（一）审计数据的采集与预处理

企业采集的数据涵盖内外部多个领域，在格式和结构上呈现出高度的复杂性，需要借助光学字符识别技术（OCR）和自然语言处理技术（NLP），将原始凭证、账簿、报表、函证回函、合同等企业纸质文件数据进行采集和转化。二者结合运用，可以将企业审计所需的文本、图像、声音、视频等非结构化数据转化为可供编辑的结构化数据。机器人流程自动化技术（RPA）可以实现自动挖掘审计所需数据。由于智能审计系统采集的数据格式与编码规则存在差异，需要进行预处理，如填补缺失数值或剔除重复数据、修正偏差数据、统一不规则格式和校验并完善数据标注内容，以获得一个高质量、结构化、易于访问和使用的数据集。

（二）审计数据分析与模型构建

可利用数据分析、语义理解、深度学习、知识图谱以及分布式文件系统（DFS）等技术，建立自动化分析模型。比如，数据分析技术在语义理解和深度学习辅助下，凭借其通用型技术架构、高效的数据运算效能和灵活的线性扩容特性，可实现对企业合同合规性、财务收支合理性、财务报表真实性等业务场景的全样本智能分析，实时监控风险；基于知识图谱技术，整合企业内外部审计数据接口，描绘审计对象的关系网络、关联业务流程、制度规范，从而实现跨系统数据的综合分析；分布式文件系统支持海量数据的分布式处理，达到深度挖掘、关联分析等功能。

（三）实时风险监控与预警

智能审计将业务流程、资金流向、合规性指标等纳入实时监控的内容，扩大了传统内部审计的监督范围，实现对企业经济活动的全流程监督。数据处理层面，审计人员可以借助智能审计系统，自动采集企业内外部的多模态数据，对关联数据展开比对与深度分析，从而精准识别潜在的重大错报风险。基于预设风险阈值与机器学习训练的预测模型，当异常情况出现时会自动触发分级预警，将异常数据及时推送给审计人员。审计人员可以对预警结果实施穿透式核查，也可以进行下载、转发以及可视化展示等操作。同时，审计人员在利用智能审计预警系统进行风险监控的时候，也需要坚持“人机协同”。审计人员在可视化分析的基础上结合自身专业知识进行判断，通过对异常数据的深度挖掘与风险的精准评估，推动审计工作从事后监督向实时化、前置化的风险防控转变。

智能审计运用也会面临新的风险，这些风险贯穿于企业经济安全、数据安全、权力滥用等多个方面，对企业的内部控制、经营决策以及企业商誉等产生重大影响，也会对企业的可持续发展和高质量发展构成挑战。

（一）经济安全风险

智能审计系统的运行需要依靠强大的算力和复杂的算法。在企业智能审计的过程中，算法偏差可能导致审计结果的不准确与不可靠，从而影响企业决策层的重大决策，造成预期利益损失。为了保护核心商业秘密和知识产权等无形资产，算法提供商可能会对一些关键数据进行严格管控和限制，所以企业的智能审计系统或许无法获取完整、准确的算法运行数据和规则，也就难以对算法的决策过程进行审查。此外，智能审计模式下，审计人员过于依赖“人机协同”，如果智能审计系统发生故障，审计人员也可能一时无法独立开展内部审计工作。外部攻击也会导致智能审计系统发生故障。攻击者可能利用诱饵、点击劫持攻击、网络钓鱼等网络技术，非法窃取企业的商业秘密、客户数据等。这些数据一旦被非法窃取将削弱企业的竞争优势，数据安全事件也会对企业的商誉造成影响，严重影响企业的经营发展。

