基于社会网络分析的金融科技系统用户管理风险审计方法研究
陈伟 詹明惠 陈文夏
摘要 金融科技的研究与应用是近年来金融信息化领域的热点问题,研究如何开展金融科技风险审计对防范化解金融科技风险具有重要意义。本文首先分析了研究金融科技风险审计方法的重要性;在此基础上,以金融科技系统用户管理审计为例,提出了基于社会网络分析技术的金融科技系统用户管理风险审计方法,并采用R语言实现了该方法;最后,结合具体案例验证了该方法的可行性和有效性。研究结果为今后防范化解金融科技风险提供了理论经验与技术方法。
关键词 大数据审计 金融科技 信息系统审计 社会网络分析 数据可视化
一、引言
近年来,金融业务和模式不断创新,以网上银行、电子银行、手机银行、直销银行、微信银行以及多种第三方支付方式为代表的新金融业务和模式快速发展。随着金融行业信息化技术的广泛应用,信息科技风险成为金融行业关注的重点。目前,大数据、人工智能、云计算等技术的应用和发展使得金融机构信息化程度越来越高,信息化应用范围越来越广,对信息化的依赖程度越来越高,使用的应用系统也越来越多,业务系统也越来越复杂。这些金融科技的快速发展和广泛应用也增加了风险的识别难度,创新审计方法成为必然。金融科技环境下,目前常用的信息系统(信息科技)审计方法,如访谈、现场观察、文档查看、抽样、穿行测试等已不能完全满足需要,仅靠现有的审计方法很难发现相关潜在的信息系统风险,信息科技风险审计方法需要不断创新。
综上所述,金融科技风险审计是目前审计工作的一项重要内容。尽管目前已有一些关于大数据审计方法的研究,但目前仍缺少直接针对金融科技风险审计方法的研究。本文结合目前大数据与信息系统审计的研究与应用现状,在已有的基于大数据技术的信息系统用户及权限管理审计研究的基础上(陈伟,2019),探索如何采用社会网络分析等大数据审计技术开展金融科技风险审计。
二、常用审计方法的不足
用户及权限管理是信息系统运行管理中的一项重要内容,它要求“应保证只有经授权的用户才能访问,防止非授权访问”。因此,在开展信息系统运行管理审计时,审计人员需要检查业务系统是否能保证只有经授权的用户才能访问,能否防止非授权访问。对于金融科技系统审计来说,审计人员可以通过分析金融科技系统中是否存在操作用户有多个账号的情况,以及这些账号是否都可以正常使用等达到防范相关金融科技风险的目的。
传统环境下,被审计单位信息化程度低,应用系统较少,操作用户较少,因此,对于用户及权限管理审计只需要做简单的访谈或现场察看一下被审计单位的应用系统即可。但随着金融科技的广泛应用,目前被审计单位信息化程度高,应用系统较多,一些单位应用系统多达几百个,甚至上千个,另外,操作用户也较多。因此,金融科技系统的用户及权限管理是一个重要挑战。目前常用的审计方法存在以下不足:
……海棠两岸秀帷裳,是间横着双胡床,龟蒙踞床忽倒卧,乌纱自落非风堕。落花满面雪霏霏,起来索笔手如飞。卧来起来都是韵,是醉是醒君莫问。好个海棠花下醉卧图,如今画手谁姓吴?③
重号分析是数值分析中的一种常用方法,它用来查找被审计数据某个字段(或某些字段)中是否存在重复的数据。通过重号分析方法,审计人员可以查找被审计单位应用系统中是否存在用户拥有多个账号的情况。以审计软件IDEA举例,重号分析方法应用的示例如图1所示。
由图5可以清晰地发现:被审计单位的金融科技系统中存在多名操作用户在多个部门拥有用户账号的情况,这对被审计单位金融科技系统的运行管理造成潜在的风险隐患。
为了审计金融科技系统用户管理风险,需要从被审计单位信息管理部门采集相关操作用户信息等数据。通过审计这些数据,可以掌握目前该被审计单位所有应用系统中的操作用户情况,比如用户状态、用户相关信息等。以某金融科技系统用户管理风险审计为例,假设现已获得相关数据,以该金融科技系统中的用户信息数据为例,其表结构如图4所示。
