數據式審計研究：回顧與展望

房巧玲（教授/博導） 龍鳳嬌 曹麗霞（高級工程師）

（1中國海洋大學管理學院 山東青島 266100 2國網山東省電力公司審計部 山東濟南 250001）

一、引言

隨著數字化時代的來臨，ERP系統在企業得到廣泛應用，各類交易和事項普遍以電子數據的形式存在于企業的底層數據庫中。與傳統審計環境下審計對象的經濟活動和經濟事項主要以紙質材料為載體不同的是，在信息技術環境下，審計對象的載體逐步趨向數字化，這客觀上要求對傳統審計模式進行變革，以數字化、數據式為特征的新審計模式呼之欲出。

石愛中和孫儉（2005）首次提出了數據式審計的概念，但受制于當時審計技術水平以及數據利用范圍的局限性，人們對于如何推動數據式審計實踐、發揮數據式審計程序在數據挖掘和利用方面的優勢尚存諸多疑問。直至大數據技術的興起，給審計行業帶來了新的助力，才翻開了數據式審計模式新的篇章。美國會計學會（AAA）2014年年度會議引入了大數據分析技術在審計領域應用的討論，國際四大也開始積極地推進數據分析技術在審計實務中的應用。可以說，大數據技術強大的預測、識別和信息挖掘能力使得數據式審計在其概念提出近十年之后再次成為審計領域的前沿熱點。審計界將目光重新聚集到數據式審計模式上，重點關注如何利用云審計平臺以及數據分析技術對電子數據進行審計。從已有相關文獻來看，目前國內外對數據式審計模式的研究比較零散，有必要對其進行系統的梳理和回顧，以期對相關理論研究和實踐發展有所裨益。

本文通過對數據式審計相關文獻的梳理和總結，理清數據式審計目前的研究和實踐現狀，明晰數據式審計未來的研究重點與發展方向。

二、數據式審計的概念

數據式審計是將電子數據作為直接的審計對象，而不必將其轉換為電子賬套。數據式審計模式分為兩種，一種是數據基礎審計模式，一種是數據式系統基礎審計模式。前者可以理解為以數據為直接對象的審計方式；后者可以定義為：以系統內部控制測評為基礎，通過對電子數據的收集、轉換、整理、分析和驗證，來實現審計目標的審計方式。也有學者將其稱之為電子數據審計（裴育、鄭石橋，2016；程鋮、李睿，2016）、大數據審計（劉國城、王會金，2017等）。數據式審計模式直接對被審計單位底層數據庫中的電子數據進行審計，擺脫了以往審計模式對被審計單位會計賬套的依賴。數據式審計模式的源頭可以追溯到計算機審計。我國對計算機審計的研究始于20世紀80年代，當時關于計算機審計的定義主要借鑒了國外Electronic Data Processing（EDP）審計的定義。隨著環境的變遷，其定義也在不斷地演變與發展。到20世紀90年代左右，計算機審計的研究熱點轉為計算機輔助審計技術（CAATs/CAAT）。國內外關于CAATs的研究可以分為兩個方面，一是面向信息系統的計算機輔助審計技術；二是面向電子數據的計算機輔助審計技術。在審計實踐中，面向電子數據的CAATs是職業界關注的重點，主要使用通用審計軟件，開展數據采集、查詢、審計抽樣、統計分析和數值分析等一系列工作，也被稱之為電子數據審計。隨著大數據時代的到來以及大數據技術在審計中的應用，電子數據審計日益成熟。為了表達上的一致性并突出電子數據審計在審計模式方面的突破，本文將電子數據審計統一稱為數據式審計。

