大数据审计的业务逻辑：基于事项审计的思考

张庆龙 何佳楠

1.广东财经大学粤港澳大湾区资本市场与审计治理研究院 2.中国财政科学研究院 3.天津财经大学会计学院

一、问题的提出

数字经济时代，数据和技术作为经济社会发展的核心要素与驱动引擎，正在深入改变着传统行业的发展逻辑。从审计行业来看，大数据时代的到来延展了数据的来源广度以及可挖掘深度，而新一代信息技术的发展又促进了数据处理模式的改变，大数据审计应运而生。大数据审计是审计信息化在发展过程中衍生的一种审计模式，也是大数据技术和审计业务相互渗透和融合的结果。今天来看，大数据审计已不再是新鲜事物，理论界对于大数据审计的研究也在不断丰富，但整体而言，相关研究得出的结论却不完全一致，其中一个主要争论就聚焦于大数据审计的业务逻辑，其究竟是任务导向的验证型逻辑还是数据导向的挖掘型逻辑？当前，理论界对于大数据审计业务逻辑的探讨主要集中于非A即B的对立式观点，相关结论得出的理论基础也是分别从审计理论体系框架要素的业务属性或大数据技术本身所呈现的技术属性单一层面予以展开，但却忽视了二者之间的互动关系。基于此，本文拟从大数据审计的理论基础——事项审计思想这一视角切入，并在此基础上厘清大数据审计的业务逻辑。

二、大数据审计的理论基础：事项审计思想

事项审计最早是由王锴基于事项会计理论（Events Accounting Theory）而提出的，他认为：“事项会计理论以事项为基础重构了会计信息系统，改变了数据处理模式，由此也倒逼审计理论的适应性改变，促使其由关注‘账簿’向关注‘数据’转变。而‘数据’又恰恰是对‘事项’的全息记录与计量。因此，‘事项’也就成为了信息化时代审计所关注的焦点。”计算机审计是信息化时代审计的产物。在信息技术环境下，审计对象的载体不再是纸质材料，而逐步趋向信息化，这客观上要求对传统审计模式进行变革，以数据式为特征的新审计模式呼之欲出。作为“数据式审计”的提出者，石爱中等认为，数据式审计可能代表了信息化环境下计算机审计的真正未来，其最大特点就是对电子数据的直接利用。通过对企业底层数据库中的电子数据进行审计，以实现对各类交易和事项本身的反应与还原。可见，事项审计作为信息化乃至数字化时代下的一种审计思想，构成了数据式审计产生和发展的理论基础。拓展到大数据审计，笔者认为，数据量的扩大、数据采集和分析维度的变化，以及信息技术的提升均促使着数据式审计向大数据审计的发展。因此，大数据审计的理论基础必然也无法脱离事项审计思想。基于会计和审计同源分流的关系，对事项审计的认识应该以事项会计理论为基础，并从以下三个层面讨论其与大数据审计的对应关系。

（一）事项审计的数据来源：原始多维

事项会计理论的提出者美国会计学家乔治·H.索特认为，“事项”是对一项活动特征的观察结果，与决策相关的事项信息应尽量以原始的形式保存，由此才能够提供与各种可能的决策模型相关的经济事项信息。在“大智移云物区”等新技术飞速发展的数字经济时代，乔治·H.索特的思想具备了转变成现实的技术基础和与之相适应的商业范式，基于事项会计理论而衍生的财务数字化转型、智能财务得到了快速发展。与此相对应的，事项审计的开展也必须要基于更大范围的原始数据展开，并能够多维揭示数据背后的信息，由此才能更好地满足审计决策需要。而这恰恰是与大数据审计在审计对象与范围的要求上是相一致的。

（二）事项审计的时效要求：实时审查

基于事项会计理论，会计采用多种计量属性反映的事项特征应具备全面性、完整性以及冗余量少等特点，并能够在信息技术的支持下实现决策的及时性。对应到审计业务活动，事项审计可以充分利用事项会计信息系统所建立的数据库，关注对应会计信息的及时性。尤其是在新技术的支撑下，会计信息获取的及时性愈加提高，但如何保证会计信息的质量，这就需要对这些信息在发布后进行“实时”审查。大数据审计能够借助大数据挖掘技术实现数据的持续采集，通过大数据审计平台的构建实现数据的共享并实时分析与监控，由此确保审计不再局限于事后监督，而是将事项审计的实时审查理念贯穿审计全过程，向事中监控甚至是事前预测转变。

