□ 陈 涛
行为审计是国家有关部门和人员针对特定事项进行监督惩处、咨询服务、纠错处理等一系列行为过程表达审计意见,对结果跟踪审计予以实现国家数据治理的手段和措施。行为审计的数据能力取决于行为审计信息化程度和可行性,电信和互联网基础设施建设促进以大数据分析和人工智能技术发展,特别是行为审计的数据核心能力是构建行为审计新理论前提和基础。2017年开始实施的《网络安全法》,今年9月《数据安全法》以及11月开始实施的《个人信息保护法》构成当前中国数据保护立法体系的三大支柱,共同构成我们行为审计新理论必须遵循的行为审计数据处理和相关网络安全体系的理论框架。对网络空间数据的收集和个人隐私数据处理,以及涉及社会公共问题对审计对象实施行为审计的法律问题必须进行综合考虑,尤其是提出符合当今社会法律体系的行为审计的行为表达形式和数据能力体现方式,是构建以数据能力为基础的行为审计新理论路径主要形式。
行为审计本质和行为数据收集处理依据
计算机科学通常将行为所对应的信息和结果表达为数据,即信息审计和行为审计都可以归于一类,表现为数据型审计。行为审计本质上包含了信息审计,以及内部控制审计、管理审计、绩效审计、舞弊审计等业务形式的数据审计。基于数据能力的审计对整个审计对象的一系列行为可视化、数据化,增强了特定事项审计目的实现,有力促进了审计监督全覆盖。行为审计最终通过其审计结果或专家咨询服务,纠错措施给相关利益群体客观审视提供了依据。
行为审计的审计对象是国家公务人员或者国有企事业单位成员,或者是具有特定身份需要进行审计的社会性人员,包括并不限于非上市公司特定需求和上市公司信息披露相关内容和行为数据收集和处理。审计数据收集和处理必须按照明年元月一日开始实施的新审计法,网络安全法、数据安全法和个人信息保护法等相关法律为基准,具体实施审计所必需的行为数据和处理模式。行为审计针对审计对象是个人成员,按照个人信息保护法第13条规定第二项至第七项规定情形的,不需取得个人同意,即:为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;为履行法定职责或者法定义务所必需;为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;法律、行政法规规定的其他情形。也就是意味着可以通过网络爬虫和特定技术手段收集和处理审计对象个人的行为数据和行为数据可视化处理。除此之外,按照个人信息保护法第28条和29条规定,对于生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感信息,以及不满十四周岁未成年人的个人信息,除非只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下才可以进行收集和处理。行为审计针对审计对象是政府机关和企事业单位,按照国家相关法律法规进行处理。
行为审计框架内数据能力科学内涵
数据能力是指审计人员对于审计对象进行审计过程具备数据想象、清洗、模型构建、分析、处理和使用能力,能够对审计的数据保持敏感性,将审计的数据和日常数据进行分析对比,能够自己建模分析数据变化背后因素来解决问题的素质和能力。其内涵通常包括海量数据及时处理能力,异构审计模型能力,算法、算力提升能力,实时应变的数据分析能力,实现数据能力的信息化基础设施能力等。随着国家数据治理理论和实践不断深入和发展,审计大数据、云计算、物联网、5G技术、星链技术、区块链等技术不断融合,为实现不同形式数据融合提供了新的途径。随着审计职能延伸,审计对象变化,审计数据量日益庞大,审计对象违法犯罪、违规行为日趋隐蔽,这些方面显示数据能力对行为审计构建日益必要。数据能力的核心层面必须基于法律边界和行为数据可视化进行,以便使得行为审计转化为数据审计,兼顾个人隐私和国家政策许可。数据能力对于行为审计框架内新理论是一种普适性的数据收集到处理整个流程,其中透明可追溯,是一个国家数据治理能力的体现,也是审计业务从财务数据、非财务数据审计转向财务数据、非财务数据和行为数据相结合的审计体现。比如对规模庞大的非结构化数据进行识别和提取,实现审计要素的依存分析,对各地政策进行跟踪审计,对来源于社交网络、媒体、政府网站、地方报纸、政治经济消息、环境指数等信息,恰当提取和分析,形成对区域营商环境、人民幸福指数等评价。按照审计规范和审计法规,设计行为审计数据转向可审计的数据转换标准和体系,以此构建适应新时代审计业务新体系和新内容。
