数据资产审计：理论内涵、风险分析与应对策略

一、问题的提出

2020 年 3 月 30 日 ，中共中央、国务院印发的《关于构建更加完善的要素市场化配置体制机制的意见》将数据定义为继土地、劳动力、资本、技术之后的第五大生产要素。 2022 年 12 月 2 日 ，中共中央、国务院印发的《关于构建数据基础制度更好发挥数据要素作用的意见》指出，“数据作为新型生产要素，是数字化、网络化、智能化的基础，已快速融入生产、分配、流通、消费和社会服务管理等各环节，深刻改变着生产方式、生活方式和社会治理方式。”《数字中国发展报告（2024年）》显示，近三年数字中国发展指数保持在10%以上，数字经济核心产业增加值占GDP比重达10%左右。数字经济已成为推动国民经济高质量增长的重要引擎，而数据要素是数字经济发展的核心资源。那么，数据要素如何进行核算呢？

2023年8月，财政部印发《企业数据资源相关会计处理暂行规定》（财会〔2023〕11号），明确自 2024 年 1 月 1 日起 ，企业应当根据数据资源的持有目的、形成方式、业务模式，以及与数据资源有关的经济利益的预期消耗方式等，对数据资源相关交易和事项进行会计确认、计量和报告。2024年第三季度财报中，至少已有54家（约1%）A股上市公司披露数据资源入表信息。另据天津北方网讯 2023 年 12 月 28 日 报道，天津临港投资控股有限公司通过质押数据资产“天津港保税区临港区域通信管线运营数据”知识产权证书和“临港港务集团智脑数字人”知识产权证书分别获批农业银行和天津银行两笔贷款。也就是说，数据资源已成为一类可在财务报表中列报的资产，可以作为一项资产进行质押贷款。因此，对数据资产进行审计势在必行。那么，如何对数据资产实施审计，主要审计哪些内容，面临什么风险，如何应对解决，是审计必须回答的问题，亦是本文的研究重点。

二、文献综述

已有文献资料围绕数据资产的界权、估值、会计确认等问题开展了丰富研究。而关于“数据”与“审计”的研究，早期主要研究如何利用数据提升审计效率与审计效果；现有关于“数据资产”与“审计”的研究，主要包括以下内容：

关于审计如何优化数据资产监管的研究。何雨分析了国家审计对政府数据资产监管的作用方式与完善路径；徐京平等分析了国家审计对标优化政府数据资产管理的作用路径；徐京平等分析了国家审计对公共数据资产管理的作用机制与驱动路径。

关于如何对数据资产实施审计的研究。陆施予等分析了实施数据资产审计的必要性与思路方法；张骥从数据资产管理制度、形成阶段、价值确定、使用层面分析了审计要点；马圆明等基于区块链技术重述了数据资产审计流程；廖屹峰等以S公司为例基于新发展格局研究了数据资产审计的难点及应对；徐敏等以A集团公司为例基于审计业务流程分析了数据资产审计难点及应对策略；赵建辉从数据资源、数据资产入表、会计师事务所胜任能力三方面研究了数据资产审计的现实挑战及实践路径；王敬勇等从本质、目标、原则、要素四方面构建了数据资产审计逻辑框架，从运行、评价、保障三方面设计了数据资产审计实现路径；张俊瑞等分别分析了确认为存货和无形资产的数据资源的审计风险，进而提出了数据资产审计流程与政策建议。

综上，数据资产审计是新兴研究热点，现有研究资料相对较少。已有研究集中探讨数据资产审计如何开展，其实施重点与现实挑战如何应对。关于数据资产审计风险的研究，多从财务审计视角展开。鲜有文献聚焦数据资产的本质特征，重新审视数据资产审计风险内涵，并对数据资产审计进行系统分析研究。

三、数据资产审计理论内涵

（一）数据资产

《小辞海》（2016）将“数据（data）”释义为进行各种统计、计算、科学研究或技术设计等所依据的数值。《企业会计准则——基本准则》（2014）将“资产（asset）”定义为企业过去的交易或者事项形成的、由企业拥有或者控制的、预期会给企业带来经济利益的资源。所以，从定义来看，数据并不会天然成为资产。只有当数据成为一种资源且符合资产特征时才会成为数据资产。