（三）事项审计的实现基础：技术保障

从事项会计的发展来看，有学者在20世纪70年代探讨了基于事项的会计模型和数据库实施方案，提出以Mass Data Base（MDB）、User-Defined Structures（UDS）、User-De fined Functions（UDF）这三个数据库为基础，构建事项法会计信息系统。可以发现，以事项为基点的决策支持功能必须通过信息技术的支持才能够保障。这对于事项审计也是一样，有效的事项会计信息系统是事项审计系统的前提，高效准确的事项会计信息数据处理是事项审计工作开展的基础。因此，只有实现了数据的自动化、智能化处理流程，才能够确保事项审计理念得以真正发挥。从技术属性层面来看，大数据审计技术包括数据采集、存储、挖掘分析等。采集方面开始由传统数据仓库技术（ETL）融合网络爬虫、地理遥感、传感器等技术；存储、挖掘分析方面由集中式架构向分布式架构演进，由汇总统计向智能化、可视化方向发展，最终通过持续智能审计平台的构建，实现数据的全自动、全智能、全流程处理。

三、基于事项审计思想的大数据审计业务逻辑分析

（一）大数据审计的基本业务逻辑

从理论界目前对于大数据审计业务逻辑的争论来看，大数据审计的基本业务逻辑具体包含两条路径：一是以任务为导向的验证型逻辑，二是以数据为导向的挖掘型逻辑。其内涵解释如下：

1.验证型逻辑

验证型逻辑是指在既定的审计目标下，将具体的审计业务问题定义为与之相对应的数据可分析的问题，实现审计业务的数据化，在此基础上采用传统的审计方法进行数据收集和数据分析，发现潜藏在数据中的规律并进行问题诊断和疑点核实，探寻原因的一种审计数据分析思路。可以说，这种业务逻辑是从审计总目标到审计具体目标或审计命题分解而形成的，究竟需要分析什么问题，其本身是清晰的，其核心内容就是通过关键指标计算、结构分析、趋势分析、统计分析、数据查询等数据分析方法找到问题的线索，进而确定“已发生事项”与既定标准之间的相符程度。从本质上来说，验证型逻辑体现了审计的业务属性。

2.挖掘型逻辑

挖掘型逻辑是将审计数据分析作为挖掘过程，在海量异构、杂乱无章的电子数据中萃取和提炼重要的疑点、异常点以及数据规律的一种审计数据分析思路。一般来讲，挖掘型逻辑是通过对陌生数据进行分析，了解数据全貌，探索数据属性之间的关系，并选择关键属性建模，预测发现隐含的特征及未来的趋势。从本质上来说，挖掘型逻辑体现了审计的技术属性。

（二）大数据审计的业务逻辑分析：验证与挖掘的融合

大数据审计的业务逻辑究竟是验证型还是挖掘型？需要基于大数据审计的理论基础——事项审计思想予以论证说明。

首先，事项审计思想要求大数据审计不能脱离验证型逻辑。事项审计的最大特点就是围绕经济事项本身，并以此作为审查分析的切入点展开原因分析。因此，以事项为核心的事项审计思想指导着大数据审计的开展必须要以目标为导向，以具体审计任务为驱动，而非漫无目的地进行数据收集和分析，由此才能确保审计业务活动能够满足审计理论体系框架中“以审计目标为起点，以审计结论得出为终点”的闭环循环。

其次，事项审计的多元数据来源促使大数据审计转向对于挖掘型逻辑的关注。基于事项审计思想中原始多维的数据来源特点，在不久的未来，随着新技术的不断发展，数据量的不断聚积，内部数据将不再作为大数据审计的主要数据来源，取而代之的将是大体量的外部数据。因此，面对这一变化，是否需要调整审计思维改变审计数据分析的逻辑成为审计人员亟待解决的问题。面对大体量的外部数据，若仅依靠验证型逻辑开展审计业务活动，审计调查取证的难度将大大增加，那么审计人员就难以有效建立起外部数据与验证型逻辑之间的连接，这就需要通过挖掘型逻辑找到大数据审计中外部数据的切入点，由此辅助验证型逻辑的有效实现。

最后，事项审计的实时审查要求是大数据审计挖掘型逻辑的应用关键。从事项审计思想的核心内容来看，以事项为起点的决策相关、有用和及时就要求审计业务活动的开展必须要转变过去传统的事后审计模式，转而应通过持续的数据采集与分析实现对事项的事中监控甚至事前预警。而验证型逻辑是基于事后已发生事项的审计，这就要求大数据审计的开展必须要实现前移关口，改变审计的业务逻辑，通过挖掘型逻辑的持续采集与分析，将持续审计的理念融合于审计过程之中。在新技术的支持下，持续审计的理念需要通过大数据审计平台的搭建予以实现。具体而言，搭建数据中台，并将数据采集技术嵌入系统，实现数据的共享和自动、实时采集；搭建应用中台，并将数据分析技术嵌入系统，该应用中台涵盖数据挖掘、文本分析、图形建模、RPA审计机器人等功能，实现数据的智能分析与结果可视；搭建业务前台，并嵌入自动化、智能化技术，能够实现高度自动化、智能化地开展审计作业。

