关于数据资产审计的若干思考

张骥

摘要

本文根据数据资产审计特点，定义“数据资产”概念，指出数据资产审计的意义，分析数据资产审计要点，在此基础上提出优化数据资产审计和内部控制管理的建议。

关键词

數据资产；审计；合规管理

近年来，互联网、大数据、云计算、人工智能、区块链等新一代信息技术加速创新，日益融入经济社会发展各领域、全过程，世界范围内数字经济得以高速发展，并正在成为重组全球要素资源、重塑全球经济结构的关键力量。数字经济的快速发展和壮大，促使数据成为与劳动力、资本、土地、技术、管理同等重要的新兴生产要素，甚至成为最先进、最活跃的生产要素，驱动着实体经济在生产主体、生产对象、生产工具和生产方式上发生深刻变革。然而，数据要素的市场化运作，就需要形成数据资产、实现数据资产入账，“数据资产”以及“数据资产审计”的提出就显得顺理成章。

一、数据资产及其审计的意义

1.数据资产的定义

部分学者认为，数据资产（Data Assets）是拥有数据权属（勘探权、使用权、所有权）、有价值、可计量、可读取的网络空间中的数据集。但基于数据资源和数据资产差异性的考量，本文定义的数据资产是指拥有数据权属（勘探权、使用权、所有权）、有价值、可计量、可读取的网络空间中的数据集以及采集、加工、整合、展示数据集的软硬件系统（数据集本身更符合数据资源的定义）。这里主要考虑在数字产业化的过程中，数据加工已成为数据资产形成最重要的途径，数据加工本身以及与之相关的软硬件系统均应作为重点考虑对象。2022年12月财政部发布的《企业数据资源相关会计处理暂行规定（征求意见稿）》（以下简称“《数据资源会计处理办法》”）中就明确指出，“企业通过数据加工取得确认为存货的数据资源，其成本包括采购成本，数据采集、脱敏、 清洗、标注、整合、分析、可视化等加工成本和使存货达到目前场所和状态所发生的其他支出”，这就表明数据资产应包含与数据资源相关的数据采集、加工、展示系统。

2.数据资产审计的意义

近年来，随着信息技术的发展，数据资产已逐渐成为政府与企业重要的资产项目。《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》和《中共中央、国务院关于构建数据基础制度更好发挥数据要素作用的意见》（以下简称“数据二十条”）都强调，要打造数字经济新优势，加快推动数字产业化、产业数字化转型。“数据二十条”还进一步指出，数据作为新型生产要素，是数字化、网络化、智能化的基础，已快速融入生产、分配、流通、消费和社会服务管理等各环节，深刻改变着生产方式、生活方式和社会治理方式；应当加快完善数据确权、登记、评估、定价、入表等系列制度，构建形成数据商品化、市场化、要素化政策闭环。因此可以预见，未来一段时间数据资产在社会资产中的比例将急剧上升，数据资产的管理、确权、交易、评估等事务必然越来越多。相应的，数据资产审计必然成为社会治理、企业管理、投融资等事项的重要管控环节。

二、数据资产审计要点分析

《中华人民共和国数据安全法》（以下简称“《数据安全法》”）、《数据资源会计处理办法》等相关法律、法规对我国政务、商业、个人等各类数据资源的采集、加工、管理和利用做出了较为清晰的规定。数据资产审计应当基于以上法律法规展开，其审计重点主要集中在对数据所有者和使用者权利及义务的核查，其中包括对数据所有者身份及数据使用、利用、处置及收益等情况进行审核。结合数据资产的特点以及传统审计的原则、规定和制度，数据资产审计应重点考虑以下几个方面。

1.数据资产管理制度层面的审计要点

重点关注被审计单位是否按照相关规定制定了符合本单位实际的数据资产管理制度和办法：是否对于数据资产的采集、加工、入账、使用、后续管理的合规性做出了较为明确的规定；是否对于数据资产管理的主责部门、工作职责、管理流程、内外部控制做出了清晰的界定，特别是数据资产的安全管理问题是否纳入管理；是否按照《数据安全法》和《个人信息保护法》的要求，建立数据分类分级保护制度。

2.数据资产形成阶段的审计要点

通过资产权属识别确定数据资产权利归属，是开展数据资产审计的基础和前提。资产权属识别主要包括数据资产权属来源、取得方式等方面。

（1）重点关注被审计单位数字资产来源是否合法、合规。对于以公权力方式（如政府和部分社会组织）取得数据资产的，重点核查是否存在超权限采集；对于以市场化方式（主要针对企业主体）取得的，重点核查数据资产来源是否合法、合规，是否存在超应用范围的数据采集；通过数据加工形成的数据资产重点关注被加工数据来源的合法性，数据加工工具的稳定性、准确性和可展示性以及安全性、稳定性和可追溯性。

（2）对数据资产形成所涉及的合同、授权文件相关凭证的合法性、合理性和完整性开展专业性的审核，重点审查数据资产形成的节点、涵盖的范围。

（3）重点核查被审计单位是否根据自身实际，按照分级分类管理的原则建立了数据资产清单。

3.数据资产价值确定层面的审计要点

数据资产是政府部门管理和服务过程中或企业生产经营过程中产生的、以数据为载体的资产，这些资产包括历史数据、软件数据和企业（个人）信息等。对于政府而言，其用于公共服务自然无需关注资产增值的问题，但当此类资产进入市场环节，则必须充分考虑其价值问题。而对企业而言，不断积累的数据资产将成为企业投资的形成物，可能为企业带来各方面的收益，准确确定和评估数据资产价值至关重要。在这一层面，既要关注数据资产的初始计量，也要关注数据资产的价值评估。

