企業數據資產審計的邏輯框架與實現機制
2024-08-09 00:00:00王敬勇王盛丹薛麗達
財會月刊·下半月 2024年8期
【摘要】數據資產是企業的核心戰略資源, 在對其管理和使用的過程中可能會發生數據泄露、 歧視性分析、 數據質量低下等問題。為了保障數字經濟的健康發展, 審計作為一種有效的外部監督機制被引入數字治理研究領域。基于此, 本文從企業數據資產審計的本質、 目標、 原則、 要素四個方面構建了一個綜合性的邏輯框架, 以推動理論體系的發展。進一步地, 圍繞企業數據資產審計的運行機制、 評價機制、 保障機制, 提出了具有針對性和可操作性的實現路徑, 以期為企業數據資產審計實踐提供新的思路, 從而更好地實現審計價值, 提升數據資產質量。
【關鍵詞】數據資產;審計;審計目標;審計本質
【中圖分類號】F239" " " 【文獻標識碼】A" " " 【文章編號】1004-0994(2024)16-0090-7
一、 引言
2020年, 中共中央、 國務院發布的《關于構建更加完善的要素市場化配置體制機制的意見》, 明確將數據作為與勞動力、 資本等并列的生產要素, 并提出要加快培育數據要素市場。數據資產作為一種新興的資產形式, 逐漸成為加速數字經濟發展和推進數字中國建設的關鍵戰略資源。為了更好地發揮數據資產的作用, 黨中央先后制定了《關于構建數據基礎制度更好發揮數據要素作用的意見》《數字中國建設整體布局規劃》等一系列重要決策部署, 為數據資產管理研究工作的開展指明了方向、 提供了遵循。但數據資產仍面臨內部控制構建缺陷(余應敏等,2019)、 隱私保護不可控(吳超,2018;Petrie,2016)、 應用賦能增值不充分(徐濤等,2022)、 流通缺少統一規范(劉悅欣和夏杰長,2022)等問題, 這些問題的存在不僅影響企業的戰略決策準確性和市場分析精準度, 還可能引發法律訴訟等一系列嚴重后果。
目前, 學術界關于數據資產的研究主要圍繞數據資產確權、 數據資產科目設置、 數據資產管理等方面展開。在數據資產確權方面, 有學者認為應該構建一套數據新型財產權制度(龍衛球,2017;程嘯,2018), 但有其他學者指出法律不應對企業的數據采取絕對性與排他性的財產權保護, 而應針對不同類型的數據設計不同的保護制度(丁曉東,2020), 或建立數據使用權(付新華,2022), 以促進企業數據的使用、 訪問和共享。對于數據資產科目設置問題, 目前學術界主要有三種觀點: 觀點一認為應該將數據資產作為無形資產科目下的二級科目列示, 屬于無形資產觀(游靜等,2018;符文娟等,2022); 觀點二認為應當將數據資產化進入存貨科目, 按照存貨確認規則進行會計確認, 屬于存貨資產觀(秦榮生,2020); 觀點三則認為將數據資產作為一級科目進行列示較為合理, 屬于數據資產一級科目觀(李雅雄等,2017;張俊瑞等,2020;羅玫等,2023)。針對數據資產的管理, 學者們從不同的方面提出了理論與模型, 有學者以信息生態為基本理念, 構建出適用于企業數據資產管理的信息生態模型(崔金棟等,2017;李菲菲等,2019)。李題印等(2022)通過對數據資產管理體系要素進行剖析, 提出了企業數據資產管理體系邏輯框架, 從而為實現數據資產保值與增值提供了依據。此外, 還有學者將區塊鏈技術與數據資產相結合進行研究。趙明等(2021)提出了基于區塊鏈技術的數據資產管理新模式, 對區塊鏈體系中的各個層次進行結合應用; 蔡昌等(2021)構建了基于區塊鏈技術的數據資產確權與稅收治理模式, 進一步完善了數據資產的分配方式。
盡管學術界已經就數據資產的確權、 科目設置及管理等方面開展了廣泛研究, 但這些研究主要集中在理論探討和宏觀政策制定層面, 對于如何有效審計數據資產, 確保其價值最大化的討論仍相對有限。本文對企業數據資產審計的邏輯框架進行了系統性研究, 明確了數據資產的審計本質、 目標、 方法等, 探討了企業數據資產審計的實現路徑, 旨在豐富企業數據資產審計的相關理論, 幫助企業有效防范和降低與數據資產相關的風險, 確保數據資產的有效利用和價值增長, 以促進數字經濟的健康發展。
二、 企業數據資產審計的主要進展