《新编经济金融词典》（2015）将“资源（resources）”释义为一切可被人类开发和利用的物质、能量和信息的总称。所以，只有可被开发、利用的数据才是资源，即数据资源。数据资源经整理、清洗、分析、可视化等开发处理后可以形成数据产品辉。当数据产品预期可为企业带来能可靠计量的经济利益时，应确认为一项资产，即数据资产。如图1所示，可被开发、利用的数据成为数据资源，经开发处理的数据资源成为数据产品，预期将被利用产生可靠经济价值的数据产品将成为数据资产。故而，数据资产是组织合法拥有或控制的、能进行计量的、为组织带来经济和社会价值的数据资源（GB/T 40685-2021）。

（二）数据资产审计

数据资产是数据经开发、利用而形成的。数据不具有实物形态，可以无限快速复制分享、可被多样组合利用。数据资产亦如此。根据《企业数据资源相关会计处理暂行规定》（财会〔2023〕11号），数据资产在资产负债表的“存货”、“无形资产”和“开发支出”项目下设“其中：数据资源”列示。由于数据资产可被无限快速复制分享，那么资产负债表所列示的数据资产是否确实归组织合法拥有或控制呢？组织合法拥有或控制的数据资产是否安全呢？会不会被复制分享而使其价值折损呢？再者，数据资产可被多样组合利用，不同组合利用的价值可能有所不同，那么资产负债表所列示的数据资产的价值公允准确吗？数据资产的使用管理有没有最大化其价值？数据资产作为一项新兴的特别资产，这些问题无疑成为报表使用者、利益相关者关注的焦点，亟须独立第三方予以客观公正确认、评价。

评价受托经济责任是审计产生和发展的前提与动因。审计主体作为独立第三方，可以通过实施数据资产审计，对数据资产是否合法拥有、准确列报、安全管理、高效运用等受托经济责任进行评价，进而提升数据资产信息质量、降低数据资产经管者与利益相关者间的信息不对称。

审计是由独立的专职机构或人员接受委托或授权，对被审计单位特定时期的财务报表及其他有关资料以及经济和管理活动的真实性、合法性、合规性、公允性、有效性和效益性进行监督、确认和鉴证的活动，其目的在于确定或解除被审计单位的受托经济责任，帮助被审计单位实现其目标。那么，数据资产审计，即是由独立的专职机构或人员接受委托或授权，对被审计单位特定时期的数据资产及其有关资料以及数据资产经管活动的真实性、合法性、合规性、公允性、有效性和效益性进行监督、确认和鉴证的活动，其目的在于确定或解除被审计单位的数据资产受托经济责任，帮助被审计单位实现其目标。具体而言，如图2所示。

数据资产审计的主体是接受委托或授权的独立的专职机构或人员，包括政府审计机关、内部审计机构和会计师事务所。已有互联网、电信业、银行业等行业企业尝试数据资产入表，其中不乏国有企业、上市公司。政府审计机关对国有企业负有审计监督义务；内部审计机构是其组织内部的审计监督主体；会计师事务所也将接受委托对上市公司财务报表及内部控制实施审计。三大审计主体都可能涉猎数据资产审计领域，故均为数据资产审计主体。

数据资产审计的审计需求源于确定或解除数据资产受托经济责任。数据资产受托经管者可能由于私利背离数据资产所有者意愿经营管理数据资产；也可能由于有限理性而对数据资产管理不善；还有可能其管理数据资产绩效显著而由于信息不对称不为数据资产所有者所知。故而需要委托或授权审计主体对数据资产受托经济责任进行确定或解除。

数据资产审计的客体是数据资产及其有关资料、经济管理活动。数据资产审计是对数据资产实施的审计，其审计客体必然包括数据资产本身。同时，数据资产保存、记录在有关资料中，数据资产的形成、保存、处置又与其相关的经济管理活动密不可分，所以与数据资产有关的资料、经济管理活动也是数据资产审计对象。

