浅议大数据时代的审计风险防范路径

陈国翰

改变传统审计先立项、后审计方式，形成以数据分析为基础，以风险程度为导向，先分析，后立项，选择审计项目更有针对性，更加精准科学。

大数据大样本、全量分析技术的应用，将使审计范围不再受制于抽查样本，而是着眼于全部数据，更能反映问题的本质，更具全面性、整体性、科学性。

大数据时代的到来，深刻影响着审计的变革和发展。任何新技术的产生，都会有两面性，大数据既助推审计的发展，也给审计带来了新的风险和挑战。面对新形势，必须加强审计风险管理，最大限度的防范审计风险。

大数据与审计

大数据审计的内涵。2016年，审计署《“十三五”国家审计信息化发展指导意见》明确指出，要加快推进以大数据为核心的审计信息化建设， 全面推广“总体分析、发现疑点、分散核实、系统研究”的数字化审计方式。大数据审计已全面拉开帷幕，在审计中发挥着越来越重要的作用。那么，何为大数据审计？大数据是指获取于人、机、物的大量网络数据及非网络数据的庞大数据集合，包括结构化数据、半结构化数据和非结构化数据，具有大量、高速、多样、价值密度、真实性等特点。大数据审计要有全新的审计思维，是指审计在行使经济运行、政策落实和经济行为监督时，充分利用信息技术对经济业务数据、行业管理数据等进行关联分析，对一个单位的分析评价更加具体化，减少主观判断，更注重量化上的体现，客观事实依据更充分，使碎片化分析变全面系统性分析。

大数据对审计的影响。大数据影响着社会各领域，审计也不例外。大数据时代给传统审计带来了深刻变革，使审计视角、审计模式、技术方法发生了巨大变化。

一是审计视角全景化。大数据已在政府各领域得到应用，审计数据不再局限于单一的财务数据、业务数据或者行业数据，已经对各行业、各领域涉及经济管理、行业管理、业务开展等数据进行了全方位采集，极大的拓宽了审计视野，对被审计单位经营活动、内部控制、管理流程等方面进行全景式审计。

二是审计立项精准化。在大数据时代，审计机关利用独有的归集各领域、各部门数据的优势，对数据进行立项前分析，分析各单位的风险点、薄弱点，评估发生重大问题的风险程度。改变传统审计先立项、后审计方式，形成以数据分析为基础，以风险程度为导向，先分析，后立项，选择审计项目更有针对性，更加精准科学。

三是审计数据全样化。传统审计更多的是进行抽查，大数据审计将由抽查式审计向全量审计转变，所有数据都成为分析的对象。大数据大样本、全量分析技术的应用，将使审计范围不再受制于抽查样本，而是着眼于全部数据，更能反映问题的本质，更具全面性、整体性、科学性。

四是审计过程常态化。审计过程由事后审计向事前审计、事中审计和事后审计相结合的动态审计转变。在大数据背景下持续性审计已成为现实，在一定程度上解决审计滞后性问题。审计机关可以常态化开展对被审计单位经济、业务活动进行持续监督。

五是审计技术智能化。在大数据时代信息化飞速发展的今天，智能化审计已经起步，审计人员运用智能化的信息技术开展审计，从天量的数据中发现潜在逻辑关系，指出问题。依靠大数据综合智能分析软件，运用人工智能的审计模块、审计方法，实现跨领域、跨行业分析，从整体上对审计对象进行立体式、多角度、多维度审计。

大数据审计面临的风险

目前审计机关存储关庞大的数据群，比如财政数据、税务数据、人员数据、工商数据、社保数据等等。以一个行业或一个部门来看，这些数据是单一的，其价值有限。但是，如果可以将这些数据集合，不仅仅在审计上，在任何领域其价值是巨大的，但也伴随着巨大的风险。从目前实践来看，在大数据环境下，审计风险一般可以分为制度层面风险、数据自身风险、审计过程风险、数据安全风险等，面对日益复杂多变的安全形势，审计必须采取有效的方法控制或降低审计风险。

