数据式审计研究：回顾与展望

房巧玲（教授/博导） 龙凤娇 曹丽霞（高级工程师）

（1中国海洋大学管理学院 山东青岛 266100 2国网山东省电力公司审计部 山东济南 250001）

一、引言

随着数字化时代的来临，ERP系统在企业得到广泛应用，各类交易和事项普遍以电子数据的形式存在于企业的底层数据库中。与传统审计环境下审计对象的经济活动和经济事项主要以纸质材料为载体不同的是，在信息技术环境下，审计对象的载体逐步趋向数字化，这客观上要求对传统审计模式进行变革，以数字化、数据式为特征的新审计模式呼之欲出。

石爱中和孙俭（2005）首次提出了数据式审计的概念，但受制于当时审计技术水平以及数据利用范围的局限性，人们对于如何推动数据式审计实践、发挥数据式审计程序在数据挖掘和利用方面的优势尚存诸多疑问。直至大数据技术的兴起，给审计行业带来了新的助力，才翻开了数据式审计模式新的篇章。美国会计学会（AAA）2014年年度会议引入了大数据分析技术在审计领域应用的讨论，国际四大也开始积极地推进数据分析技术在审计实务中的应用。可以说，大数据技术强大的预测、识别和信息挖掘能力使得数据式审计在其概念提出近十年之后再次成为审计领域的前沿热点。审计界将目光重新聚集到数据式审计模式上，重点关注如何利用云审计平台以及数据分析技术对电子数据进行审计。从已有相关文献来看，目前国内外对数据式审计模式的研究比较零散，有必要对其进行系统的梳理和回顾，以期对相关理论研究和实践发展有所裨益。

本文通过对数据式审计相关文献的梳理和总结，理清数据式审计目前的研究和实践现状，明晰数据式审计未来的研究重点与发展方向。

二、数据式审计的概念

数据式审计是将电子数据作为直接的审计对象，而不必将其转换为电子账套。数据式审计模式分为两种，一种是数据基础审计模式，一种是数据式系统基础审计模式。前者可以理解为以数据为直接对象的审计方式；后者可以定义为：以系统内部控制测评为基础，通过对电子数据的收集、转换、整理、分析和验证，来实现审计目标的审计方式。也有学者将其称之为电子数据审计（裴育、郑石桥，2016；程铖、李睿，2016）、大数据审计（刘国城、王会金，2017等）。数据式审计模式直接对被审计单位底层数据库中的电子数据进行审计，摆脱了以往审计模式对被审计单位会计账套的依赖。数据式审计模式的源头可以追溯到计算机审计。我国对计算机审计的研究始于20世纪80年代，当时关于计算机审计的定义主要借鉴了国外Electronic Data Processing（EDP）审计的定义。随着环境的变迁，其定义也在不断地演变与发展。到20世纪90年代左右，计算机审计的研究热点转为计算机辅助审计技术（CAATs/CAAT）。国内外关于CAATs的研究可以分为两个方面，一是面向信息系统的计算机辅助审计技术；二是面向电子数据的计算机辅助审计技术。在审计实践中，面向电子数据的CAATs是职业界关注的重点，主要使用通用审计软件，开展数据采集、查询、审计抽样、统计分析和数值分析等一系列工作，也被称之为电子数据审计。随着大数据时代的到来以及大数据技术在审计中的应用，电子数据审计日益成熟。为了表达上的一致性并突出电子数据审计在审计模式方面的突破，本文将电子数据审计统一称为数据式审计。

可以说，数据式审计的产生和发展与电子技术和IT技术的产生与发展密切相关。20世纪70年代第三次工业革命带领人类进入了数字化时代；21世纪，物联网使得一切皆可数字化，人类进入智能化的时代。时代和技术的变革推动着数据式审计模式下审计技术的不断变革与发展。正如 Jun Dai and Vasarhelyi，Miklos A（2016）在“Imagineering Audit 4.0”一文中所提出的：手工审计（manual audit）可以定义为审计1.0时代；审计2.0是指IT审计（主要使用Excel与计算机辅助审计技术）；审计3.0是指包括利用大数据进行数据分析的审计时代；未来的审计4.0是指充分利用物联网的时代（包括利用传感器、CPS、GPS等工具）。笔者认为，除了审计1.0时代的手工审计（可以称之为传统审计模式），按照审计技术的发展阶段，可以将审计2.0、审计3.0、审计4.0视为数据式审计发展的不同阶段，统称为数据式审计模式。从目前全球审计实践来看，可以认为大致上处于审计2.0与审计3.0的阶段。

三、数据式审计模式下审计流程和程序的改变

审计模式的改变必然会要求审计流程的重构。审计流程需要紧密结合计算机技术与会计信息化的应用程度而适时地创新和发展，具体的审计程序则必须合理保证最终审计目标的实现。从已有文献来看，目前关于数据式审计流程、程序的探讨主要关注审计流程的重构、审计程序的变化等。