（1）在数据资产初始计量方面要重点审查数据资产清单内容有无缺项、漏项、重复计量以及不合理计量的情况。

（2）在数据资产的价值评估方面，要充分考虑数据资产存在“叠加增值、加工增值”的特点，重点审查价值评估方法选择的合理性。若仅考虑以历史成本为基础对数据资产进行评估，则可能严重低估数据价值，并不符合数据资产特点。

4.数据资产使用层面的审计要点

数据资产具有无形性、可复制性、权属复杂性的特点，数据资产使用层面的审计需要重点关注权属控制的流程、手段等方面，审查被审计单位是否采取有效措施对此类资产进行了实时监管，关注被审计单位对不同业务、不同场景下所产生信息的控制情况。

“数据二十条”专门指出要“完善治理体系，保障安全发展”。2023年伊始，工业和信息化部、国家网信办、发展改革委等16部门印发《关于促进数据安全产业发展的指导意见》，也进一步说明了国家对于数據安全的重视程度以及保障数据安全产品供给和能力的决心。因此，要重点开展安全管理审计，核查被审计单位数据资产是否合法、合规使用、是否采取了安全防护手段和技术确保数据资产不被泄露或破坏或未经授权利用等方面情况。对于涉及国家秘密、商业机密和个人隐私安全等敏感信息的数据是否开展了特定保障措施。

三、思考和建议

1.加强数据资产相关知识的宣传与贯彻

尽管数据资产概念的提出已有时日，然而从目前情况来看，无论是在行政单位还是企业层面上，对数据资产的实质以及管理的理解和认识依然普遍偏弱，数据资产相关知识的宣传和普及显得至关重要。这就需要通过知识更新、专业培训、交流学习、实践探索等多种方式在单位领导、中层管理人员、相关工作人员等各个层面加大数据资产管理及内控审计等方面宣贯，争取社会层面相关方对于数据资产管理和内控审计方面的理解、配合与支持，尤其数据资产管理部门、内控管理部门要主动适应时代发展和审计新要求、积极转变思想观念。

2.不断建立健全数据资产管理法律法规

当前，数据资产审计制度尚不健全，需要基于数据资产框架构建一整套数字资产审计制度，防范各类主体数字资产的流失。数据资产审计框架应从法律、法规、管理制度等多个层面转开，对审计的必须条款做出明确的规定，包括审计的内容、资产的范围和权属界定、管理和分级原则、管理和使用人员分工和职责等作出较为清晰的规定，从而便利数据资产的管理，并为数据资产审计提供遵循。

同时，数据资产审计制度应当建立数字资产风险管理机制，实现数据资产从形成、管理、利用、输出等全过程的风险管控措施，特别要加大相关人员问责机制，切实防范数据资产流失、泄露、侵权等情况的出现。

3.建立内控控制和外部审计相结合的数据资产管理体系

一方面，数据资产使用部门要在内部控制管理中，以内控规范为依据，通过自评与专家认定相结合的评估方法对数据资产的管理进行质量评价，寻找解决方案，改进内控工作。因此，无论是政府部门、社会组织和企业，都应加快本单位沉淀数据资产的梳理，结合实际业务场景建立符合本单位管理特色的数据资产全过程跟踪审计制度，对数据资产形成、使用和处置全过程审计内容、审计程序、审计要求等作出明确的规定，形成较为完善的内控制度，并通过管理流程和评价体系不断改进和完善内部控制运行，逐步建立相对科学完备的数据资产内部控制规范体系，尽可能达到内部控制各类风险的良好局面。

另一方面，只有外部监督才能更好地提高数据资产管理水平，因此内部控制管理必须与外部审计相结合才能更好发挥作用。一是要与审计等相关部门建立内部控制管理合作机制。通过信息抄送等方式将内部控制过程中掌握的相关数据和信息与相关外部审计部门，相互传递资源共享，真正形成“信息共享，分工协作”的联动工作机制，更大程度释放内控监管的潜力。二是建立联合问责处理机制。建立数据资产内控管理部门与外部审计的联合问责机制，加大对数据资产审计过程中发现的违纪违规惩戒力度。三是建立信息共享机制。按照信息公开要求，能公开的信息必须面向公众公开，通过公众监督，提升管理水平，降低风险。

4.要以信息化为手段提高数据资产审计的质效

数据资产是新型生产要素和基础性资源，但又因其具有可复制、共享、可再生性等特征，使得数据资产的管理和计量变得极为复杂而困难，也相应增加了数据资产的审计难度。由于数据资产与信息技术息息相关，使用传统审计技术方法难以适应数据资产审计业务的需求，亟需探索与数据资产特征相适宜的审计技术方法。应当说，运用信息技术开展数据资产审计是唯一可行路径，必须运用云计算、人工智能等新一代信息技术，并结合传统审计理论，对数据资产的权属、计量和使用等方面开展穿行测试，并通过交叉验证、延伸审计等方法开展相关工作，方能切实提高数据资产审计的质量和效率。