內部審計在數據治理中的職責與治理路徑研究

摘要：習近平總書記在黨的二十大強調建設數字中國。數據治理是公司治理的一部分，而內部審計是公司治理的重器，因此內部審計參與數據治理是天然的職責所在。這一問題在執業規范變化、新經濟沖擊和新技術變化的背景下更為重要。國際內部審計協會和我國審計署均要求開展增值型內部審計；新經濟影響了企業的生產方式、治理結構和組織方式；新技術則改變了內審的工作方式和工作重點。本文以數據治理模型，從數據治理規則、數據質量、元數據、數據訪問和數據生命周期五個要素的角度探討了增值型內部審計的職責；本文以英國數據治理服務商DQM提出的“意識—被動反應—主動應對—成熟—優化”5個數據治理階段分別探討了參與路徑。

關鍵詞：增值型內部審計；大數據；數據治理；數據治理成熟度

中圖分類號：F27文獻標識碼：Adoi：10.19311/j.cnki.1672-3198.2024.08.025

1內部審計在數據治理中的職責

1.1數據治理

數據是經濟發展的新要素（王芳等，2017）。從微觀角度來看，數據幫助企業進行合理決策、精準營銷、按需生產，增強企業及全供應鏈的敏捷性，降低流程斷裂的風險（孫新波等，2019）。數據質量、數據交易、數據安全有賴于數據治理（張明英和潘蓉，2015）。數據治理是組織中對于數據資產決策的權力和責任的分配規則（Khatri and Brown，2010）。與數據管理不同，數據治理強調達成目標過程中的利益和責任的分配，而數據管理僅僅涉及決策和執行（Khatri and Brown，2010）。我國在2018年出臺了《數據管理能力成熟度評估模型》，包含了數據治理的內容，但是聚焦數據管理，忽視了職責和權力的分配。我國尚未出臺數據治理方面的文件。

國內學者關于數據治理的研究以理論分析為主（劉桂鋒等，2017）。國外學者在理論、模型、實踐方面均進行了研究。目前最直接簡單、影響力較大的數據治理模型由Khatri and Brown（2010）提出，該模型從數據準則、數據質量、元數據、數據訪問、數據生命周期五個要素進行劃分；但中小企業由于缺乏數據技術和數據概念難以適用這一模型，更有普適性的模型有待探索。其他學者也紛紛提出了數據治理模型，但是沒有實踐檢驗（肖潔瓊和奉國和，2020）。

表1數據治理模型數據準則數據質量元數據數據訪問數據生命周期目前沒有公認的數據治理模型，我國的《數據管理能力成熟度評估模型》較多關注數據管理，在企業治理方面涉及較少，對內部審計部門的指導意義較弱。本文采用最直接簡單、影響力較大的數據治理模型（Khatri and Brown，2010；張寧和袁勤儉，2017）分析增值型內部審計的職責。該模型由數據治理規則、元數據、數據質量、數據訪問、數據治理周期五個要素組成。

1.2數據治理規則

數據治理規則展示了頂層框架，為組織內外部的決策提供指引。數據治理規則以數據使用者為核心，包括數據使用者的要求（數據質量），數據編譯（元數據），數據評估，數據產生、保存和滅失（數據生命周期）。目標是向組織內外部提供透明的規則，促進數據發揮價值。我國在2018年出臺了《數據管理能力成熟度評估模型》；2020年12月深圳市出臺了《深圳經濟特區數據暫行條例（草案）》，對數據立法進行了探索。由商業主體之間共同商定的軟法也是數據治理規則重要的一部分（沈巋，2020）。數據治理規則關系到數據所有權人、經營者、供應者、使用者、企業董事會的利益，在規則缺失的情況下會給企業帶來較大經營風險。因此數據治理規則既影響企業治理，也影響企業的風險管理和內部控制制度。

