◆曾虹 李立賢 曹越湘 李昌霖

1.益陽職業(yè)技術(shù)學院 2.湖南省益陽市審計局 3.湖南大學

2021年6月，審計署印發(fā)《“十四五”國家審計工作發(fā)展規(guī)劃》，著力構(gòu)建全面覆蓋的審計工作格局，對加強審計技術(shù)方法創(chuàng)新，充分運用現(xiàn)代信息技術(shù)開展審計，提高審計質(zhì)量和效率，健全審計質(zhì)量控制體系提出了要求。審計全覆蓋會造成審計任務量增加，同時也會引發(fā)審計中海量數(shù)據(jù)獲取、存儲及處理繁瑣問題。傳統(tǒng)的審計方式與手段已無法適應審計全覆蓋的要求。改進國家審計技術(shù)與方法，運用大數(shù)據(jù)審計能提高審計機關(guān)審計效率，從而實現(xiàn)審計監(jiān)督全覆蓋目標。然而大數(shù)據(jù)審計目前仍處在發(fā)展階段，數(shù)據(jù)的采集與管理、存儲和運用仍存在一些問題，給審計帶來了風險，亟需探索與解決。

一、大數(shù)據(jù)審計的風險分析

（一）大數(shù)據(jù)審計的法律法規(guī)風險

1.大數(shù)據(jù)審計法律法規(guī)停留于指導性文件層面。近年來，審計署多次印發(fā)大數(shù)據(jù)審計相關(guān)的指導性文件，進一步指導和規(guī)范計算機數(shù)據(jù)審計行為，保障審計質(zhì)量，提高審計效率。但現(xiàn)行審計法規(guī)和《中華人民共和國國家審計準則》尚未體現(xiàn)大數(shù)據(jù)審計的內(nèi)容，對于利用大數(shù)據(jù)審計方法進行數(shù)據(jù)收集、儲存、管理和分析的整個流程暫時沒有相關(guān)法規(guī)作為依據(jù)，這一現(xiàn)狀阻礙了大數(shù)據(jù)審計的進一步發(fā)展和審計技術(shù)的普及。審計機關(guān)利用大數(shù)據(jù)技術(shù)定期搜集和存儲政府部門、金融機構(gòu)、企事業(yè)單位的數(shù)據(jù)信息，需要獲得法律授權(quán)；審計機關(guān)利用大數(shù)據(jù)技術(shù)的流程及標準，合理的數(shù)據(jù)存儲、共享和管理方式需要法律法規(guī)進行規(guī)范；審計機關(guān)利用大數(shù)據(jù)技術(shù)跨部門跨領(lǐng)域查詢比對所獲得的審計證據(jù)、得出的審計結(jié)論，其效力需要法律法規(guī)進行確認。

2.缺乏明確政策法規(guī)支持。中共中央辦公廳、國務院辦公廳《關(guān)于完善審計制度若干重大問題的框架意見》及配套文件中明確提出，構(gòu)建大數(shù)據(jù)審計工作模式，構(gòu)建國家審計數(shù)據(jù)系統(tǒng)和數(shù)字化審計平臺，探索建立審計實時監(jiān)督系統(tǒng)，實施聯(lián)網(wǎng)審計。但上述政策文件精神尚未轉(zhuǎn)化為法律法規(guī)。2021年10月23日新修訂的《中華人民共和國審計法》（以下簡稱《審計法》）第三十四條規(guī)定，審計機關(guān)有權(quán)要求被審計單位按照審計機關(guān)的規(guī)定提供資料，包括電子數(shù)據(jù)和有關(guān)文檔。審計機關(guān)對取得的電子數(shù)據(jù)等資料進行綜合分析，需要向被審計單位核實有關(guān)情況的，被審計單位應當予以高度配合。這些要求都建立在審計工作范疇之內(nèi)，然而在具體項目中由于部分精神尚未轉(zhuǎn)化成法律法規(guī)，給大數(shù)據(jù)審計模式的合法性和權(quán)力邊界的確定帶來了困擾。