企業數據資產審計領域的進展不僅體現在對數據安全性、 個人信息合規與保護的規范和監督上, 更在于算法決策過程中的透明度和公平性, 以及對算法處理過程中可能引起的系統性風險的管理。
(一) 企業數據資產審計的發展
《網絡安全法》《數據安全法》和《個人信息保護法》的推行, 要求企業不僅要關注數據資源和網絡信息系統的安全性, 還應構建一套全面的數據管理體系, 包括數據的儲存、 共享、 監控及安全風險評估, 以此降低數據安全風險產生的可能性(許彩慧等,2024), 在此背景下衍生出了安全審計和個人信息合規審計。白利芳等(2023)在云儲存服務背景下, 分析了云數據在其生命周期各階段所面臨的安全風險及相應的安全審計需求, 其中保證云端存儲數據的完整性是首要問題, 其次便是確保在數據遭到破壞時可以恢復。王敬勇等(2024)從社交網絡的角度探討了云安全風險審計, 并將利益相關主體分為云應用開發商、 云服務提供商和云租戶, 提出了具有針對性的審計治理建議。劉國城(2020)強調了過程建模在互聯網安全審計中的重要性, 將其視為一個整合技術、 工具和流程的動態抽象過程, 并提出了大數據時代互聯網安全審計過程建模的理念與智能化服務策略。敬力嘉(2022)在個人信息保護合規計劃中提出區分原則, 認為應以企業類型和規模來區分對個人信息保護合規的需求, 在開展審計工作時需要遵循區分原則, 以實現相關審計要求的個別化。
(二) 企業數據資產審計的突破
《網絡安全法》《數據安全法》和《個人信息保護法》三大法規主要關注原始數據, 即直接采集的結構化、 半結構化或非結構化數據(肖冬梅,2024)。李雅雄等(2017)指出, 數據資產是企業經過加工后能夠實現特定商業目的并帶來經濟利益的可計量資源。這意味著原始數據本身并不構成企業的資產, 只有經過算法加工后的數據才有真正的價值。然而, 企業為了實現特定的利益訴求及利潤最大化目標, 在研發算法時往往會植入自身價值導向和利益意圖(鄭智航,2021), 這時審計就需要確保數據和算法的使用不會導致不公平或歧視性結果, 引發道德爭議和倫理風險。歐盟于2016年出臺的《通用數據保護條例》規定, 在特定情況下需要進行數據保護影響評估(DPIA), 強調對算法決策過程的透明度和可解釋性的要求, 以及企業在處理個人數據時必須遵守的合法性、 公平性和透明度原則(Kaminski等,2019)。此外, 歐盟在2020年公布的《數字服務法》中規定大型在線平臺有義務采取一定的措施, 確保所使用的算法系統設計不會在平臺用戶之間造成歧視, 并要求其承擔算法透明性、 可控性和可問責性的風險管理義務, 這都對算法審計產生了需求。算法審計通過向算法模型輸入不同的測試數據, 模擬演繹不同的運行場景, 根據運行結果反推算法的內部決策邏輯, 并推測算法的潛在外部影響, 以揭示可能的歧視偏見、 信息失真、 隱私侵犯等倫理問題(徐明華和魏子瑤,2023)。
綜上所述, 國內與數據資產相關的三部法規以及歐盟的《通用數據保護條例》和《數字服務法》都對數據處理和算法透明度進行了規范, 這表明法律和監管框架正在逐漸強化對企業數據資產的審計和問責要求, 標志著企業數據資產審計領域向更加綜合、 深入和前瞻性的治理模式邁進。
三、 企業數據資產審計的邏輯框架
(一) 企業數據資產審計本質
企業數據資產審計的本質是審計師通過實施審計程序對企業數據資產進行系統的審查和評估, 以此確保這些資產的真實性、 準確性、 效益性等, 并將審計結果傳遞給利益相關者。這一過程不僅涉及傳統的審計技能, 如財務分析和內部控制評估, 還包括對數據分析技術、 信息技術和數據安全保護技術的深入運用。企業數據資產審計有以下幾個特征: 第一, 企業數據資產審計的主體應當獨立于數據資產的創建者、 使用者和管理者, 同時需要具備相關的專業知識和技能。第二, 企業數據資產審計的對象具有可復制、 可共享、 無限增長和可供給的特性(秦榮生,2020), 與傳統意義上的物理資產有著顯著區別, 這就需要審計人員采取針對性的措施來獲取充分、 適當的審計證據。第三, 審計應覆蓋數據資產形成的整個生命周期, 包括數據收集、 數據存儲、 數據分析以及數據應用(Rassier等,2019), 這意味著企業數據資產審計不僅應關注數據的最終結果, 如數據分析的準確性和使用的效率性, 還需對數據處理的過程進行評估, 識別企業是否遵守了合規性原則。