发布资源:根据预设的教学目标和之前得到的学生学情分析,教师主动向学生推送多种形式的课程预习内容,包括微课、视频、课件、图片、文本等,同时推送课程和书本上需要预习的内容。例如:通过动画、图片等方式,让学生了解生活中汽车的变色龙车身,从而引入教学任务“汽车面漆特种喷涂装饰”。
由图1和图2不难看出:常用的重号分析方法虽然也能查找被审计单位的信息系统中操作用户是否存在一人拥有多个账号的情况,但不能很清楚、形象地展示出拥有多个账号的操作用户分别分布在哪些部门、操作用户和所在部门的关系,以及对于每一个操作用户,其拥有的多个账号是否都可以正常使用等详细信息。
三、基于社会网络分析的金融科技系统用户管理风险审计方法分析
1.相关大数据审计技术分析
图1 基于IDEA的操作用户信息数据重号分析结果示例
图2 基于数据库工具的操作用户信息数据重号分析结果示例
为了更好地满足大数据环境下开展审计工作的需要,需要一些大数据审计技术,常见的大数据审计技术一般可以概况为:(1)大数据智能分析技术,有效的方法如社会网络分析、自然语言分析等;(2)大数据可视化分析技术,有效的方法如文本可视化分析技术(如标签云分析)以及其他常见的大数据可视化分析技术(Koh,2010;GTAG,2017;Gepp,2018),如气泡图(Bubble Chart)、柱状图(Bar Chart)、折线图(Line Chart)、饼图(Pie Chart)、散点图(Scatter Chart)、雷达图(Radar Chart)、热力图(Heat map)等;(3)大数据多数据源综合分析技术,也就是通过对采集来的各行、各业、各类大数据,采用数据查询等常用方法或其他大数据技术方法进行相关数据的综合比对和关联分析,从而发现更多隐藏的审计线索。
为了从整体上掌握金融科技系统中是否存在操作用户在多个部门均有用户账号的情况,基于前文的分析,采用社会网络分析方法对全单位操作用户信息数据进行分析,整体动态分析结果的一个示例如图5所示。
2.社会网络分析方法概述
3.基于社会网络分析的金融科技系统用户管理风险审计方法原理
基于社会网络分析的金融科技系统用户管理风险审计方法原理可简单描述为:采集被审计金融科技系统的全单位操作用户信息等数据,采用社会网络分析工具对全单位操作用户信息等相关结构化数据进行建模和整体分析,通过对社会网络分析的可视化结果图形和图像进行分析和观察,从总体上发现操作用户与所在部门之间的相互关系,从而发现是否存在用户属于不同部门的审计线索。在此基础上,进行延伸分析,比如,通过对全单位操作用户信息数据进行分析,了解同时属于不同部门的用户的账号状态,确认其两个或多个账号是否都可以正常使用。通过对以上发现的异常数据做进一步的延伸审计和审计事实确认,最终获得审计证据。
相关社会网络分析工具简介如下:
(1)Pajek:Pajek在斯洛文尼亚语中是蜘蛛的意思。Pajek在Windows环境下运行,是一种大型复杂网络分析工具,可用于目前所存在的各种复杂非线性网络的分析和可视化操作。
(2)Gephi:Gephi是一款开源免费、跨平台的复杂网络分析软件,它基于Java虚拟机(Java Virtual Machine,JVM),允许开发者开发新程序,创建新功能。它可以用于社会网络分析、探索性数据分析、可视化分析等方面。
图3 基于社会网络分析技术的金融科技系统用户管理风险审计方法原理
图4 某金融科技系统用户信息数据示例
(3)开源工具:除了采用Pajek、Gephi等工具实现社会网络分析方法之外,审计人员也可以采用开源工具R语言、Python等实现基于社会网络的审计数据分析。本文以R语言为例,研究并实现基于社会网络分析的金融科技系统用户管理风险审计方法。