（二）大數(shù)據(jù)審計的數(shù)據(jù)采集風險

1.被審計單位通過業(yè)務流程產(chǎn)生的數(shù)據(jù)存在固有風險。有的被審計單位內(nèi)部控制體系不健全或執(zhí)行不嚴，不能及時預防或檢測出存在的重大錯誤，審計時將存在重大錯誤的數(shù)據(jù)當成一般數(shù)據(jù)進行分析處理，難以識別存在的問題。有的被審計單位內(nèi)控制度對審核程序設計不嚴密，上一階段形成的業(yè)務數(shù)據(jù)存在的重大錯誤沒有被發(fā)現(xiàn)，下一個階段的業(yè)務又繼續(xù)辦理，掩蓋了重大錯誤；極個別業(yè)務人員繞過業(yè)務流程，在流程之外辦理業(yè)務，該業(yè)務數(shù)據(jù)沒有錄入信息系統(tǒng)，導致業(yè)務數(shù)據(jù)不全。

2.采集的數(shù)據(jù)真實性難以保證。目前，各地市（州）審計局每年除政府預算執(zhí)行審計需要上報財政數(shù)據(jù)到省審計廳外，其它項目均未集中上報數(shù)據(jù)，即使上報也無法保證數(shù)據(jù)的真實性和準確性。對被審計單位提供的或被處理過的數(shù)據(jù)缺少有效驗證方法；對業(yè)務數(shù)據(jù)在其上級主管部門不在基層的，數(shù)據(jù)的真實性和準確性無法保證。如工商、車輛和貧困人員等數(shù)據(jù)，無法連續(xù)提供或以表格的形式提供，導致存在人為修改數(shù)據(jù)的問題；個別被審計單位出于不同的目的，用虛假資料捏造經(jīng)濟業(yè)務數(shù)據(jù)。

3.數(shù)據(jù)割裂、不連續(xù)的風險。目前，各級審計機關(guān)與被審計單位之間的信息系統(tǒng)尚未完全建立數(shù)據(jù)訪問與共享機制，審計大數(shù)據(jù)的獲取仍停留在按需收集的階段。雖然審計部門每年都能獲得財政、單位財務等主要數(shù)據(jù)，以及社保、殘聯(lián)、公安、工商、貧困人員等方面的輔助數(shù)據(jù)，但這些數(shù)據(jù)都是被動獲得，并非相關(guān)部門主動收集、整理上報，因此未被安排開展審計的單位或行業(yè)，以保密或其他理由為借口，不提供或不完全提供相關(guān)數(shù)據(jù)，導致數(shù)據(jù)在時間上不連續(xù)，在內(nèi)容上出現(xiàn)割裂和碎片化的現(xiàn)象。

4.數(shù)據(jù)時效性不強，存在錯誤、冗余、難關(guān)聯(lián)的風險。一是信息系統(tǒng)管理人員嚴重缺失，很多部門信息系統(tǒng)已建立多年卻不能有效使用，數(shù)據(jù)時效性不強，收集的數(shù)據(jù)口徑不一，出現(xiàn)不同程度的錯誤、冗余；二是各部門各自為政現(xiàn)象較為明顯，部門間的數(shù)據(jù)很難實現(xiàn)共享，審計機關(guān)收集的數(shù)據(jù)必須經(jīng)過整理后才能關(guān)聯(lián)；三是各行業(yè)的信息系統(tǒng)在開發(fā)前對基層業(yè)務流程調(diào)研不足，導致開發(fā)的信息系統(tǒng)與業(yè)務流程脫節(jié)，業(yè)務人員不能完全在信息系統(tǒng)中辦理日常業(yè)務，業(yè)務流程走完后還要錄入一次，既浪費人力物力，又不能保證數(shù)據(jù)的完整性；四是信息系統(tǒng)邏輯檢驗不嚴，該錄入的數(shù)據(jù)不錄入也沒有提示，導致形成的數(shù)據(jù)前后矛盾，有的甚至為空。