综合上述分析可以看出，以事项审计思想为指导的大数据审计的业务逻辑不是单一的验证型或挖掘型，而是需要将二者有机融合。具体而言，以事项为基础和核心的事项审计思想要求大数据审计的开展始终不能脱离验证型逻辑，而原始多维的数据来源以及实时审查的时效要求又需要大数据审计的业务逻辑延伸至挖掘型，进而在新技术的支持下辅助验证型逻辑的有效实现。上述两种业务逻辑并不是泾渭分明、相互排斥的，而是从不同视角以及在不同的约束条件下考察审计业务开展的切入点到底是什么，它体现了在达到审计目标、完成审计任务的过程中对各类数据边界的探索过程。例如，在进行挖掘型业务逻辑的任务时，实际上是在向一个目标不断迈进的过程，只是这个目标开始并不会足够清晰，需要在探索过程中不断地修正和调整。那么，上述两种业务逻辑该如何实现有机融合？在大数据审计发展的不同阶段，是否要根据上述两种业务逻辑有所侧重？

（三）大数据审计的业务逻辑应用：基于成熟度模型的分析

要回答上述问题，必须要基于技术的现实条件，考察理论与应用的匹配程度，对大数据审计的发展阶段进行划分，并结合每一阶段的目标对大数据审计的业务逻辑展开分析。能力成熟度模型（Capability Maturity Model，CMM）是由美国卡内基梅隆大学软件工程研究院发布，主要用于指导软件开发组织不断完善软件的概念、量化、运行、测试以及升级等过程，使得软件开发管理逐步从混乱、不成熟走向规范、成熟，因此在软件企业的应用获得了巨大成功。由于它构建了具有动态性和持续演进性的标准，其适用范围逐渐扩大，应用领域也变得越来越广阔。大数据审计正是在大数据技术发展的浪潮中产生的，大数据技术的发展和应用必然会对电子数据采集和分析的效率和效果，以及电子数据存储的真实、完整和安全产生影响，进而影响到审计的业务逻辑及对应程序。因此借鉴能力成熟度模型，构建一个大数据审计的业务逻辑分析工具，进行大数据审计发展阶段的评估和分析，并对应选择适用的业务逻辑，制定与之相匹配的审计程序，是推进大数据审计理论发展，并进一步实现理论指导实践的重要手段。

具体而言，笔者以大数据审计的核心内容即数据、算力、算法的发展程度与作用关系为依据，将大数据审计的发展阶段界定为“初级阶段、发展阶段、成熟阶段”，以体现大数据审计基于过程改进的阶梯式进化架构。上述三个阶段的业务逻辑分别对应着“洞察——数据——决策”的验证型逻辑、“数据——洞察——决策”的挖掘型逻辑，以及“数据——洞察——预测——决策”的预测型逻辑。见图1。

图1 大数据审计业务逻辑的发展阶段

1.初级阶段：验证型逻辑占据主导地位

初级阶段可以说是大数据审计发展的基础或起步阶段，它既保留了审计的业务属性，又体现了大数据分析技术在审计中的应用，是按照“洞察——数据——决策”的验证型逻辑思路展开的。

（1）以“洞察”为起点突出审计业务属性

首先必须明确，大数据审计并没有改变审计的业务本质，它只是增加了技术在审计中的应用。而实现这一变化的基础就在于审计切入点的变化，即由纸质材料等演变为被审单位信息系统和底层电子数据。在初级阶段，尽管审计的基础已经实现了全业务、全流程的数据贯通，但基于数据安全的考量，数据治理方式和能力的技术限制，用于审计决策的数据仍然局限于手工审计时代的内部“小数据”，数据分析的结果不能够直接用于决策，这就要求审计必须要以风险导向的“业务洞察”为起点，即在既定目标和确定任务下充分考虑“人”的思维判断在审计中的关键作用。

（2）以“数据”为重点强调大数据分析技术

在初级阶段，大数据技术在审计中的应用突出体现为大数据分析技术。但受到数据范围以及算力和算法的技术发展限制，审计业务的开展仍然是基于法律法规、审计经验、检查思路等线性规则的模型或指标的“点”解决方案为主，缺乏对业务和风险的全面画像能力。此时，“数据”的关键作用体现在“洞察”后的辅助验证，即在勾画画像“轮廓”的基础上不断描绘“五官”，确保画像的充实和完整。