(二) 企業數據資產審計目標
審計目標定義了審計活動的方向和終點, 明確了企業希望通過審計活動實現的具體成果, 是建立企業數據資產審計邏輯框架的重要基礎。本文參照鄭石橋等(2019)的研究, 將審計目標分為終極目標和直接目標, 終極目標決定了直接目標的方向, 而直接目標是終極目標實現的基礎。企業數據資產審計的終極目標是給管理層和利益相關者提供關于數據資產狀態和效能的可靠信息, 降低代理關系中各方之間的信息不對稱水平, 幫助企業做出更明智的決策, 并提升數據資產的管理效率和價值創造能力。
企業數據資產審計的直接目標是評估數據管理策略、 流程和責任體系, 確保數據在使用過程中的安全合規, 避免泄露和濫用, 并識別內部控制流程中的風險, 從而提出改進措施以減少錯誤和效率損失。具體分為四個方面: 一是審查數據資產是否有未授權訪問、 泄露、 損壞或丟失的風險, 其管理模式是否符合安全性目標; 二是檢查數據資產的管理和使用是否遵守了相關法律法規和內部政策, 其行為是否符合合規性目標; 三是審查被審計單位披露的數據資產有無虛假記錄或遺漏, 其信息是否符合真實性目標; 四是評價數據資產管理制度是否完善, 這包括數據的收集、 處理、 儲存等流程中, 其制度是否符合健全性目標。
(三) 企業數據資產審計原則
1. 獨立性原則。企業數據資產審計的主體應當獨立于數據資產的創建者、 使用者和管理者, 同時合理設置組織架構和管理關系, 積極營造審計環境, 確保審計活動正常進行, 不受任何干涉。
2. 持續性原則。大數據時代下, 機器人流程自動化、 機器學習、 數據可視化等新技術融入審計流程, 使得審計人員可以持續性地觀測和監督數據資產相關內容, 實現對項目從立項到執行再到最后完成的持續跟蹤與分析(馬蔡琛等,2020), 及時發現數據資產處理與使用過程中存在的風險點, 打造“事前防范—事中監控—事后問責”的全周期企業數據資產審計。
3. 全面性原則。審計范圍應覆蓋數據資產形成的整個生命周期, 包括數據收集、 數據存儲、 數據分析以及數據應用, 審計對象應包含數據、 信息系統、 設備設施、 操作人員等多種維度, 審計內容應涵蓋協議、 隱私政策、 訪問記錄、 系統日志等, 確保審計監督無死角。
4. 重要性原則。在審計過程中應該重點關注對企業生產運營有顯著影響的數據資產, 例如敏感個人信息、 產品研發數據等, 確保審計資源能得到有效分配, 精準識別出被審計單位的重大風險, 使企業數據資產審計的價值得到最大化體現。
(四) 企業數據資產審計要素
企業數據資產審計要素包括審計主體、 客體、 內容、 依據、 方法和結果。
1. 企業數據資產審計主體。鑒于本文的研究對象是企業數據資產, 適宜采用“內部審計+社會審計”的雙重審計模式, 審計主體分為兩類: 企業內部審計機構和外部第三方獨立審計機構。一方面, 憑借綜合性、 實時性和深入性等優勢, 內部審計機構可以對數據資產內部控制和風險治理進行審計監督, 以及時揭示和防范數字風險, 保障業務的合規開展; 另一方面, 第三方獨立審計機構作為市場治理體系中的重要一環, 能夠憑借獨立性強、 技術工具先進和審視角度多元化的特點, 彌補內部審計盲區, 提升審計防御體系的整體效能。
2. 企業數據資產審計客體。企業數據資產審計客體不僅包括數據本身及其管理過程, 也涉及企業內部不同層級的組織單元和個人。在委托代理關系中, 代理人可以是負責數據管理和保護的組織單元(如IT部門、 數據管理部門等), 也可能是領導這些組織單元的自然人(如部門經理、 CIO、 數據保護官等)(蘇煒等, 2021)。審計的目的是評估這些代理人在處理企業數據資產時的行為和決策是否合規、 有效、 安全, 是否符合企業的數據治理政策和目標。
3. 企業數據資產審計內容。根據經典審計理論, 審計內容可以劃分為審計對象、 審計主題、 審計業務類型、 審計標的和審計載體五個層級(金銀鳳等,2019)。數據資產的審計內容也由上述五個層級組成, 但是具體內涵有較大特色。