5.信息系統(tǒng)存在的漏洞風險。信息系統(tǒng)本身存在的漏洞在審計過程中往往被忽視。究其原因主要是信息系統(tǒng)的建立與維護大部分是由第三方專業(yè)機構(gòu)負責，在使用過程中根據(jù)實際操作的便利性調(diào)整相關(guān)模塊，但對流程的合理性、權(quán)力的監(jiān)管情況考慮不完善。各部門使用的信息系統(tǒng)，有的是自行開發(fā)的，在系統(tǒng)設計時根本就沒有考慮數(shù)據(jù)規(guī)范化的問題；有的是上級主管部門委托企業(yè)開發(fā)設計的，在開發(fā)時沒有進行充分調(diào)查，系統(tǒng)操作不簡便，基層業(yè)務人員不容易使用；有的系統(tǒng)短時間內(nèi)不斷升級，甚至新版本完全拋棄老版本，致使新老版本數(shù)據(jù)不兼容，老版本形成的歷史數(shù)據(jù)也被拋棄，形成數(shù)據(jù)斷代。

（三）大數(shù)據(jù)審計數(shù)據(jù)管理風險

數(shù)據(jù)管理風險主要表現(xiàn)為數(shù)據(jù)在存儲和傳輸過程中出現(xiàn)丟失、泄密或銷毀等管理工作風險。一是工作人員的計算機及移動存儲介質(zhì)等發(fā)生遺失、機房設備防災能力不強的風險；二是在大數(shù)據(jù)的集中存儲過程中，由于安全防護不到位，數(shù)據(jù)網(wǎng)絡加密不足，攻擊者利用數(shù)據(jù)挖掘和分析技術(shù)進行攻擊，從而竊取或破壞數(shù)據(jù)的風險；三是由于審計人員違規(guī)使用互聯(lián)網(wǎng)傳送數(shù)據(jù)，或是使用非專用設備處理涉密信息導致的數(shù)據(jù)泄露等風險；四是部分安全管理人員業(yè)務素質(zhì)不高，對網(wǎng)絡拓撲、設備狀態(tài)、策略配置等了解不夠，存在無法對第三方運維公司的操作進行有效審核把關(guān)的風險；五是對第三方運維公司的管理不夠嚴格，市縣審計機關(guān)普遍未與第三方運維人員簽訂數(shù)據(jù)安全保密協(xié)議，存在安全隱患的風險；六是終端和移動存儲管控不嚴，只有少數(shù)審計機關(guān)制定或部署了審計專網(wǎng)和本級分析網(wǎng)準入策略，個別審計機關(guān)審計專網(wǎng)終端和互聯(lián)網(wǎng)終端混用，存在數(shù)據(jù)風險。

（四）數(shù)據(jù)分析和使用風險

1.系統(tǒng)出現(xiàn)漏洞所引發(fā)的風險。片面針對被審計單位的相關(guān)數(shù)據(jù)進行分析，而忽略對被審計單位業(yè)務信息系統(tǒng)的安全性與可靠性的關(guān)注。如果被審計單位系統(tǒng)出現(xiàn)重大漏洞，會對分析結(jié)果產(chǎn)生影響。

2.數(shù)據(jù)分析與審計業(yè)務人員溝通不足存在的風險。審計人員與數(shù)據(jù)分析人員之間溝通交流不充分，審計人員不能用數(shù)據(jù)思維提出審計思路，分析人員不能完全理解審計思路，導致數(shù)據(jù)分析結(jié)果與審計思路不同軌、不同向，從而影響審計質(zhì)量，埋下風險隱患。