数据资产审计的本质是一项经济监督、经济确认、经济鉴证活动。数据资产审计是众多审计业务中的一种，其审计本质不会变化。政府审计机关实施的数据资产审计本质是经济监督；内部审计机构实施的数据资产审计本质是经济确认；会计师事务所实施的数据资产审计本质是经济鉴证。

数据资产审计的内容包括数据资产财务审计、数据资产内控审计和数据资产绩效审计。如表1所示，数据资产审计首先要对数据资产是否真实存在、完整记录、准确列报进行审计，即数据资产财务审计；其次要对保障数据资产来源合法、存储安全、管理规范的内部控制体系的有效性进行审计，即数据资产内控审计；最后，数据资产作为一项资产，还应对其管理效益进行审计，即数据资产绩效审计。

数据资产审计的目标有真实性、公允性、合法性、合规性、有效性和效益性。其中，数据资产财务审计目标主要是真实性、公允性、合法性；数据资产内控审计目标主要是合规性和有效性；数据资产绩效审计目标主要是效益性。

四、数据资产审计风险分析

风险，是指发生损失的可能性。审计风险，最为大家熟知的定义，是针对财务报表审计而言的。《中国注册会计师审计准则第1101号——注册会计师的总体目标和审计工作的基本要求》（2022）将“审计风险”界定为当财务报表存在重大错报时，注册会计师发表不恰当审计意见的可能性。关于内部控制审计的审计风险，雷英等认为是对内部控制的有效性发表了不恰当意见的可能性。关于绩效审计的审计风险，王晓梅认为是发表了偏离客观事实，甚至是与客观事实相悖的审计报告，从而导致有关关系人指控审计组织或审计人员，使审计组织或人员遭受某种损失的可能性。所以，关于审计风险，财务报表审计关注未发现重大错报而承担责任的可能性；内部控制审计关注对内部控制有效性评价不当而承担责任的可能性；绩效审计关注对客观事实评价欠妥而遭受损失的可能性。总而言之，审计风险是由于审计工作不力而遭受损失、承担责任的可能性。

数据资产与传统资产不同，不具有实物形态，不具有竞争性、排他性，可以无限、快速复制分享，易被泄露、窃取。数据资产审计过程中，审计主体势必触及数据资产，审计资料可能含有数据资产信息。一旦审计平台被攻击、审计资料被泄露、窃取，数据资产价值可能大幅下跌，由此给被审计单位造成的损失，势必向审计主体追责。数据资产审计内容涉及数据资产财务审计、数据资产内控审计与数据资产绩效审计。因此，数据资产审计的审计风险不仅包括对数据资产的列报及经营管理情况发表不恰当意见而承担责任的可能性（即审计意见不当风险），还包括对数据资产保管不当而承担责任的可能性（即审计保管不当风险）。

如图3所示，根据现代风险导向审计理论，审计意见不当风险取决于重大错报风险与检查风险。重大错报风险受审计对象的复杂程度及控制环境影响；检查风险受审计主体的专业能力、技术水平、执业环境影响。而审计保管不当风险主要是由于审计主体对数据资产审计资料保管不当形成的，亦可称为管理风险，主要受审计主体及其环境影响。因此，关于数据资产审计的审计风险，将从数据资产审计客体、数据资产审计主体、数据资产审计环境三方面予以分析：

（一）数据资产审计客体产生的审计风险

1.数据资产权属界定难导致审计风险高

数据资产不具有实物形态，具有无形化、电子化，可以快速复制、分享，可以被多主体同时持有、利用，具有非排他性、非竞争性。那么，同一项数据资产，可能被多个主体持有，那么各个主体对其享有什么权益，其获取是否均合法？另外，若某主体对数据资产进行再加工处理，形成新形态的数据资产，其数据资产的权属是否会发生根本性改变？这些问题尚无明确的法律制度予以规范指引。而数据资产的权属界定关系组织是否对其拥有所有权或控制权，是否符合资产定义可以在组织的财务报表中进行列报，与其相关的内部控制是否设计合理、运行有效，其经管活动的经济性、效益性如何。因此，关于数据资产权属界定的审计依据缺位，势必将增大数据资产审计风险。