大数据审计政策风险。大数据审计不管从宏观顶层制度的设计来看，还是从微观操作层面的办法来看，目前还是比较滞后的。尽管2014年国务院《关于加强审计工作的意见》和2016年审计署《“十三五”国家审计信息化发展指导意见》都明确指出，探索在审计实践中运用大数据技术的途径，也提出了数字化审计方式。但这仅是一些指导性意见，未有具体操作层面的规定，比如大数据审计准则、审计操作规程等。在审计实践中，针对“大数据取数范围、怎么审、怎么取证”等诸多难题，未有具体操作指南，审计缺乏统一有效的规范，大数据审计制度保障还不尽如人意，无法有效指导大数据审计的深入開展，无形之中增加了大数据审计的制度风险。

审计数据难以把控风险。审计数据难以把控风险主要是数据失真问题。大数据审计建立在全样数据分析判断之上，数据的真实性、完整性尤为重要。而审计机关取得的财务数据、业务数据完全依赖于被审计单位所提供信息的真实性和可靠性，对于是否存在片断式、筛选式报送，或者存在蓄意篡改数据以及对数据进行加工粉饰，缺乏判断的技术和手段，将会导致“假数据、真审计”的状况。报送数据真实性、完整性存疑，将会使审计人员产生错误的判断，严重偏离了审计的真实性。在医保审计实践中，医保中心和医院对参保报销数据、检查数据进行了筛选式报送，剔除可能存在违规问题的数据，遗漏的数据有时只能靠人工抽查核对才被发现。

审计大数据获取风险。大数据采集渠道与传统调取财务账本、凭证方式完全不同，要依靠专业的采集技术来实现，在数据获取审计实践中，还不够顺畅存在壁垒。一是被动式的获取渠道不畅通。审计采集的数据范围十分广泛，不仅有政府部门财务数据、业务数据，还涉及交通数据、公共服务数据、医疗数据等等，未建立共享机制和共享平台，无法第一时间采集相关数据；二是数据采集接口缺乏规范。目前被审计单位使用的财务软件和业务软件，有相当数量的软件没有专门审计采集端口，有端口的输出数据格式五花八门，还存在输出数据无法转换，后台数据库无法导出备份等问题。

大数据审计能力风险。开展大数据审计，审计理念和审计思维与传统审计已大不相同，要求审计人员对数据要有足够的敏感性，善于横向纵向分析数据关联性，捕捉可疑情况，对数据掌控能力的要求已大幅提升。目前，在这方面还存在短板。一是审计人员的数据分析能力不足。由于大多数审计人员为财务或审计专业，自身存在技术分析的瓶颈，缺乏大数据SQL查询语句运用、信息抽取、模糊匹配等技术分析能力。二是审计业务与计算机水平结合度不够。在大数据的背景下，审计人员未能很好的将审计思路转换成数据思维，将审计业务需求转换成数据审计需要，用数据语言来开展审计工作。

大数据保存安全性风险。在大数据时代，审计机关掌握了大量数据，保证数据的安全性至关重要，在保存和使用安全上带来 较大的挑战。一是给技术防范能力带来挑战。审计数据信息涉及面广，涵盖国家社稷民生的方方面面，包含大量敏感信息，在存储安全方面尤其重要，不管是本地存储还是云技术存储，都将面临着黑客的入侵风险，也对审计如何安全存储数据、分发数据提出了挑战，一旦发生泄密事件，将产生不可估量的影响。二是给使用数据防控带来挑战。审计人员在开展日常审计业务中，常常忽视数据安全风险，在未有安全保障的计算机和网络中随意传输和使用，存在调取使用授权约束风险、存储和使用过程泄密风险、审计结束数据移交保密风险。

大数据审计取证风险。在大数据环境下，审计通过数据分析，利用数据与数据的勾稽关系发现问题，虽然会更加快速和便利，但也存在检查风险和取证确认难度加大风险。一是检查风险的增加。审计人员面对不同领域、不同行业的数据，在数据多样结构复杂的情况下，难以确定审计重点，也很难在短时间内全面掌握数据与数据之间的勾稽关系，加大了检查分析取证的难度。二是加大取证遗漏的风险。数据量越大、种类越多，匹配的广度大幅度提升，但精准度会降低，审计的精细化也会相应下降，必然存在遗漏问题的可能性，增大审计风险。三是审计原始数据灭失风险。取证原始数据来源未固定风险在审计实践中容易显现。在审计中发现被审计单位存在严重违规问题，被审计对象一不做二不休，将业务数据进行灭失，导致最终无法确认原始数据来源。