（一）审计流程的重构

学术界对于数据式审计模式下审计流程的重构有两种不同的观念，一种是建议对原有审计流程进行修改和完善，另一种则是建议完全颠覆原有审计流程，采用全新的审计流程。在这两种不同的观念下，审计流程的起点存在差异：前者仍以计划审计工作为起点，后者则是以数据采集为起点。审计流程起点的不同实际上体现了在不同的审计环境下审计人员数据思维的差异：以计划审计工作为起点强调数据采集与分析应服务于不同审计阶段的具体任务，体现了任务驱动的思想；而以数据采集为起点则强调以数据分析为核心，体现了审计由数据驱动的思想。下面对这两种观念进行具体阐述。

1.对原有审计流程的完善。传统模式下，审计工作普遍采用的流程包括计划审计工作、风险评估、风险应对和出具审计报告四个主要阶段。石爱中、孙俭（2005）将数据式审计流程划分为审计准备阶段、审前调查阶段、审计实施阶段和审计报告阶段，其中，审计准备阶段与审前调查阶段的区分原则是审计人员是否需要实施实际的数据分析。这四个阶段的简单划分相对宽泛和模糊，体现了对传统审计流程的改良。刘杰等（2019）对整体审计流程进行了更为细致地划分，建议划分为计划阶段、信息系统审计、数据审计、报告阶段；其中数据审计又分为审计平台构建阶段、审计数据分析阶段、审计数据分析报告撰写阶段以及延伸取证阶段。这些观点都体现了以具体审计任务为驱动进行数据收集和分析的思想。

2.对原有审计流程的颠覆。部分学者认为应该采用全新的审计流程来执行审计活动。徐瑾（2009）认为数据式审计流程应该分为数据采集、数据转换、数据清理、数据分析四个阶段。郑伟等（2016）认为还应该包括数据存储阶段。程平和白沂（2016）将审计过程区分为审计大数据预处理以及大数据审计实施两个阶段，审计人员基于数据预处理形成的审计疑点来收集审计证据。这些观点都强调以数据采集为起点，通过多维数据验证产生的疑点来指导后续的审计程序。

在传统审计环境下，审计人员收集到的主要是被审计单位内部的结构化的数据，通常来源于企业的ERP系统和CRM系统，数据收集范围相对较窄。而在大数据环境下，大数据具有将以前从未量化过的内容以数据的形式呈现出来的能力，因此，审计人员可以采集得到的数据不仅包括公司内部的数据，还包括各种来源、各种形式的外部数据。这一方面大大拓宽了审计人员的视野，可能有利于提高审计效率和效果；另一方面，在这些数据中，存在大量与审计决策不相关的数据和模糊的数据，增加的信息负载也可能会干扰审计人员无法准确识别相关线索，对于这些数据的不当处理可能反而会降低审计的效率和效果。Alles and Gray（2018）认为，在审计环境中，漫无目的性的数据收集是否适当或可行是个问题。即使审计人员拥有完备的数据中心和数据平台，通过对全部数据的挖掘和分析来发现疑点可能也并不符合成本效益原则。从这个意义上说，审计完全由数据驱动在目前的技术背景下仍然是一个有待商榷的问题。

（二）审计程序的变化

在传统审计流程受到冲击的情况下，原有的审计程序自然也会受到影响。已有文献主要关注数据式审计模式对风险评估程序和控制测试程序的影响。

1.对风险评估程序的影响。关于风险评估程序在数据式审计模式下的地位和作用，目前学术界存在较大的争议，这种争议与前文提到的数据思维差异有关。一种观点认为应以数据驱动审计，采用大数据分析技术使得审计人员有能力进行全样本的审计（秦荣生，2014）。例如，刘杰等（2019）认为在数据式审计模式中，由于先进的数据分析技术的应用，如数据挖掘、数据分析、可视化分析技术以及区块链技术等，全样本审计成为可能，未来风险评估程序会成为不必要的审计程序。另一种观点则认为应以数据分析辅助风险评估过程，大数据分析技术的运用能够帮助审计人员对欺诈风险以及管理层舞弊风险进行更好的预测，从而有助于对风险的识别和评估。例如Min Cao等（2015）认为，出于成本效益原则的考虑，以及考虑到特定行业运用大数据分析在风险识别和评估方面取得的成功，将大数据技术运用于风险评估程序能够帮助审计人员更好地识别被审计单位的经营风险和战略风险，并通过各种因素之间的相关分析，帮助审计人员在需要高度职业判断的领域（如持续经营、管理层舞弊、欺诈等）进行更准确的判断，此外，核对各种来源获得的证据也能帮助审计师在风险评估中进行更加全面的分析。

