大数据审计若干理论思考

[摘要]大数据审计的研究与实践方兴未艾，应适时对其上升到理论层面进行深入探讨。本文从理论角度研究了大数据审计概念、分类、模式和流程，认为大数据审计的本质是人机结合共生的治理活动。大数据审计仍适用于风险导向审计模式，大数据审计应基于数据流对审计过程进行重构。

[关键词]大数据审计本质   大数据审计类型   大数据审计模式   大数据审计流程

一、引言

“大智移云物”等新技术的迅猛发展为传统商业环境带来了新的挑战与机遇，产生了大量半结构化和非结构化数据。与此同时，一些大数据信息处理技术正被广泛应用于审计实践，大数据审计相关文献也逐年增加，但大多侧重于大数据对各类审计的影响、审计技术、审计模式、审计平台、审计队伍建设等经验层面，缺乏更为深入的理论探讨。理论研究可以为其他应用研究和实践提供方向指导，也为未来前瞻性研究和实践创新提供理论框架。基于此，本文提出如下四个方面思考，什么是大数据审计？大数据审计有几种类型？大数据审计的模式如何？如何组织实施？现就上述问题作一分析。

二、大数据审计若干理论问题思考

（一）大数据审计概念

数据是信息的表现形式和载体，是一系列或连续或间断的符号，一般认为大数据是大量的难以运用传统计算机软件处理的数据，是指数据的数量级别超过传统数据库软件工具捕获、存储、管理和分析能力的数据集（Mckinsey Global Institute，2011）。大数据具有以下5个V特征，即Volume（数据量大）、Velocity（速度快）、Variety（类型多）、Value（有价值）、Veracity（真实性），包括结构化、半结构化和大量非结构化数据，从类型意义上大数据更多地是指半结构化和非结构的数据，结构化数据可以称为“小数据”。大数据才是现实的真实反映，“小数据”只是现实世界的片面反映，大数据不是现在才有的，只是从计算机处理能力角度来考察，现在才出现了大数据概念，而从人脑处理角度看，大数据始终存在，人脑处理的数据绝大部分都是非结构化数据。

按美国会计学会审计基础概念委员会对审计的定义，审计是一个客观地获取和评价与经济活动和经济事项的认定有关的证据，以确认这些认定与既定标准之间的符合程度，并把审计结果传达给有利害关系的用户的系统过程。所以审计的基本职能是鉴证，即鉴别（比对）、证明，其基本要素包括三方关系（审计主体、审计对象、审计报告预期使用者）、审计标准、审计证据、审计报告，核心是获取被审计单位相关数据和信息并与既定标准信息对比，将结果传递给第三方。我国学者通常从完整审计系统职能上下定义，如认为审计是一种独立的经济监督活动（张光寿，1995），审计是一种特殊经济控制机制（蔡春，1998），审计是治理体系的构成部分（刘家义，2015;郑石桥，2012;商思争，2017）等，无论是监督、控制还是治理，都离不开信息，也离不开信息采集、处理和传输系统，信息的载体就是数据，从数据处理角度看，审计就是一种数据采集、储存、清洗、挖掘和传递系统，当然也应该是大数据采集、储存、清洗、挖掘和传递系统。

实践中，各種大数据审计的项目类型繁杂，文献上的概念界定也各有差异。李成艾、何小宝（2019）认为，大数据审计是指审计人员基于大数据资源，运用大数据思维和方法，进行大范围、多角度数据关联分析，以验证被审计单位经济活动的真实性、合法性、合规性及效益性。王彪华（2020）认为，大数据审计是指由计算机审计人员和业务审计人员运用云计算、数据挖掘、人工智能等大数据审计技术，对与审计事项相关的跨地区、跨行业、跨领域、跨年度的巨量电子数据进行采集、整理和关联分析挖掘，从中把握总体情况，判断发展趋势，发现审计线索，获取审计证据，揭示审计问题的独立经济监督活动。陈伟、居江宁（2017）指出，大数据审计是指大数据环境下的电子数据审计。