可以說，數據式審計的產生和發展與電子技術和IT技術的產生與發展密切相關。20世紀70年代第三次工業革命帶領人類進入了數字化時代；21世紀，物聯網使得一切皆可數字化，人類進入智能化的時代。時代和技術的變革推動著數據式審計模式下審計技術的不斷變革與發展。正如 Jun Dai and Vasarhelyi，Miklos A（2016）在“Imagineering Audit 4.0”一文中所提出的：手工審計（manual audit）可以定義為審計1.0時代；審計2.0是指IT審計（主要使用Excel與計算機輔助審計技術）；審計3.0是指包括利用大數據進行數據分析的審計時代；未來的審計4.0是指充分利用物聯網的時代（包括利用傳感器、CPS、GPS等工具）。筆者認為，除了審計1.0時代的手工審計（可以稱之為傳統審計模式），按照審計技術的發展階段，可以將審計2.0、審計3.0、審計4.0視為數據式審計發展的不同階段，統稱為數據式審計模式。從目前全球審計實踐來看，可以認為大致上處于審計2.0與審計3.0的階段。

三、數據式審計模式下審計流程和程序的改變

審計模式的改變必然會要求審計流程的重構。審計流程需要緊密結合計算機技術與會計信息化的應用程度而適時地創新和發展，具體的審計程序則必須合理保證最終審計目標的實現。從已有文獻來看，目前關于數據式審計流程、程序的探討主要關注審計流程的重構、審計程序的變化等。

（一）審計流程的重構

學術界對于數據式審計模式下審計流程的重構有兩種不同的觀念，一種是建議對原有審計流程進行修改和完善，另一種則是建議完全顛覆原有審計流程，采用全新的審計流程。在這兩種不同的觀念下，審計流程的起點存在差異：前者仍以計劃審計工作為起點，后者則是以數據采集為起點。審計流程起點的不同實際上體現了在不同的審計環境下審計人員數據思維的差異：以計劃審計工作為起點強調數據采集與分析應服務于不同審計階段的具體任務，體現了任務驅動的思想；而以數據采集為起點則強調以數據分析為核心，體現了審計由數據驅動的思想。下面對這兩種觀念進行具體闡述。

1.對原有審計流程的完善。傳統模式下，審計工作普遍采用的流程包括計劃審計工作、風險評估、風險應對和出具審計報告四個主要階段。石愛中、孫儉（2005）將數據式審計流程劃分為審計準備階段、審前調查階段、審計實施階段和審計報告階段，其中，審計準備階段與審前調查階段的區分原則是審計人員是否需要實施實際的數據分析。這四個階段的簡單劃分相對寬泛和模糊，體現了對傳統審計流程的改良。劉杰等（2019）對整體審計流程進行了更為細致地劃分，建議劃分為計劃階段、信息系統審計、數據審計、報告階段；其中數據審計又分為審計平臺構建階段、審計數據分析階段、審計數據分析報告撰寫階段以及延伸取證階段。這些觀點都體現了以具體審計任務為驅動進行數據收集和分析的思想。

2.對原有審計流程的顛覆。部分學者認為應該采用全新的審計流程來執行審計活動。徐瑾（2009）認為數據式審計流程應該分為數據采集、數據轉換、數據清理、數據分析四個階段。鄭偉等（2016）認為還應該包括數據存儲階段。程平和白沂（2016）將審計過程區分為審計大數據預處理以及大數據審計實施兩個階段，審計人員基于數據預處理形成的審計疑點來收集審計證據。這些觀點都強調以數據采集為起點，通過多維數據驗證產生的疑點來指導后續的審計程序。

在傳統審計環境下，審計人員收集到的主要是被審計單位內部的結構化的數據，通常來源于企業的ERP系統和CRM系統，數據收集范圍相對較窄。而在大數據環境下，大數據具有將以前從未量化過的內容以數據的形式呈現出來的能力，因此，審計人員可以采集得到的數據不僅包括公司內部的數據，還包括各種來源、各種形式的外部數據。這一方面大大拓寬了審計人員的視野，可能有利于提高審計效率和效果；另一方面，在這些數據中，存在大量與審計決策不相關的數據和模糊的數據，增加的信息負載也可能會干擾審計人員無法準確識別相關線索，對于這些數據的不當處理可能反而會降低審計的效率和效果。Alles and Gray（2018）認為，在審計環境中，漫無目的性的數據收集是否適當或可行是個問題。即使審計人員擁有完備的數據中心和數據平臺，通過對全部數據的挖掘和分析來發現疑點可能也并不符合成本效益原則。從這個意義上說，審計完全由數據驅動在目前的技術背景下仍然是一個有待商榷的問題。