3.電子數(shù)據(jù)存在被篡改和偽造的風險。一方面電子證據(jù)存儲在介質(zhì)中，復制不影響其完整性，相較紙質(zhì)證據(jù)而言，不易區(qū)分原件和復印件；另一方面電子證據(jù)容易被人為篡改或偽造，也存在數(shù)據(jù)滅失和失實的風險。因此，審計人員面臨著保證從原始數(shù)據(jù)到最終審計證據(jù)的證據(jù)鏈的完整性，保證電子數(shù)據(jù)生成的證據(jù)具有審計證明力的風險。

（五）大數(shù)據(jù)審計的疑點核查風險

大數(shù)據(jù)審計是人機結(jié)合的系統(tǒng)工程，大數(shù)據(jù)審計分析出的疑點和線索，是一個信息采集、抽樣、建模、處理、分析的過程，數(shù)據(jù)是核心組成部分。由于數(shù)據(jù)自身的特性，在審計人員取證過程中會面臨信息質(zhì)量的風險。該環(huán)節(jié)的風險主要表現(xiàn)在：一是下發(fā)的審計疑點質(zhì)量風險。下發(fā)的審計疑點只有篩選后的結(jié)果，未附相關(guān)審計思路以及疑點違規(guī)方向，核實人員在進行核實時一頭霧水，被審計單位也存在困惑。二是能力和責任心不足導致疑點落實錯誤風險。由于基層審計機關(guān)業(yè)務人員較少，工作責任落實不到位和綜合性人才缺乏，審計人員消極完成工作任務導致的風險。

二、大數(shù)據(jù)審計的風險防控對策

（一）完善大數(shù)據(jù)審計法律法規(guī)建設

1.應從國家層面加大法律制度完善研究力度。一是從制度層面上規(guī)范審計機關(guān)利用大數(shù)據(jù)技術(shù)采集、存儲相關(guān)部門信息和根據(jù)審計機關(guān)要求定期報送數(shù)據(jù)信息的法律授權(quán)方式；二是根據(jù)大數(shù)據(jù)技術(shù)的流程及標準，制定合理的數(shù)據(jù)存儲、共享和管理的法律法規(guī)；三是為大數(shù)據(jù)審計中獲得的審計證據(jù)、得出的審計結(jié)論效力提供法律法規(guī)保障。

2.加強各級審計機關(guān)規(guī)章制度建設。一要加強組織領(lǐng)導，統(tǒng)籌業(yè)務和技術(shù)力量，將大數(shù)據(jù)審計貫穿審計項目全過程；二要健全大數(shù)據(jù)審計工作機制，明確大數(shù)據(jù)審計的組織方式、人員配備和工作流程等內(nèi)容；三要完善大數(shù)據(jù)審計協(xié)同機制與疑點反饋機制，推動大數(shù)據(jù)分析技術(shù)與審計業(yè)務的更深層次的融合。

（二）大數(shù)據(jù)審計數(shù)據(jù)采集方面的風險防控

1.規(guī)范大數(shù)據(jù)審計數(shù)據(jù)采集方式方法。一是要做好采集前的準備。根據(jù)審計目標，充分調(diào)研，了解審計所需采集的數(shù)據(jù)；通過與被審計單位相關(guān)人員接觸，熟悉被審計單位的數(shù)據(jù)信息系統(tǒng)流程和數(shù)據(jù)信息結(jié)構(gòu)；根據(jù)審計目標和了解的情況，提出明確的數(shù)據(jù)采集需求。二是制定科學的采集流程，并嚴格按照流程進行操作。審計人員不應直接接觸被審計單位系統(tǒng)和后臺數(shù)據(jù)庫，而是要提出操作需求和數(shù)據(jù)要求，被審計單位進行響應，由被審計單位相關(guān)人員現(xiàn)場操作，實時加密，審計人員進行現(xiàn)場監(jiān)督。

