随着人工智能、大数据、智能终端等新技术新应用的迅猛发展,数字经济发展和数字化转型的加速推进,数据已成为现代企业和组织的核心资产之一。近年来,党中央、国务院及相关部门高度重视数据要素市场建设和培育工作,陆续发布了《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》《企业数据资源相关会计处理暂行规定》《“数据要素×”三年行动计划(2024—2026年)》等政策文件,明确了数据要素是数字经济核心资源的地位,为数据资产管理提供了制度保障。数据资产审计作为保障有效利用数据资产的重要手段之一,其方法的研究和应用显得尤为重要。
一、数据资产审计的内涵与工作难点
(一)数据资产审计的内涵
数据资产审计是一个新兴领域,目前在全球范围内,并没有一个统一且被广泛接受的权威定义。鉴于数据资产的虚拟性、动态性、复杂多样性等特点,单纯套用传统财务审计的范式来界定数据资产审计,存在明显局限。依据数据资产的特点,本文认为数据资产审计是一种技术驱动型的审计活动,旨在对企业或组织的数据资产进行全面、系统、客观地识别和评估。数据资产审计不仅关注数据的物理存储状态,更侧重于数据的来源、质量、完整性、安全性、合规性等方面,以发现数据资产在识别确认、估值、管理控制等方面存在的问题和风险,最终目的是为利益相关方的决策提供客观依据。
(二)数据资产审计工作的难点
1.识别难。在数字化时代,企业单位的数据量呈指数级增长。海量数据需要进行信息筛选和整理,且往往分散在组织的各个角落,具有各种各样的格式和类型,包括结构化数据(如数据库中的表格)、半结构化数据(如XML、JSON文件等)以及非结构化数据(如文本、图像、音频、视频等)。由于数据之间存在的依赖关系、关联规则、时间序列等复杂关联性,也是识别数据资产时需要考虑的因素。数据资产的产权界定也是识别复杂性的一个重要方面,在某些情况下,数据可能由多个组织或个人共同拥有或控制,增加了数据资产识别的难度。
2.质量评估难。详尽的数据质量评估需要投入大量的资源和时间,特别是在数据量大、来源多、处理流程复杂的情况下。首先,确定数据源的可信度是一个主观而复杂的过程,需要基于多个因素进行判断,如数据源的历史准确性、来源的权威性等。当存在多个数据源时,如何有效地进行比对以验证数据的一致性是一个难题。其次,选择合适的技术检查数据的真实性和准确性也是一个挑战,使数据评估复杂且耗时。此外,一些数据逻辑关系隐含在业务规则、操作流程或系统设计中,这些隐含的逻辑关联也会导致评估结果的差异。
二、数据资产审计框架与主要工作内容
(一)数据资产审计框架
英国联合信息系统委员会(Joint Information Systems Committee,JISC)于2008年、2009年资助英国格拉斯哥大学、伦敦国王学院、爱丁堡大学、巴斯大学、英国图书馆与信息网络办公室(United Kingdom Office for Library and Information Networking,UKOLN)等五所机构进行了数据资产审计框架开发(Data Audit Framework Development),提出了一系列审计机构数据资产现状的方法和程序,最开始名为数据审计框架(Data Audit Framework),后改为数据资产框架(DAF)。当时DAF限定数据资产仅针对院校等科研机构的研究数据,但其整体框架对于企业单位的数据资产管理和保护仍具有借鉴意义。DAF制定了一个增量式的,包含制订计划、识别和分级数据资产、评估数据管理现状、总结和建议四个阶段的数据调查模型,可以根据实际情况灵活、迭代应用(Jones et al.,2008)。
2017年,国际数据管理协会(DAMA International)颁布了DAMA-DMBOK(Data Management Body of Knowledge)框架指南(Henderson et al.,2017)。该指南给出了企业和组织在管理数据资产时应遵循的标准和流程,涵盖数据治理、数据架构、数据质量管理、数据安全、数据隐私和元数据管理等内容,有效帮助企业提升了系统化、标准化的数据管理能力。DAMA指南为审计人员提供了系统化的框架,帮助其全面审查数据管理流程,明确责任分工,并通过元数据管理追踪数据流动。
在数据资产审计方面,DAF框架与DAMA-DMBOK框架各有不足。DAF主要集中于对英国高等教育机构的数据管理。其他领域或国家的研究机构在政策、文化或资源方面有不同的需求,因此该框架的普适性受限。另外,其没有深入讨论未来技术演变对数据管理的影响,这对于那些寻求长期数据管理战略的机构来说略显不足。
DAMA-DMBOK适用于数据管理的全生命周期和各类管理职能,广泛应用于需要构建或完善数据管理流程的组织,为战略决策、治理结构以及跨部门协作提供支持,但在数据资产审计方面没有明确的审计流程和功能描述,其框架不足以覆盖数据资产审计的所有工作。
