基于大數(shù)據(jù)風(fēng)險導(dǎo)向的審計質(zhì)量管控研究

黃磊 蔣源

（中國人民解放軍陸軍勤務(wù)學(xué)院，重慶 400030）

在“十四五”審計工作發(fā)展規(guī)劃中，國家提出要構(gòu)建全覆蓋的審計工作格局，形成高效的審計工作運行機制。國家對加強信息化技術(shù)手段運用，多維度創(chuàng)新技術(shù)方法，提高審計質(zhì)量管控效果提出了更高的要求。審計作為監(jiān)督經(jīng)濟建設(shè)的重要抓手，關(guān)于尋求大數(shù)據(jù)在審計實務(wù)中的應(yīng)用路徑仍處于摸索階段，在數(shù)據(jù)的采集分析、管理運用中因人為或環(huán)境因素帶來的審計風(fēng)險亟待解決。只有圍繞審計風(fēng)險進行精準(zhǔn)識別和重點防范，才能真正促進審計質(zhì)量管控水平有力提升。

一、大數(shù)據(jù)環(huán)境對審計質(zhì)量的影響

審計工作的質(zhì)量高低主要取決于審計部門的質(zhì)量管理水平，在實施過程中要保證質(zhì)量管理的持續(xù)性、及時性和全覆蓋。大數(shù)據(jù)環(huán)境下，審計工作實施的全方位管理、全過程管理和全樣本管理，可以滿足審計質(zhì)量控制的現(xiàn)實需求。

（一）大數(shù)據(jù)審計的全方位管理

全方位管理指的是將審計質(zhì)量管理貫徹到所有審計工作上，在復(fù)雜的數(shù)據(jù)資源中采集有用信息并以此編制審計計劃，分析歷史數(shù)據(jù)確定審計重點，同時結(jié)合人力資源數(shù)據(jù)合理分配審計任務(wù)。在風(fēng)險導(dǎo)向?qū)徲嬆Ｊ较拢瑐鹘y(tǒng)的審計報告作為審計賦能的主要載體，所含信息量少，難以滿足被審計單位的質(zhì)量管理改進要求和其他行業(yè)相關(guān)者全面的信息服務(wù)需求[1]。但隨著大數(shù)據(jù)的發(fā)展，審計工作逐漸突破了傳統(tǒng)的孤島效應(yīng)，形成了“數(shù)據(jù)集成、業(yè)務(wù)統(tǒng)籌、系統(tǒng)綜合”的一體化發(fā)展路徑，審計數(shù)據(jù)不僅可以實時被審計單位吸收運用，而且可以數(shù)據(jù)共享推動行業(yè)發(fā)展。

（二）大數(shù)據(jù)審計的全過程管理

審計的全過程主要包含審計準(zhǔn)備、實施和報告階段，各階段業(yè)務(wù)的實施需要融入質(zhì)量管理要求。隨著大數(shù)據(jù)技術(shù)的進步，傳統(tǒng)的事后審計逐步向持續(xù)性審計發(fā)展，在共享數(shù)據(jù)的不斷迭代中將審計貫穿于經(jīng)濟事項的全過程，充分發(fā)揮其預(yù)警和監(jiān)測作用。在審計準(zhǔn)備階段，通過數(shù)據(jù)采集分析，尋找高價值信息，確定審計重點；在審計實施階段，結(jié)合風(fēng)險導(dǎo)向?qū)徲嬆Ｊ剑_定錯報率較高的區(qū)域，深入挖掘分析；在審計報告階段，突破原有的財務(wù)信息限制，量身定制研究報告。大數(shù)據(jù)審計在履行監(jiān)管的同時，也能夠向被審計單位反饋實時意見，協(xié)助優(yōu)化業(yè)務(wù)程序以及規(guī)范內(nèi)控制度，充分體現(xiàn)出審計的附加價值，擴大了審計的邊際效能。