2.完善大數(shù)據(jù)審計數(shù)據(jù)檢查校驗流程。對審計所需數(shù)據(jù)采集前后相關(guān)內(nèi)容進行檢查，通過記錄計數(shù)和控制總數(shù)檢查、連續(xù)性檢查、業(yè)務數(shù)據(jù)對比檢查、重要數(shù)據(jù)檢查、數(shù)據(jù)完整性檢查等必要技術(shù)手段審查數(shù)據(jù)的完整性和真實性。同時要求被審計單位提供數(shù)據(jù)真實完整性承諾書、數(shù)據(jù)采集語句、數(shù)據(jù)備份日志文件、數(shù)據(jù)字典等相關(guān)技術(shù)資料。并將原始備份數(shù)據(jù)進行二次備份，存入固定存儲設備，以免數(shù)據(jù)的損壞和遺失。

3.建立大數(shù)據(jù)審計數(shù)據(jù)采集長效機制。新修訂的《審計法》第三十四條明確規(guī)定了被審計單位要按要求提供審計所需的數(shù)據(jù)資料，但是在實際執(zhí)行過程中還存在困難。為此，審計部門應當積極爭取地方政府和被審計單位的支持，建立和健全大數(shù)據(jù)采集工作領(lǐng)導小組和工作機構(gòu)，實現(xiàn)數(shù)據(jù)訪問和數(shù)據(jù)共享機制，逐步建立定期采集和報送審計數(shù)據(jù)的長效機制，讓靜止、碎片化的數(shù)據(jù)動態(tài)化、連續(xù)化，為大數(shù)據(jù)審計創(chuàng)建基礎(chǔ)數(shù)據(jù)環(huán)境，解決數(shù)據(jù)不全面、不連續(xù)的問題。對被審計單位故意捏造經(jīng)濟業(yè)務數(shù)據(jù)等行為進行責任追究。

（三）大數(shù)據(jù)審計數(shù)據(jù)管理方面的風險防控

1.建立大數(shù)據(jù)審計管理中心。建立大數(shù)據(jù)管理中心，統(tǒng)一管理采集到的各單位數(shù)據(jù)，實現(xiàn)“數(shù)據(jù)集中、應用分布”管理模式。中心將數(shù)據(jù)標準化和關(guān)聯(lián)之后融合在一起，提供可擴展的數(shù)據(jù)處理能力，從整體視角對被審計單位進行多角度、多維度的數(shù)據(jù)查詢分析。存放數(shù)據(jù)的服務器或計算機應禁止訪問互聯(lián)網(wǎng)，通過數(shù)據(jù)的物理隔離，確保數(shù)據(jù)安全。

2.建立審計數(shù)據(jù)管理制度。按照《黨委（黨組）網(wǎng)絡安全工作責任制實施辦法》《中華人民共和國網(wǎng)絡安全法》《中華人民共和國數(shù)據(jù)安全法》等法律法規(guī)和規(guī)章制度要求，建立健全審計數(shù)據(jù)安全工作責任制，把責任落實到具體部門、崗位和個人；加大審計數(shù)據(jù)安全的教育培訓力度，增強人員的安全意識和保密意識；強化網(wǎng)絡安全防護能力，定期進行安全檢查，及時消除安全風險和管理漏洞，按網(wǎng)絡安全等級保護要求對老舊設備進行升級換代，增加必要的防護設備；提升網(wǎng)絡安全應急響應能力，定期修訂完善網(wǎng)絡安全應急預案，提高應急處置流程的科學性和可操作性。加強與網(wǎng)信部門、公安機關(guān)及安全服務機構(gòu)的溝通，建立網(wǎng)絡安全工作協(xié)調(diào)機制；加強數(shù)據(jù)安全防護，嚴格落實數(shù)據(jù)處理和使用審批流程，按照“最小授權(quán)”原則劃分數(shù)據(jù)訪問權(quán)限，采取數(shù)據(jù)庫審計、日志記錄等措施，防范數(shù)據(jù)丟失、篡改、未授權(quán)訪問等風險；強化對審計終端的防護，嚴禁通過互聯(lián)網(wǎng)傳輸審計數(shù)據(jù)。加強對服務和運維人員的管理，與第三方公司和人員簽訂保密協(xié)議，嚴格設置工作權(quán)限。

