随着信息技术的深度渗透，中央企业业务运营已全面步入数据驱动时代。海量数据的生成与流转在提升管理效能的同时，也给内部审计工作带来前所未有的复杂性。传统审计模式在数据处理能力等方面局限凸显，数据真实性核验难度不断加大，系统性风险隐蔽性增强。央企作为国民经济支柱力量，其内部审计质量至关重要，直接关系到国有资产安全与企业可持续发展，亟须系统性审视大数据环境下内部审计风险态势。

大数据环境下央企内部审计的风险识别

大数据技术使央企业务数据呈现体量大、类型多、流转快的特征，内部审计风险识别对象从单一财务数据扩展到全业务链条数据。传统审计抽样方法可能遗漏关键风险点，全量数据分析对审计技术能力提出更高要求，审计风险需要从风险来源与审计风险模型两个维度进行系统识别。

基于风险来源的分类

（1）数据层面。央企的信息系统数据分散存放在多个异构平台当中，数据接口标准不统一使得数据孤岛现象较为普遍，审计获取的数据存在口径差异、时间戳不一致及关键字段缺失等质量方面的问题，数据经过多次转换之后原始信息被覆盖，审计轨迹的可追溯性有所减弱。

（2）技术层面。ERP系统、大数据平台等技术架构日益复杂，审计人员对系统逻辑和算法机制理解不足，影响风险识别的准确性。技术黑箱的存在让审计人员难以判断系统输出的可靠性，自动化流程里的程序错误有可能长期未被发现，第三方审计工具和内部系统存在的兼容性问题，导致数据提取不完整。

（3）管理层面。审计资源配置和实际需求存在错配情况，审计人员数据分析能力未达到相应要求，获取跨部门数据的时候面临权限方面限制。数据共享机制缺失导致审计周期有所延长，审计独立性在技术协作过程中面临诸多挑战。对数据依赖加深可能影响审计的客观性，审计计划难以适应业务数据实时变化的状况。

基于审计风险模型的分类

审计风险由固有风险、控制风险及检查风险构成，三者相互作用形成风险传导链条。

(1)固有风险。该风险是指不考虑内部控制情况下，企业因业务复杂性、行业特性及外部环境导致财务报表存在重大错报的先天可能性。固有风险独立于审计行为而存在，大数据环境下不能改变企业固有风险，只能在审计过程中通过全量数据分析识别固有风险暴露点，提前部署审计资源。

(2)控制风险。该风险是指内部控制系统无法及时防止或者发现重大错报的风险。数据治理框架缺失会造成数据标准及质量管控等基础控制薄弱，各业务单元自建系统由于缺乏统一规划而形成控制断层，自动化控制依赖系统配置参数，设置错误可能致使控制完全失效且具有隐蔽性，系统迭代更新的时候，控制措施没有同步调整，新旧系统并存期间存在控制真空。

(3)检查风险。该风险是指审计程序没能发现实际存在重大错报的风险。审计人员因技术能力不足无法有效实施数据分析程序，面对复杂算法时审计检查深度受到限制，传统统计抽样难以应对数据长尾效应情况，关键风险点有可能会游离在抽样样本之外，审计时效性不足使得检查结果存在滞后问题，事后审计模式难以捕捉到动态变化的风险。

大数据环境下央企内部审计风险的形成机理

大数据环境下央企内部审计风险的形成源于技术演进和组织适应能力的失衡，以及数据治理相关制度的缺失。

技术变革与审计能力的错配

央企数字化转型进程里引入的云计算、人工智能及区块链等新兴技术，对审计人员的知识结构提出了跨学科要求，然而现有审计队伍大多以财务、会计专业背景为主，技术能力的培养体系尚未建立。审计工具的开发与应用依赖外部技术服务商，审计部门对工具底层算法和数据处理流程缺乏自主掌控能力。企业投入的审计信息化建设资源有限，造成审计软件功能开发滞后于业务系统的更新速度，系统间接口适配问题长期存在，审计人员面对海量数据时缺乏有效的分析手段，导致传统手工核查和抽样方法难以应对数据的复杂性和时效性。