內部審計作為“第三道防線”需要與“第二道防線”——合規部門相互合作，共同滿足數據治理規則的要求。在保護企業價值方面，檢查組織現行的合規業務是否滿足外部監管的要求，充分了解利益相關者的利益，關注新規則的演變，特別是沒有成熟治理規則的領域；并及時更新企業的內部控制制度，使其滿足新的治理規則的要求。內部審計難以在這個要素中為企業創造價值。規則主要由各利益相關者共同決定，這一要素對內部審計來說是外生的。

1.3數據質量

數據質量的衡量標準是能否達到使用價值，不同的使用者對數據質量的要求不同。數據質量可以從準確、及時、完整、可靠四個維度進行衡量。數據質量達不到使用要求會降低數據的價值，不僅無法成為企業的戰略資產，還會造成企業在合規、數據存儲、打印和重復工作方面的問題，帶來額外的成本；最終給數據所有權人造成損失，也會給企業的經營帶來風險。內部控制制度的目的之一是保護數據的價值。數據分析師和特定領域的專家直接為數據的質量負責。

在保護企業價值方面，內部審計部門的職責是檢查內部控制制度的設計和執行能否保證數據質量。此外，內部審計部門作為企業數據的使用者之一，在使用企業數據時，可以對企業內部產生的數據進行質量檢查。內部審計部門針對在執業過程中用到的數據需要先驗證其準確性、及時性、完整性和可靠性，針對達不到使用要求的數據，深入檢查內部控制的執行和設計，并提出改進建議。在創造企業價值方面，內部審計部門作為鏈接各業務部的部門，可以向業務人員展示數據質量的評估標準和評估流程，增加雙方的溝通效率，幫助更好地執行數據質量制度。內部審計部門可以特別關注數據使用者的需求以及相關的溝通機制，檢查數據分析師和特定領域的專家能否及時了解并滿足使用者的需求；關注數據使用者的質量投訴，從中發掘數據質量風險和機會。

1.4元數據

元數據是“數據的數據”，對數據進行精確和一致的描述，目標是數據能夠使用和編譯。元數據在數據的瀏覽、檢索、整合、分析功能上發揮著重要的作用。元數據包括數據的存儲（物理元數據），數據的產生、修改、授權、審計、演變（范疇自力的元數據），與現實世界的對應關系（特定領域的元數據），用戶在數據上的注釋（用戶元數據）。

內部控制和風險管理仍然是內部審計的重點所在。內部控制制度應該涵蓋元數據的標準，能夠保證元數據的一致性，可供數據使用者編譯；特別地，針對不同種類的元數據企業應該有應對的內部控制制度。由于元數據有較強的專業性，內部審計部門可以與“第一道防線”——管理層深入溝通，了解元數據的專業知識。

在保護企業價值方面，內部審計部門在數字化轉型期間，應該有效表達自身需求，使得數據世界能夠與現實中的內部審計部門有較好的對應，提升管理信息系統的利用效率，避免重復建設，降低企業的成本。受制于數字化轉型發展，目前企業的管理信息系統與內部審計業務不能較好地契合（劉淑春，2019），出現閑置的情況。針對數據在編譯方面出現的問題，內部審計部門應該加以注意，順查出現的原因，協助管理層和治理層進行風險管理。在創造企業價值方面，可以檢查用戶的注釋是否有商業價值，將其傳遞給銷售部門，為用戶提供更有價值的服務，增加企業的收入。在企業面臨的商業環境或者企業戰略發生變化時，數據資產創造價值的方式也會隨之發生變化，內部審計人員可以根據企業戰略及時檢查當前元數據是否按照內控的要求進行更新。

1.5數據訪問

數據訪問也可以稱為數據的邊界，關乎數據的訪問權限。數據訪問關注數據獲取、流通時是否存在侵權行為。數據的產生和流通過程需要留痕，滿足后續審核和監管的要求。由于數據訪問直接涉及企業的經濟利益流入，因此涉及風險管理、公司治理和內部控制，內部審計部門在數據訪問中發揮的作用較大。

