關于數(shù)據(jù)資產審計的若干思考

張驥

摘要

本文根據(jù)數(shù)據(jù)資產審計特點，定義“數(shù)據(jù)資產”概念，指出數(shù)據(jù)資產審計的意義，分析數(shù)據(jù)資產審計要點，在此基礎上提出優(yōu)化數(shù)據(jù)資產審計和內部控制管理的建議。

關鍵詞

數(shù)據(jù)資產；審計；合規(guī)管理

近年來，互聯(lián)網、大數(shù)據(jù)、云計算、人工智能、區(qū)塊鏈等新一代信息技術加速創(chuàng)新，日益融入經濟社會發(fā)展各領域、全過程，世界范圍內數(shù)字經濟得以高速發(fā)展，并正在成為重組全球要素資源、重塑全球經濟結構的關鍵力量。數(shù)字經濟的快速發(fā)展和壯大，促使數(shù)據(jù)成為與勞動力、資本、土地、技術、管理同等重要的新興生產要素，甚至成為最先進、最活躍的生產要素，驅動著實體經濟在生產主體、生產對象、生產工具和生產方式上發(fā)生深刻變革。然而，數(shù)據(jù)要素的市場化運作，就需要形成數(shù)據(jù)資產、實現(xiàn)數(shù)據(jù)資產入賬，“數(shù)據(jù)資產”以及“數(shù)據(jù)資產審計”的提出就顯得順理成章。

一、數(shù)據(jù)資產及其審計的意義

1.數(shù)據(jù)資產的定義

部分學者認為，數(shù)據(jù)資產（Data Assets）是擁有數(shù)據(jù)權屬（勘探權、使用權、所有權）、有價值、可計量、可讀取的網絡空間中的數(shù)據(jù)集。但基于數(shù)據(jù)資源和數(shù)據(jù)資產差異性的考量，本文定義的數(shù)據(jù)資產是指擁有數(shù)據(jù)權屬（勘探權、使用權、所有權）、有價值、可計量、可讀取的網絡空間中的數(shù)據(jù)集以及采集、加工、整合、展示數(shù)據(jù)集的軟硬件系統(tǒng)（數(shù)據(jù)集本身更符合數(shù)據(jù)資源的定義）。這里主要考慮在數(shù)字產業(yè)化的過程中，數(shù)據(jù)加工已成為數(shù)據(jù)資產形成最重要的途徑，數(shù)據(jù)加工本身以及與之相關的軟硬件系統(tǒng)均應作為重點考慮對象。2022年12月財政部發(fā)布的《企業(yè)數(shù)據(jù)資源相關會計處理暫行規(guī)定（征求意見稿）》（以下簡稱“《數(shù)據(jù)資源會計處理辦法》”）中就明確指出，“企業(yè)通過數(shù)據(jù)加工取得確認為存貨的數(shù)據(jù)資源，其成本包括采購成本，數(shù)據(jù)采集、脫敏、 清洗、標注、整合、分析、可視化等加工成本和使存貨達到目前場所和狀態(tài)所發(fā)生的其他支出”，這就表明數(shù)據(jù)資產應包含與數(shù)據(jù)資源相關的數(shù)據(jù)采集、加工、展示系統(tǒng)。

2.數(shù)據(jù)資產審計的意義

近年來，隨著信息技術的發(fā)展，數(shù)據(jù)資產已逐漸成為政府與企業(yè)重要的資產項目?！吨腥A人民共和國國民經濟和社會發(fā)展第十四個五年規(guī)劃和2035年遠景目標綱要》和《中共中央、國務院關于構建數(shù)據(jù)基礎制度更好發(fā)揮數(shù)據(jù)要素作用的意見》（以下簡稱“數(shù)據(jù)二十條”）都強調，要打造數(shù)字經濟新優(yōu)勢，加快推動數(shù)字產業(yè)化、產業(yè)數(shù)字化轉型?！皵?shù)據(jù)二十條”還進一步指出，數(shù)據(jù)作為新型生產要素，是數(shù)字化、網絡化、智能化的基礎，已快速融入生產、分配、流通、消費和社會服務管理等各環(huán)節(jié)，深刻改變著生產方式、生活方式和社會治理方式；應當加快完善數(shù)據(jù)確權、登記、評估、定價、入表等系列制度，構建形成數(shù)據(jù)商品化、市場化、要素化政策閉環(huán)。因此可以預見，未來一段時間數(shù)據(jù)資產在社會資產中的比例將急劇上升，數(shù)據(jù)資產的管理、確權、交易、評估等事務必然越來越多。相應的，數(shù)據(jù)資產審計必然成為社會治理、企業(yè)管理、投融資等事項的重要管控環(huán)節(jié)。

