據(jù)做進(jìn)一步的延伸審計和審計事實確認(rèn)，最終獲得審計證據(jù)。

綜上分析，基于社會網(wǎng)絡(luò)分析技術(shù)的金融科技系統(tǒng)用戶管理風(fēng)險審計方法原理如圖3所示。

四、基于社會網(wǎng)絡(luò)分析的金融科技系統(tǒng)用戶管理風(fēng)險審計方法應(yīng)用案例及分析

1.案例背景簡介

為了審計金融科技系統(tǒng)用戶管理風(fēng)險，需要從被審計單位信息管理部門采集相關(guān)操作用戶信息等數(shù)據(jù)。通過審計這些數(shù)據(jù)，可以掌握目前該被審計單位所有應(yīng)用系統(tǒng)中的操作用戶情況，比如用戶狀態(tài)、用戶相關(guān)信息等。以某金融科技系統(tǒng)用戶管理風(fēng)險審計為例，假設(shè)現(xiàn)已獲得相關(guān)數(shù)據(jù)，以該金融科技系統(tǒng)中的用戶信息數(shù)據(jù)為例，其表結(jié)構(gòu)如圖4所示。

2.基于社會網(wǎng)絡(luò)的金融科技系統(tǒng)用戶管理風(fēng)險整體分析

為了從整體上掌握金融科技系統(tǒng)中是否存在操作用戶在多個部門均有用戶賬號的情況，基于前文的分析，采用社會網(wǎng)絡(luò)分析方法對全單位操作用戶信息數(shù)據(jù)進(jìn)行分析，整體動態(tài)分析結(jié)果的一個示例如圖5所示。

由圖5可以清晰地發(fā)現(xiàn)：被審計單位的金融科技系統(tǒng)中存在多名操作用戶在多個部門擁有用戶賬號的情況，這對被審計單位金融科技系統(tǒng)的運(yùn)行管理造成潛在的風(fēng)險隱患。

在圖5所示的分析結(jié)果的基礎(chǔ)上，審計人員可以對擁有多個賬號的用戶做進(jìn)一步的動態(tài)察看。以用戶“朱明友”為例，如圖6所示，可以發(fā)現(xiàn)用戶“朱明友”在科技信息部、財務(wù)部以及審計部三個部門同時擁有用戶賬號。

綜上所述，不難發(fā)現(xiàn)：傳統(tǒng)的靜態(tài)社會網(wǎng)絡(luò)分析方法主要集中于對某一橫截面數(shù)據(jù)的靜態(tài)分析，并生成靜態(tài)的圖形結(jié)果，不能在分析結(jié)果的基礎(chǔ)上進(jìn)一步動態(tài)查看網(wǎng)絡(luò)結(jié)點(diǎn)之間的關(guān)系，不能清楚地對被審計數(shù)據(jù)進(jìn)行動態(tài)分析，而本文應(yīng)用的社會網(wǎng)絡(luò)分析方法有效地滿足了“操作用戶和所在部門”之間關(guān)系分析的需要。

3.具有多個賬號用戶的具體狀態(tài)情況可視化分析

為了進(jìn)一步分析這些在多個部門擁有賬號的用戶的具體信息，如擁有的多個賬號是否都可以正常使用，采用散點(diǎn)圖可視化分析方法對操作用戶信息數(shù)據(jù)做進(jìn)一步的分析，了解有多個賬號的用戶賬號的狀態(tài)情況，其中的一個分析結(jié)果示例如圖7所示。在圖7中， X坐標(biāo)為擁有多個賬號的操作用戶，Y坐標(biāo)為操作用戶所在部門，散點(diǎn)的顏色表示用戶賬號的狀態(tài)（0表示用戶賬號可以正常使用，1表示用戶賬號已凍結(jié)（暫停使用），2表示用戶賬號已注銷）。

由圖7可以清晰地發(fā)現(xiàn)：被審計單位金融科技系統(tǒng)中存在多名操作用戶在多個部門有多個均能正常使用的用戶賬號的情況（散點(diǎn)為紅色），這對被審計單位金融科技系統(tǒng)的運(yùn)行管理造成潛在的風(fēng)險隱患。以用戶“朱明友”為例，其在科技信息部、財務(wù)部以及審計部三個部門同時擁有用戶賬號，且三個用戶賬號的狀態(tài)均為能正常使用（散點(diǎn)為紅色）。

五、總 結(jié)

隨著金融科技的廣泛應(yīng)用和快速發(fā)展，目前常用的信息系統(tǒng)（信息科技）審計方法不能很好地滿足金融科技應(yīng)用系統(tǒng)風(fēng)險審計的需要，采用大數(shù)據(jù)審計技術(shù)開展金融科技風(fēng)險審計成為一種有效的方法。本文根據(jù)這一需要，以金融科技系統(tǒng)用戶管理風(fēng)險審計為例，分析了如何采用社會網(wǎng)絡(luò)分析技術(shù)開展金融科技風(fēng)險審計，并以實際案例證明了本文研究的可行性和有效性。本文研究的方法已應(yīng)用于某大型審計項目之中，取得了良好的效果。當(dāng)然，本文研究的方法不可能解決所有的金融科技系統(tǒng)用戶及權(quán)限管理風(fēng)險審計問題，但能有效地彌補(bǔ)目前已有方法的不足。