審計目標確定了審計工作的方向和最終目的, 而審計內容是實現審計目標的具體路徑和手段。前文的分析已經將企業數據資產審計的具體目標分為安全性、 合規性、 真實性和健全性, 與此相對應的審計主題可以分解為安全、 行為、 信息和制度四個維度, 這反映了審計的重點和方向。為了對各類代理問題和次優問題進行系統、 全面的審查, 審計人員應當按照不同的審計主題開展不同類別的審計活動, 包括數據資產安全審計、 數據資產合規審計、 數據資產報表審計和數據資產制度審計這四種業務類型。這些業務類型將作用于具體的審計對象, 從而保障數據資產審計目標的順利實現。表1詳細展現了審計目標、 審計主題、 審計業務類型和審計對象之間的對應關系。在企業數據資產審計實施過程中, 審計主題還需要細分到審計標的, 并確定各類審計標的的載體, 審計載體作為審計證據的來源, 包括紙質、 電子、 實物、 音頻等存在形式, 由于數據資產的獨特屬性, 無紙化的電子數據載體占絕大多數。電子數據載體有無形性、 可復制性、 不穩定性、 易篡改性等特點, 這要求審計人員不僅要驗證數據本身的可靠性, 也需要驗證技術的可靠性(謝志華和程愷之,2023)。
4. 企業數據資產審計依據。目前已有《個人信息保護合規審計管理辦法(征求意見稿)》《數據合規審計指南》等指導性文件, 但缺少針對數據資產的審計準則。根據現有的數據保護和治理法規體系, 本文將從法律層面、 標準層面、 行業規范以及企業內部規章這四個方面對企業數據資產審計依據進行全面分析。
(1) 法律層面依據。《個人信息保護法》第五十四條規定, 個人信息處理者應定期對其處理個人信息遵守法律、 行政法規的情況進行合規審計; 第六十四條要求, 若監察中發現個人信息處理活動的風險或安全事件, 相關部門可約談處理者或要求其接受合規審計, 并進行整改。《網絡安全法》第十條明確要求企業采取必要措施維護網絡數據的完整性、 保密性和可用性。《數據安全法》第二十七條則要求企業在開展數據處理活動時, 應建立健全全流程數據安全管理制度, 采取必要措施保障數據安全。這些法律要求企業重視數據安全保護和合規性審查, 為企業數據資產審計提供了明確依據。
(2) 標準層面依據。《信息安全技術 大數據服務安全能力要求》(GB/T 35274-2023)提到, 應建立數據資產操作審計機制, 實現數據資產管理操作行為的可審計和可追溯; 《信息安全技術 個人信息安全規范》(GB/T 35273-2020)對個人信息安全審計作出要求, 將個人信息保護政策、 相關規程和安全措施列為審計對象; 《信息安全技術 網絡安全等級保護基本要求》(GB/T 22239-2019)規定, 應在網絡邊界、 重要網絡節點等進行安全審計, 并提出在對較高等級保護對象的安全建設和安全整改中需使用一些關鍵技術, 其中就包括了審計追查技術。
(3) 行業規范依據。針對特定行業的數據資產審計, 需要結合行業相關規范和標準, 以下是各行業的具體要求: 對于工業、 電信行業, 《工業和信息化領域數據安全管理辦法(試行)》第二十七條規定數據處理者應記錄日志, 定期進行安全審計并形成報告, 涉及核心、 重要數據時需至少每半年進行一次安全審計; 對于金融行業, 《個人金融信息保護技術規范》要求對共享、 轉讓中的個人金融信息進行監控和全過程審計, 并對信息安全管理開展內部審計, 根據審計結果完善制度和流程; 對于互聯網行業, 《互聯網平臺落實主體責任指南(征求意見稿)》第八條要求超大型平臺經營者應定期委托第三方獨立機構對指南規定的主體責任遵守情況進行審計, 出具的審計報告中應該包含實現合規的操作建議。
(4) 企業內部規章依據。數據作為一種新的資產類別, 企業應制定規范流程, 涵蓋數據采集、 存儲、 調用分析和退役全過程, 以確保數據資產質量并為審計提供具體的標準依據(徐濤等,2022)。《個人信息保護法》要求企業完善內部審計風險防范制度, 對信息處理全過程開展合規審計評估, 并建立合規風險庫(閆夏秋,2023)。華為在《華為云安全白皮書》中提到其建立了專門的安全審計團隊, 重點審查華為云在法律和流程遵從、 業務目標達成、 決策信息的可靠性、 安全運維和安全運營上是否存在風險。審計團隊每年至少開展一次為期兩個月的審計, 審計結果要向董事會和公司高層管理者匯報, 保證發現的問題得到解決并最終形成閉環(余應敏等,2019)。