从一个泛在理论视角上看，大数据并不是现在才有的，也不一定都是电子数据，且大数据也不一定都用计算机软件处理。所以，可以认为，大数据审计也包括大数据环境下对非电子大数据的审计，可以通过计算机软件进行采集、挖掘、分析、认知、判断和传输，也可以通过肉眼和人脑结合对数据进行采集、分析、认知、判断和传输。但在计算机时代，这种概念是没有意义的，且也不符合大数据的定义和特征。

大数据审计至少是采用大数据计算技术对结构化、非结构化电子数据进行的审计，而且无论信息处理和通讯技术多么先进，特定文化环境的人的自然语言、体态语言、表情语言的含义，仍然需要理解该文化环境的人来获取和识别;数据的清洗、挖掘、分析，呈现的算法、方式、工具也需要人来开发、选择。因此，大数据审计仍然是人对经济活动、管理行为的一种监督、评价和鉴证活动，属于人的管理和控制实践活动，内嵌入社会、企业和市场治理系统，是治理结构和治理体系的构成部分。

（二）大数据审计分类

广义的概念界定外延广，可以涵盖和解释更多类似现象，但是不够严谨，狭义地理解比较严谨，便于深入探讨和推理，但是无法涵盖和解释更多类似现象，容易遗漏复杂现实的中间状态，应把二者结合起来进行分析和概括。根据广义大数据审计概念，可以分为计算机辅助大数据处理方式、联网大数据处理方式和云平台大数据处理方式。

计算机辅助大数据处理方式是通过人工采集或获取非电子数据，然后将人工采集的数据录入计算机，通过本地专业计算机软件进行鉴别、分析的一种处理方式，这种方式处理结果比较准确，但由于软件比较落后，且计算机处理能力有限，所以速度和质量也难以保证，非结构化数据仍然需要结合人脑进行。

联网大数据处理方式是利用计算机联网方式远程采集大数据并采用本地软件进行数据处理，联网审计具有非现场审计、实时审计（或亚实时审计）、远程审计、数据采集效率高等特征，但由于数据量巨大，对数据存储、处理需要的硬件和软件是一个巨大的挑战。

云平台大数据处理方式是基于云平台采用相关软件采集、识别、鉴证、挖掘和分析来自于物理世界的非结构化数据，包括音频、视频、射频、文本、图片等数据，这种处理方式采用集成数据、模型和各种数据采集技术的云平台技术，数据存储和处理能力强，尤其是集成了智能技术和物联网技术的云平台效率更高。狭义的大数据审计就是这种采用大数据云平台进行的审计，这也是经常被用来作为研究样本的一种大数据审计类型。

（三）大数据审计模式

审计模式就是在审计过程中对各种审计要素组织开展审计以完成审计目标的方式，目前通常采用风险导向审计，另外还有基于电子数据的数据式审计模式，前者是在存在各种风险条件下，为提高审计效率和效果而开发的一种审计模式，后者严格说不属于审计模式的一种，只是特殊审计对象和审计组织方式的一种组合。

现有文献普遍认为大数据审计是非抽样审计、详细审计，可以提高审计效率和审计质量（王海洪，2021）。大数据必须有公有云或私有云作为基础架构才能顺畅运行，但采用云平台、AI技术进行审计也会存在各种各样的风险，如法律法规和市场等环境变化、企业组织结构变化以及经营风险会带来信息错报风险、电子凭证被修改风险、大数据涉及的涉密和敏感信息容易被攻击和盗取的风险、电子支付难以审计风险、数据清洗可能会清洗掉有价值的信息等都会带来大数据利用的风险，尽管大数据的采集、存储、传输、维护、分析等都要进行严格的保护和控制，但这些控制措施也都是一些计算机程序，存在被攻击、破解的风险，所以大数据本身的真实性存在固有风险和控制风险。

另外，由于大数据的非结构性、复杂性、多模态、低价值密度等特征，大数据模式识别技术、分析技术、算力、算法等难以跟上大数据快速增长的步伐，会导致大数据识别、判断和分析错误的风险，可视化结果最终仍由人来进行识别、分析和认知，会出现人工读取和认知风险，部分线下采集的数据存在采集风险，所以，大数据审计手段和程序即使采用全面审计和详细审计，也仍然存在非抽样风险，难以消除检查风险。