建设数据能力基础的行为审计新理论路径
加快行为审计特征、标准、方法和内容界定,以及行为审计相关法律法规、制度制定和完善,构建统一理论规范、规则体系。行为审计以特定行为审计开始,以行为评价、责任追溯和认定,结果奖惩结束,其具有专家咨询、责任跟踪、责任追究和奖励作用。行为审计的特征主要是特定行为数据化,是对国家和特定单位委托的经济责任以及其他责任,和审计对象的承担责任所表现的行为的效率和效果进行鉴证和发表审计意见。审计对象的行为到数据的特征映射,关键在于把握不同行为特征数据化表现的数据特征找寻可疑数据,验证日常数据和数据变化之间关系,判断行为是否违法违规、犯罪、值得表扬奖励行为,还是合理不合法抑或合法不合理等情况。行为审计的标准依据国家法律法规制度有关规定执行,国家没有制定的,依据公序良俗等法律原则进行实践。行为审计的方法也区别于传统审计模式,它考虑审计对象的行为动机,更加重视采用调查法、意见箱、社会公众电话和电子邮箱、心理实验、深度访谈、观察法、一手和二手资料收集、网络分析等结合。行为审计的内容主要考察审计对象的行为(履行岗位行为、财务和非财务行为)是否偏离审计的要求和规则,判断行为是否合规合法,得到法律法规认同,以及价值层面该行为是否值得奖励和惩处,并就已发现的事实发表审计意见。行为审计需要独立、公正、客观、透明。审计人员自身的职业素养和判断,主观意愿等伦理道德对审计对象的行为具有一定偏差,这需要国家有关法律法规和制度进行保障和完善,采取奖惩对应管理模式。审计实践的开展需要相应制度的保障和依据。加快行为审计相关层面的法律立法进程,促进审计全覆盖法律法规完善具有重要意义。
完善行为审计的审计报告披露形式和规范化格式的理论标准体系。行为审计披露的形式和内容,对于审计范围、动机、目标和手段、审计客体描述、内容、审计标准和依据、程序和步骤、取证模式、意见表达模式、职业判断等和传统审计有很大差异性,在审计报告中应当逐一进行说明解释。行为审计报告应当展示三方面信息:履行岗位行为信息、财务行为信息、非财务行为信息;根据审计结果表达三种不同意见:支持鼓励、反对、建议,表明行为审计人员充当了三种性质人员:政府服务者、业务监督者、咨询专家。特别是对关键行为审计事项要进行说明,关键行为审计事项主要包括:特定行为与重大错报风险相关,涉及财务有重大影响事项;特定行为复杂,涉及审计对象管理层判断和其他上级部门管理因素事项;某些特定行为公认为重要事项会对审计产生重大影响的;特定行为使用的基于数据化审计方法说明。
提升审计人员队伍行为审计数据能力素质,加强行为审计的电子数据基础设施和信息安全建设,同时提高审计人员理论涵养。通过互联网审计、大数据审计、云计算、人工智能审计等培训,了解行为审计数据来源、表现,行业特点,数据统计接口,非结构化数据形式,审计问题线索表现等。这需要审计人员长期观察不同种类行为数据,对数据进行长期跟踪分析,观察蛛丝马迹变化,分析历史和当前数据,正常值和异常值变化。根据审计对象行为数据差异,进行数据清理、构建独特行为数据模型、分析数据,得到该审计特定事项结果。特别是需要培养审计人员政治敏感度,行业变化敏感度。关心审计对象所在行业变化、竞争对手状态和国际趋势,这有助于审计人员行为审计数据能力加强。行为审计相关的电子数据基础设施和信息安全管理,可以紧跟时代,采用先进的计算机技术,抓住共性,区别异性,分类融合管理。(作者单位:南京审计大学信息工程学院)