5. 企業數據資產審計方法。為了使審計目標能順利實現, 審計人員應綜合使用多種審計方法。一是訪談法, 審計人員可以與相關人員進行面對面、 書面、 郵件或視頻等形式的交流和溝通, 了解企業數據資產處理活動的基本情況。二是觀察法, 對企業數據資產存儲的機房環境、 相關數據庫設備運行情況和數據資產管理活動的內部控制執行情況進行實地察看。三是檢查法, 對數據資產安全管理制度、 隱私政策、 合同條款、 運行文檔等資料進行審閱和核對。四是控制測試, 審計人員評價作用于企業數據資產上的內部控制是否能夠在各個不同時點按照既定設計得以一貫執行, 以確認控制措施是否能達到既定的目的。五是實質性程序, 在控制測試基礎上, 對發現的與數據資產處理有關的問題實施實質性分析程序和細節測試。
由于數據資產具備一些獨特的性質, 會使審計人員在實施審計時面臨諸多困難, 例如數據資產的所有權歸屬難界定、 數據資產難辨認以及數據強時效性所導致的數據資產價值難估量(馬圓明和吳東方,2023)。為了適應這一變化, 審計可以融入大數據技術, 利用其先進的數據處理技術來應對挑戰。大數據挖掘能夠為審計提供海量數據及數據分析, 自動確認審計重點和審計難點, 自動計算重要性水平并生成審計實施方案, 從而顯著提高審計效率, 控制審計成本并減少主觀判斷, 降低審計風險(李聞一等,2020)。
6. 企業數據資產審計結果。審計團隊可以基于數據資產的敏感性、 業務重要性和合規性要求等因素, 制定具體的數據資產分類標準, 如表2所示, 使其快速定位關鍵數據資產, 確保審計資源的合理分配, 同時提升審計證據的準確性和有用性。在出具審計報告前, 審計人員應與被審計單位的管理層進行充分溝通, 討論在審計過程中發現的問題和關鍵事項, 并基于審計工作底稿和收集到的證據, 撰寫審計報告初稿。參照財務報告審計的意見類型, 企業數據資產審計報告的意見類型包括無保留意見、 保留意見、 否定意見和無法表達意見, 選擇的意見類型應基于審計目標和發現, 以此來準確反映被審計單位的數據資產管理和利用狀況。在經過復核和必要的修改后, 提交最終審計報告給被審計單位的管理層、 審計委員會或其他相關的監管機構。
四、 企業數據資產審計的實現機制
(一) 企業數據資產審計的運行機制
企業數據資產審計的運行機制本質上是對其內容的深入理解, 也是各審計關系人相互作用的過程。本文基于“內部審計+社會審計”這一聯合審計模式, 將企業數據資產審計的運行機制分為動態監管、 合作協同、 價值提升三個方面進行探討(如圖1所示)。
1. 動態監管機制。企業數據資產審計的動態監管機制通過實時監控、 分析和評估數據資產管理活動, 對其生命周期內各環節的風險進行全面審查, 從而確保數據資產的安全性、 隱私保護性和透明性。機制的實施基于三個核心環節: 數據校驗、 資產上線和運用反饋, 形成閉環管理, 使數據資產從采集到銷毀都受到有效監管。首先, 數據校驗階段聚焦于數據資產的初期處理, 審計人員使用自動化或半自動化的數據質量評估工具, 對數據的準確性、 合法性和完整性等進行審查。這包括評估數據資產是否存在充分合理的合法性基礎, 在采集過程中是否存在誤導、 欺詐等情況, 以及審閱隱私政策、 告知同意書等的條款是否清晰, 內容是否準確完整。其次, 資產上線階段涉及數據資產的分類、 入表和交易等操作。基于對企業數據資產的綜合評估, 審計部門通過建立合理的分類評價表, 使數據資產能依據重要性水平被有效識別和監控。同時, 通過鑒證企業數據資產在財務報表中確認的信息是否準確、 完整, 是否采用合適的計量方法進行定價, 以保障其價值無誤, 進而提升市場內數據資產的交易透明度, 消除需求者的購買顧慮, 保障了數據資產的有序流通。最后, 運用反饋階段側重于企業對數據資產的實際應用情況。審計部門通過分析數據使用的成本和效益, 可以發現低效、 重復和浪費的數據資源配置問題, 進而提出改進建議。企業根據審計發現的問題, 制定整改計劃和措施, 實施必要的技術和管理干預, 以確保數據資產管理的持續改進和優化。
