审计人员在审计过程中，涉及被审计单位生产、经营活动过程中产生、获取、处理、存储、传输和使用的相关信息资源，对被审计单位信息资源收集、整理和分析，贯穿于审计的过程之中。笔者结合审计实践，从信息科学的角度，谈谈在审计过程中如何作好信息收集、整理和分析，供大家借鉴、参考。

一、信息科学理论在审计信息收集中的应用

审计信息收集是由审计人员对被审计单位信息进行收集，通过定性、定量的手段，进行深层次的加工，完成审计项目目标要求的信息收集。审计人员对被审计单位信息收集的整个工作流程，包括收集、整理、评价、测量和反馈五项内容。在对信息进行收集整理、重新组织后，使之由无序变为有序，以实现对信息价值进行评定，达到去粗取精、去伪存真的目标。

《科学技术信息系统标准与使用指南--术语标准》指出：“信息是物质存在的一种方式、形态或运动形态，也是事物的一种普遍属性。一般指数据、消息中所包含的意义，可以使消息中所描述事件中的不定性减少。”可见信息是整个客观物质世界运动时产生的伴生物，信息与人们的思维活动如影随行。

使人可感知的、能直接感知的信息只有一小部分，大多数信息，人们通过信息的载体加以感知。信息载体是人类社会生产、生活和管理过程中所涉及到的一切文件、资料、图表和数据等信息的总称。由于数据可以将信息进行转化和便于保存和处理，审计人员最习惯于将数据首选为被审计单位的信息的载体，通过对数据加工形成审计可用的信息产品。在对数据加工的过程中，信息科学、信息论以及信息技术自觉或不自觉地被审计人员加以应用，以解决审计业务活动中了解情况、发现问题，确定审计应对措施以解决审计目标要求与实际情况间的差距。

信息科学是研究信息的获取、存贮、变换、传递、处理、利用和控制的一般规律，以计算机等技术为主要研究工具，以扩展人类的信息功能为主要目标的一门新兴的综合性学科。信息科学研究内容包括：阐明信息的概念和本质（哲学信息论）；探讨信息的度量和变换（基本信息论）；研究信息的提取方法（识别信息论）；澄清信息的传递规律（通信理论）；探明信息的处理机制（智能理论）；探究信息的再生理论（决策理论）；阐明信息的调节原则（控制理论）；完善信息的组织理论（系统理论）。审计人员在审计中，应用信息科学理论，对被审计单位的数据要进行确认识别、掌握其计量和转换规则、提取方法、多重数据的筛选技术，掌握被审计单位的数据形成机理和调节原理等，对收集的数据加以转换，形成可用的审计信息，以完成对被审计单位相关信息的全面掌握。

信息论是运用概率论与数理统计的方法研究信息、信息熵、通信系统、数据传输、密码学、数据压缩等问题的应用数学学科。如克劳德·香农（Claude Elwood Shannon,1916-2001）的“信息熵”的原理和数学表达式。信息论中，熵是一个表明单一系统混沌程度的状态量，被用来衡量一个随机变量出现的期望值。它代表了信号在被接收之前，传输过程中损失的信息量，称为信息熵。信息熵也称“自信息的平均信息量”。信息熵是用于度量信息量的一个概念。信息熵也可以说是系统有序化程度的一个度量，一个系统越是有序，产生高信息度的信息熵则低。反之，低信息度的信息熵则高，系统越是无序。具体面言，凡是导致随机事件集合的肯定性，组织性，法则性或有序性等增加或减少的活动过程，都可以用信息熵的改变量这个统一的标尺来度量。信息熵与“信息平均信息量”的区别在于信息熵面对的是整个信源，它描述的是信源的每一个输出信号平均的信息量。而“信息平均信息量”，只是针对特定的信息而言的。此信息中不包含信源所有可能的输出信号。