数据治理体系的缺失

央企内部没有统一的数据标准规范，各业务单元在系统建设过程中缺乏统一规划，造成数据口径不一致，使得审计工作所需的基础数据质量难以得到保证。数据资产的归属权和使用权界定不够清晰明确，审计部门在调取数据时需要一级一级地申请和协调，跨部门数据共享机制的缺失导致审计准备时间被延长。数据安全管理制度并不完善，数据访问权限的设置存在过度集中或过度分散的两极化问题，审计人员既可能因为权限不足而无法获取关键数据，也可能因权限过大而面临数据泄露的责任风险。数据生命周期管理存在薄弱环节，历史数据的保存和调用缺乏规范的操作流程，审计所需的历史对比数据可能因系统迁移或存储介质老化而丢失。

审计模式转型的滞后性

央企内部审计目前主要还是采用事后核查的工作方式，审计计划的制定依据年度周期，而非实时风险评估，这样的滞后性导致审计无法及时发现和预警业务运营里的异常情况。审计流程设计依旧沿用传统的线性工作模式，从审计立项一直到报告出具，所经历的周期较长，很难适应大数据环境下业务变化的快速性。审计评价指标体系没有充分纳入数据质量、系统安全及算法合规等新维度，审计关注点仍然集中在财务合规性方面，忽视了技术风险和数据风险。

大数据环境下央企内部审计风险的应对策略

针对大数据环境下审计风险在数据、技术、管理三个层面的表现，以及固有风险、控制风险及检查风险的传导机制，央企需要从审计能力提升、数据治理完善及审计模式转型三个方面构建风险应对体系。

提升审计技术能力，降低检查风险

建立复合型审计人才培养的有效机制，借助内部培训与外部引进来补齐技术短板。审计人员需要掌握数据分析、算法逻辑等相关技能，深入理解ERP、大数据平台等系统运行机制，设立专门的数据审计岗位，配备既懂审计业务又懂技术的复合型人才。加强审计工具的自主研发工作，减少对外部服务商的依赖程度，确保对数据处理流程和分析算法的掌控能力。审计软件功能要与业务系统更新保持同步，解决系统接口适配滞后的实际问题，提升审计人员应对海量数据和复杂系统的工作能力。

完善数据治理体系，有效识别固有风险和控制风险

制定统一的数据标准规范来解决各业务系统数据口径不一致问题，建立企业级的数据治理框架，明确数据资产归属权和使用权，打破部门间数据壁垒，优化数据访问权限管理，在保障审计部门获取必要数据权限的同时，防范数据泄露风险。完善数据质量管控机制，在数据生成和流转环节嵌入质量检验程序，确保审计获取数据的完整性和准确性。规范历史数据保存和调用流程，为审计追溯分析提供可靠数据支撑，从源头控制数据质量风险。

推进审计模式转型，适应大数据环境

把事后核查转变为持续监控来构建实时风险预警机制，利用大数据技术达成对业务运营的动态监控。建立以风险为导向的审计资源配置机制，依据数据分析结果确定审计重点，以提高资源使用效率，将数据质量、系统安全、算法合规等内容纳入审计评价体系，形成包含技术风险和数据风险的全面审计框架。在维持审计独立性的前提下，加强与数据信息部门协作，建立技术支持和专业审计相分离的工作机制，完善审计整改的闭环管理，通过系统化跟踪，保证审计建议有效落实，以提升审计监督实效性。

在大数据环境当中，央企内部审计风险体现出技术性、隐蔽性及系统性相互交织的特征，固有风险、控制风险及检查风险相互传导进而形成风险螺旋，其形成根源主要在于技术演进和审计能力存在结构性失衡、数据治理体系处于缺失状态及审计模式转型具备滞后性。系统识别风险属于防控工作的逻辑起点，剖析形成机理是应对风险的前提基础。央企需要通过提升审计技术能力、完善数据治理体系及推进审计模式转型三管齐下的方式，弥合能力缺口、夯实数据基础及创新工作机制，把大数据从风险源转变为提升审计效能的驱动力，最终达成内部审计工作高质量发展的目标。

作者简介：张昭临  中国华油集团有限公司