大数据审计的风险与防控措施

◆曾虹 李立贤 曹越湘 李昌霖

1.益阳职业技术学院 2.湖南省益阳市审计局 3.湖南大学

2021年6月，审计署印发《“十四五”国家审计工作发展规划》，着力构建全面覆盖的审计工作格局，对加强审计技术方法创新，充分运用现代信息技术开展审计，提高审计质量和效率，健全审计质量控制体系提出了要求。审计全覆盖会造成审计任务量增加，同时也会引发审计中海量数据获取、存储及处理繁琐问题。传统的审计方式与手段已无法适应审计全覆盖的要求。改进国家审计技术与方法，运用大数据审计能提高审计机关审计效率，从而实现审计监督全覆盖目标。然而大数据审计目前仍处在发展阶段，数据的采集与管理、存储和运用仍存在一些问题，给审计带来了风险，亟需探索与解决。

一、大数据审计的风险分析

（一）大数据审计的法律法规风险

1.大数据审计法律法规停留于指导性文件层面。近年来，审计署多次印发大数据审计相关的指导性文件，进一步指导和规范计算机数据审计行为，保障审计质量，提高审计效率。但现行审计法规和《中华人民共和国国家审计准则》尚未体现大数据审计的内容，对于利用大数据审计方法进行数据收集、储存、管理和分析的整个流程暂时没有相关法规作为依据，这一现状阻碍了大数据审计的进一步发展和审计技术的普及。审计机关利用大数据技术定期搜集和存储政府部门、金融机构、企事业单位的数据信息，需要获得法律授权；审计机关利用大数据技术的流程及标准，合理的数据存储、共享和管理方式需要法律法规进行规范；审计机关利用大数据技术跨部门跨领域查询比对所获得的审计证据、得出的审计结论，其效力需要法律法规进行确认。

2.缺乏明确政策法规支持。中共中央办公厅、国务院办公厅《关于完善审计制度若干重大问题的框架意见》及配套文件中明确提出，构建大数据审计工作模式，构建国家审计数据系统和数字化审计平台，探索建立审计实时监督系统，实施联网审计。但上述政策文件精神尚未转化为法律法规。2021年10月23日新修订的《中华人民共和国审计法》（以下简称《审计法》）第三十四条规定，审计机关有权要求被审计单位按照审计机关的规定提供资料，包括电子数据和有关文档。审计机关对取得的电子数据等资料进行综合分析，需要向被审计单位核实有关情况的，被审计单位应当予以高度配合。这些要求都建立在审计工作范畴之内，然而在具体项目中由于部分精神尚未转化成法律法规，给大数据审计模式的合法性和权力边界的确定带来了困扰。

（二）大数据审计的数据采集风险

1.被审计单位通过业务流程产生的数据存在固有风险。有的被审计单位内部控制体系不健全或执行不严，不能及时预防或检测出存在的重大错误，审计时将存在重大错误的数据当成一般数据进行分析处理，难以识别存在的问题。有的被审计单位内控制度对审核程序设计不严密，上一阶段形成的业务数据存在的重大错误没有被发现，下一个阶段的业务又继续办理，掩盖了重大错误；极个别业务人员绕过业务流程，在流程之外办理业务，该业务数据没有录入信息系统，导致业务数据不全。

2.采集的数据真实性难以保证。目前，各地市（州）审计局每年除政府预算执行审计需要上报财政数据到省审计厅外，其它项目均未集中上报数据，即使上报也无法保证数据的真实性和准确性。对被审计单位提供的或被处理过的数据缺少有效验证方法；对业务数据在其上级主管部门不在基层的，数据的真实性和准确性无法保证。如工商、车辆和贫困人员等数据，无法连续提供或以表格的形式提供，导致存在人为修改数据的问题；个别被审计单位出于不同的目的，用虚假资料捏造经济业务数据。

3.数据割裂、不连续的风险。目前，各级审计机关与被审计单位之间的信息系统尚未完全建立数据访问与共享机制，审计大数据的获取仍停留在按需收集的阶段。虽然审计部门每年都能获得财政、单位财务等主要数据，以及社保、残联、公安、工商、贫困人员等方面的辅助数据，但这些数据都是被动获得，并非相关部门主动收集、整理上报，因此未被安排开展审计的单位或行业，以保密或其他理由为借口，不提供或不完全提供相关数据，导致数据在时间上不连续，在内容上出现割裂和碎片化的现象。

4.数据时效性不强，存在错误、冗余、难关联的风险。一是信息系统管理人员严重缺失，很多部门信息系统已建立多年却不能有效使用，数据时效性不强，收集的数据口径不一，出现不同程度的错误、冗余；二是各部门各自为政现象较为明显，部门间的数据很难实现共享，审计机关收集的数据必须经过整理后才能关联；三是各行业的信息系统在开发前对基层业务流程调研不足，导致开发的信息系统与业务流程脱节，业务人员不能完全在信息系统中办理日常业务，业务流程走完后还要录入一次，既浪费人力物力，又不能保证数据的完整性；四是信息系统逻辑检验不严，该录入的数据不录入也没有提示，导致形成的数据前后矛盾，有的甚至为空。