（二）審計程序的變化

在傳統審計流程受到沖擊的情況下，原有的審計程序自然也會受到影響。已有文獻主要關注數據式審計模式對風險評估程序和控制測試程序的影響。

1.對風險評估程序的影響。關于風險評估程序在數據式審計模式下的地位和作用，目前學術界存在較大的爭議，這種爭議與前文提到的數據思維差異有關。一種觀點認為應以數據驅動審計，采用大數據分析技術使得審計人員有能力進行全樣本的審計（秦榮生，2014）。例如，劉杰等（2019）認為在數據式審計模式中，由于先進的數據分析技術的應用，如數據挖掘、數據分析、可視化分析技術以及區塊鏈技術等，全樣本審計成為可能，未來風險評估程序會成為不必要的審計程序。另一種觀點則認為應以數據分析輔助風險評估過程，大數據分析技術的運用能夠幫助審計人員對欺詐風險以及管理層舞弊風險進行更好的預測，從而有助于對風險的識別和評估。例如Min Cao等（2015）認為，出于成本效益原則的考慮，以及考慮到特定行業運用大數據分析在風險識別和評估方面取得的成功，將大數據技術運用于風險評估程序能夠幫助審計人員更好地識別被審計單位的經營風險和戰略風險，并通過各種因素之間的相關分析，幫助審計人員在需要高度職業判斷的領域（如持續經營、管理層舞弊、欺詐等）進行更準確的判斷，此外，核對各種來源獲得的證據也能幫助審計師在風險評估中進行更加全面的分析。

2.對控制測試程序的影響。傳統審計模式下，控制測試是用來評價被審計單位內部控制在防止、發現和糾正認定層次重大錯報方面的有效性的審計程序。而隨著人工智能、大數據、云計算、物聯網、區塊鏈技術的不斷發展，企業信息系統的風險越來越值得重視，審計人員對信息系統的設計、開發、使用和維護等流程的控制測試越來越重要。從數據式審計的提出至今，大多數學者都認同控制測試的重心應轉向信息系統的內部控制有效性，控制測試程序將轉變為信息系統審計。

四、實施數據式審計的關鍵要素

關于數據式審計模式的實施問題，已有文獻重點關注了以下關鍵要素：搭建數據審計平臺，數據質量的保障以及數據分析技術的應用等。

（一）審計平臺的構建

秦榮生（2014）認為，構建審計分析平臺是大數據、云計算技術在審計中運用的基礎項目建設工程。劉國城、王會金（2017）按照流程和功能將審計平臺分為采集、預處理、分析和可視化這四個子平臺，并對各個子平臺進行了更深層次的設計。

（二）數據質量的保障

大數據環境下，數據的范圍在不斷地擴大。審計人員面對的數據由結構化的數據不斷延伸擴展到網頁、物流數據、傳感器數據、電子郵件、電話、社交媒體數據以及其他內部和外部數據。為了確保審計結論的可靠性，審計人員需要確定其所依賴的數據能夠滿足質量要求。因此，數據質量問題成為審計領域關注的熱點。

Vasarhelyi（2008）和 Tufekci（2013）認為，大數據通常不能提供精確的信息，新聞文章、社交媒體等來源的數據可能會受到偏見的影響，從而降低數據的可靠性。Kyunghee Yoon等（2015）則從審計證據的充分性、可靠性和相關性的角度以及成本效益的角度出發，認為即使一般意義上大數據可靠程度相對較低，然而大數據（主要是指來自于外部的數據）通常是由外部生成的，并且是被審計人員所直接獲取的，因此，這類審計證據從來源來看可能更加可靠，并主張在審計中使用大數據作為補充的審計證據。Brown-Liburd等（2015）則認為如果沒有額外的調查，大數據分析產生的相關性證據并不能提供可靠和適當的審計證據，因此，大數據不應被用作唯一的證據來源。