（3）以“决策”为终点回归审计业务本质

“决策”是大数据审计的最后一环，也是得出审计结论、回归审计业务本质的关键一环。在初级阶段，大数据审计以业务需求为主导进行业务“洞察”，通过将审计经验和检查思路特征化、模型化、指标化，构建审计分析与监测系统。在此基础上，运用数据采集、数据存储、数据标准化以及其他数据库技术构建审计数据库，并实现审计数据库和审计分析与监测系统之间的衔接。基于“洞察”概况，从审计数据库调取数据，展开多维“数据”分析，并根据分析结果形成问题线索清单，为审计“决策”提供支持。

2.发展阶段：挖掘型逻辑突出重围

发展阶段是继基础阶段后，大数据审计发展到的一个基于海量数据基础，且技术发展与实践应用均达到较高程度的阶段。该阶段体现了大数据挖掘、分析和可视化技术在审计中的主导作用，突出了审计的技术属性，是按照“数据——洞察——决策”的挖掘型逻辑思路展开的。

（1）以“数据”为起点突出审计技术属性

较之初级阶段，发展阶段的“数据”起点直接改变了“人”的思维判断在审计中占主导作用的“洞察”前置性。这主要是基于数据应用范围的扩展以及技术本身的发展和实践应用。在数据应用范围方面，通过数据映射，将内外部各种分散的点数据和分割的条数据汇集起来，对多元数据进行整合与网络化；在技术发展和应用方面，通过引入数据挖掘、社交网络分析、非结构化数据分析等新技术，从更深层次对海量数据进行分析，揭示数据间的内在联系，以及采用全景洞察、数据标签等可视化技术，构建审计对象的360度视图，提高全面画像能力。可以说，在初级阶段的基础上，数据应用范围的扩展以及技术的发展和应用使得抽样不再成为估计总体的前提条件，此时基于大数据的分析结果能够代表总体，并成为大数据审计业务的切入点。

（2）以“洞察”为延伸嵌入人类智慧判断

发展阶段的算力和算法为大数据审计提供了基础技术保障，大数据审计也具备了较为全面的大数据分析能力和高效的自动化处理能力，但该阶段在智慧的业务风险洞察能力方面仍然存在不足，不能摆脱“机器不具有人类思维”的关键问题。加之以“数据”为起点并非是漫无目的进行开展数据挖掘和分析，它仍然是在审计任务或审计方向的框架下展开的，这就要求审计人员在借助大数据技术对海量“数据”进行分析时，仍要结合人类智慧“洞察”数据间的内在关联，进而对发现的审计线索进行把关，实现人与机器的交互性配合。

（3）以“决策”为终点凸显可视审计结果

在前述“数据”挖掘与分析和“洞察”判断的基础上，审计人员能够借助可视化技术开展建模分析，并对结果图形等可视化呈现方式展开分析，以获取审计线索。但需要注意的是，较之初级阶段，发展阶段对于审计工作模式的影响在于“数据”挖掘和分析的前置，审计人员必须要在确保数据的安全、完整、真实的基础上开展审计工作。审计人员首先要对信息系统的数据安全性、完整性和真实性进行分析测试，并在此基础上按照数据准备、数据分析和数据报告三个阶段开展数据审计。审计程序的核心环节从线下转移到线上，并围绕着大数据挖掘和分析展开，大数据审计的结果将以“例外报告”的可视化形式呈现，审计的现场工作就是对“例外报告”中的问题进行延伸查证。

3.成熟阶段：基于验证和挖掘的预测型逻辑发展

在成熟阶段，技术的发展推动着数据、算力、算法的进阶和相互作用，大数据审计已经实现了业务理念与技术方法的高度融合。较之发展阶段，成熟阶段的突出特点在于人工智能技术的发展与深度应用，使得大数据审计全面进入智慧审计阶段。该阶段体现了审计业务属性与审计技术属性的有机融合，是按照“数据——洞察——预测——决策”的预测型逻辑思路展开的。

（1）以“数据”为起点的审计技术属性从“条数据”走向“块数据”

从数据的视角来看，尽管发展阶段已经实现了海量的数据基础，但相关数据的挖掘、分析及应用是基于行业或领域内链条状数据串起来的“条数据”，它们彼此割裂、互不融通，哪些行业、领域的风险会直接影响到本行业、本领域甚至是本组织，这是在大数据时代应该关注的。因为大数据时代组织关注的不仅仅是本单位或本行业，更重要的是从协同共生的视角关注生态链或生态圈中的个体。这就要求成熟阶段下，大数据审计的起点要从“条数据”走向“块数据”，即对各类“条数据”进行解构、交叉、融合，形成新的数据集合，并在此基础上实现多维度、多关联的交叉数据分析。