网络指的是各种关联,社会网络就是社会关系所构成的一种结构关系,一个社会网络是由一些特定范围的行动者以及行动者之间的关系组成,它可以反映行动者之间的社会关系。社会网络分析(Social Network Analysis)是对社会网络的关系结构及其属性加以分析的一套规范和方法,它基于信息学、数学、社会学、管理学、心理学等多学科的融合理论和方法,为理解人类各种社会关系的形成、行为特点分析以及信息传播的规律提供的一种可计算的分析方法。社会网络分析采用的方式和方法从概念上有别于传统的统计分析和数据处理方法,它是研究一组行动者的关系的研究方法,关注的焦点是关系和关系的模式。
目前,社会网络分析在市场营销、广告、企业招聘、跟踪预测流感的爆发、预测票房等方面得到应用,一些流行的大数据可视化分析工具,如R语言、Python、Gephi、Pajek等也具有强大的社会网络分析功能。因此,大数据环境下,可以采用Python、Pajek、Gephi等工具实现社会网络分析方法,完成审计数据分析,发现相关审计线索。
综上分析,基于社会网络分析技术的金融科技系统用户管理风险审计方法原理如图3所示。
提出问题是科学探究的第一步,能促使人们去思考,激发思维的热情和创造的才能。奥斯本检核表法可以帮助学生根据检核项目逐一思考和提问,有利于学生更加系统和周密地思考问题,提出更多创造性的设想,为实验的拓展提供了可操作的手段,改善了实验的效果,提高了实验教学的有效性。奥斯本检核表法在高中生物学实验教学中的应用,开拓了教学的思路,丰富了教学的内容,增强了学生学习的积极性,对于高中生物学实验教学的开展和学生生物学科核心素养的发展有着非常重要的意义。
四、基于社会网络分析的金融科技系统用户管理风险审计方法应用案例及分析
1.案例背景简介
对于重号分析方法,也可以采用SQL语句实现。以Microsoft Access数据库软件为例,采用SQL语句进行重号分析的示例如图2所示。
在《内经》教学中,经历了从诵读到理解领悟到能够背诵《内经》原文的理论培养之后,跟随老师临证实践成为中医学生培养不可缺少的重要模式。中医院校教师都为双师制教师,一些院校还开展了本科生导师制的教学模式,每一位学生都有自己的导师,也就是说,都有机会能够跟随导师门诊实践。现代中医教育一直在探索院校教育与师承教育相结合的教学模式[5],在实践中,学生跟从自己的老师接诊,了解疾病的诊断与治疗方法,从而学习到处方用药的特点,老师可以通过讲述诊病的过程,让学生再次巩固经典的内容,当经典遇到临床最终发挥奇效时,学生自然会喜上心头,对经典的崇敬油然而生,对经典的学习也会不遗余力。
图5 基于社会网络的金融科技系统用户管理风险审计方法分析结果示例
图6 拥有多个账号的用户与所在部门的网络关系进一步察看结果示例
图7 “操作用户—所在部门—账号状态”关系分析示例
2.基于社会网络的金融科技系统用户管理风险整体分析
2.2 伤口评估 此次手术为乳腺癌改良根治术,位于右侧胸部可见一约2.5 cm×9.8 cm的伤口,为中度皮瓣坏死。25%的黄色腐肉;75%的黑色坏死组织,可见黑色缝线外露。患者主诉局部疼痛伴压痛,有中等量黄色、淡红色渗液,无异味。伤口周围皮肤不整齐、红肿,皮肤温度稍高于正常。
矿体受构造控制作用明显。区域性的大型构造控制着岩体的分布,次级构造控制着矿体的分布。本区位于朱阳关—夏馆—大河区域性断裂的南侧,该构造给岩浆和成矿物质提供了上升通道;郭庄组及刘山岩组地层内的次级构造为钼矿体提供的成矿空间,发育有脉状的钼多金属矿床。
在图5所示的分析结果的基础上,审计人员可以对拥有多个账号的用户做进一步的动态察看。以用户“朱明友”为例,如图6所示,可以发现用户“朱明友”在科技信息部、财务部以及审计部三个部门同时拥有用户账号。
综上所述,不难发现:传统的静态社会网络分析方法主要集中于对某一横截面数据的静态分析,并生成静态的图形结果,不能在分析结果的基础上进一步动态查看网络结点之间的关系,不能清楚地对被审计数据进行动态分析,而本文应用的社会网络分析方法有效地满足了“操作用户和所在部门”之间关系分析的需要。