2.数据资产价值评估难导致审计风险高

数据资产的运用场景不同、运用时间不同，其运用价值可能显著不同。多项数据资产组合运用产生的价值可能远高于各个数据资产价值简单相加之和。数据资产的价值具有场景化、动态化、聚合性特征，其价值评估亦是困扰实务界和理论界的一大难题。常规估值方法有成本法、收益法和市场法。但对于数据资产，如果采用成本法计价，其账面价值与实际价值可能会严重背离；如果采用收益法计价，其未来收益难以确定；如果采用市场法计价，其又缺乏活跃的交易市场。数据资产采用不同计价方法其评估价值差异可能很大，计价方法的选用很可能受管理层偏向影响。而数据资产的估值关系财务报表列报项目是否准确，关系数据资产的经营管理效益评价。因此，数据资产面临的价值评估难题，也将增大数据资产审计风险。

3.数据资产后续计量难导致审计风险高

根据《企业数据资源相关会计处理暂行规定》（财会〔2023〕11号），符合条件的数据资产可以确认为无形资产或存货。但是数据资产具有非排他性和非竞争性，可以既自用又出售，还可以重复出售。那么，既自用又出售的数据资产如何确认呢？另外，数据资产作为存货核算时，每次出售的成本如何结转？期末减值测试的可变现净值如何确定？作为无形资产核算时，采用什么方法摊销？若采用直线法，其使用年限如何确定？这些问题尚无明确规范，易受管理层影响。而数据资产的后续计量又影响财务报表项目的列报金额，进而影响报表使用者的决策。因此，关于数据资产后续计量规定不明的难题，也将增大数据资产审计风险。

（二）数据资产审计主体产生的审计风险

1.数据资产审计人才缺乏导致审计风险高

数据资产审计作为一种新型综合审计业务，不仅要求审计人员兼具财务审计、内控审计、绩效审计的传统审计业务技能；还要求审计人员掌握数据资产知识、价值评估方法，具备一定数字技术素养。能结合业务模式，运用信息技术、数字技术进行场景模拟、数据分析，进而评估数据资产列报金额是否合理。这无疑对审计人员的专业胜任能力又提出了新的更高的要求。而我国审计人员的专业背景以财会知识为主。如唐丽红通过中国注册会计师行业管理信息系统手工整理的22 267名注册会计师专业背景资料显示，其中有9001名注册会计师的专业背景是财务管理、会计或审计。现有胜任数据资产审计工作的人才少之又少。而具备专业胜任能力的审计人才是审计工作实施及其质量保障的关键所在。因此，数据资产审计人才的缺乏，无疑又增大了数据资产审计风险。

2.数据资产审计经验不足导致审计风险高

审计人员丰富的审计经验往往有助于审计风险的识别、审计重点的把握、审计问题的发现。而据CSMAR数据库统计的2016—2017年内部审计机构审计业务类型数据显示，审计业务类型主要为基本建设审计、财务收支审计和经济责任审计。2016年和2017年分别统计了75699和73507个内部审计机构，其分别实施了2031445和2060245项审计项目。其中，基本建设审计分别实施1193399项（占比58.75%）和1196773项（占比58.09%），财务收支审计分别实施180736项（占比8.9%）和180046项（占比8.74%），经济责任审计分别实施136597项（占比6.72%）和153250项（占比7.44%），其他审计业务合计实施520714项（占比25.63%）和530176项（占比25.73%）。两年间实施的主要审计业务类型一致，无明显变化。所以，对现有的以财政财务审计、建设项目审计、经济责任审计为主要业务类型的审计队伍来说，其对数据资产审计业务经验相对匮乏。数据资产审计人员经验的缺乏，也将增大数据资产审计风险。

3.数据资产审计准则缺失导致审计风险高

审计准则是审计人员的行为规范，是审计工作高质量完成的制度保障。由于数据资产审计业务尚处于摸索起步阶段，数据资产审计准则尚未形成。没有具体专门业务准则指引，仅依靠通用审计准则规范，不利于指导审计人员更好实施审计工作、提高审计质量、降低审计风险。因此，数据资产审计准则的缺失，也将增大数据资产审计风险。