2. 合作協同機制。企業數據資產審計的合作協同機制需要多主體參與, 包括內部審計機構、 第三方獨立審計機構與企業內有關部門。首先, 內部審計與社會審計的聯動是基于對審計資源、 專業技能和獨立性的互補需求所造就的。內部審計機構深諳企業數據資產的管理流程、 內部控制的治理體系以及組織架構, 能夠進行全面的風險評估和持續性的監控。然而, 其受限于資源配置和審計深度, 需要引入獨立第三方審計機構進行交叉協同審計, 以增強審計的獨立性和客觀性。基于審計保險需求, 第三方獨立審計機構會向企業指派技術型審計師, 以提供匹配的技術審計鑒證服務, 提高企業數字化業務信息質量(耀友福,2024)。這促使兩大審計主體在技術層面上實現協同與整合, 通過共享審計工具、 數據分析技術等資源, 確保審計活動能夠緊跟企業業務的數字化進程以及相關技術的最新發展趨勢。其次, 審計機構與企業內有關部門之間的協同作業有助于企業數據資產審計和管理活動更好地服務于企業的業務需求, 制定更為全面和有效的風險管理策略。這要求企業建立一個跨部門的數據治理委員會, 負責制定和監督數據管理政策、 協助審計工作展開等。委員會成員應來自不同的部門, 如運營部、 研發部、 財務部、 法務部, 并清晰界定各部門在數據資產治理方面的職責。
3. 價值提升機制。企業數據資產審計的價值提升機制通過數據安全、 數據合規、 數據質量和數據治理四個角度綜合發揮作用, 確保數據資產的安全性、 合規性和真實性, 實現價值最大化。在數據安全角度, 審計人員通過實施數據資產安全審計, 重點審查企業的數據訪問控制、 數據泄露防護以及數據環境安全, 包括數據加密、 訪問權限管理和網絡及物理環境安全措施, 以發現企業潛在的安全漏洞和風險點, 防止外部攻擊和內部濫用的風險。在數據合規角度, 聚焦于數據管理和來源合規、 數據使用和共享合規兩方面, 實施數據資產合規審計, 確保企業的數據管理活動遵守法律法規以及行業標準, 從而降低法律風險和合規成本, 在保護個人隱私和企業聲譽的同時, 提升數據資產的可用性。在數據質量方面, 審計人員通過執行數據資產報表審計, 確保數據資產在報表中的公允性, 評估相關財務信息的準確性和完整性。在審計過程中, 應評估企業是否采用恰當的方法確認數據資產, 分類、 評估及列示是否適當, 并重點關注數據資產的減值準備處理。在數據治理角度, 審計人員實施數據資產制度審計對企業數據治理架構、 政策、 流程等體系的構建進行審查, 判斷是否存在“數據孤島”現象。在揭示出治理漏洞后, 企業應根據審計建議建立更規范、 高效的數據治理框架, 促進數據共享和協作。
綜上所述, 企業數據資產審計的價值提升機制通過識別和解決數據安全、 合規、 質量和治理方面存在的問題, 不僅提升了企業數據管理的效率和效果, 也為企業提供了一個可靠的數據基礎, 支撐業務創新和決策優化。基于此, 企業能夠更好地利用其數據資產, 實現業務目標, 增強市場競爭力, 最終實現價值最大化。
(二) 企業數據資產審計的評價機制
審計主體應以具體的審計事實為基礎, 充分利用企業數據資產審計結果, 通過落實審計整改、 審計結果分析和運用等工作開展企業數據資產審計評價工作。審計整改是實現審計閉環管理、 充分發揮審計效能的重要節點, 而審計結果的分析和運用可以充分發揮數據資產的價值, 幫助利益相關者在數據資產管理、 風險控制等方面做出更加科學和合理的決策。
1. 審計整改。審計整改的目的不僅是糾正已經發生的機會主義行為, 更重要的是提供數據資產管理制度和安全合規治理的審計建議, 若整改得不到落實或執行不當, 審計的治理和監督效用將大打折扣。因此, 在進行審計整改工作時, 需遵循以下幾個步驟: 一是建立跨部門協作機制。由于數據資產具有特殊屬性, 會使審計問題呈現多樣化、 復雜化等特性, 單憑個別部門的力量無法有效推進整改。這時就應建立一個跨部門的協作機制, 通過“上下聯動”和“平行統籌”的方式, 將知識技能、 技術手段、 管理系統等進行有效組合, 確保各相關部門能夠高效溝通和協作, 對于審計整改任務的分配和責任歸屬有清晰的界定。二是制定細化的審計整改效果評價標準, 根據審計發現問題的性質, 制定具體、 可量化的效果評價標準, 這些標準應該涵蓋問題整改的全面性、 效果的持久性以及改進措施的創新性等方面, 為衡量審計整改效果奠定基礎。三是建立整改跟蹤檢查機制, 為了避免在審計整改過程中出現重視程度不夠、 整改主體責任落實不到位等狀況, 審計部門不僅要在整改完成后進行一次性的效果評估, 還需要建立持續的整改跟蹤檢查機制。這包括對未達標問題的持續跟蹤和對已整改措施的定期回訪, 確保審計整改能實實在在地解決問題, 而非形式主義。