在保護企業價值方面，內部審計應該關注企業在獲取數據時是否存在侵犯隱私的情況，數據是否經過脫敏，降低訴訟風險；在數據流通的過程中，內部審計應該關注數據的訪問權限是否符合企業的授權審批制度，沒有必要訪問數據的員工是否被禁止，降低數據資產泄露的風險；對于管理層將數據私自售賣，侵占企業資產的行為及時向治理層進行報告，提升公司治理水平。在創造企業價值方面，內部審計部門同樣可以發揮較大的作用。由于數據的價值對每個用戶并不相同，因此數據可以根據為使用者創造的價值進行定價。而使用者獲取的價值通常在事后才能確定，因此企業需要對數據的使用情況進行持續監督。內部審計作為監督部門，可以承擔這一職責。數字化將組織的邊界變得模糊（戚聿東和肖旭，2020），組織組成生態將成為常態。而數據在生態內流動，因此內部審計部門的職責也將不僅僅局限于組織內部，其自身的優勢在生態內能夠協助管理層進行風險管理。

1.6數據生命周期

數據生命周期是指根據數據的使用目的，將數據的價值劃分為不同的階段，目的是及時刪除沒有價值的數據，減輕數據存儲的成本和合規風險。內部審計在數據生命周期這一要素的主要職責是對內部控制進行評價，同時考慮內部控制的缺陷對企業合規風險的影響。

具體而言，在保護企業價值方面，內部審計部門可以及時檢查企業是否按照數據治理規則對數據的價值進行定期評估，刪除沒有價值的數據。對于存儲期限有強制要求的數據，與合規部門合作檢查是否按規定刪除，降低合規風險和數據存儲成本。數據生命周期的目標是降低存儲成本，因此內部審計無法為企業創造價值。表2增值型內審在數據治理中的職責要素數據治理規則數據質量元數據數據訪問數據生命周期內審職責公司治理√√內部控制√√√√√風險管理√√√√增值方式保護價值√√√√√創造價值√√√綜上所述，內部審計在數據治理的各個要素均能保護或創造企業的價值。表2總結了增值型內審在各數據治理要素中的職責。2內部審計參與數據治理的路徑

企業的數據治理并非一蹴而就，而是逐步發展。數據治理的不同發展階段由成熟度來衡量。IBM結合本企業的發展，將數據治理成熟度劃分為五個階段，最初級階段僅有個別員工為數據治理做出努力，最成熟的階段是企業成為數據治理領域的領導者（Wróbel and Komnata，2017）。由于僅有少數企業才有能力成為行業領軍，因此該模型無法適用于多數企業。英國數據治理服務商DQM從企業戰略的角度提出評估成熟度的模型（Gregory，2011），有更強的適用性。本文以DQM提出的方法分析內部審計參與數據治理的路徑。Gregory（2011）將數據治理一共分為5個階段：意識—被動反應—主動應對—成熟—優化。內部審計部門在企業的各個階段均能夠發揮作用，為企業創造價值。表3增值型內部審計在不同階段參與數據治理的路徑數據治理成熟度意識被動反應主動應對成熟優化數據的性質成本成本資產資產資產管理層行為的動機不適用外部監管將數據轉化成資產數據價值的開發應用商業機會重點關注的數據治理要素數據治理規則重點重點數據質量重點重點元數據重點重點重點數據訪問重點重點數據生命周期重點重點內審職責公司治理√√內部控制√√√√√風險管理√√√增值方式保護價值√√√√√創造價值√√√2.1第一階段：意識

在這一階段企業沒有管理數據的意識，數據之間的標準不統一，管理信息系統專注于單項子系統的應用；企業各子系統之間存在數據“孤島”的問題。數據的存儲給企業帶來了成本，無法為企業創造收益。在這一階段企業幾乎沒有能力解決數據問題。