（三）大數(shù)據(jù)審計的全樣本管理

傳統(tǒng)的審計受技術(shù)水平和樣本空間的限制，取證的過程主要以抽樣方式進行，但信息環(huán)境的改變使得數(shù)據(jù)體量陡增，原本合理的抽樣審計方式，已不能客觀評價被審計事項的準(zhǔn)確性。在現(xiàn)有的大數(shù)據(jù)環(huán)境下，所有數(shù)據(jù)都可以成為被分析的對象，并直接影響審計結(jié)果[2]。全樣本管理主要是指對數(shù)據(jù)的采集、存儲、分析等環(huán)節(jié)的把控，重點是提高數(shù)據(jù)的質(zhì)量標(biāo)準(zhǔn)。通過全樣本數(shù)據(jù)的解構(gòu)分析，不僅能夠解決傳統(tǒng)審計片面化的問題，而且可以提高審計的結(jié)果運用。

二、大數(shù)據(jù)審計風(fēng)險分析

大數(shù)據(jù)審計的主要任務(wù)是從紛繁復(fù)雜的數(shù)據(jù)中發(fā)現(xiàn)風(fēng)險點進而挖掘?qū)徲嬀€索，做出審計判斷。在整個過程中，需要面對系統(tǒng)結(jié)構(gòu)復(fù)雜、信息來源多樣以及網(wǎng)絡(luò)安全威脅等情況，導(dǎo)致審計業(yè)務(wù)實施面臨巨大的風(fēng)險，主要體現(xiàn)在以下幾個方面。

（一）大數(shù)據(jù)審計的數(shù)據(jù)采集風(fēng)險

一是數(shù)據(jù)采集的固有風(fēng)險。日常業(yè)務(wù)流轉(zhuǎn)時，可能會因系統(tǒng)固有漏洞產(chǎn)生一些不良數(shù)據(jù)，在存儲服務(wù)器端按照固定的程序正常運行，極易因被審計單位內(nèi)部不健全的預(yù)檢機制忽略，導(dǎo)致錯誤數(shù)據(jù)正常采集，混雜于整體數(shù)據(jù)之中；加之各業(yè)務(wù)處理階段的數(shù)據(jù)質(zhì)量管控環(huán)節(jié)設(shè)置不嚴(yán)密，使得錯誤數(shù)據(jù)層層掩蓋，尤其是繞過關(guān)鍵環(huán)節(jié)辦理的業(yè)務(wù)，完全跳出信息監(jiān)管，將直接影響數(shù)據(jù)采集的全覆蓋。

二是數(shù)據(jù)采集的真實性亟待辨別。影響數(shù)據(jù)真實性的因素有很多，為防止大數(shù)據(jù)審計中的假賬真查，必須要保證數(shù)據(jù)本身的可靠。首先獲取數(shù)據(jù)方式的多樣化使得監(jiān)管難度成倍增加，審計部門應(yīng)獲取的數(shù)據(jù)不僅來源于被審計單位，還需要針對具體審計內(nèi)容選取外部數(shù)據(jù)，尤其是公共網(wǎng)絡(luò)渠道采集的數(shù)據(jù)，其真實性、可靠性難以鑒別[3]。其次在跨地域?qū)徲嬛校粚徲嬳椖繑?shù)據(jù)不是系統(tǒng)運行生成的，多以表格登記形式記錄，容易存在人為調(diào)整甚至虛假編報的情況。

三是數(shù)據(jù)采集時效存在割裂風(fēng)險。目前各審計部門數(shù)據(jù)采集大部分仍停留在按需獲取階段，與被審計單位間的數(shù)據(jù)訪問和數(shù)據(jù)共享機制并未建立，為獲得更全面的數(shù)據(jù)帶來了障礙。審計部門獲取的數(shù)據(jù)多是相關(guān)單位被動整理上報，其中存在個別單位以行業(yè)機密為借口，刪減完整數(shù)據(jù)的情況，導(dǎo)致數(shù)據(jù)中存在時間空當(dāng)，影響審計取證的連續(xù)性，造成數(shù)據(jù)割裂風(fēng)險。