2. 審計結果分析與運用。審計結果分析和運用是審計工作中的重要一環, 對企業數據資產審計結果的分析有助于加深審計結果運用深度, 而審計結果運用水平和質量是審計監督效能發揮的關鍵。為了讓審計結果對于使用者來說更易于理解和接受, 審計機構應采用多種方式展現審計結果, 例如通過數據可視化技術, 將復雜的數據轉換為圖表、 圖像等, 這種多元化呈現形式可以幫助管理層更直觀地理解和分析審計結果。
審計結果的分析不能僅停留在發現實際問題上, 更重要的是能夠得到充分有效的運用。審計部門應與監管機構建立審計成果共享平臺, 促進信息共享和各監管部門的協作, 共同應對企業數據資產管理中的挑戰。通過將審計發現的問題和建議反饋給被審計單位和相關監管部門, 可以推動數據資產管理制度的完善和實踐改進。此外, 將審計結果公開在社交媒體、 網站和其他數字平臺上, 有助于提高審計工作的透明度, 鼓勵企業、 公眾和政府部門的互動, 從而形成良好的審計氛圍。
(三) 企業數據資產審計的保障機制
1. 加強黨的領導。審計實踐已經充分證明, 堅持黨的領導對于保障審計活動沿著正確的政治方向前進至關重要, 這是推動審計工作高效、 高質量開展的前提條件。習近平總書記在二十屆中央審計委員會上提出, 要堅持圍繞黨和國家中心工作開展審計, 堅持圍繞總體國家安全觀開展審計, 堅持圍繞以人民為中心的發展思想開展審計, 堅持圍繞促進黨的自我革命開展審計。這為企業數據資產審計工作指明了方向, 加深了對審計工作規律的認識, 促使其有效發揮審計監督效能。
2. 推進企業數據資產審計制度建設。首先, 應該建立和完善針對企業數據資產審計的法律法規框架, 這包括數據管理、 保護、 安全以及審計活動本身, 通過出臺專項法律法規, 不僅能為企業數據資產審計提供明確的法律依據, 還能確保審計活動的合法性和正當性。其次, 根據數據資產的特性及企業的業務需求, 制定合理的審計評價標準是保證審計質量的關鍵, 這些標準應涵蓋數據完整性、 安全性、 可用性、 合規性等多個方面。同時, 考慮到不同行業、 不同類型的數據資產可能有不同的管理和審計需求, 審計評價標準應具有一定的靈活性和適應性, 以滿足不同情境的需求。在制定審計準則時, 還可以在不同行業和領域實施試點項目, 通過實地案例研究來收集經驗, 從而對企業數據資產審計標準進行測試和改進, 為政策制定提供實踐依據。
3. 推進企業數據資產審計復合型人才的培養。高校、 企業和審計機構應建立跨學科的聯合學習平臺, 培養學生在數據分析、 編程、 網絡安全和數據隱私法規方面的理解與應用能力。實踐是培養復合型人才的關鍵, 通過模擬企業數據資產審計項目、 參與企業數據治理活動和案例研究, 學生能夠在實際操作中理解理論知識的應用, 提升解決復雜問題的能力。對于在職的審計和數據管理專業人員, 審計機構和企業應提供定期的職業培訓和繼續教育機會, 包括參加行業會議、 專業研討會和在線課程等。此外, 跨部門交流和輪崗計劃也是培養復合型人才的有效手段, 通過在不同部門工作, 員工可以更深層次地理解數據資產在企業運營中的作用和復雜性, 提升綜合分析能力。
4. 創新審計技術與方法的運用。通過自動化工具和智能分析平臺, 審計人員能夠高效處理海量數據, 識別風險點并提出改進建議。區塊鏈技術具有去中心化、 防篡改和可追溯等特點, 有助于判定數據資產所有權并解決爭議; 機器人流程自動化(RPA)技術則能模擬人類與計算機的交互, 適用于數據處理量大、 人員需求高的重復性工作。結合人工智能(AI)和機器學習(ML)算法, RPA還能分析非結構化數據, 識別復雜模式和趨勢, 使審計人員專注于更高價值的分析和決策任務。將區塊鏈與RPA相結合, 企業數據資產審計可以實現自動化和智能化轉型, 這不僅能提升審計的精確性, 還能增強數據資產的安全性和效益性, 為數字經濟時代的企業提供高效科學的審計服務。