本文结合DAF与DAMA-DMBOK的特点,在总体框架方面参考DAF并进行了改进,将数据识别与梳理划分为一个单独的步骤;在技术细节方面参考DAMA-DMBOK,分析了数据识别、数据质量评估、数据资产管理评估方面的实践方法和技术,增强了可操作性,给出了适用于当前实际情况的数据资产审计框架(DAAF),如图1所示。
(二)数据资产审计框架主要内容
1.审计准备与计划。在审计准备阶段,需要确定审计的目标和范围,了解企业的基本情况和数据资产的相关业务,包括了解企业的运营模式、数据资产的类型和交易使用情况等。
2.数据资产识别与梳理。该阶段是对企业所持有和产生的数据资产进行全面清查和详细分析的过程,主要工作是收集并明确数据的来源、类型、分布、权限、使用等信息,编制详细的数据资产目录。企业通过识别和梳理,可以清晰地了解自身所拥有的数据资源,发现潜在的数据资产,并且明确这些资产在运营中的位置和价值。数据资产识别和梳理还包括对数据用途和保护要求的明确,以帮助企业更好地管理和保护自身拥有的数据资产。
3.数据资产分类分级与评估。该阶段需要根据识别与梳理的结果对数据资产进行分类,按照重要性和敏感性将数据资产划分为不同的级别。通常依据分类分级结果,可对数据资产进行以下四方面的评估。
(1)风险评估。主要评估数据泄露、数据损坏和数据滥用等风险,确定风险发生的概率及其影响程度。
(2)质量评估。主要评估数据资产的准确性、完整性、一致性和可靠性,包括对数据的来源、录入、处理、传输和存储等各个环节进行查验。
(3)合规性检查。主要检查数据资产在遵守法律法规、相关准则标准和内部规定等方面的合规性。如果有数据跨境需求,还应评估跨境数据的合规性。
(4)资产估值。该项评估需要理解并评估数据对组织的经济价值,不仅要给数据资产赋予一个“价格标签”,更要了解数据的真实价值,为数据管理和决策提供依据。这一过程不仅涉及理解数据的不可替换性,即每个组织数据资产的独特性,还需考虑如何使用这些数据以及它们带来的价值。
4.数据资产管理评估。该阶段需要评估数据资产管理措施的有效性,包括数据访问控制、数据备份和数据恢复、数据加密措施等。检查数据访问控制措施的有效性包括用户权限管理、身份验证和授权机制等是否有效。检查数据备份与恢复措施的有效性包括测试数据备份程序和恢复计划能否正常运行,以及评估数据备份是否完整、可用,以确保在需要时能迅速恢复数据。数据加密措施评估是查验数据加密策略和实施情况,确认敏感数据在传输和存储过程中能得到适当的加密保护,检查并测试加密算法的强度和安全性,确保能抵御外部攻击和非法访问。
5.审计报告及改进。审计过程中积累了大量工作底稿,需要根据审计的内容、范围和要求,整理、分析这些工作底稿,检查是否有遗漏环节,并着重列举审计过程中发现的问题,针对问题提出改进建议,制定相应的整改计划和措施,并跟进实施情况。
三、数据资产审计方法
在数据资产审计工作中,每个环节都有相应的方法,本文不再赘述,仅就前述数据资产识别和质量评估难点问题给出相应的策略方法。
(一)数据资产识别方法
目前数据资产识别有多种方法。邓建娣、傅德印(2023)借鉴SNA-2008等标准及现有研究成果,探讨了数据资产的统计识别问题,但没有给出识别数据资产的完整流程;王杰伟、夏峥(2024)虽然给出了相应的流程,但其流程针对的是已经进入目录清单的数据资产,对企业数据资产的识别不够全面。一个较为系统、完整的企业数据资产识别和梳理流程应该如图2所示。在整个流程中,可以通过引入新的技术、方法和工具来提高数据资产识别和梳理的效率和准确性。
在技术和方法层面,可以通过定义特定的关键字和正则表达式,从大量的文本和数据中筛选出符合数据资产定义的信息;通过分析文件的元数据(如创建时间、修改时间、文件大小、文件类型等)来确定其是否为数据资产;使用哈希算法或其他比对技术,识别出重复或相似的数据资产;对于图像、音频和视频等非结构化数据,可以通过特征提取、模型训练来识别;利用区块链技术可以追踪和监控数据资产的来源和类别,确保数据资产的所有权,同时,区块链还可以提供数据在收集、处理和评估过程中的安全保障;知识图谱作为一种基于图的数据结构,可以将不同种类的信息连接起来,形成一个关系网络,有助于更好地理解和利用数据资产之间的关系;利用自动化和人工智能技术,如自然语言处理(NLP)和机器学习(ML),可以加速数据资产的识别和梳理过程,提高效率和准确性。
在工具层面,数据资产管理系统通常能够提供数据资产的注册、分类、索引、搜索、报告和分析等功能,利用这一系统可有效地识别数据资产;数据治理平台专注于元数据管理,通过捕获数据关系和业务规则,帮助识别和梳理数据资产之间的关联性,实现对数据资产全面、精细、准确和实时的识别;数据清洗工具能够通过质量分析识别高质量数据,包括检测重复数据、分析缺失值和异常值、筛选符合业务标准的数据集、应用验证规则识别关键数据、关联和合并多个数据源的数据,以及通过数据可视化呈现数据的价值分布;数据目录工具可以帮助创建和维护一个集中的数据资产目录,实现对已识别数据资产的系统化管理,便于后续对数据资产进行分类分级和价值评估。