四是數(shù)據(jù)采集完整性風(fēng)險。要實現(xiàn)全面的線索剖析，必須要采集大量的不同來源數(shù)據(jù)，除了提供內(nèi)部數(shù)據(jù)外，還需要外部數(shù)據(jù)支撐。當(dāng)個別被審計單位每日產(chǎn)生數(shù)千萬條數(shù)據(jù)時，會給數(shù)據(jù)采集帶來巨大的壓力，加之雙方信息化程度的不同，系統(tǒng)邏輯檢驗不完善，也容易導(dǎo)致采集出現(xiàn)數(shù)據(jù)遺失或損毀等情況，嚴(yán)重影響數(shù)據(jù)完整性。

（二）大數(shù)據(jù)審計的數(shù)據(jù)存儲風(fēng)險

一是數(shù)據(jù)存儲技術(shù)薄弱風(fēng)險。各級審計部門軟硬件配套基礎(chǔ)不同，再加上人力物力的差異性發(fā)展，要將不同被審計單位的非同源數(shù)據(jù)集成整合，現(xiàn)有的技術(shù)仍不足以支持其完全實現(xiàn)。另外，要實現(xiàn)大數(shù)據(jù)環(huán)境下巨量的數(shù)據(jù)存儲，突破技術(shù)壁壘本身就是發(fā)展大數(shù)據(jù)審計的關(guān)鍵所在。二是存儲數(shù)據(jù)被惡意攻擊風(fēng)險。大量敏感數(shù)據(jù)的存儲，由于其含有潛在的可以反映被審計單位機密的信息，如用戶的密碼、個人身份等，再加上集中存儲的特性，容易吸引外來的惡意攻擊，導(dǎo)致數(shù)據(jù)被竊取或損毀。三是數(shù)據(jù)災(zāi)難恢復(fù)風(fēng)險。不同于審計機關(guān)的數(shù)據(jù)擁有云端服務(wù)器存儲的條件，可以實現(xiàn)基本的可控備份功能，大部分基層審計部門采用的是簡單的主機和外置硬盤存儲方式，一旦出現(xiàn)設(shè)備的損毀，將給持續(xù)性審計工作帶來毀滅打擊。四是外部安全管理風(fēng)險。受數(shù)據(jù)運維公司的安全管理和技術(shù)人員專業(yè)水平的影響，當(dāng)出現(xiàn)管理人員不掌握數(shù)據(jù)存儲架構(gòu)、數(shù)據(jù)訪問機制以及存儲設(shè)備運行情況時，容易喪失對數(shù)據(jù)運維操作的有效審核。對外部操作人員的監(jiān)管主要立足于運維公司自身，審計部門的作用發(fā)揮不明顯，總體欠缺多級復(fù)核機制，同樣容易造成安全風(fēng)險。

（三）大數(shù)據(jù)審計的數(shù)據(jù)分析風(fēng)險

一是數(shù)據(jù)分析的系統(tǒng)漏洞風(fēng)險。大數(shù)據(jù)審計必須把握一個基本認(rèn)知，不能輕易確認(rèn)被審計單位提供的數(shù)據(jù)是可靠的。系統(tǒng)開發(fā)的不完善以及配套更新的緩慢容易導(dǎo)致固有漏洞的出現(xiàn)，并持續(xù)影響數(shù)據(jù)安全性和準(zhǔn)確性，使分析結(jié)果差異甚遠(yuǎn)。二是分析平臺的選擇風(fēng)險。數(shù)據(jù)分析的開展必須要選擇合適的審計平臺和工具。不同類別平臺分析重點和分析結(jié)果運用的差異較大，在當(dāng)前可選平臺較多的情況下，因選擇不恰當(dāng)導(dǎo)致的審計風(fēng)險同樣值得關(guān)注。三是基礎(chǔ)數(shù)據(jù)的復(fù)雜性風(fēng)險。當(dāng)前數(shù)據(jù)分析采用的方法主要是SQL數(shù)據(jù)查詢、統(tǒng)計分析法以及審計抽樣等，但多樣性的數(shù)據(jù)源、實時的更新壓力、數(shù)據(jù)提純的不同需求等復(fù)雜因素都會提高數(shù)據(jù)分析的難度，帶來審計風(fēng)險。在傳統(tǒng)數(shù)據(jù)審計向大數(shù)據(jù)審計轉(zhuǎn)換的過渡區(qū)間中，若基礎(chǔ)系統(tǒng)和軟件難以應(yīng)對體量激增以及數(shù)據(jù)復(fù)雜性帶來的風(fēng)險，必定會影響最終的分析結(jié)果和后期的監(jiān)督效力。