面對數據質量的挑戰，Deniz Appelbaum（2016）認為，外部大數據的不可靠性主要是因為其真實來源的不確定性，這就意味著當審計人員利用大數據進行審計分析時，在一定程度上承擔了驗證這些數據可靠性的責任。基于此，Deniz Appelbaum提出了一個保證數據安全的來源收集系統──大數據來源黑箱。程鋮、李睿（2016）認為由于電子數據具有無形、易失和易改等不穩定的特性，并且在采集、存儲、使用和傳遞過程中存在信息泄漏等風險，因此在電子數據審計過程中，需要加強對電子數據的管理。程平、張礫（2017）基于對電子數據在產生、傳輸、存儲等整個動態過程中的特點分析，從可用性、安全性、可靠性、可審計性四個方面，在云會計的環境下構建了電子數據審計可信模型。

（三）數據分析技術的應用

大數據真正的價值并不在于數據量達到多少量級，而在于利用數據進行分析的價值。國內外學者對大數據分析技術在審計中的運用進行了廣泛的探討，相關研究集中于分析大數據環境和大數據分析技術對審計的影響，以及大數據分析在具體審計程序中的應用。

董伯坤（2007）認為數據式審計模式區別于傳統審計模式的一個顯著特點是將搭建審計分析模型作為數據式審計的核心環節。高浩瑋（2010）提出了構建審計中間庫/表等關鍵技術、運用平衡檢驗手段的數據式分析方法。程平等（2015）認為可以利用大數據的“相關分析”，找出數據集里隱藏的相互關系網，來對審計疑點進行預測與分析，并根據已有的方法模型來判斷被審計單位業務的真實性和合規性。陳偉、吳正等（2017）提出了利用Benford定律的原理，輔助審計人員發現海量數據中的異常數據。

2014年，美國會計學會的年度會議討論了大數據對于會計與審計的影響及其運用等問題，關注大數據分析技術在審計中的發展與應用。一些學者指出，大數據技術，如數據挖掘和數據分析（例如，預測建模）是有效的工具，可用于分析和評估欺詐風險，大數據分析工具可以被用于一些高風險的審計領域。Helen Brown-Liburd等（2015）認為審計人員可以在評估客戶業務風險、欺詐風險、內部控制、持續經營等方面利用數據挖掘技術與分析技術來分析外部數據。Christine E.Earley（2015）認為在審計中使用數據分析主要有四個方面的好處：測試更多的交易；通過對客戶流程更加深入的了解來提高審計質量；更容易發現審計中的欺詐現象；充分地利用外部數據更好地制定審計計劃（特別是風險評估）以及提供咨詢服務。Alles and Gray（2018）認為大數據分析技術對于注冊會計師而言，更為重要的可能是在計劃審計階段以及審計過程中通過分析預測不斷地調整預期。

相對于其他的大數據分析技術而言，可視化技術尤其引起了學術界和實務界的關注。該技術強調計算機的計算能力與人的認知和洞察能力的結合。Thomas，Cook（2005）將可視化技術定義為：一種通過交互式可視化界面來輔助用戶對大規模復雜數據集進行分析推理的科學與技術。在審計中運用可視化技術可以幫助審計人員更加直觀地發現數據背后的關系、規律與本質。美國注冊會計師協會（AICPA，2014）明確提出，用于分析大量數據的軟件（數據挖掘工具）以及更復雜的數據可視化工具可以潛在地提高個人理解數據的能力以及再現故事發生的可能性。陳偉和Smieliauskas Wally（2017）將可視化分析與SQL查詢分析以及目前的相關審計軟件分析進行了對比，認為可視化分析將成為今后主流的審計分析方法。陳偉、居江寧（2018）以某公立醫院是否存在藥品加成的違規行為的審計案例為背景，驗證了可視化分析技術的有效性，并進一步探討了可視化分析的優缺點和使用的條件。

