企業智能審計的應用場景、風險治理及合規制度

數字經濟時代，“科技強審”已成為企業提高審計效能的必然選擇。智能審計是踐行“科技強審”的一種新型審計方式，可以有效滿足數智時代企業審計的現實需求。然而，隨著智能審計在企業審計的試點運用，也產生了經濟安全、數據安全、權力濫用等諸多風險。因此，構建安全、高效的智能審計合規制度，對于企業內部審計高質量發展具有重要意義。

一、智能審計在企業審計中的應用場景

（一）審計數據的采集與預處理

企業采集的數據涵蓋內外部多個領域，在格式和結構上呈現出高度的復雜性，需要借助光學字符識別技術（OCR）和自然語言處理技術（NLP），將原始憑證、賬簿、報表、函證回函、合同等企業紙質文件數據進行采集和轉化。二者結合運用，可以將企業審計所需的文本、圖像、聲音、視頻等非結構化數據轉化為可供編輯的結構化數據。機器人流程自動化技術（RPA）可以實現自動挖掘審計所需數據。由于智能審計系統采集的數據格式與編碼規則存在差異，需要進行預處理，如填補缺失數值或剔除重復數據、修正偏差數據、統一不規則格式和校驗并完善數據標注內容，以獲得一個高質量、結構化、易于訪問和使用的數據集。

（二）審計數據分析與模型構建

可利用數據分析、語義理解、深度學習、知識圖譜以及分布式文件系統（DFS）等技術，建立自動化分析模型。比如，數據分析技術在語義理解和深度學習輔助下，憑借其通用型技術架構、高效的數據運算效能和靈活的線性擴容特性，可實現對企業合同合規性、財務收支合理性、財務報表真實性等業務場景的全樣本智能分析，實時監控風險；基于知識圖譜技術，整合企業內外部審計數據接口，描繪審計對象的關系網絡、關聯業務流程、制度規范，從而實現跨系統數據的綜合分析；分布式文件系統支持海量數據的分布式處理，達到深度挖掘、關聯分析等功能。

（三）實時風險監控與預警

智能審計將業務流程、資金流向、合規性指標等納入實時監控的內容，擴大了傳統內部審計的監督范圍，實現對企業經濟活動的全流程監督。數據處理層面，審計人員可以借助智能審計系統，自動采集企業內外部的多模態數據，對關聯數據展開比對與深度分析，從而精準識別潛在的重大錯報風險。基于預設風險閾值與機器學習訓練的預測模型，當異常情況出現時會自動觸發分級預警，將異常數據及時推送給審計人員。審計人員可以對預警結果實施穿透式核查，也可以進行下載、轉發以及可視化展示等操作。同時，審計人員在利用智能審計預警系統進行風險監控的時候，也需要堅持“人機協同”。審計人員在可視化分析的基礎上結合自身專業知識進行判斷，通過對異常數據的深度挖掘與風險的精準評估，推動審計工作從事后監督向實時化、前置化的風險防控轉變。

二、企業智能審計應用存在的風險問題

智能審計運用也會面臨新的風險，這些風險貫穿于企業經濟安全、數據安全、權力濫用等多個方面，對企業的內部控制、經營決策以及企業商譽等產生重大影響，也會對企業的可持續發展和高質量發展構成挑戰。

（一）經濟安全風險

智能審計系統的運行需要依靠強大的算力和復雜的算法。在企業智能審計的過程中，算法偏差可能導致審計結果的不準確與不可靠，從而影響企業決策層的重大決策，造成預期利益損失。為了保護核心商業秘密和知識產權等無形資產，算法提供商可能會對一些關鍵數據進行嚴格管控和限制，所以企業的智能審計系統或許無法獲取完整、準確的算法運行數據和規則，也就難以對算法的決策過程進行審查。此外，智能審計模式下，審計人員過于依賴“人機協同”，如果智能審計系統發生故障，審計人員也可能一時無法獨立開展內部審計工作。外部攻擊也會導致智能審計系統發生故障。攻擊者可能利用誘餌、點擊劫持攻擊、網絡釣魚等網絡技術，非法竊取企業的商業秘密、客戶數據等。這些數據一旦被非法竊取將削弱企業的競爭優勢，數據安全事件也會對企業的商譽造成影響，嚴重影響企業的經營發展。