审计人员对被审计单位的管理信息系统数据进行分析、提取、筛选后，形成可用的审计信息集合。由于被审计单位的信息的混沌程度不同，可能在相关数据整理后，同一类审计事项可形成多重信息，这就要求审计人员对信息集合进行归纳、整理、分析，得出被审计单位的不同类、款、项的管理信息。每项信息其“信息平均信息量”构成对该项信息失真度的判断。信息失真度的判断的条件基于审计人员的职业水平和审计信息的收集方法，它决定了审计抽样的规模大小。

通常在审计过程中，审计人员首先关注被审计单位管理信息中会计信息系统的清晰程度。会计信息反映了被审计单位的价值运动及其属性的一种客观表达,包含相互关联,互为制约的“数据输入,系统转换,信息输出”三个有机过程，它是整个会计行为系统的核心部分。会计信息反映了被审计单位在过去特定时间内所发生的资金的取得，分配与使用的信息。实质是各种利益关系的反映。通过会计信息，可了解被审计单位过去一特定时间内的经济活动；控制目前的经济活动；预测未来的经济活动。

对会计信息真实性、会计信息失真程度的关注，要求审计人员运用“信息熵”的原理对会计信息产生的信息源进行判断。如果审计目标单一，被审计单位业务领域单一，被审计单位管理信息系统越健全、有序，会计信息越清晰，信息的冗余度越低，则可信度就高，即信息熵低，采样量就低。如果审计目标多元，一个被审计单位的业务领域宽泛且相互交插，供应、生产环节、客户体系庞杂，被审计单位管理信息系统交叉，会计信息产生的信息源包含着多个符号消息，冗余度高，审计人员需要通过收集多渠道的信息，对信息熵进行估算，对数据初步裁减过滤，生成信息熵集合，计算输出函数，估计信息的失真度，决定抽查的规模和重点。实现用真实的信息消除不确定性的东西。

二、信息整理是审计中的重要一环

被审计单位整个生产经营和管理活动的信息系统中包括：生产管理、财务会计、物资供应、销售管理、劳动工资和人事管理等子系统。在以往审计过程中，审计人员通过纸张、胶卷、胶片、磁带等载体感知审计信息。目前，这些审计信息的有形载体随着计算机在数据管理领域的普遍应用，被审计单位生产经营和管理活动的系统信息以数据库方式存在，其特点之一是信息以一定的数据模型，通过描述数据本身的特点和描述数据之间的联系，审计人员可方便地开发和使用被审计单位的数据库，从中获取实现审计目标的信息。审计信息是根据审计目标的要求从被审计单位数据库中取得，并根据要求决定取舍。国内外已经开发建设了成千上万个数据库，但其共同特点是一个长期存储在计算机内的、有组织的、有共享的、统一管理的数据集合。一般而言，审计人员首先接触的是被审计单位财务会计信息系统。财务会计信息所描述的内容，实质是用货币表现出来的经济活动。审计人员为证实被审计单位的某一项经济活动的真实、合法、效益，要通过对取得的被审计单位的会计信息加以整理，信息整理是审计中的重要一环。信息整理分以下三个步骤：

第一步是取得数据。审计信息的取得一般从抽取相应数据库中的数据开始。审计人员可从被审计单位不同的管理信息子系统中，针对某一审计关注的问题进行数据采集，形成关联的审计信息。如审计目标要求审计某单位的“原材料采购”的真实、合规、合法性。审计人员应从被审计单位财务会计数据库中抽取一定时间内的结算凭证如：付款或交定金、入库单，发票，合同的复印件、退货业务等；从被审计单位物资供应数据库中抽取相应的供应商、采购合同、询价和方案对比、采购计划，采购员、入原材料库、入库凭证、合格证、质量检验等对应数据；从生产管理数据库中抽取产生需求、用量、标准、废品率、报废处理等数据。

第二步是对取得数据进行数据加工形成信息链。对同一事项在不同管理信息子系统中的数据进行加工，将初始的、零乱的和孤立的数据进行整理，形成信息集合。通过对信息的归类和链接，构成信息间的相互连续、映对的审计信息。同时，对相互连续、映对的审计信息进行分类和排序，便于存储、检索、传递和使用。对形成的审计信息通过筛选、对比和判别，在多条原始信息中，识别真假信息和真伪信息。