二、數(shù)據(jù)資產審計要點分析

《中華人民共和國數(shù)據(jù)安全法》（以下簡稱“《數(shù)據(jù)安全法》”）、《數(shù)據(jù)資源會計處理辦法》等相關法律、法規(guī)對我國政務、商業(yè)、個人等各類數(shù)據(jù)資源的采集、加工、管理和利用做出了較為清晰的規(guī)定。數(shù)據(jù)資產審計應當基于以上法律法規(guī)展開，其審計重點主要集中在對數(shù)據(jù)所有者和使用者權利及義務的核查，其中包括對數(shù)據(jù)所有者身份及數(shù)據(jù)使用、利用、處置及收益等情況進行審核。結合數(shù)據(jù)資產的特點以及傳統(tǒng)審計的原則、規(guī)定和制度，數(shù)據(jù)資產審計應重點考慮以下幾個方面。

1.數(shù)據(jù)資產管理制度層面的審計要點

重點關注被審計單位是否按照相關規(guī)定制定了符合本單位實際的數(shù)據(jù)資產管理制度和辦法：是否對于數(shù)據(jù)資產的采集、加工、入賬、使用、后續(xù)管理的合規(guī)性做出了較為明確的規(guī)定；是否對于數(shù)據(jù)資產管理的主責部門、工作職責、管理流程、內外部控制做出了清晰的界定，特別是數(shù)據(jù)資產的安全管理問題是否納入管理；是否按照《數(shù)據(jù)安全法》和《個人信息保護法》的要求，建立數(shù)據(jù)分類分級保護制度。

2.數(shù)據(jù)資產形成階段的審計要點

通過資產權屬識別確定數(shù)據(jù)資產權利歸屬，是開展數(shù)據(jù)資產審計的基礎和前提。資產權屬識別主要包括數(shù)據(jù)資產權屬來源、取得方式等方面。

（1）重點關注被審計單位數(shù)字資產來源是否合法、合規(guī)。對于以公權力方式（如政府和部分社會組織）取得數(shù)據(jù)資產的，重點核查是否存在超權限采集；對于以市場化方式（主要針對企業(yè)主體）取得的，重點核查數(shù)據(jù)資產來源是否合法、合規(guī)，是否存在超應用范圍的數(shù)據(jù)采集；通過數(shù)據(jù)加工形成的數(shù)據(jù)資產重點關注被加工數(shù)據(jù)來源的合法性，數(shù)據(jù)加工工具的穩(wěn)定性、準確性和可展示性以及安全性、穩(wěn)定性和可追溯性。

（2）對數(shù)據(jù)資產形成所涉及的合同、授權文件相關憑證的合法性、合理性和完整性開展專業(yè)性的審核，重點審查數(shù)據(jù)資產形成的節(jié)點、涵蓋的范圍。

（3）重點核查被審計單位是否根據(jù)自身實際，按照分級分類管理的原則建立了數(shù)據(jù)資產清單。

3.數(shù)據(jù)資產價值確定層面的審計要點

數(shù)據(jù)資產是政府部門管理和服務過程中或企業(yè)生產經營過程中產生的、以數(shù)據(jù)為載體的資產，這些資產包括歷史數(shù)據(jù)、軟件數(shù)據(jù)和企業(yè)（個人）信息等。對于政府而言，其用于公共服務自然無需關注資產增值的問題，但當此類資產進入市場環(huán)節(jié)，則必須充分考慮其價值問題。而對企業(yè)而言，不斷積累的數(shù)據(jù)資產將成為企業(yè)投資的形成物，可能為企業(yè)帶來各方面的收益，準確確定和評估數(shù)據(jù)資產價值至關重要。在這一層面，既要關注數(shù)據(jù)資產的初始計量，也要關注數(shù)據(jù)資產的價值評估。

（1）在數(shù)據(jù)資產初始計量方面要重點審查數(shù)據(jù)資產清單內容有無缺項、漏項、重復計量以及不合理計量的情況。

（2）在數(shù)據(jù)資產的價值評估方面，要充分考慮數(shù)據(jù)資產存在“疊加增值、加工增值”的特點，重點審查價值評估方法選擇的合理性。若僅考慮以歷史成本為基礎對數(shù)據(jù)資產進行評估，則可能嚴重低估數(shù)據(jù)價值，并不符合數(shù)據(jù)資產特點。

4.數(shù)據(jù)資產使用層面的審計要點

數(shù)據(jù)資產具有無形性、可復制性、權屬復雜性的特點，數(shù)據(jù)資產使用層面的審計需要重點關注權屬控制的流程、手段等方面，審查被審計單位是否采取有效措施對此類資產進行了實時監(jiān)管，關注被審計單位對不同業(yè)務、不同場景下所產生信息的控制情況。

“數(shù)據(jù)二十條”專門指出要“完善治理體系，保障安全發(fā)展”。2023年伊始，工業(yè)和信息化部、國家網信辦、發(fā)展改革委等16部門印發(fā)《關于促進數(shù)據(jù)安全產業(yè)發(fā)展的指導意見》，也進一步說明了國家對于數(shù)據(jù)安全的重視程度以及保障數(shù)據(jù)安全產品供給和能力的決心。因此，要重點開展安全管理審計，核查被審計單位數(shù)據(jù)資產是否合法、合規(guī)使用、是否采取了安全防護手段和技術確保數(shù)據(jù)資產不被泄露或破壞或未經授權利用等方面情況。對于涉及國家秘密、商業(yè)機密和個人隱私安全等敏感信息的數(shù)據(jù)是否開展了特定保障措施。