总之，大数据审计并没有消除风险，仍然存在固有风险、控制风险（二者的乘积是大数据错报风险）和检查风险，更何况现实中由于审计机构专业人才匮乏、信息系统获取和维护成本太高，所以相当长时间内，可能基于人工智能的审计信息系统建设仍然不能达到要求，云平台的适用性也难以满足要求，还需要单个软件辅助乃至直接通过人工来进行大数据信息处理，存在基于数据错报和检查错误带来的大数据审计风险。

为提高审计效率，大数据审计仍应采用风险导向审计模式，但是大数据环境下的风险评估可以采集多维、多渠道的数据，运用先进的算法和技术进行多种关联分析和识别，从而对风险点进行准确定位，而不是模糊评价。数据审计为组织手段，风险导向审计为内在逻辑，所以这种审计模式应按照“集中分析、系统研究、发现疑点、分散核实、精确定位”以及数据审计特点进行流程再造和组织再造，可以称为“大数据风险导向审计模式”。

（四）大数据审计过程

大数据审计是人的管理活动，是治理体系的一部分，其信息处理和通讯系统也是人机共生系统，审计的过程和组织不能仅仅考虑审计标准、审计证据、审计报告等信息要素，还应该考虑数据采集、数据处理技术、审计团队及其结合方式。事實上，正是由于审计数据发生变化，才推动数据处理技术发生变革，审计处理技术的变革又会导致审计团队构成和审计流程的变化，进一步的融合变迁会促使审计云信息平台的产生。

在数据与信息处理技术分散模式下，也需要基于数据及其处理技术的需要重构队伍、过程和流程，打破专业和机构界限，充分利用各类数据、数据分析技术及各类人员的特长完成审计工作，至于具体审计过程需要根据实际情况确定，通常分为计划阶段、准备阶段、集中分析阶段、现场实施阶段和报告阶段。需要强调的是，尽管大数据详细审计不需要通过控制测试以缩小实质性程序的范围，但仍然需要在准备阶段对大数据云平台信息系统安全性和稳定性进行审计与测试，同时通过检查自动控制、系统间数据传输，运用计算机辅助审计技术等手段测试评估系统有效性。

在大数据云计算和人工智能环境下，审计可以持续进行，尤其是在构建了融合人员、数据、技术及其控制的审计信息平台情况下，审计人员需要配合和辅助审计信息系统来组织，审计过程和工作流程已经变成了数据采集、清洗、挖掘、分析、呈现结合外勤勘察的流程，审计工作模式可以完全围绕数据流进行。随着信息处理和通讯技术的进一步发展，人工除进行部分数据的采集和审计报告的使用外，其他可能都交给系统进行处理，未来的大数据审计流程可能会演变为审计大数据采集、审计大数据信息处理和大数据审计报告的使用三个阶段。

三、结论和建议

本文分析了大数据审计的概念、本质、类型、模式和流程，认为大数据审计的本质是人机结合共生的治理活动，大数据审计分为计算机辅助大数据处理方式、联网大数据处理方式和云平台大数据处理方式三种，大数据审计仍适用于风险导向审计模式，大数据审计应基于数据流对审计过程进行重构。

基层审计组织往往无力构建或使用大数据审计平台，按照“数据→数据处理方法→审计流程→审计团队→平台建设”的逻辑，可以首先在不改变审计流程前提下，首先采用人工阅读、识别和判断非结构化数据，然后通过技术人员局部利用计算机大数据处理方法，逐步重构审计团队和审计过程，但长远来看大数据审计平台建设是发展趋势。

考虑到大数据审计概念、分类、模式、组织等理论的重要性，本文仅对大数据审计相关概念进行了粗浅的理论分析，今后应在占有更多材料基础上，基于相关理论基础，进行严谨逻辑推理以得出更加准确的结论，指导大数据审计的实践。

（作者单位：江苏海洋大学，邮政编码：222005，电子邮箱：shangszh@126.com）

主要参考文献

[1] 蔡春.论现代审计特征与受托经济责任关系[J].审计研究， 1998（5）：1-8

[2] 郑石桥.组织治理、机会主义和内部审计[J].中国内部审计， 2012（1）：24-31