(二)数据质量评估方法
数据质量评估是对数据的完整性、准确性、一致性、可用性、时效性以及可信度等方面进行评估,以确保数据能够满足业务需求和决策需要。数据质量评估可以参考FAIR原则(Findable,Accessible,Interoperable,Reusable)(Wilkinson et al.,2016),具体体现在以下方面。
1.完整性评估。数据是否完整是评估数据质量最基本的标准。校验位是用于检测数据在传输或存储过程中是否发生错误的常用方法,可以确定数据是否完整且未被篡改。
2.一致性、相关性评估。该方法能够检查数据是否遵循相同的规则、标准和定义,以及数据之间是否存在矛盾或冲突。数据挖掘技术、聚类分析及关联规则挖掘可以用于识别数据的异常、集中性和不同字段之间的关系;对比不同数据来源和时点、分析极端值和识别数据之间的关联性可以进一步发现不一致的数据点。
3.准确性评估。数据的准确性是指数据与实际情况是否相符合,通常需要运用对比数据源、检查数据输入和输出、使用统计方法等方式进行评估。如通过统计图表或统计检验,检查数据分布是否符合预期;从数据集中抽取样本进行测试,计算样本数据的错误率和精确度,推断出整个数据集的准确性水平。
4.可用性评估。可用性评估能够检查数据是否易于访问、理解和分析,主要关注数据是否具有良好的可读性和可解释性,以及是否能够满足用户的需求和期望,具体可采用如下方法。
(1)用户调查。通过问卷调查、访谈用户,了解对数据服务的满意度和在访问、理解和使用数据过程中遇到的问题;设计一系列相关的任务,并邀请用户完成,观察他们在完成任务过程中的行为和反应,以评估数据的可用性。
(2)可用性测试。分析数据的加载速度、查询响应时间、界面布局和交互设计等,以评估数据服务的性能和可靠性。
(3)日志分析。分析用户访问数据的日志,发现数据服务中的潜在问题,如用户频繁访问某个页面但无法找到所需信息,可能说明该页面的信息组织方式存在问题。
5.时效性评估。检查数据是否是最新的,以及能否在用户需要时及时提供。具体来说,根据数据的性质和企业业务特点,设定合理的更新频率和标准,检查数据从产生到被处理、展示给用户所需的时间,分析时间戳的分布和变化,判断数据更新的及时性和稳定性。另外,也可以根据用户需求和业务场景,测试从用户发出请求到获取最新数据所需时间以评估现有数据的时效性。
6.可信度评估。数据的可信度和权威性,包括数据源的可信度和数据采集过程的透明度,即数据是否来自可靠和权威的数据源,以及数据采集过程是否严谨可信。可以检查数据源的历史记录和声誉,查看其是否曾经发布过虚假数据,评估其独立性。对于数据采集过程,可以检查数据采集的方法和流程是否有足够的控制和监督。最后还可以采用多方验证的方式,对比不同数据源提供的数据,看其是否存在差异或矛盾,通过与领域专家或第三方机构进行交流,验证数据的准确性和可信度,在可能的情况下,进行实地调查或实验验证,以获取更准确的数据。
四、进一步建议
数据资产审计要求审计方法创新,而数据资产入表的理论尚未成熟,导致审计缺乏统一标准和明确依据。在此背景下,“审计先行、披露跟进”的协同模式或许是摆脱困境的可行路径。
审计先行是指企业通过审计建立数据资产清单、数据关系图谱、数据质量档案等基础管理体系,形成可审计、可追溯的证据链。同时,制定数据资产审计工作底稿规范,系统记录审计过程中的数据资产识别结果、质量评估数据、风险评估结论等关键信息,为后续的信息披露提供可靠依据。
披露跟进是指建立分层披露机制。在财务报表附注中设立数据资产专项披露,根据计量可靠性程度采取差异化策略:披露数据资产分类、规模数量、取得成本、评估价值、摊销方法等定量信息;对难以可靠计量的数据资产,披露数据来源渠道、主要用途、管理控制措施、潜在经济价值等定性信息;对审计识别出的数据质量风险、安全风险、合规风险等予以充分说明;披露数据治理体系的有效性、数据质量管理状况、数据安全防护措施、数据资产对业务的支撑作用等信息。通过上述行为,企业可以帮助利益相关方全面了解其数据资产的管理现状、风险状况和价值创造能力。
这种协同模式的优势体现在多个方面。标准化披露框架为审计提供了明确的依据和检查标准,分层披露与分类分级审计策略能够很好地相互配合,同时审计和披露过程中建立的管理体系也会形成持续改进的良性循环。随着审计实践的深入以及披露机制的完善,数据资产的确认和计量难题将逐步得到解决,审计积累的实践经验将为会计准则的制定提供基础,最终实现数据资产在会计信息体系中的规范反映。
文章摘自《中国内部审计》杂志2026年第2期
作者:黄欣然
单位:中华女子学院
编辑:孙哲
目前190000+人已关注我们,您还等什么?
热门跟贴