三、思考和建議

1.加強數(shù)據(jù)資產相關知識的宣傳與貫徹

盡管數(shù)據(jù)資產概念的提出已有時日，然而從目前情況來看，無論是在行政單位還是企業(yè)層面上，對數(shù)據(jù)資產的實質以及管理的理解和認識依然普遍偏弱，數(shù)據(jù)資產相關知識的宣傳和普及顯得至關重要。這就需要通過知識更新、專業(yè)培訓、交流學習、實踐探索等多種方式在單位領導、中層管理人員、相關工作人員等各個層面加大數(shù)據(jù)資產管理及內控審計等方面宣貫，爭取社會層面相關方對于數(shù)據(jù)資產管理和內控審計方面的理解、配合與支持，尤其數(shù)據(jù)資產管理部門、內控管理部門要主動適應時代發(fā)展和審計新要求、積極轉變思想觀念。

2.不斷建立健全數(shù)據(jù)資產管理法律法規(guī)

當前，數(shù)據(jù)資產審計制度尚不健全，需要基于數(shù)據(jù)資產框架構建一整套數(shù)字資產審計制度，防范各類主體數(shù)字資產的流失。數(shù)據(jù)資產審計框架應從法律、法規(guī)、管理制度等多個層面轉開，對審計的必須條款做出明確的規(guī)定，包括審計的內容、資產的范圍和權屬界定、管理和分級原則、管理和使用人員分工和職責等作出較為清晰的規(guī)定，從而便利數(shù)據(jù)資產的管理，并為數(shù)據(jù)資產審計提供遵循。

同時，數(shù)據(jù)資產審計制度應當建立數(shù)字資產風險管理機制，實現(xiàn)數(shù)據(jù)資產從形成、管理、利用、輸出等全過程的風險管控措施，特別要加大相關人員問責機制，切實防范數(shù)據(jù)資產流失、泄露、侵權等情況的出現(xiàn)。

3.建立內控控制和外部審計相結合的數(shù)據(jù)資產管理體系

一方面，數(shù)據(jù)資產使用部門要在內部控制管理中，以內控規(guī)范為依據(jù)，通過自評與專家認定相結合的評估方法對數(shù)據(jù)資產的管理進行質量評價，尋找解決方案，改進內控工作。因此，無論是政府部門、社會組織和企業(yè)，都應加快本單位沉淀數(shù)據(jù)資產的梳理，結合實際業(yè)務場景建立符合本單位管理特色的數(shù)據(jù)資產全過程跟蹤審計制度，對數(shù)據(jù)資產形成、使用和處置全過程審計內容、審計程序、審計要求等作出明確的規(guī)定，形成較為完善的內控制度，并通過管理流程和評價體系不斷改進和完善內部控制運行，逐步建立相對科學完備的數(shù)據(jù)資產內部控制規(guī)范體系，盡可能達到內部控制各類風險的良好局面。

另一方面，只有外部監(jiān)督才能更好地提高數(shù)據(jù)資產管理水平，因此內部控制管理必須與外部審計相結合才能更好發(fā)揮作用。一是要與審計等相關部門建立內部控制管理合作機制。通過信息抄送等方式將內部控制過程中掌握的相關數(shù)據(jù)和信息與相關外部審計部門，相互傳遞資源共享，真正形成“信息共享，分工協(xié)作”的聯(lián)動工作機制，更大程度釋放內控監(jiān)管的潛力。二是建立聯(lián)合問責處理機制。建立數(shù)據(jù)資產內控管理部門與外部審計的聯(lián)合問責機制，加大對數(shù)據(jù)資產審計過程中發(fā)現(xiàn)的違紀違規(guī)懲戒力度。三是建立信息共享機制。按照信息公開要求，能公開的信息必須面向公眾公開，通過公眾監(jiān)督，提升管理水平，降低風險。

4.要以信息化為手段提高數(shù)據(jù)資產審計的質效

數(shù)據(jù)資產是新型生產要素和基礎性資源，但又因其具有可復制、共享、可再生性等特征，使得數(shù)據(jù)資產的管理和計量變得極為復雜而困難，也相應增加了數(shù)據(jù)資產的審計難度。由于數(shù)據(jù)資產與信息技術息息相關，使用傳統(tǒng)審計技術方法難以適應數(shù)據(jù)資產審計業(yè)務的需求，亟需探索與數(shù)據(jù)資產特征相適宜的審計技術方法。應當說，運用信息技術開展數(shù)據(jù)資產審計是唯一可行路徑，必須運用云計算、人工智能等新一代信息技術，并結合傳統(tǒng)審計理論，對數(shù)據(jù)資產的權屬、計量和使用等方面開展穿行測試，并通過交叉驗證、延伸審計等方法開展相關工作，方能切實提高數(shù)據(jù)資產審計的質量和效率。