內部審計人員在這一階段可以保護企業價值，幫助公司的管理層和治理層意識到數據產生的成本。內部審計了解企業的現有制度、各部門的主要業務，可以對數據“孤島”的問題進行詳細的梳理，向管理層和治理層進行匯報，使其意識到數據管理不善對企業價值造成的損害。在企業建設信息系統時，內部審計可以協助技術人員深入調查各部門的業務和具體需求，減少后期調試和重復建設的成本。在內部控制制度方面，內部審計可以完善數據生命周期的相關制度，初步識別數據的價值，將可能有用的數據進行保存，刪除沒有價值的數據，減少數據儲存的成本。這一階段內部審計無法為企業創造價值，數據不是企業的資產，無法帶來收益。

2.2第二階段：被動反應

在“被動反應”階段，企業開始行動以應對外部監管的要求，數據仍然是企業的一項成本。企業重視單項子系統應用，但是單項應用之間不能在業務或數據上進行相互協作。企業在管理信息系統上的投入越來越大，數據“孤島”的問題也越來越嚴重，幾乎沒有任何數據分享或數據流動。IT部門是問題的主要負責人，而非組織層面的管理層和治理層。管理信息系統的建設集中在數據庫和智能銷售系統。企業能夠解決部分數據問題，但是發現不了問題的根源，或者治標不治本。企業在這一階段經歷的困難較多，高層支持、清晰的戰略決策都在這一階段產生。

這一階段內部審計可以保護企業價值。內部審計可以與“第二道防線”——合規部門合作，降低合規風險；監督外部強制性的數據治理規則在內部控制的設計和執行方面的落實情況。針對信息系統與企業實際業務的脫離情況向管理層和治理層匯報，梳理管理信息系統產生的數據“孤島”、重復建設和閑置的情況，并根據同行經驗給出組織結構、內控制度方面的調整建議。在企業建設數據庫時，內部審計人員可以有意識地要求數據管理具有前瞻性，使數據庫的目錄和模型盡可能滿足企業主要應用場景，為日后數據創造價值打下基礎。同樣地，這一階段數據并不是企業的資產，內部審計無法為企業創造價值。

2.3第三階段：主動應對

這一階段企業將數據視為一項戰略資產，并能使用數據創造價值。為了保護數據資產，企業設立了數據經理、管理規則、管理流程和管理政策，企業文化也發生了相應的變化。數據經理具有IT經驗，能夠從數據的角度支持企業戰略。同時，企業將數據和IT的建設提升到了組織層面。企業能夠從風險管理、公司治理、內部控制、組織結構層面發現數據治理問題的根源，并做到防患于未然。

內部審計人員在這一階段發揮的作用最大。在保護企業價值方面，內部審計得到管理層和治理層的支持后，可以根據以往內部審計積累的經驗，從風險管理、內部控制的角度對數據治理規則和政策的設計提供有效的建議；也可以將不合適的規則及時向管理層和治理層進行反饋改進，在元數據和數據質量兩個要素上保護數據的價值。在創造企業價值方面時，內部審計部門在執業過程中可以向職能部門的員工宣傳和解釋數據資產相關的企業戰略和組織文化。

2.4第四階段：成熟

在這一階段，企業有了一套成熟的數據治理方法，這套方法能夠識別和應對數據治理的問題，并專注于數據價值的開發和應用。這個階段企業能夠進行數據分享并實現增值。企業能夠從組織層面設計數據和業務規則，以確保數據的一致性。這一套方法是企業根據自身情況逐步發展起來的，與企業的業務和戰略能夠較好的契合。管理信息系統支持使用人工智能執行數據安全和數據合規業務。

內部審計人員在這個階段根據數據治理方法進行執業。在保護企業價值方面，對于有損數據價值的行為及時監督。同時，由于企業的邊界模糊、外部環境變化較快，對于不再適用的內控制度及時反映，并提出改進建議以應對外部環境的風險。對于從咨詢公司購買或者從其他企業借鑒的數據治理方案，內部審計人員可以提出調整建議，確保執行該規則時能夠契合企業的戰略和業務。在創造企業價值方面，對于尚未利用的數據價值及時提出建議。