五、研究展望

通過對已有文獻的回顧與梳理可以看出，學術界對于數據式審計的研究尚在探索階段，諸多理論和實踐難題尚待研究。筆者認為，未來有必要重點關注以下幾個方面的研究。

（一）關于審計流程的重構

在數據式審計模式下，基于數據分析形成的疑點是否全面和可靠很大程度上依賴于數據的質量和可獲得性。在目前情況下，各類組織之間，包括政府部門與企業之間，各政府部門之間以及各企業之間的數據壁壘依然存在，數據質量參差不齊，考慮到成本效益原則，審計目標的實現可以在多大程度上依賴于數據驅動尚待商榷，審計流程的重構既面臨難得的機遇，又面臨嚴峻的挑戰。

此外，大數據技術、人工智能、物聯網以及區塊鏈等技術的結合應用將大大推動審計流程的自動化。對于不涉及重大職業判斷的、重復性高的工作，如合同關鍵信息的識別與提取、銀行對賬單的核對、企業內部信息系統與外部信息系統數據的核對等，都可以通過自動化的審計程序來實現。但人工審計程序在涉及重大職業判斷的領域仍然不可或缺，因此，如何做好自動化審計流程和人工審計流程的對接與整合，是審計職業界亟待解決的重要課題。

（二）關于審計證據的獲取和評價

充分性和適當性是審計證據的基本特征，其中，適當性是對審計證據質量的評價，包含相關性和可靠性兩方面的要求。在傳統的審計環境下，審計證據有著明確的可靠性標準。但在數據式審計模式下，當審計取證的范圍延伸到網頁、傳感器、媒體等更加豐富的層面時，這些證據是否適用于傳統環境下“從被審計單位外部獨立來源獲取的審計證據比從其他來源取得的審計證據更為可靠”以及“直接獲取的審計證據比間接獲取或推論得出的審計證據更為可靠”等判斷標準呢？如果把證據的外部來源粗略地分為傳統實體機構（如政府機關、銀行、證券公司等）以及網絡媒介（如網絡媒體、社交網絡等），同樣是外部來源的證據，其可靠性是否存在著顯著的差異？如果傳統的審計證據評價標準不再適用，那么，又該如何對審計證據進行評價和規范呢？正是基于對這一問題的現實關切，2019年6月20日，美國注冊會計師協會審計準則委員會發布了關于“審計證據”的審計準則擬議說明，征求相關人士的建議。在這一背景下，我國是否也需要考慮推進有關“審計證據”準則的修訂？這些都迫切需要學術界和實務界做出科學的回答。

（三）關于審計風險控制

在數據式審計模式下，數據的采集是一系列后續審計工作的基礎。雖然信息技術的發展在很大程度上提高了數據的可獲得性和可驗證性，但如何確認數據源頭的安全性是擺在審計人員面前的現實難題。以區塊鏈技術為例，雖然區塊鏈具有去中心化、公開透明、不可篡改的特征，在企業中應用區塊鏈技術可以降低被審計單位的重大錯報風險，從而減小審計風險，但是區塊鏈技術無法防止篡改映射關系（Apte和 Petrovsky，2016），正如 CPA Canada和AICPA（2017）所強調的那樣，即使交易數據記錄在區塊鏈上，它們也可能是未經授權或不合規的，審計人員需要高度關注現實與數據之間的映射關系的真實性。此外，除了數據采集的完整性、數據質量等問題外，數據隱私問題也是審計人員面臨的重要挑戰，審計人員需要極其謹慎地在法律法規、社會倫理和職業道德的權衡之下尋求恰當的數據獲取手段和界限，這些都對數據式審計模式下的審計風險控制提出了更高的要求，也是未來法學、社會學與經濟學、管理學交叉研究的重要課題。