第三步是将满足审计目标需要的信息，构建其经济活动的完整信息图像，即形成该项经济活动的资金流、物流、相关方面活动的路线图。整理后的审计信息，形成相互联系、相互对应、相互切换的信息集合，从中判断被审计单位的经济活动是真实存在，还是虚拟作假。

三、对信息分析和分析手段是审计风险评估的基础

审计信息分析是审计人员根据审计目标的需要，对相关信息进行深层次的思维加工和分析研究。它侧重于对整理后的信息集合进行重组后的分析。它既目标和任务相连，又与研究对象有关，又是审计风险评估的基础。

审计人员通过信息整理得到的被审计单位经济活动的多项信息资源后，通过对信息对再整理，根据审计目标要求，对重新整合后的信息进行分析。此时的分析，往往是集成多种方法来实现的。如统计学习方法、机器学习方法、不确定性理论、可视化技术和数据库技术。但比较和分析，是最常用的方法。通过整理后的被审计单位信息集合，分类、分角度、分层次回答了审计关注的问题。审计人员可将相关联的信息结合被审计单位的经济活动，对各个事物的内部矛盾的各个方面进行比较，就可以把握事物间的内在联系，认识事物的本质，认识不同事物间的差异，找出问题、确定目标、拟定方案并作出选择。在实际工作中，比较和分析可以是定性的，也可以是定量的，或者是两者间的结合。定性分析方法一般不涉及到变量关系，主要依靠人类的逻辑思维功能来分析问题；定量分析方法肯定要涉及到变量关系，主要是依据数学函数形式来进行计算求解，如回归分析法、时间序列法等。由于信息分析问题的复杂性，很多问题的解决既涉及到定性分析，也涉及到定量分析，因此定性分析和定量分析方法相结合的运用越来越普遍。审计信息分析的内容是经过审计人员整理后的信息，在具备可利用的审计信息后，存在大量不相容的信息，将不相容信息问题解题，以往是通过人脑“出点子、想办法”的思维活动解决，它强调人脑从原始信息中获取创造性信息的能力。

随着信息开发的可拓方法的发展，可拓学在人工智能等相关领域的应用，如信息开发的可拓方法。应用计算机模拟人脑解决不相容问题。可拓方法包括信息开发的发散性方法、蕴含性方法、可扩性方法、共轭性方法、相关性方法等。它们源于物元的可拓性，即物元的发散性、蕴含性、可扩性、共轭性和相关性。 其理论基础是物元可拓性理论可以支持以信息和知识的内在联系为基础的知识表示。例如用蕴含性方法开发利用信息的作用主要表现在如下几个方面：开发事物的“因果关系”信息，使人们不仅能“知其然”，还能“知其所以然”，其依据是“原因 结果”的蕴含性；开发事物的“手段-目标”信息，使人们可以利用目的变通的方法解决不相容问题，其依据是“手段 目标”的蕴含性；挖掘事物变化的传导效应或传导信息，其依据是“主动变换传导变换”的蕴含性； 开发事物的“局部-整体”信息，分析事物的层次结构关系或种属关系，其依据是“整体 局部”的蕴含性；由表及里，由外及内，透过信息的表面涵义，获取信息的深层含义，获取信息背后的信息，从而为人们认识分析事物的本质奠定基础。

审计人员进行信息分类、分析、开发时，无论采取何种信息开发方法，都要围绕审计目标进行。同时信息分析终究也解决不了审计项目中的所有问题，它只能给审计人员在规定的时间内，对被审计单位信息做出相对全面的掌握，因此对信息分析和分析手段是审计风险评估的基础。

根据审计风险=固有风险×控制风险×检查风险三个要素构成原理。审计人员可进行控制和管理的审计风险要素中，检查风险是唯一可以控制的。审计人员对检查风险实现最大限度的控制，是通过对审计信息的收集、整理和分析实现的。