2.对控制测试程序的影响。传统审计模式下，控制测试是用来评价被审计单位内部控制在防止、发现和纠正认定层次重大错报方面的有效性的审计程序。而随着人工智能、大数据、云计算、物联网、区块链技术的不断发展，企业信息系统的风险越来越值得重视，审计人员对信息系统的设计、开发、使用和维护等流程的控制测试越来越重要。从数据式审计的提出至今，大多数学者都认同控制测试的重心应转向信息系统的内部控制有效性，控制测试程序将转变为信息系统审计。

四、实施数据式审计的关键要素

关于数据式审计模式的实施问题，已有文献重点关注了以下关键要素：搭建数据审计平台，数据质量的保障以及数据分析技术的应用等。

（一）审计平台的构建

秦荣生（2014）认为，构建审计分析平台是大数据、云计算技术在审计中运用的基础项目建设工程。刘国城、王会金（2017）按照流程和功能将审计平台分为采集、预处理、分析和可视化这四个子平台，并对各个子平台进行了更深层次的设计。

（二）数据质量的保障

大数据环境下，数据的范围在不断地扩大。审计人员面对的数据由结构化的数据不断延伸扩展到网页、物流数据、传感器数据、电子邮件、电话、社交媒体数据以及其他内部和外部数据。为了确保审计结论的可靠性，审计人员需要确定其所依赖的数据能够满足质量要求。因此，数据质量问题成为审计领域关注的热点。

Vasarhelyi（2008）和 Tufekci（2013）认为，大数据通常不能提供精确的信息，新闻文章、社交媒体等来源的数据可能会受到偏见的影响，从而降低数据的可靠性。Kyunghee Yoon等（2015）则从审计证据的充分性、可靠性和相关性的角度以及成本效益的角度出发，认为即使一般意义上大数据可靠程度相对较低，然而大数据（主要是指来自于外部的数据）通常是由外部生成的，并且是被审计人员所直接获取的，因此，这类审计证据从来源来看可能更加可靠，并主张在审计中使用大数据作为补充的审计证据。Brown-Liburd等（2015）则认为如果没有额外的调查，大数据分析产生的相关性证据并不能提供可靠和适当的审计证据，因此，大数据不应被用作唯一的证据来源。

面对数据质量的挑战，Deniz Appelbaum（2016）认为，外部大数据的不可靠性主要是因为其真实来源的不确定性，这就意味着当审计人员利用大数据进行审计分析时，在一定程度上承担了验证这些数据可靠性的责任。基于此，Deniz Appelbaum提出了一个保证数据安全的来源收集系统──大数据来源黑箱。程铖、李睿（2016）认为由于电子数据具有无形、易失和易改等不稳定的特性，并且在采集、存储、使用和传递过程中存在信息泄漏等风险，因此在电子数据审计过程中，需要加强对电子数据的管理。程平、张砾（2017）基于对电子数据在产生、传输、存储等整个动态过程中的特点分析，从可用性、安全性、可靠性、可审计性四个方面，在云会计的环境下构建了电子数据审计可信模型。

（三）数据分析技术的应用

大数据真正的价值并不在于数据量达到多少量级，而在于利用数据进行分析的价值。国内外学者对大数据分析技术在审计中的运用进行了广泛的探讨，相关研究集中于分析大数据环境和大数据分析技术对审计的影响，以及大数据分析在具体审计程序中的应用。

董伯坤（2007）认为数据式审计模式区别于传统审计模式的一个显著特点是将搭建审计分析模型作为数据式审计的核心环节。高浩玮（2010）提出了构建审计中间库/表等关键技术、运用平衡检验手段的数据式分析方法。程平等（2015）认为可以利用大数据的“相关分析”，找出数据集里隐藏的相互关系网，来对审计疑点进行预测与分析，并根据已有的方法模型来判断被审计单位业务的真实性和合规性。陈伟、吴正等（2017）提出了利用Benford定律的原理，辅助审计人员发现海量数据中的异常数据。

2014年，美国会计学会的年度会议讨论了大数据对于会计与审计的影响及其运用等问题，关注大数据分析技术在审计中的发展与应用。一些学者指出，大数据技术，如数据挖掘和数据分析（例如，预测建模）是有效的工具，可用于分析和评估欺诈风险，大数据分析工具可以被用于一些高风险的审计领域。Helen Brown-Liburd等（2015）认为审计人员可以在评估客户业务风险、欺诈风险、内部控制、持续经营等方面利用数据挖掘技术与分析技术来分析外部数据。Christine E.Earley（2015）认为在审计中使用数据分析主要有四个方面的好处：测试更多的交易；通过对客户流程更加深入的了解来提高审计质量；更容易发现审计中的欺诈现象；充分地利用外部数据更好地制定审计计划（特别是风险评估）以及提供咨询服务。Alles and Gray（2018）认为大数据分析技术对于注册会计师而言，更为重要的可能是在计划审计阶段以及审计过程中通过分析预测不断地调整预期。