5.信息系统存在的漏洞风险。信息系统本身存在的漏洞在审计过程中往往被忽视。究其原因主要是信息系统的建立与维护大部分是由第三方专业机构负责，在使用过程中根据实际操作的便利性调整相关模块，但对流程的合理性、权力的监管情况考虑不完善。各部门使用的信息系统，有的是自行开发的，在系统设计时根本就没有考虑数据规范化的问题；有的是上级主管部门委托企业开发设计的，在开发时没有进行充分调查，系统操作不简便，基层业务人员不容易使用；有的系统短时间内不断升级，甚至新版本完全抛弃老版本，致使新老版本数据不兼容，老版本形成的历史数据也被抛弃，形成数据断代。

（三）大数据审计数据管理风险

数据管理风险主要表现为数据在存储和传输过程中出现丢失、泄密或销毁等管理工作风险。一是工作人员的计算机及移动存储介质等发生遗失、机房设备防灾能力不强的风险；二是在大数据的集中存储过程中，由于安全防护不到位，数据网络加密不足，攻击者利用数据挖掘和分析技术进行攻击，从而窃取或破坏数据的风险；三是由于审计人员违规使用互联网传送数据，或是使用非专用设备处理涉密信息导致的数据泄露等风险；四是部分安全管理人员业务素质不高，对网络拓扑、设备状态、策略配置等了解不够，存在无法对第三方运维公司的操作进行有效审核把关的风险；五是对第三方运维公司的管理不够严格，市县审计机关普遍未与第三方运维人员签订数据安全保密协议，存在安全隐患的风险；六是终端和移动存储管控不严，只有少数审计机关制定或部署了审计专网和本级分析网准入策略，个别审计机关审计专网终端和互联网终端混用，存在数据风险。

（四）数据分析和使用风险

1.系统出现漏洞所引发的风险。片面针对被审计单位的相关数据进行分析，而忽略对被审计单位业务信息系统的安全性与可靠性的关注。如果被审计单位系统出现重大漏洞，会对分析结果产生影响。

2.数据分析与审计业务人员沟通不足存在的风险。审计人员与数据分析人员之间沟通交流不充分，审计人员不能用数据思维提出审计思路，分析人员不能完全理解审计思路，导致数据分析结果与审计思路不同轨、不同向，从而影响审计质量，埋下风险隐患。

3.电子数据存在被篡改和伪造的风险。一方面电子证据存储在介质中，复制不影响其完整性，相较纸质证据而言，不易区分原件和复印件；另一方面电子证据容易被人为篡改或伪造，也存在数据灭失和失实的风险。因此，审计人员面临着保证从原始数据到最终审计证据的证据链的完整性，保证电子数据生成的证据具有审计证明力的风险。

（五）大数据审计的疑点核查风险

大数据审计是人机结合的系统工程，大数据审计分析出的疑点和线索，是一个信息采集、抽样、建模、处理、分析的过程，数据是核心组成部分。由于数据自身的特性，在审计人员取证过程中会面临信息质量的风险。该环节的风险主要表现在：一是下发的审计疑点质量风险。下发的审计疑点只有筛选后的结果，未附相关审计思路以及疑点违规方向，核实人员在进行核实时一头雾水，被审计单位也存在困惑。二是能力和责任心不足导致疑点落实错误风险。由于基层审计机关业务人员较少，工作责任落实不到位和综合性人才缺乏，审计人员消极完成工作任务导致的风险。

二、大数据审计的风险防控对策

（一）完善大数据审计法律法规建设

1.应从国家层面加大法律制度完善研究力度。一是从制度层面上规范审计机关利用大数据技术采集、存储相关部门信息和根据审计机关要求定期报送数据信息的法律授权方式；二是根据大数据技术的流程及标准，制定合理的数据存储、共享和管理的法律法规；三是为大数据审计中获得的审计证据、得出的审计结论效力提供法律法规保障。

2.加强各级审计机关规章制度建设。一要加强组织领导，统筹业务和技术力量，将大数据审计贯穿审计项目全过程；二要健全大数据审计工作机制，明确大数据审计的组织方式、人员配备和工作流程等内容；三要完善大数据审计协同机制与疑点反馈机制，推动大数据分析技术与审计业务的更深层次的融合。

（二）大数据审计数据采集方面的风险防控

1.规范大数据审计数据采集方式方法。一是要做好采集前的准备。根据审计目标，充分调研，了解审计所需采集的数据；通过与被审计单位相关人员接触，熟悉被审计单位的数据信息系统流程和数据信息结构；根据审计目标和了解的情况，提出明确的数据采集需求。二是制定科学的采集流程，并严格按照流程进行操作。审计人员不应直接接触被审计单位系统和后台数据库，而是要提出操作需求和数据要求，被审计单位进行响应，由被审计单位相关人员现场操作，实时加密，审计人员进行现场监督。