（二）数据安全风险

按照智能审计数据的运用流程，数据安全风险在不同阶段有不同表现。一是数据采集阶段，智能审计系统自动抓取的数据质量良莠不齐。通常而言，智能审计从企业内部采集的结构化数据具有较高的真实性，但外部采集的非结构化数据则可能由于主客观因素而存在缺失与误差。二是数据预处理阶段，智能审计需要将不同格式的数据进行清洗、转化以及标准化处理，以形成格式统一的系统可用数据。然而，数据预处理可能因为技术因素、个人因素导致数据的变质、丢失或者毁损。企业智能审计采集外部数据需要流转的过程较多，这也导致外部数据被非法窃取或者被篡改的风险增大。三是数据存储阶段，处理后的异构数据需按数据类型分别存储到相应的数据库中，存储的数据可能存在不当使用、数据泄露、恶意入侵等风险。四是数据分析阶段，企业审计数据往往涉及个人隐私、商业机密、国家秘密等敏感数据。企业一旦发生数据泄露或者数据滥用事件，企业利益受损的同时也会对敏感数据主体或者社会主体产生不良影响，甚至造成严重的数据安全事件，危害国家和社会的安全。

外部数据安全风险主要表现为数据质量不高、数据泄露风险较大等两个方面。一方面，外部主体提供的数据，存在质量不高、可靠性不强的问题。外部主体可能存在数据录入失误、数据更新不及时，基于保护商业秘密的需要而选择性地提供数据等情况，这些原因导致企业采集到的外部数据质量不稳定，甚至可能无法转化为企业可用的内部审计数据。另一方面，外部数据泄露风险比内部数据泄露风险更大。企业智能审计采集外部数据需要流转的过程更多，这也导致外部数据被非法窃取或者被篡改的可能性更大。

（三）权力滥用风险

智能审计的运用需要审计人员的深度参与。从这个角度理解，智能审计是一种人机协同审计。智能审计中需要审计人员对人工智能进行指挥和操作，但也要防范智能审计权力滥用的风险。智能审计使审计人员能够便捷地获取企业的审计数据，这些数据涵盖企业各个业务领域、财务数据、市场信息等大量敏感数据。内部审计部门及其审计人员在算法设计过程中拥有较大的算法权力，可能嵌入其自身的主张、偏好。如果缺乏严格权限管理和内部控制，可能发生个别审计人员利用职务便利，滥用设计、访问权限，将审计数据用于个人目的或者非法交易的情况。而且，由于智能审计系统能够为企业提供实时风险监控与预警，企业管理层会更加重视审计人员的审计意见和审计报告，个别审计人员可能会受到内部压力或者外部利益诱惑，罔顾审计准则和审计职业道德，歪曲审计结果并出具不实审计报告。

智能审计的权限管理漏洞会影响审计工作的真实性和可靠性，非授权人员可能会滥用系统功能进行数据篡改或者删除从而导致审计结果失真，误导企业的经营管理决策。

（一）建立技术行业标准与动态监管机制

首先，相关行业主管部门应当结合法律规定、内部审计准则等建立智能审计技术行业标准，标准至少包括数据处理能力、算法可靠性、技术成熟度等三个方面。企业应明确智能审计系统能够处理的数据量、数据类型以及处理速度等要求，以适应企业日益扩大的数据规模和多样化的数据格式。算法可靠性要求企业应自主建立稳定的算法系统，如有必要也可引用第三方算法，但应要求算法供应商提交算法可解释报告，以打破算法“黑箱”的决策困境。算法技术标准应对算法可解释报告进行严格的限定。以风险预测算法模型为例，其提供的报告应当详细阐述算法的训练数据来源、选择方法、模型结构以及决策逻辑，使内部审计人员能够理解模型的输出结果，从而在一定程度上解决算法黑箱、算法失真所带来的问题。技术成熟度要求建立全面审查智能审计相关技术原理、功能、性能指标等内容的标准，在正式投入使用前还应开展审计场景模拟测试。严格按照技术成熟度的标准，在设定的多种复杂审计场景中，验证智能审计系统在审计数据收集、预处理、储存、实时风险监控与预警等核心功能应用中的准确率，从技术源头上把控技术运用风险。其次，智能审计系统故障可能会导致企业相关机密、隐私信息泄露。企业需要对智能审计系统进行持续监管，以防范系统故障问题。企业应当定期对智能审计系统的性能、数据安全措施、技术迭代、法律法规政策更新等内容进行评估，也可以引入第三方对智能审计系统进行评估。