（四）大數(shù)據(jù)審計的法規(guī)風(fēng)險

一是現(xiàn)有法規(guī)對大數(shù)據(jù)審計實施指導(dǎo)性不強。完善的審計法規(guī)體系可以對審計工作的實施提供依據(jù)，也可以對審計主體和客體進行規(guī)范，降低審計風(fēng)險。目前，國家審計的相關(guān)法規(guī)對于大數(shù)據(jù)審計的具體指導(dǎo)仍有不足，在能否定期獲取企業(yè)、金融與政府機構(gòu)的數(shù)據(jù)信息，大數(shù)據(jù)采集、運輸和存儲如何規(guī)范運行以及數(shù)據(jù)分析結(jié)果是否可以作為審計結(jié)論的基本支撐上仍不明確。這將嚴(yán)重影響大數(shù)據(jù)技術(shù)在審計工作中的有效運用，使得傳統(tǒng)的審計風(fēng)險依舊存在。二是缺乏精細(xì)化的法規(guī)支持。新修訂的《中華人民共和國審計法》明確，審計機關(guān)有權(quán)要求被審計單位按規(guī)定提供會計以及與財政收支有關(guān)的業(yè)務(wù)、管理等資料，包括電子資料，同時被審計單位應(yīng)配合審計機關(guān)核實相關(guān)情況。雖然此處已有明確的要求，但界定審計機關(guān)是否可以實時聯(lián)網(wǎng)監(jiān)管業(yè)務(wù)更新數(shù)據(jù)，以及是否可以采集涉密級別較高的審計相關(guān)數(shù)據(jù)時，并沒有更為精細(xì)的法規(guī)給大數(shù)據(jù)審計的權(quán)利范圍進行明確。

三、基于大數(shù)據(jù)風(fēng)險導(dǎo)向的審計質(zhì)量管控措施

為防范大數(shù)據(jù)審計風(fēng)險，最大限度降低對于審計質(zhì)量的影響，可以基于風(fēng)險導(dǎo)向從以下幾個方面進行管控。

（一）大數(shù)據(jù)審計數(shù)據(jù)采集風(fēng)險下的質(zhì)量管控

一是改進數(shù)據(jù)采集方法。從前文分析可知，受數(shù)據(jù)量大、構(gòu)成復(fù)雜以及數(shù)據(jù)產(chǎn)生的固有風(fēng)險等因素影響，數(shù)據(jù)的采集仍主要區(qū)分聯(lián)網(wǎng)自動采集和定期報送采集兩種方式。因此在立足現(xiàn)有資源條件下，可以二者結(jié)合以減少風(fēng)險。針對審計周期不固定、聯(lián)網(wǎng)采集條件不具備的單位，采集階段的管控重點主要是要求被審計單位按規(guī)定格式提供的數(shù)據(jù)，在加密拷貝后，嚴(yán)格落實交接制度以有效把控數(shù)據(jù)質(zhì)量。針對需定期審計并具備聯(lián)網(wǎng)采集條件的單位，重點是選擇好恰當(dāng)?shù)墓_數(shù)據(jù)源，加強數(shù)據(jù)核查，保證公開數(shù)據(jù)的準(zhǔn)確性和可靠性。