（三）数据资产审计环境产生的审计风险

随着信息化、网络化、智能化的纵深推进，数据安全越来越成为大众关注的重点。据威胁猎人发布的《2023年数据泄露风险年度报告》显示，2023年全网监测并分析验证有效的数据泄露事件超过19500起，涉及金融、物流、航旅、电商、汽车等20余个行业。数据泄露类型主要有3种：公民个人信息（18347起）、敏感代码（727起）和敏感文件资料（510起）；数据泄露原因主要包括运营商通道泄露、内鬼泄露、黑客攻击、安全意识问题、第三方泄漏等。数据资产是数据信息世界的重要参与者，存储在信息系统中，置身于信息环境中，也面临着数据安全风险。数据资产的无实物形态、可快速复制特性，进一步增大了被窃取、泄露的安全风险。而数据资产一旦被窃取、泄露，其列报价值可能严重减值，甚至荡然无存。所以，数据资产较高的安全风险，一方面增大了被审计单位自身的重大错报风险；另一方面审计主体对数据资产的提取、处理、分析、存储过程也面临较大风险挑战，增大了审计主体的管理风险。因此，审计环境中的数据安全风险，也将增大数据资产审计风险。

五、数据资产审计风险应对方案

从上文分析可知，数据资产审计面临的审计风险非常大，审计工作正面临着前所未有的难度和挑战。所谓开山之作最费力，数据资产审计是新兴审计领域，亟须审计主体积极作为。一方面，审计主体需完善自我，更好胜任数据资产审计工作；另一方面，审计主体应积极学习研究、总结实践、建言献策，推动各方完善数据资产管理措施，创造良好的数据资产审计环境。

（一）数据资产审计主体主动应对策略

1.提升审计人员专业能力

为应对数据资产审计挑战，审计人员亟须提升数字素养，更好掌握数据资产知识、价值评估技术。短期内，审计组织可以聘请数据资产专家参与审计，增强审计团队专业胜任能力；也可以组织数据资产审计培训，夯实审计人员专业能力。同时，采用以审代训方式，快速提升审计人员专业能力。长远来看，学校作为培养审计人才的摇篮，应注重数据资产审计人才培养。首先，可以在审计人才培养方案中增设大数据分析、人工智能、价值评估、数据挖掘或数据资产审计课程，对数据资产审计形成理性认知。其次，采用产学研合作教育模式，充分利用各方资源优势，让学生走近数字经济实务、了解商业运作模式，对数据资产审计形成感性认知。最后，鼓励学生参加社会实践、专业比赛、创新训练项目，培养学生研究问题、解决问题的创新能力。

2.推广研究型审计思维方法

为应对数据资产审计的审计依据不全、审计经验不足而造成审计风险极高的现实挑战，审计项目组可以保持高度职业谨慎，运用研究型审计思维方法，通过审前学习调研、审中集思广益、审后反思总结，从而有效降低审计风险。审计开始前，认真学习研究数据资产相关规章，了解研究数据资产商业模式，认真评估数据资产风险因素；审计实践中，对于数据资产审计依据的选择、审计问题的界定、审计建议的提出，要经过项目组认真讨论、仔细推敲确定；审计完成后，对可供后续审计项目学习借鉴的经验进行总结，对审计过程中遇有的审计难题进行剖析。对于审计依据与实务工作不相适宜的问题，积极开展调查研究，提出科学可行方案，向相关责任主体建言献策。

3.运用数字化审计组织方式

为缓解数据资产审计人才缺乏与数据资产审计业务需求之间的矛盾，充分发挥数据资产审计人才效用，数据资产审计可采用“总体分析、发现疑点、分散核查、系统研究”的数字化审计方式。安排数据资产审计综合能力较强的人员负责“总体分析、系统研究”工作；安排数据资产审计细分领域较强的人员负责该领域的“分散核查”工作。各阶段审计人员积极响应、双向沟通，“总体分析”审计人员将“发现疑点”交办“分散核查”审计人员，“分散核查”审计人员将核查结果、核查疑惑及时提交“系统研究”审计人员，“系统研究”审计人员及时予以答疑解惑。