3.具有多个账号用户的具体状态情况可视化分析
为了进一步分析这些在多个部门拥有账号的用户的具体信息,如拥有的多个账号是否都可以正常使用,采用散点图可视化分析方法对操作用户信息数据做进一步的分析,了解有多个账号的用户账号的状态情况,其中的一个分析结果示例如图7所示。在图7中, X坐标为拥有多个账号的操作用户,Y坐标为操作用户所在部门,散点的颜色表示用户账号的状态(0表示用户账号可以正常使用,1表示用户账号已冻结(暂停使用),2表示用户账号已注销)。
证明分析 若记=k,要证(2)式成立,即证f′(ξ)=k⟺f′(ξ)-k=0⟺[f′(x)-k]x=ξ=0⟺也就是在(a,b)内是否存在一点ξ,使得φ(x)=f(x)-kx在ξ点的导数等于零,即φ′(ξ)=0.
心理学家普拉切克根据自己的研究提出,人的情绪主要有恐惧、惊讶、悲痛、厌恶、愤怒、期待、快乐和接受共8种基本情绪。每一种基本情绪都可以根据强度上的变化而加以细分,比如强度高的愤怒是狂怒,强度低的愤怒是生气。
由图7可以清晰地发现:被审计单位金融科技系统中存在多名操作用户在多个部门有多个均能正常使用的用户账号的情况(散点为红色),这对被审计单位金融科技系统的运行管理造成潜在的风险隐患。以用户“朱明友”为例,其在科技信息部、财务部以及审计部三个部门同时拥有用户账号,且三个用户账号的状态均为能正常使用(散点为红色)。
五、总 结
随着金融科技的广泛应用和快速发展,目前常用的信息系统(信息科技)审计方法不能很好地满足金融科技应用系统风险审计的需要,采用大数据审计技术开展金融科技风险审计成为一种有效的方法。本文根据这一需要,以金融科技系统用户管理风险审计为例,分析了如何采用社会网络分析技术开展金融科技风险审计,并以实际案例证明了本文研究的可行性和有效性。本文研究的方法已应用于某大型审计项目之中,取得了良好的效果。当然,本文研究的方法不可能解决所有的金融科技系统用户及权限管理风险审计问题,但能有效地弥补目前已有方法的不足。
主要参考文献
1.陈伟.大数据审计理论、方法与应用.科学出版社.2019
2.陈伟, 李晓鹏, 居江宁.基于大数据技术的信息系统用户及权限管理审计研究.中国注册会计师.2019(2)
3.陈伟, 居江宁.大数据审计:现状与发展.中国注册会计师.2017 (12)
4.陈伟, 居江宁.基于大数据可视化技术的审计线索特征挖掘方法研究.审计研究.2018(1)
5.陈伟, Smieliauskas W.大数据环境下的电子数据审计:机遇、挑战与方法.计算机科学.2016(1)
6.Gepp A, Linnenluecke M K, O’Neill T, et al. 2018.Big data techniques in auditing research and practice: current trends and future opportunities[J]. Journal of Accounting Literature, 40(1): 102-115
7.GTAG. 2017. Understanding and Auditing Big Data [EB/OL]. http://www. theiia.org.
8.Koh K, Lee B, Kim B. 2010. Mani wordle: providing flexible control over wordle[J]. IEEE Trans. on Visualization and Computer Graphics, 16(6):1190-1197.
基金项目: 本文系国家自然科学基金(71572080)、江苏省研究生科研创新计划项目(SJKY19_1583)的阶段性研究成果。
作者单位:南京审计大学
标签:大数据审计金融科技论文; 信息系统审计论文; 社会网络分析论文; 数据可视化论文; 南京审计大学论文;