二是搭建審計數(shù)據(jù)平臺。要想保證數(shù)據(jù)源的質(zhì)量，應(yīng)該要實現(xiàn)采集過程的橫縱關(guān)聯(lián)、相互穿透。一方面是推動橫向上各機構(gòu)與行業(yè)的數(shù)據(jù)標(biāo)準(zhǔn)化關(guān)聯(lián)，實現(xiàn)大數(shù)據(jù)渠道共通和效能共享，推動全樣本審計。另一方面在數(shù)據(jù)平臺的基本架構(gòu)和歷史數(shù)據(jù)積累的基礎(chǔ)上，充分利用諸如軟件機器人、網(wǎng)絡(luò)爬蟲等新技術(shù)手段實施數(shù)據(jù)的深入挖掘，通過增加數(shù)據(jù)查全率以提高審計取證質(zhì)量。

三是完善數(shù)據(jù)跟蹤機制。數(shù)據(jù)的跟蹤機制主要是指對數(shù)據(jù)的全流程管控，監(jiān)督數(shù)據(jù)的產(chǎn)生到固化存儲。為此，各級政府和企事業(yè)單位應(yīng)該支持本級審計部門，加強信息基礎(chǔ)設(shè)施建設(shè)，推進大數(shù)據(jù)訪問和共享平臺落地，逐步建立自主采集預(yù)警的長效跟蹤機制，這樣不僅可以解決數(shù)據(jù)采集不連續(xù)的問題，也可以防范被審計單位篡改數(shù)據(jù)。

（二）大數(shù)據(jù)審計數(shù)據(jù)存儲風(fēng)險下的質(zhì)量管控

一是重點加強數(shù)據(jù)的安全管理。要防范數(shù)據(jù)存儲風(fēng)險主要是加強存儲中的安全管理，在整體上要通過審計數(shù)據(jù)平臺擴展監(jiān)管窗口，實現(xiàn)平臺和被審計單位的雙報警機制。數(shù)據(jù)區(qū)分不同保密級別和邏輯特征采取物理隔絕的服務(wù)器存儲或者云平臺的聯(lián)網(wǎng)管理，通過內(nèi)部設(shè)置訪問權(quán)限、多點自動存儲備份方式，避免數(shù)據(jù)的丟失、外泄，確保數(shù)據(jù)安全。二是增強業(yè)務(wù)連續(xù)性。業(yè)務(wù)連續(xù)性主要是指審計業(yè)務(wù)在受到外界災(zāi)難影響時，能夠繼續(xù)展開，并將影響力降至最低。因此，需要建設(shè)可以在規(guī)定時間內(nèi)恢復(fù)數(shù)據(jù)管理和業(yè)務(wù)運行的基礎(chǔ)設(shè)施，增強持續(xù)性對外服務(wù)的技術(shù)管控手段。三是健全數(shù)據(jù)管理制度。依據(jù)《中華人民共和國數(shù)據(jù)安全法》《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》等法規(guī)要求，完善應(yīng)急處置相關(guān)程序，及時修訂相關(guān)預(yù)案，提高數(shù)據(jù)安全響應(yīng)能力。同時與網(wǎng)絡(luò)運維機構(gòu)和政府相關(guān)部門建立安全協(xié)同機制，加強運維服務(wù)人員管理，共同強化風(fēng)險應(yīng)對能力。