以前在审计风险评估工作中，多数是靠审计人员的经验来加工信息，即使需要的少数运算也只局限于简单的算术运算和简单的统计加工。目前，审计人员在审计实践中总结和积累了审计风险评估模型，通过计算机辅助审计手段，对取得的信息数据进行计算，从而得出审计风险数值。计算机数据处理系统一般备有三个库，即数据库、模型库和方法库。审计人员收集、整理和分析后形成的审计信息，构成了数据库必要的信息，其信息不仅仅反馈出的审计关注的各类信息的计数和数据频数统计，而且也为实现计算机辅助审计提供了计算模型的各种因素间的定量或定性的相互关系，成为设计审计模型库的基础。审计人员可通过以往审计风险评估数学计算方法（例如回归分析方法、趋势外推方法、博弈方法等），逐步从模型估计转移到模型选择上来，通过收集、整理和分析后形成的审计信息，把模型的结构也作为搜索过程的一部分，通过信息分析和分析手段实现对检查风险的控制，根据审计目标要求决定审计实质性测试和抽查的规模和数量。

总之，审计人员在审计过程中作好信息收集、整理和分析中，对调查和掌握被审计单位其相关情况、评估被审计单位存在重要问题的可能性、控制审计风险、确定审计应对措施等方面都非常有效，有助于完成审计目标任务。（刘铁 刘明暄）

主要参考资料：

1．《科学技术信息系统标准与使用指南--术语标准》 全国文献工作标准化技术委员编。

2．《可拓集合的分类性质和信息开发的可拓方法》 何斌， 张应利。

【关闭】【打印】

隐私条款不明确是重灾区

正如本报此前多次报道,近年来我国爆发的多宗个人信息、隐私泄露或贩卖的案件中,很多时候追溯到的黑灰产产业链数据源头都是大大小小的互联网厂商。

即使不被用于黑灰产等的违法用途,互联网应用过度采集个人信息的行为,本身就涉嫌侵犯用户个人隐私,对用户心理造成很大的不安。比如,输入法、手电筒APP,要求获取地理位置是要干嘛?有的APP,在静默状态下竟然会悄悄启动麦克风、摄像头持续采集用户音视频数据。还有APP被发现长期在后台悄悄记录用户的通话记录、短信、通讯录、位置信息、设备信息等并上传到企业服务器……

有见及此,《信息安全技术个人信息安全规范》(简称《规范》)2018年5月1日实施,《规范》严格界定了个人信息控制者的权利并明确了其义务:规定在收集个人信息前,应当向信息主体明示相关内容并取得同意;涉及间接获取方式以及个人敏感信息时,应当做出必要说明或取得明示同意且遵守有关法律、行政法规关于个人信息保护的规定。

从一个半月的举报问题看,26%的APP没有隐私条款或未在隐私条款中明确收集个人信息的目的、方式、范围;31%的APP在申请打开收集个人信息相关权限时,未明确告知用户;20%的APP收集与业务功能无关的个人信息,如金融借贷APP收集用户通信录;19%的APP未经用户同意,向他人提供设备ID、应用程序列表等个人信息;13%的APP强制索要与业务功能无关的权限,如计算器、手电筒APP强制要求打开地理位置权限。还有一些APP存在不支持用户注销账户、更正或删除信息等问题。

采集用户信息事关“财路”

互联网公司信奉“越多越好”

在企业层面,其收集数据的目的是借助大数据分析的力量,精准匹配投放商业广告,这是国内外几乎所有互联网公司的一条重要“财路”。就算不用于广告,用于自身业务发展也是越多越好。

今年1月,据媒体报道,有白帽黑客通过抓包工具监测发现,如果用户甲在微信朋友圈分享了一条今日头条新闻,当甲的微信好友乙和丙都打开看过这条新闻后,今日头条就悄悄记录下乙和丙都是甲的好友,并将这组社交关系分享给本公司的抖音等APP平台,其违规在于,正常软件在设置cookie参数时一般仅为5至7天,而今日头条将这一数值设定为10年,这一隐蔽设定使其可以长期更新关注用户的好友关系变动情况。