（二）數據安全風險

按照智能審計數據的運用流程，數據安全風險在不同階段有不同表現。一是數據采集階段，智能審計系統自動抓取的數據質量良莠不齊。通常而言，智能審計從企業內部采集的結構化數據具有較高的真實性，但外部采集的非結構化數據則可能由于主客觀因素而存在缺失與誤差。二是數據預處理階段，智能審計需要將不同格式的數據進行清洗、轉化以及標準化處理，以形成格式統一的系統可用數據。然而，數據預處理可能因為技術因素、個人因素導致數據的變質、丟失或者毀損。企業智能審計采集外部數據需要流轉的過程較多，這也導致外部數據被非法竊取或者被篡改的風險增大。三是數據存儲階段，處理后的異構數據需按數據類型分別存儲到相應的數據庫中，存儲的數據可能存在不當使用、數據泄露、惡意入侵等風險。四是數據分析階段，企業審計數據往往涉及個人隱私、商業機密、國家秘密等敏感數據。企業一旦發生數據泄露或者數據濫用事件，企業利益受損的同時也會對敏感數據主體或者社會主體產生不良影響，甚至造成嚴重的數據安全事件，危害國家和社會的安全。

外部數據安全風險主要表現為數據質量不高、數據泄露風險較大等兩個方面。一方面，外部主體提供的數據，存在質量不高、可靠性不強的問題。外部主體可能存在數據錄入失誤、數據更新不及時，基于保護商業秘密的需要而選擇性地提供數據等情況，這些原因導致企業采集到的外部數據質量不穩定，甚至可能無法轉化為企業可用的內部審計數據。另一方面，外部數據泄露風險比內部數據泄露風險更大。企業智能審計采集外部數據需要流轉的過程更多，這也導致外部數據被非法竊取或者被篡改的可能性更大。

（三）權力濫用風險

智能審計的運用需要審計人員的深度參與。從這個角度理解，智能審計是一種人機協同審計。智能審計中需要審計人員對人工智能進行指揮和操作，但也要防范智能審計權力濫用的風險。智能審計使審計人員能夠便捷地獲取企業的審計數據，這些數據涵蓋企業各個業務領域、財務數據、市場信息等大量敏感數據。內部審計部門及其審計人員在算法設計過程中擁有較大的算法權力，可能嵌入其自身的主張、偏好。如果缺乏嚴格權限管理和內部控制，可能發生個別審計人員利用職務便利，濫用設計、訪問權限，將審計數據用于個人目的或者非法交易的情況。而且，由于智能審計系統能夠為企業提供實時風險監控與預警，企業管理層會更加重視審計人員的審計意見和審計報告，個別審計人員可能會受到內部壓力或者外部利益誘惑，罔顧審計準則和審計職業道德，歪曲審計結果并出具不實審計報告。

智能審計的權限管理漏洞會影響審計工作的真實性和可靠性，非授權人員可能會濫用系統功能進行數據篡改或者刪除從而導致審計結果失真，誤導企業的經營管理決策。

三、企業智能審計應用風險的治理路徑

（一）建立技術行業標準與動態監管機制

首先，相關行業主管部門應當結合法律規定、內部審計準則等建立智能審計技術行業標準，標準至少包括數據處理能力、算法可靠性、技術成熟度等三個方面。企業應明確智能審計系統能夠處理的數據量、數據類型以及處理速度等要求，以適應企業日益擴大的數據規模和多樣化的數據格式。算法可靠性要求企業應自主建立穩定的算法系統，如有必要也可引用第三方算法，但應要求算法供應商提交算法可解釋報告，以打破算法“黑箱”的決策困境。算法技術標準應對算法可解釋報告進行嚴格的限定。以風險預測算法模型為例，其提供的報告應當詳細闡述算法的訓練數據來源、選擇方法、模型結構以及決策邏輯，使內部審計人員能夠理解模型的輸出結果，從而在一定程度上解決算法黑箱、算法失真所帶來的問題。技術成熟度要求建立全面審查智能審計相關技術原理、功能、性能指標等內容的標準，在正式投入使用前還應開展審計場景模擬測試。嚴格按照技術成熟度的標準，在設定的多種復雜審計場景中，驗證智能審計系統在審計數據收集、預處理、儲存、實時風險監控與預警等核心功能應用中的準確率，從技術源頭上把控技術運用風險。其次，智能審計系統故障可能會導致企業相關機密、隱私信息泄露。企業需要對智能審計系統進行持續監管，以防范系統故障問題。企業應當定期對智能審計系統的性能、數據安全措施、技術迭代、法律法規政策更新等內容進行評估，也可以引入第三方對智能審計系統進行評估。