（三）大數(shù)據(jù)審計數(shù)據(jù)分析風(fēng)險下的質(zhì)量管控

一是改進數(shù)據(jù)分析方法。大數(shù)據(jù)分析技術(shù)目前仍處于發(fā)展階段，現(xiàn)有的工具無法解決所有問題，需要多方共同在軟硬件上下功夫。知識圖譜、機器學(xué)習(xí)以及文本處理等技術(shù)已經(jīng)得到推廣運用，這些方法可以提高審計分析質(zhì)量，有效降低基礎(chǔ)數(shù)據(jù)復(fù)雜的風(fēng)險。為了滿足大數(shù)據(jù)分析的需要，仍需進一步研究如何將高性能算法與數(shù)據(jù)挖掘技術(shù)應(yīng)用于大數(shù)據(jù)審計中，全面拓展至圖像、視頻等非結(jié)構(gòu)化數(shù)據(jù)上，更好地發(fā)現(xiàn)審計線索，減少檢查風(fēng)險。

二是優(yōu)化人才培養(yǎng)模式。審計行業(yè)與專業(yè)審計人才的不均衡發(fā)展，是造成大數(shù)據(jù)技術(shù)與審計實踐融合困難的主要原因。要培養(yǎng)審計專業(yè)人才，主要是在培訓(xùn)上下功夫。一方面要突出培訓(xùn)項目的實用性和先進性，可以根據(jù)審計行業(yè)的發(fā)展現(xiàn)狀制定培訓(xùn)計劃，結(jié)合具體審計案例組織實操，提高培訓(xùn)質(zhì)量；另外在技術(shù)培訓(xùn)上，除了常用的SQL Server數(shù)據(jù)庫、大數(shù)據(jù)可視化工具Python、Gephi外，還需要緊跟技術(shù)趨勢，加大對社交網(wǎng)絡(luò)分析、圖形數(shù)據(jù)庫等流行大數(shù)據(jù)分析技術(shù)進行培訓(xùn)，提高數(shù)據(jù)分析質(zhì)量。

（四）大數(shù)據(jù)審計法規(guī)風(fēng)險下的質(zhì)量管控

一是推動相關(guān)法規(guī)制度建設(shè)。大數(shù)據(jù)融入審計工作是新時代的必然趨勢，作為審計發(fā)展的必要支撐，完善相關(guān)法規(guī)制度是推動其穩(wěn)步前進的關(guān)鍵環(huán)節(jié)。在制度層面上要規(guī)范好獲取數(shù)據(jù)的法律授權(quán)范圍，為數(shù)據(jù)分析結(jié)論作為有效審計結(jié)果提供法律保障。通過對數(shù)據(jù)的隱私保護、協(xié)議保障等內(nèi)容的風(fēng)險責(zé)任認(rèn)定，可以加強對整個網(wǎng)絡(luò)服務(wù)環(huán)境的監(jiān)管和規(guī)范，保障數(shù)據(jù)信息的安全。二是完善與其他法規(guī)的執(zhí)行銜接。大數(shù)據(jù)審計的推進離不開政府和行業(yè)協(xié)會的頂層設(shè)計，在完善大數(shù)據(jù)審計相關(guān)法規(guī)的同時，還需要進一步加強執(zhí)行監(jiān)管，有效推動大數(shù)據(jù)審計的健康發(fā)展。在各級審計機關(guān)規(guī)章建設(shè)上，要明確大數(shù)據(jù)審計的組織方式和工作流程，建立協(xié)同機制，尤其是審計實施中發(fā)生制度沖突時，強調(diào)好審計的可覆蓋范圍，完善與其他法規(guī)的執(zhí)行銜接，推動審計工作在國家法律法規(guī)體系下的深度發(fā)展。

四、結(jié)束語

隨著科技的迅猛發(fā)展和經(jīng)濟水平的不斷提高，大數(shù)據(jù)技術(shù)在審計領(lǐng)域的運用更加廣泛，給審計模式、審計方法和審計管理都帶來了巨大變化。各級審計部門要加強大數(shù)據(jù)環(huán)境下的審計質(zhì)量管控，研究大數(shù)據(jù)審計的風(fēng)險趨勢，逐步加強對數(shù)據(jù)采集、存儲、分析以及法規(guī)制度等方面的建設(shè)，提升總體的審計質(zhì)量水平，發(fā)揮好大數(shù)據(jù)審計的服務(wù)效率和治理效能。