还有用户下载一款APP申请贷款时,发现对方要求知道自己所安装的全部APP列表,感到十分诧异。该应用客服人员对此的解释是,应用列表信息将作为该平台综合授信的一个维度,比如获知用户是否安装了多款借款类APP,依此综合评估用户的信用风险。

析因

法律依然缺位,让企业违规几无成本

有业内人士指出,大数据时代,没人知道哪些数据会成为重点,不少企业本着“不管有用没用,多收集一点总没坏处”的想法,滥采用户信息和资料。但这种想法和《规范》是相悖的。《规范》明确个人信息的收集类型、频率和数量应在必要性的最小要求之内,即符合最少够用原则的要求。

遗憾的是,《规范》只是一套推荐性国家标准(目前国内尚无专门针对个人信息保护的法律),并不具备法律效力和强制约束力,这让有心违规的企业肆无忌惮。在截至4月中旬的举报信息里,针对30款用户量大且问题严重的APP,工作组也只是向其运营者发送了整改通知。逾期不改的,才考虑公开曝光,情节严重的予以下架、停止服务等。

前述安全团队人士慨叹说,侵权者获取大量数据后有机会带来巨大的经济和社会效益,而同等条件下的违法成本却微乎其微,难怪企业会屡禁不止。

更尴尬的是,在个人信息保护法缺位之下,原本应作为保障用户隐私和权利公平的APP隐私保护协议,反被运营者利用为逃避应有法律义务、责任的挡箭牌,像某APP用户协议中写道,“对发布在××上的信息,××拥有再许可的权利”;有的说“××可将用户信息传至第三方,且不负担任何责任”;或者“用户的发表、上传行为意味着对××的授权”。

事实上,用户对APP隐私协议举报最多的,除了“自动默认勾选视为同意”和“不同意不能使用APP”外,在隐私条例里设置霸王条款或者偷换概念内容来恶意规避法律责任,也是其中之一。

新技术层出不穷,更多个人信息认定存争议

有法律专家指出,我国个人信息保护法律缺位的现状,和它本身是一件不断发展、演变中的事物不无关系。随着近年来各种新技术的发展,大家越来越活在各种传感器、摄像头、定位系统、无人机等设备的时刻“监控”之下,传统隐私权定义已经不能适应新形势,更多新型个人信息的认定和侵犯方式,都还存在诸多争议。

一方面,智能家居设备的摄像头,可能会在你某次在扫地机器人旁输入银行密码时记录你的财务信息。用于智能医疗的各类可穿戴设备可能会不费气力地了解你的心跳、脉搏、血压、睡眠质量等。此外,通过可穿戴设备及其他设备等获得的个人数据,有可能会深入到思维这个层面,人的思维、心理状态这些隐秘信息,将成为可以被感知、存储、传输甚至处理的外在信息,更关键的是,个体很难控制信息的发出、传播与使用,会变得无能为力。

在日前一场某搜索引擎的营销峰会上,记者发现,其号称人脸识别技术能做到根据摄像头获取人脸图像信息,据此智能分析出人物性别年龄特征值,并在其经过的各类楼宇屏幕上展现广告设定的广告。还有远程教育公司宣布,成功开发出新系统,可根据学生实时表情及行为实时评估教学效果,并应用于VR互动教学,打造新型沉溺体验。

面对这些新型个人信息和隐私保护难题,各国都在探索应对之策,但看来短期内也难有定论。在美国,已经有参议员提议通过新的法案——商业面部识别隐私法,对技术公司的人脸识别技术使用进行一定限制。在我国,今年两会期间,全国人大常委会也已将个人信息保护法等与人工智能密切相关的立法项目列入本届五年的立法规划。2018年5月欧盟开始实施被称为史上最严格的GDPR(《一般数据保护条例》),虽然有了向Facebook等巨头连续开出天价罚单的战绩,但学者表示担心,认为如果不允许收集数据,就类似于“想倒掉洗澡水,把宝宝也泼出去了”。还有学者直言,当前对隐私问题的研究,有待于更充足的经济学、社会学层面的知识给予支撑和完善。