相对于其他的大数据分析技术而言，可视化技术尤其引起了学术界和实务界的关注。该技术强调计算机的计算能力与人的认知和洞察能力的结合。Thomas，Cook（2005）将可视化技术定义为：一种通过交互式可视化界面来辅助用户对大规模复杂数据集进行分析推理的科学与技术。在审计中运用可视化技术可以帮助审计人员更加直观地发现数据背后的关系、规律与本质。美国注册会计师协会（AICPA，2014）明确提出，用于分析大量数据的软件（数据挖掘工具）以及更复杂的数据可视化工具可以潜在地提高个人理解数据的能力以及再现故事发生的可能性。陈伟和Smieliauskas Wally（2017）将可视化分析与SQL查询分析以及目前的相关审计软件分析进行了对比，认为可视化分析将成为今后主流的审计分析方法。陈伟、居江宁（2018）以某公立医院是否存在药品加成的违规行为的审计案例为背景，验证了可视化分析技术的有效性，并进一步探讨了可视化分析的优缺点和使用的条件。

五、研究展望

通过对已有文献的回顾与梳理可以看出，学术界对于数据式审计的研究尚在探索阶段，诸多理论和实践难题尚待研究。笔者认为，未来有必要重点关注以下几个方面的研究。

（一）关于审计流程的重构

在数据式审计模式下，基于数据分析形成的疑点是否全面和可靠很大程度上依赖于数据的质量和可获得性。在目前情况下，各类组织之间，包括政府部门与企业之间，各政府部门之间以及各企业之间的数据壁垒依然存在，数据质量参差不齐，考虑到成本效益原则，审计目标的实现可以在多大程度上依赖于数据驱动尚待商榷，审计流程的重构既面临难得的机遇，又面临严峻的挑战。

此外，大数据技术、人工智能、物联网以及区块链等技术的结合应用将大大推动审计流程的自动化。对于不涉及重大职业判断的、重复性高的工作，如合同关键信息的识别与提取、银行对账单的核对、企业内部信息系统与外部信息系统数据的核对等，都可以通过自动化的审计程序来实现。但人工审计程序在涉及重大职业判断的领域仍然不可或缺，因此，如何做好自动化审计流程和人工审计流程的对接与整合，是审计职业界亟待解决的重要课题。

（二）关于审计证据的获取和评价

充分性和适当性是审计证据的基本特征，其中，适当性是对审计证据质量的评价，包含相关性和可靠性两方面的要求。在传统的审计环境下，审计证据有着明确的可靠性标准。但在数据式审计模式下，当审计取证的范围延伸到网页、传感器、媒体等更加丰富的层面时，这些证据是否适用于传统环境下“从被审计单位外部独立来源获取的审计证据比从其他来源取得的审计证据更为可靠”以及“直接获取的审计证据比间接获取或推论得出的审计证据更为可靠”等判断标准呢？如果把证据的外部来源粗略地分为传统实体机构（如政府机关、银行、证券公司等）以及网络媒介（如网络媒体、社交网络等），同样是外部来源的证据，其可靠性是否存在着显著的差异？如果传统的审计证据评价标准不再适用，那么，又该如何对审计证据进行评价和规范呢？正是基于对这一问题的现实关切，2019年6月20日，美国注册会计师协会审计准则委员会发布了关于“审计证据”的审计准则拟议说明，征求相关人士的建议。在这一背景下，我国是否也需要考虑推进有关“审计证据”准则的修订？这些都迫切需要学术界和实务界做出科学的回答。

（三）关于审计风险控制

在数据式审计模式下，数据的采集是一系列后续审计工作的基础。虽然信息技术的发展在很大程度上提高了数据的可获得性和可验证性，但如何确认数据源头的安全性是摆在审计人员面前的现实难题。以区块链技术为例，虽然区块链具有去中心化、公开透明、不可篡改的特征，在企业中应用区块链技术可以降低被审计单位的重大错报风险，从而减小审计风险，但是区块链技术无法防止篡改映射关系（Apte和 Petrovsky，2016），正如 CPA Canada和AICPA（2017）所强调的那样，即使交易数据记录在区块链上，它们也可能是未经授权或不合规的，审计人员需要高度关注现实与数据之间的映射关系的真实性。此外，除了数据采集的完整性、数据质量等问题外，数据隐私问题也是审计人员面临的重要挑战，审计人员需要极其谨慎地在法律法规、社会伦理和职业道德的权衡之下寻求恰当的数据获取手段和界限，这些都对数据式审计模式下的审计风险控制提出了更高的要求，也是未来法学、社会学与经济学、管理学交叉研究的重要课题。