五、 總結
本文通過深入探討企業數據資產審計的邏輯框架與實現機制, 提供了一套系統性的理論框架與審計實踐方法, 以應對數字時代的風險挑戰。企業數據資產審計工作必須結合國內外新形勢, 進行多維度的擴展性研究, 這需要審計理論的不斷豐富和完善, 也需要審計實踐的不斷探索與創新, 以及審計人員能力、 技術水平的不斷提升。只有這樣, 才能在信息時代的大背景下, 有效應對數字風險, 保障數字經濟健康發展, 為構建更加公平、 透明、 高效的數字治理體系做出更大的貢獻。
【 主 要 參 考 文 獻 】
程嘯.論大數據時代的個人數據權利[ J].中國社會科學,2018(3):102 ~ 122+207 ~ 208.
崔金棟,關楊,張海濤等.信息生態視角下企業數據資產管理機理研究[ J].現代情報,2017(12):24 ~ 29+34.
丁曉東.論企業數據權益的法律保護——基于數據法律性質的分析[ J].法律科學(西北政法大學學報),2020(2):90 ~ 99.
付新華.企業數據財產權保護論批判——從數據財產權到數據使用權[ J].東方法學,2022(2):132 ~ 143.
敬力嘉.個人信息保護合規的體系構建[ J].法學研究,2022(4):152 ~ 167.
李菲菲,關楊,王勝文等.信息生態視角下供電企業數據資產管理模型及價值評估方法研究[ J].情報科學,2019(10):46 ~ 52.
李題印,郁建興,宣成等.制造企業數據資產管理體系:要素范疇與邏輯框架[ J].情報科學,2022(9):58 ~ 63.
劉悅欣,夏杰長.數據資產價值創造、估值挑戰與應對策略[ J].江西社會科學,2022(3):76 ~ 86.
龍衛球.數據新型財產權構建及其體系研究[ J].政法論壇,2017(4):63 ~ 77.
羅玫,李金璞,湯珂.企業數據資產化:會計確認與價值評估[ J].清華大學學報(哲學社會科學版),2023(5):195 ~ 209+226.
馬圓明,吳東方.區塊鏈背景下企業數據資產審計流程設計[ J].中國注冊會計師,2023(8):41 ~ 48+3.
秦榮生.企業數據資產的確認、計量與報告研究[ J].會計與經濟研究, 2020(6):3 ~ 10.
王敬勇,張高高,夏曉雪.社會網絡視角下云安全風險的審計研究[ J].會計之友,2024(1):14 ~ 22.
吳超.從原材料到資產——數據資產化的挑戰和思考[ J].中國科學院院刊,2018(8):791 ~ 795.
肖冬梅.“數據”可否納入知識產權客體范疇?[ J].政法論叢,2024(1):137 ~ 148.
謝志華,程愷之.新技術與審計方法的變革[ J].審計研究,2023(1):3 ~ 11.
徐明華,魏子瑤.算法倫理的治理新范式:算法審計的興起、發展與未來[ J].當代傳播,2023(1):80 ~ 86.
徐濤,尤建新,曾彩霞等.企業數據資產化實踐探索與理論模型構建[ J].外國經濟與管理,2022(6):3 ~ 17.
閆夏秋.企業合規視角下的內部審計:現實挑戰與應對[ J].財會月刊, 2023(18):97 ~ 102.
張俊瑞,危雁麟,宋曉悅.企業數據資產的會計處理及信息列報研究[ J].會計與經濟研究,2020(3):3 ~ 15.
鄭智航.人工智能算法的倫理危機與法律規制[ J].法律科學(西北政法大學學報),2021(1):14 ~ 26.
Petrie C.. The Proper Use of the Internet: Digital Private Property[ J].IEEE Internet Computing,2016(2):92 ~ 94.
Rassier D. G., Kornfeld R. J., Strassner E. H.. Treatment of Data in National Accounts[Z].Paper Prepared for the BEA Advisory Committee,2019.