4.制定数据资产审计准则

为规范数据资产审计人员操作、提升数据资产审计工作质量，审计管理主体可以研究制定数据资产审计准则。一方面，动员审计学者广泛开展数据资产审计理论研究，为数据资产审计准则制定献言献策；另一方面，积极开展数据资产审计，认真总结审计实践经验，升华为审计准则要求。数据资产审计准则，既应对数据资产审计工作开展予以指导，如明确数据资产审计的审计原则、审计内容、审计方法、审计程序、审计报告等；还应对数据资产审计人员操作予以规范，如明确数据资产的运用权限范围、安全保密责任等。

5.搭建数据资产审计平台

为保障数据资产审计安全高效实施，审计主体需要搭建安全可靠的数据资产审计平台。数据资产审计平台应既能满足数据资产的分析、处理需要，又能保障数据资产的流转、储存的安全。如利用区块链可以完整记录数据流转过程，创造可信执行环境的技术优势，搭建能胜任大数据分析处理、业务场景模拟需要的数据资产审计平台。

（二）引导数据资产责任主体完善措施

为根本解决数据资产的权属界定、价值评估、后续计量难题，审计主体不仅需要提升自身专业胜任能力，还需要推动有关责任主体完善制度规范体系。审计主体要积极学习数据资产前沿知识、持续总结数据资产审计实践经验，以审计建议、咨询服务等方式引导各责任主体积极履职。

一方面要完善数据资产确权体系。一是细化数据资产权属界定规则。明确数据资产权属界定标准，不同权属主体的责任内容、权利范围。二是优化数据资产产权管理制度。建立数据资产产权证书制度，完整记录数据资产的形成、流转过程，以防数据资产被非法窃取转售。三是创新技术支持数据资产确权。如运用统一标识代码确权法支持数据溯源；运用“三三制”数据确权法提升数据资产确权的准确性；利用大模型技术优势隔离数据的产权、使用权；采用密码学、区块链等技术防止数据篡改、盗用。

另一方面要优化数据资产计量体系。一是完善数据资产管理系统。建立适宜数据资产自身特点、可以全面准确归集各项成本费用的信息管理系统，避免数据资源由于无法识别、不可计量而无法确认为数据资产。二是推动数据交易场所有效运作，积极发挥市场作用，实时提供数据资产市场价值信息。三是建议制定数据资产实务处理指南。各级各类主管部门、责任单位群策群力对各式各样的数据资产的特征特点、经济用途、应用场景、商业模式、使用寿命、消耗方式等进行分析研究，确定其计价方法、摊销方式、报告要求，进而形成数据资产实务处理指南。

（三）构建安全可信的数据资产审计环境

为有效应对数据资产审计过程中可能引发的安全风险隐患，需各领域主动作为，积极采取有效措施，着力营造既能服务高质量经济发展，又能提供安全稳定监督条件的数据资产审计环境。一是建立严明规范的数据资产管理体制。制定各级各类数据安全管理办法，明确数据采集权限、使用范围、销毁要求、保密责任，强化措施落实和责任监督，严厉打击违反数据安全规范行为，营造“不敢、不屑、不想”违反规范的诚实可信文化氛围。二是提供前沿有力的技术保障。加大维护数据资产安全领域新型信息技术研发力度，不断提升整体信息安全防御水平，建立高度信息化、集约化、统一数据标准与操作规则的数据资产安全管理系统，推动实现数据资产管理工作横向全域覆盖、纵向直达基层的“一体化”的良好局面。三是加强数据安全管理专业人才队伍建设。大力培育善于信息通道管理、防范黑客攻击的专门技术手段的数据安全管理人才，提升其对数据资产流失、失窃等突发情况的应对处置能力水平，形成抵御数据资产输入性风险的专业技术安全屏障。

作者：乔雅婷 时现

来源：会计之友微信公众号

编辑：孙哲

目前190000+人已关注我们，您还等什么？