（二）加强审计技术安全与数据隐私保护

第一，应明确数据采集的范围和来源，进行审计数据验证，保障审计数据采集的真实性和完整性。针对内部和外部不同的数据，采用分类分级的甄别和验证标准。同时，还可借助数据提取工具对采集的数据进行提取、清洗以及整合。第二，根据数据的敏感等级实施差异化加密技术，构建具备算法计算、隐私计算以及分层分级的数据权限管控功能的体系。除了一些允许查询的数据外，服务器不应从存储的数据中获取信息，以确保数据不可被篡改和伪造。此外，还可借助云基础设施安全监测与漏洞扫描技术，利用人工智能自动识别非法访问、数据篡改等安全隐患，及时发出预警并推动修复工作，完善动态化的技术保护措施。第三，在数据运用过程中，借助数字水印和可视化展示等技术可以盘查数据资源分布，实现操作在线监控、流通过程可追溯以及资产精准管理。企业可以采用智能合约技术，提升审计数据的可靠性与自动化处理水平。通过预设规则代码自动执行数据验证、存储与传输流程，实时剔除违规数据并生成异常记录。第四，利用区块链技术为数据分析提供技术支撑。区块链凭借其去中心化架构、集体维护数据、数据安全性高、共识机制、智能合约机制的特征，可以最大程度保障数据分析过程中的数据安全。第五，采用动态掩码技术对包含的财务数据、市场信息等敏感数据进行脱敏处理，识别敏感数据、脱掉敏感数据、评价脱敏效果，保留数据业务特征用于数据分析，同时有效去除敏感信息标识，降低隐私泄露风险。

（三）明确智能审计的多元主体权责范围

企业是运用智能审计的主体，应承担数据管理、系统管理、审计合规、人员培训与管理等主体责任。企业应当从制度监管约束和技术设计管控两个方面，实现智能审计权责明晰和风险可控的管理目标。在制度监管层面，企业应明晰内部审计部门定位并合理设置职权。针对这一问题，企业可设立跨部门权限审核委员会，从组织架构上避免单一主体智能审计权力过度集中。在技术管控层面，企业可“用技术监管技术”。采用多因素身份验证技术，建立多层级的访问控制体系。对企业管理层与审计人员的访问以及系统操作权限进行精细划分，对数据采集、预处理、分析以及出具审计报告等环节的权限也进行明细界定，以此形成操作日志全程留痕、关键权限交叉验证的内部控制机制。针对个别审计人员可能滥用智能审计权力谋取私利的问题，企业可借助数据溯源、数字水印功能，记录数据获取和使用信息，实现对数据全链条追溯监控。为数据追溯提供完整翔实的证据链，确保对相关人员的追责定责清晰明了。同时，使用区块链存证技术对审计全流程上链存证，防范数据被轻易篡改。还可以通过借助机器学习算法可以对审计人员的操作习惯进行建模，算法系统一旦发现个别审计人员的行为偏离正常模式立即触发自动预警与权限冻结机制，实时监测权限滥用、数据异常访问等风险事件。

智能审计合规制度是企业在数智化转型背景下，融合现代信息技术，以法律法规、行业准则、内部规章等合规要求为依据构建的审计合规管理体系。为了防范智能审计运用过程中可能产生的各种风险，保障智能审计的安全高效运行，需要构建数据安全审计、算法审计等合规制度体系。