（二）加強審計技術安全與數據隱私保護

第一，應明確數據采集的范圍和來源，進行審計數據驗證，保障審計數據采集的真實性和完整性。針對內部和外部不同的數據，采用分類分級的甄別和驗證標準。同時，還可借助數據提取工具對采集的數據進行提取、清洗以及整合。第二，根據數據的敏感等級實施差異化加密技術，構建具備算法計算、隱私計算以及分層分級的數據權限管控功能的體系。除了一些允許查詢的數據外，服務器不應從存儲的數據中獲取信息，以確保數據不可被篡改和偽造。此外，還可借助云基礎設施安全監測與漏洞掃描技術，利用人工智能自動識別非法訪問、數據篡改等安全隱患，及時發出預警并推動修復工作，完善動態化的技術保護措施。第三，在數據運用過程中，借助數字水印和可視化展示等技術可以盤查數據資源分布，實現操作在線監控、流通過程可追溯以及資產精準管理。企業可以采用智能合約技術，提升審計數據的可靠性與自動化處理水平。通過預設規則代碼自動執行數據驗證、存儲與傳輸流程，實時剔除違規數據并生成異常記錄。第四，利用區塊鏈技術為數據分析提供技術支撐。區塊鏈憑借其去中心化架構、集體維護數據、數據安全性高、共識機制、智能合約機制的特征，可以最大程度保障數據分析過程中的數據安全。第五，采用動態掩碼技術對包含的財務數據、市場信息等敏感數據進行脫敏處理，識別敏感數據、脫掉敏感數據、評價脫敏效果，保留數據業務特征用于數據分析，同時有效去除敏感信息標識，降低隱私泄露風險。

（三）明確智能審計的多元主體權責范圍

企業是運用智能審計的主體，應承擔數據管理、系統管理、審計合規、人員培訓與管理等主體責任。企業應當從制度監管約束和技術設計管控兩個方面，實現智能審計權責明晰和風險可控的管理目標。在制度監管層面，企業應明晰內部審計部門定位并合理設置職權。針對這一問題，企業可設立跨部門權限審核委員會，從組織架構上避免單一主體智能審計權力過度集中。在技術管控層面，企業可“用技術監管技術”。采用多因素身份驗證技術，建立多層級的訪問控制體系。對企業管理層與審計人員的訪問以及系統操作權限進行精細劃分，對數據采集、預處理、分析以及出具審計報告等環節的權限也進行明細界定，以此形成操作日志全程留痕、關鍵權限交叉驗證的內部控制機制。針對個別審計人員可能濫用智能審計權力謀取私利的問題，企業可借助數據溯源、數字水印功能，記錄數據獲取和使用信息，實現對數據全鏈條追溯監控。為數據追溯提供完整翔實的證據鏈，確保對相關人員的追責定責清晰明了。同時，使用區塊鏈存證技術對審計全流程上鏈存證，防范數據被輕易篡改。還可以通過借助機器學習算法可以對審計人員的操作習慣進行建模，算法系統一旦發現個別審計人員的行為偏離正常模式立即觸發自動預警與權限凍結機制，實時監測權限濫用、數據異常訪問等風險事件。

四、建立健全企業智能審計的合規制度

智能審計合規制度是企業在數智化轉型背景下，融合現代信息技術，以法律法規、行業準則、內部規章等合規要求為依據構建的審計合規管理體系。為了防范智能審計運用過程中可能產生的各種風險，保障智能審計的安全高效運行，需要構建數據安全審計、算法審計等合規制度體系。