（四）大數(shù)據(jù)審計數(shù)據(jù)分析方面的風險防控

1.組建大數(shù)據(jù)審計數(shù)據(jù)分析團隊。一是要建立審計數(shù)據(jù)分析室，采取“集中分析、發(fā)現(xiàn)疑點、分散核查、確認問題”的審計模式。數(shù)據(jù)集中分析過程中要積極借鑒已有經(jīng)驗和成果，開展交流溝通分析思路和共享經(jīng)驗，建設審計分析臺和固化審計模型，充分運用多維度的分析和數(shù)據(jù)挖掘技術(shù)，實現(xiàn)從整體視角、立體角度、多維度分析數(shù)據(jù)，防控審計風險，提升審計項目質(zhì)量。二是要錘煉大數(shù)據(jù)審計思路，審計人員必須在有限的時間里熟悉被審計單位政策、業(yè)務流程、數(shù)據(jù)結(jié)構(gòu)，確定審計思路，并通過建立標準數(shù)據(jù)庫和多行業(yè)數(shù)據(jù)關(guān)聯(lián)找出審計疑點。

2.持續(xù)優(yōu)化人才培養(yǎng)。一是分層分類組織培訓。在做好全員培訓的基礎(chǔ)上，針對不同崗位安排不同的培訓內(nèi)容和時長，增強培訓的針對性和實效性。二是強化培訓內(nèi)容的實用性和前瞻性。一方面要根據(jù)審計業(yè)務工作需求制定培訓計劃，結(jié)合審計案例開展實操培訓，提升培訓質(zhì)量；另一方面，除組織SQL Server數(shù)據(jù)庫、AO軟件等培訓外，要密切關(guān)注大數(shù)據(jù)分析技術(shù)趨勢，加大對國產(chǎn)化軟硬件、Python自然語言處理等內(nèi)容的培訓力度，提升大數(shù)據(jù)分析綜合運用能力。

（五）大數(shù)據(jù)審計疑點核查方面的風險防控

1.疑點核查人員應持客觀謹慎的態(tài)度。疑點核查人員應主動溝通，仔細傾聽，認真負責，與數(shù)據(jù)疑點核實單位人員保持良好的溝通狀態(tài)，取得被審計單位的理解和支持，引導相關(guān)人員在規(guī)定時間里提供有用的審計信息。對有異議的數(shù)據(jù)疑點核查反饋意見要綜合分析，查清真相。對于核查過程中發(fā)現(xiàn)的重要疑點，要及時到疑點形成的項目、工地現(xiàn)場測量核實，或向疑點單位以外的關(guān)聯(lián)單位及個人調(diào)查、了解有關(guān)情況，取得相關(guān)輔助證據(jù)，進而深挖問題根源，全面準確地揭露問題。

2.精準定性疑點問題。大數(shù)據(jù)審計分析結(jié)果僅小部分可以指向?qū)徲嫿Y(jié)論，大部分的分析結(jié)果展現(xiàn)的僅僅是疑點、表象，不能直接當作問題取證或定性。所以，必須對疑點仔細甄別，篩查出審計問題，并加以整理歸類，探研原因，才能有效判定問題的性質(zhì)。

3.充分征求被審計單位意見。征求被審計單位意見，不僅是審計程序的一個法定環(huán)節(jié)，也是審計組與被審計單位對大數(shù)據(jù)疑點問題達到相對統(tǒng)一的過程。一方面，向被審計單位進一步闡明審計觀點，以便深入充分地交換意見，化解矛盾；另一方面，充分聽取被審計單位的意見，進一步了解產(chǎn)生問題的深層次原因，可以了解其對審計行為的看法，取得被審計單位的認可，建立良好的工作關(guān)系。