（一）数据安全审计合规制度

企业智能审计对数据的自动化、规模化采集和集中化处理，打破了传统意义上的权力边界。构建数据安全审计合规制度，是保障智能审计运用过程中数据安全和隐私保护的重要手段。

第一，企业应遵循相关法律法规，构建分类分级数据合规体系。企业在智能审计的过程中应遵循《中华人民共和国数据安全法》（以下称《数据安全法》）《个人信息保护合规审计管理办法》《生成式人工智能服务管理暂行办法》等法律法规规章，并依据这些规范构建分类分级的数据管理机制。企业数据分类分级标准应当覆盖业务数据、用户信息、财务数据等敏感数据，按照敏感程度划分为不同的级别，如可以划分为公开级、内部级、机密级等，以此来明确各类数据的保护要求和使用范围。针对涉及企业核心商业机密、客户敏感信息等机密级数据，应当采取更为严格的运用和处理标准。第二，智能审计数据采集的过程中，企业应落实《中华人民共和国个人信息保护法》（以下称《个人信息保护法》）规定的个人信息处理原则，通过嵌入来源验证模块与区块链存证技术确保数据授权合法。在收集审计数据的过程中，只收集与审计目的直接相关的必要数据，避免过度收集无关数据，以降低数据泄露风险和合规压力。第三，企业应履行《数据安全法》规定的数据安全保护义务，在开展数据处理活动时严格遵守法律法规，以此来减少因不履行法定义务而产生的法律责任风险。第四，跨境数据传输中企业也应进行数据安全合规评估。《网络数据安全管理条例》规定了“网络数据处理者在中华人民共和国境内运营中收集和产生的重要数据确需向境外提供的，应当通过国家网信部门组织的数据出境安全评估”，针对外部数据提供方，企业需强化对数据来源合法性与质量保障的管控力度。在跨境数据场景中，企业必须严格遵循审计、数据安全、网络安全以及人工智能等相关法律法规规章，搭建跨境数据传输的安全防护屏障，对审计数据跨境流动实施严格管控。

（二）算法审计合规制度

智能审计依赖于算法技术，但算法偏见、算法黑箱、算法失真等问题不可避免。目前，虽然我国没有专门的算法审计法律，但是分散于其他法律法规规章的规定为算法审计合规制度的建构提供了一个基本的规范指引。比如，《个人信息保护法》第五十四条规定“个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计”，《数据安全法》第二十七条规定“开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全管理制度”，间接涉及算法审计的合规性要求；《生成式人工智能服务管理暂行办法》第十七条规定，“提供具有舆论属性或者社会动员能力的生成式人工智能服务的，应当按照国家有关规定开展安全评估，并按照《互联网信息服务算法推荐管理规定》履行算法备案和变更、注销备案手续”，虽未直接提及审计，但备案过程隐含合规性审查需求。

算法审计要求对算法设计和算法运行都进行合规性审计。一方面，算法提供者应保障算法设计的合法性。在算法开发的过程中应保障算法在预测、训练、评估、数据选择、技术运用、运行效果、数据安全以及隐私保护等方面符合相关法律法规和伦理规则的规定，严禁算法提供者在算法中掺杂对数据主体实施歧视性对待。同时，算法应采用合适的算法模型与数据预处理手段，规避因数据偏差引发的算法歧视现象。算法提供者应保障算法的设计与部署符合法律规定，避免出现利用算法非法监控企业、非法窃取企业核心商业秘密的违法违规行为。另一方面，企业将算法技术运用于智能审计系统前应当进行算法合规审计。在算法正式投入使用前应对算法进行测试，切实保障企业以及相关算法对象的合法权益。在算法投入使用后也要定期审查智能审计系统中算法的数据采集、处理和分析是否符合法律规定。

（三）网络安全审计合规制度

网络安全审计旨在确保企业的网络活动符合相关法律法规、行业标准以及企业内部制定的安全策略。网络安全审计要求企业落实主体责任、执行网络安全防护标准、开展网络安全常态化检查以及提升网络安全防御能力和应急处置能力。因为网络安全维护对安全性、技术性和效率性要求较高，所以应当从多方面进行网络安全审计。

一是建立健全网络安全管理体系，明确各部门在网络安全中的职责并将网络安全责任落实到个人。同时，严格按照网络安全的防护标准，对智能审计系统、网络安全架构等进行全面梳理，定期开展网络安全等级保护测评工作，确保智能审计系统达到相应的安全保护等级。

二是加强网络安全防御能力。一方面，企业要对智能审计系统的物理安全防御、网络安全防护、主机安全防护、应用安全防护开展审计，构建一个坚固的网络安全防御体系抵御各种潜在的网络安全风险，有效保护企业的智能审计网络安全。另一方面，企业应实时更新网络安全领域的最新技术和防御策略，以便提高抵御网络攻击持续性威胁能力和应对新型网络攻击的防御能力。

三是制定智能审计网络安全应急响应预案，以便应对各种可能发生的网络安全问题。在预案中明确智能审计系统网络安全事件处理的责任主体、处置流程以及协调机制等内容。