2.完善大数据审计数据检查校验流程。对审计所需数据采集前后相关内容进行检查，通过记录计数和控制总数检查、连续性检查、业务数据对比检查、重要数据检查、数据完整性检查等必要技术手段审查数据的完整性和真实性。同时要求被审计单位提供数据真实完整性承诺书、数据采集语句、数据备份日志文件、数据字典等相关技术资料。并将原始备份数据进行二次备份，存入固定存储设备，以免数据的损坏和遗失。

3.建立大数据审计数据采集长效机制。新修订的《审计法》第三十四条明确规定了被审计单位要按要求提供审计所需的数据资料，但是在实际执行过程中还存在困难。为此，审计部门应当积极争取地方政府和被审计单位的支持，建立和健全大数据采集工作领导小组和工作机构，实现数据访问和数据共享机制，逐步建立定期采集和报送审计数据的长效机制，让静止、碎片化的数据动态化、连续化，为大数据审计创建基础数据环境，解决数据不全面、不连续的问题。对被审计单位故意捏造经济业务数据等行为进行责任追究。

（三）大数据审计数据管理方面的风险防控

1.建立大数据审计管理中心。建立大数据管理中心，统一管理采集到的各单位数据，实现“数据集中、应用分布”管理模式。中心将数据标准化和关联之后融合在一起，提供可扩展的数据处理能力，从整体视角对被审计单位进行多角度、多维度的数据查询分析。存放数据的服务器或计算机应禁止访问互联网，通过数据的物理隔离，确保数据安全。

2.建立审计数据管理制度。按照《党委（党组）网络安全工作责任制实施办法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》等法律法规和规章制度要求，建立健全审计数据安全工作责任制，把责任落实到具体部门、岗位和个人；加大审计数据安全的教育培训力度，增强人员的安全意识和保密意识；强化网络安全防护能力，定期进行安全检查，及时消除安全风险和管理漏洞，按网络安全等级保护要求对老旧设备进行升级换代，增加必要的防护设备；提升网络安全应急响应能力，定期修订完善网络安全应急预案，提高应急处置流程的科学性和可操作性。加强与网信部门、公安机关及安全服务机构的沟通，建立网络安全工作协调机制；加强数据安全防护，严格落实数据处理和使用审批流程，按照“最小授权”原则划分数据访问权限，采取数据库审计、日志记录等措施，防范数据丢失、篡改、未授权访问等风险；强化对审计终端的防护，严禁通过互联网传输审计数据。加强对服务和运维人员的管理，与第三方公司和人员签订保密协议，严格设置工作权限。

（四）大数据审计数据分析方面的风险防控

1.组建大数据审计数据分析团队。一是要建立审计数据分析室，采取“集中分析、发现疑点、分散核查、确认问题”的审计模式。数据集中分析过程中要积极借鉴已有经验和成果，开展交流沟通分析思路和共享经验，建设审计分析台和固化审计模型，充分运用多维度的分析和数据挖掘技术，实现从整体视角、立体角度、多维度分析数据，防控审计风险，提升审计项目质量。二是要锤炼大数据审计思路，审计人员必须在有限的时间里熟悉被审计单位政策、业务流程、数据结构，确定审计思路，并通过建立标准数据库和多行业数据关联找出审计疑点。

2.持续优化人才培养。一是分层分类组织培训。在做好全员培训的基础上，针对不同岗位安排不同的培训内容和时长，增强培训的针对性和实效性。二是强化培训内容的实用性和前瞻性。一方面要根据审计业务工作需求制定培训计划，结合审计案例开展实操培训，提升培训质量；另一方面，除组织SQL Server数据库、AO软件等培训外，要密切关注大数据分析技术趋势，加大对国产化软硬件、Python自然语言处理等内容的培训力度，提升大数据分析综合运用能力。

（五）大数据审计疑点核查方面的风险防控

1.疑点核查人员应持客观谨慎的态度。疑点核查人员应主动沟通，仔细倾听，认真负责，与数据疑点核实单位人员保持良好的沟通状态，取得被审计单位的理解和支持，引导相关人员在规定时间里提供有用的审计信息。对有异议的数据疑点核查反馈意见要综合分析，查清真相。对于核查过程中发现的重要疑点，要及时到疑点形成的项目、工地现场测量核实，或向疑点单位以外的关联单位及个人调查、了解有关情况，取得相关辅助证据，进而深挖问题根源，全面准确地揭露问题。

2.精准定性疑点问题。大数据审计分析结果仅小部分可以指向审计结论，大部分的分析结果展现的仅仅是疑点、表象，不能直接当作问题取证或定性。所以，必须对疑点仔细甄别，筛查出审计问题，并加以整理归类，探研原因，才能有效判定问题的性质。

3.充分征求被审计单位意见。征求被审计单位意见，不仅是审计程序的一个法定环节，也是审计组与被审计单位对大数据疑点问题达到相对统一的过程。一方面，向被审计单位进一步阐明审计观点，以便深入充分地交换意见，化解矛盾；另一方面，充分听取被审计单位的意见，进一步了解产生问题的深层次原因，可以了解其对审计行为的看法，取得被审计单位的认可，建立良好的工作关系。