大数据审计风险防范路径

面对大数据环境对审计风险产生的影响， 主要采取以下路径进行防范，提升大数据审计的规范性、有效性和科学生。

加强大数据审计政策顶层设计。大数据时代已经来临，审计政策应紧跟时代步伐，虽然国家出台了大数据审计的指导性文件和意见，但缺乏大数据环境下的业务规范和审计准则，应加快建立国家层面的大数据审计准则和指南，统一审计工作的标准，明确“审什么、怎么审”，为大数据环境下的具体审计方法、审计流程的选择和应用提供指导。同时，建立大数据分级管理、保密、监督、保障等一系列配套的法规或政策。

规范数据质量管控体系。数据失真已严重影响到大数据审计的真实性，对数据质量好坏的判断上，应进一步提升审计人员辨别数据质量的能力，同时密切关注被审单位内部信息系统管理的有效性，通过业务流程的测试来检查被审计单位内控管理的有效性，对被审计单位信息系统进行风险评估。同时，还应出台相应的制度来规范和引导被审计单位信息系统的内部控制管理，提升数据规范化水平。

完善数据获取渠道和方法。数据的及时获取对大数据审计至关重要，没有数据一切都是空谈。现阶段，数据获取都是零星式采集，亟需建立数据定期报送制度，形成数据采集的长效机制。加快建设数据模板采集共享平台，加强对数据库软件采集模板的集成开发与共享建设，编制数据采集操作指南，不断提升审计人员的采集效率。进一步提升数据标准化水平，规范不同行业、不同部门数据采集接口和同一类业务数据。

提升大数据审计能力水平。数据分析是大数据审计的核心，审计获取的数据不是简单的堆积和罗列，而要充分利用数据间的关联性开展分析，这对审计人员提出了更高的要求，不仅要懂财务审计等专业知识，还要掌握大数据分析能力。一要加强培训，以审计案例、交流研讨等培训形式，不断开拓审计人员的工作思路，提升数据分析水平，建立既懂大数据分析技术又懂审计业务的复合型人才队伍，具备大数据思维和创新能力。二要整合审计资源， 组建专业的数据分析团队。开展大数据分析时，整合懂计算机分析的审计人员，聘用社会信息化专业人才，组成强有力的大数据分析专班，形成合力。同時，建立大数据审计的专家库，定期对数据采集和分析中遇到的难题进行沟通交流，提高分析的有效性。

强化大数据安全管理。保障数据的安全是大数据审计的前提，在享受大数据带来的成果同时，也需要投入更多的精力做好数据安全防范工作。一是强化大数据存储平台管理，确保数据安全。要建立严密的数据管理体系，保证大数据平台的物理安全；二是建立大数据分析平台，保证数据使用安全。将数据分析平台与互联网进行有效物理隔离或逻辑隔离，数据分析均在平台上进行操作，确保数据在使用时的安全。下载分析产生的数据，要严格数据传输存储使用过程的保密管理；三是对数据进行分级管理，保证数据有效管理。根据数据的重要性进行等级分类，建立数据授权模式，保证数据安全；对敏感数据，必须有切实可靠的手段进行有效管理，防止数据信息的泄露。

丰富大数据取证手段。大数据时代的取证基于数据的分析结果，与常规的取证方式有所区别。一是采取电子函证、数据分析证据固定、勾稽关系测试等新的审计技术方法获取审计证据进行取证。二是要重新审视数据精确性的优劣，提高对低精确率的容忍度，利用模糊查询、勾稽分析等手段，锁定审计目标和重点，透过现象发现本质上的问题进行取证。三是加大对数据灭失的管控。数据接收时，对数据进行封存，保留一手证据，明确双方责任，杜绝数据被灭失的风险。

大数据时代审计工作既面临着机遇也面临着挑战，在享受大数据审计带来便利的同时，更应该关注审计风险。审计人员应紧跟时代步伐，把握机遇，创新审计思路，更好的利用大数据技术，推动审计工作的发展。

（作者单位：浙江省审计厅）