2.5第五階段：優化

這一階段企業將數據開發能力作為戰略意義上的核心競爭力，能夠在員工、流程、組織和技術方面得到保障。企業現階段的目標是數據能夠跨組織流動，同一生態中的企業采用相同的數據標準。企業把注意力從數據的整合轉向業務的整合，新的商業機會和業務模式得以出現，例如為消費者進行定制化生產。企業的數據治理規則也隨著業務的變化不斷優化。

這一階段內部審計有了更大的舞臺，需要與合規部門甚至其他組織進行合作。由于數據在組織之間流動，確保數據訪問的合規變得更加重要。不僅涉及到數據治理規則，還涉及到僅僅與業務相關的規則。內部審計需要與第二道防線——合規部門進行緊密的合作，將數據訪問相關的合同、數據需求相關的元數據嵌入內部控制制度，保護企業價值。在創造企業價值方面，內部審計還要對利益相關方進行必要的監督。在數據分享的過程中，由于數據對于每個購買方的價值并不統一，因此可能需要事后定價。因此企業能否有效監督數據購買方的行為直接關乎企業的收入。內部審計人員可以在生態層面與其他企業的內審人員進行合作監督，或者利用自身經驗設置合適的監督方法。

綜上所述，內部審計在數據治理的各個階段均能保護或創造企業的價值。表3總結了增值型內審參與各階段數據治理的路徑。

3結論與建議

本文以Khatri and Brown（2010）提出的數據治理模型，從數據治理規則、數據質量、元數據、數據訪問和數據生命周期五個要素的角度，分別探討了內部審計應該如何在風險管理、公司治理和內部控制領域保護或創造企業價值，開展增值型內部審計；以英國數據治理服務商DQM提出的“意識—被動反應—主動應對—成熟—優化”5個數據治理階段分別探討了參與路徑。

內部審計在數據治理中的責任重大，本文據此提出以下建議：（1）內部審計人員應抓住機會，迎接挑戰。開展增值型內部審計，積極參與企業的數據治理，在數字化轉型中為企業創造價值，得到管理層和治理層的重視，提升獨立性。增強內部審計部門對業務部門的了解，以風險導向為契機，積累關于企業的知識，為增值型內審做積淀。提升內部審計部門的數字素養，培養內審人員大數據和人工智能的技能，突破技術限制，為參與數據治理做好準備。（2）在人才培養方面，高校應該重視審計和信息技術的復合人才培養（許憲春等，2020），重視大數據和人工智能在審計領域的應用教學，增加實驗教學，提升學生的動手能力。

參考文獻

[1]鮑國明.內部審計為數字化轉型保駕護航——在第二屆數字風險峰會上的致辭[J].中國內部審計，2021，259（1），7-8.

[2]劉桂鋒，錢錦琳，盧章平.國內外數據治理研究進展：內涵、要素、模型與框架[J].圖書情報工作，2017，61（21），137-144.

[3]劉淑春.中國數字經濟高質量發展的靶向路徑與政策供給[J].經濟學家，2019，246（6）：52-61.

[4]戚聿東，肖旭.數字經濟時代的企業管理變革[J].管理世界，2020，36（6）：135-152，250.

[5]沈巋.數據治理與軟法[J].財經法學，2020，31（1）：3-12.

[6]孫新波，錢雨，張明超，等.大數據驅動企業供應鏈敏捷性的實現機理研究[J].管理世界，2019，35（9）：133-151，200.

[7]王芳，儲君，張琪敏，等.跨部門政府數據共享：問題、原因與對策[J].圖書與情報，2017，177（5）：54-62.

[8]張寧，袁勤儉.數據治理研究述評[J].情報雜志，2017，36（5）：129-134，163.

[9]Gregory A.Data governance protecting and Unleashing the value of your customer data assets[J]，Journal of Direct，Data and Digital Marketing Practice，2011，12（3）：230-248.

[10]Khatri V，Brown C V.Designing data governance[J]，Communications of the ACM，2010，53（1）：148-152.