（2）以“洞察”为线索的审计业务属性从“交互智能”走向“自主智能”

从技术的视角来看，在前述两个阶段，人工智能尚处于“弱”智能阶段，思辨和复杂判断仍需依赖人，属于人与机器的“交互智能”阶段。但在成熟阶段，人工智能发展步入“强”智能阶段，并达到完全“智慧”。此时，大数据审计能够通过智能审计系统开展场景审计，不仅能够自主学习适应并切换审计场景，还能够场景化还原被审计对象的可能情形，与被审计对象进行有效交互，而无需审计人员的参与。这也直接促使业务“洞察”模式由“交互智能”走向“自主智能”。

（3）以“预测”为核心，以“决策”为终点的智慧解决方案使风险控制从“事后、事中”走向“事前”

之所以将“预测”环节称之为预测型逻辑的核心，是因为它直接对应着大数据审计的一种新型的业务逻辑——预测型逻辑。基于“块数据”的挖掘和分析，以及“自主智能”的业务洞察，大数据审计不仅可以通过更加准确的描述性分析来发现过去存在的问题，还可进一步通过诊断性分析来发现问题背后的原因，更具突破性的是大数据带来的预测分析能力。通过对数据的量化分析，提供API输出的方式进行风险发现能力输出，并嵌入业务电子流中，结合人工智能等技术，能够在数据报告阶段有规律地生成持续性审计存在问题的报告，并在所定义的“例外事项”出现时，立刻将发现的问题通知当事人，督促他们采取必要的应对措施，以起到风险预警的作用。

预测的根本目的是防患于未然。因此，大数据审计的最终环节依旧是决策。无论是预测还是决策环节，大数据审计的核心已从发展阶段的“数据”转向基于数据开展分析和应用的“算力”和“算法”，以期为预测环节的风险评估和决策环节的风险应对提供技术支撑，并为发现的问题推荐最优的智慧解决方案，促使风险控制从“事后解决、事中监控”到“事前防范”。

四、结论与建议

本文以理论界对大数据审计的业务逻辑争议为切入点，基于事项审计思想，阐释了大数据审计的理论基础，并从实践应用的视角出发，构建大数据审计的成熟度模型，揭示大数据审计发展不同阶段所呈现特征与审计业务逻辑的对应关系。本文的主要结论与建议如下：

第一，大数据审计的理论基础是事项审计，其在数据来源、时效要求、实现基础三个维度所呈现的原始多维、实时审查、技术保障的特征，分别对应着大数据审计在审计对象与范围、审计时效、审计技术与方法这三个维度的要求。

第二，数据审计的基本业务逻辑具体包含两条路径：一是以任务为导向的验证型逻辑，二是以数据为导向的挖掘型逻辑。但两种业务逻辑既不是相互排斥，也不是一成不变的，而是在事项审计思想指导下，随着大数据技术的发展与应用呈现出的阶段性特征，与大数据审计的成熟度密切相关。

第三，借鉴成熟度模型，大数据审计的发展阶段可以划分为初级阶段、发展阶段、成熟阶段，体现了大数据审计基于过程改进的阶梯式进化架构。其中，初级阶段是大数据审计应用的基础阶段，无论是数据量，还是技术发展均处于起步的阶段；发展阶段是大数据审计发展到的一个基于海量数据基础，且技术发展与实践应用均达到较高程度的阶段；成熟阶段是在技术发展推动下，大数据审计已经实现业务理念与技术方法高度融合并全面进入智慧审计的阶段。

第四，对应大数据审计的发展阶段，初级阶段保留了审计的业务属性，验证型逻辑占据主导，并按照“洞察——数据——决策”的思路展开；发展阶段突出了审计的技术属性，发掘型逻辑突出重围，并按照“数据——洞察——决策”的思路展开；成熟阶段体现了审计业务属性与审计技术属性的有机融合，基于验证和挖掘的预测型逻辑发展，并按照“数据——洞察——预测——决策”的思路展开。

最后需要指出的是，本文构建的大数据审计的业务逻辑框架是以大数据审计的成熟度作为前提条件的，这就要求各类审计主体在实际应用过程中，需要基于大数据审计的发展阶段以及行业和组织内部对于大数据审计的应用程度合理评估并判断所处的成熟度阶段，基于该阶段的业务逻辑，结合特定审计类型和目标来细化审计程序，制定切实可行的具体审计操作指南。