（一）數據安全審計合規制度

企業智能審計對數據的自動化、規模化采集和集中化處理，打破了傳統意義上的權力邊界。構建數據安全審計合規制度，是保障智能審計運用過程中數據安全和隱私保護的重要手段。

第一，企業應遵循相關法律法規，構建分類分級數據合規體系。企業在智能審計的過程中應遵循《中華人民共和國數據安全法》（以下稱《數據安全法》）《個人信息保護合規審計管理辦法》《生成式人工智能服務管理暫行辦法》等法律法規規章，并依據這些規范構建分類分級的數據管理機制。企業數據分類分級標準應當覆蓋業務數據、用戶信息、財務數據等敏感數據，按照敏感程度劃分為不同的級別，如可以劃分為公開級、內部級、機密級等，以此來明確各類數據的保護要求和使用范圍。針對涉及企業核心商業機密、客戶敏感信息等機密級數據，應當采取更為嚴格的運用和處理標準。第二，智能審計數據采集的過程中，企業應落實《中華人民共和國個人信息保護法》（以下稱《個人信息保護法》）規定的個人信息處理原則，通過嵌入來源驗證模塊與區塊鏈存證技術確保數據授權合法。在收集審計數據的過程中，只收集與審計目的直接相關的必要數據，避免過度收集無關數據，以降低數據泄露風險和合規壓力。第三，企業應履行《數據安全法》規定的數據安全保護義務，在開展數據處理活動時嚴格遵守法律法規，以此來減少因不履行法定義務而產生的法律責任風險。第四，跨境數據傳輸中企業也應進行數據安全合規評估。《網絡數據安全管理條例》規定了“網絡數據處理者在中華人民共和國境內運營中收集和產生的重要數據確需向境外提供的，應當通過國家網信部門組織的數據出境安全評估”，針對外部數據提供方，企業需強化對數據來源合法性與質量保障的管控力度。在跨境數據場景中，企業必須嚴格遵循審計、數據安全、網絡安全以及人工智能等相關法律法規規章，搭建跨境數據傳輸的安全防護屏障，對審計數據跨境流動實施嚴格管控。

（二）算法審計合規制度

智能審計依賴于算法技術，但算法偏見、算法黑箱、算法失真等問題不可避免。目前，雖然我國沒有專門的算法審計法律，但是分散于其他法律法規規章的規定為算法審計合規制度的建構提供了一個基本的規范指引。比如，《個人信息保護法》第五十四條規定“個人信息處理者應當定期對其處理個人信息遵守法律、行政法規的情況進行合規審計”，《數據安全法》第二十七條規定“開展數據處理活動應當依照法律、法規的規定，建立健全全流程數據安全管理制度”，間接涉及算法審計的合規性要求；《生成式人工智能服務管理暫行辦法》第十七條規定，“提供具有輿論屬性或者社會動員能力的生成式人工智能服務的，應當按照國家有關規定開展安全評估，并按照《互聯網信息服務算法推薦管理規定》履行算法備案和變更、注銷備案手續”，雖未直接提及審計，但備案過程隱含合規性審查需求。

算法審計要求對算法設計和算法運行都進行合規性審計。一方面，算法提供者應保障算法設計的合法性。在算法開發的過程中應保障算法在預測、訓練、評估、數據選擇、技術運用、運行效果、數據安全以及隱私保護等方面符合相關法律法規和倫理規則的規定，嚴禁算法提供者在算法中摻雜對數據主體實施歧視性對待。同時，算法應采用合適的算法模型與數據預處理手段，規避因數據偏差引發的算法歧視現象。算法提供者應保障算法的設計與部署符合法律規定，避免出現利用算法非法監控企業、非法竊取企業核心商業秘密的違法違規行為。另一方面，企業將算法技術運用于智能審計系統前應當進行算法合規審計。在算法正式投入使用前應對算法進行測試，切實保障企業以及相關算法對象的合法權益。在算法投入使用后也要定期審查智能審計系統中算法的數據采集、處理和分析是否符合法律規定。

（三）網絡安全審計合規制度

網絡安全審計旨在確保企業的網絡活動符合相關法律法規、行業標準以及企業內部制定的安全策略。網絡安全審計要求企業落實主體責任、執行網絡安全防護標準、開展網絡安全常態化檢查以及提升網絡安全防御能力和應急處置能力。因為網絡安全維護對安全性、技術性和效率性要求較高，所以應當從多方面進行網絡安全審計。

一是建立健全網絡安全管理體系，明確各部門在網絡安全中的職責并將網絡安全責任落實到個人。同時，嚴格按照網絡安全的防護標準，對智能審計系統、網絡安全架構等進行全面梳理，定期開展網絡安全等級保護測評工作，確保智能審計系統達到相應的安全保護等級。

二是加強網絡安全防御能力。一方面，企業要對智能審計系統的物理安全防御、網絡安全防護、主機安全防護、應用安全防護開展審計，構建一個堅固的網絡安全防御體系抵御各種潛在的網絡安全風險，有效保護企業的智能審計網絡安全。另一方面，企業應實時更新網絡安全領域的最新技術和防御策略，以便提高抵御網絡攻擊持續性威脅能力和應對新型網絡攻擊的防御能力。

三是制定智能審計網絡安全應急響應預案，以便應對各種可能發生的網絡安全問題。在預案中明確智能審計系統網絡安全事件處理的責任主體、處置流程以及協調機制等內容。

文章摘自《中國內部審計》雜志2025年第11期

作者：蘇海雨 耿成萬

單位：南京審計大學

編輯：孫哲

目前190000+人已關注我們，您還等什么？