财务报表审计中数据资产审计难点及对策研究

一、引言

随着我国经济社会数字化转型进程稳步推进，数据要素市场的发展蒸蒸日上。从国家战略和制度层面看，2022年12月，《关于构建数据基础制度更好发挥数据要素作用的意见》（以下简称“数据二十条”）对完善数据要素市场作出全面部署，明确提出探索数据资源入表模式、加强数据分类分级管理等要求，推进数据资产合规化、标准化、增值化。随后，财政部于2023年8月配套出台《企业数据资源相关会计处理暂行规定》（财会〔2023〕11号，以下简称“《暂行规定》”），服务于数据要素市场中数据资源的会计处理问题，针对数据资源是否可以确认为资产以及数据资产的分类确认、计量及披露作出了指导性规定。从企业经营活动看，各类企业对数据资源入表给予密切关注，尤其是涉及海量数据资源的互联网企业和信息技术企业，更是率先开展依托数据资源增值的业务模式，并尝试将企业数据资源依照《暂行规定》入表，使其成为企业价值的重要组成部分。2024年第一季度，A股实际共有17家上市公司首次披露了共7 863.35万元的数据资产①，其中确认无形资产金额5 406.07万元，确认开发支出金额1 767.60万元，确认存货金额689.68万元。至此，数据资源入表进程正式拉开帷幕。

数据资源入表成为数据资产后，数据资产审计问题亟须研究。在会计处理原则已初步明确的背景下，企业在积极探索数据资源入表时，数据资产审计理论和实务却存在盲区。主要原因在于：数据资源未入表，因而暂不属于财务报表审计范畴；尚属新兴业务，兼具虚增资产、虚假确权、操纵估值等财务舞弊高风险的数据资产审计研究存在难度。因此，亟须从理论上分析财务报表审计中数据资产审计的难点，积极推进既定会计处理规定下的审计对策研究。

本文的贡献在于，以企业数据分类分级特征、产业链情况、数据资产商业模式与业务模式的全视角分析为前提，聚焦财务报表审计中数据资产审计的目标及评价标准，基于数据合规审计、数据安全审计与数据资产内部控制评价，有针对性地分析审计难点与应对措施，为数据资产审计提供参考。

二、开展数据资产审计的前置性工作

数据资产绕不开基础数据问题和价值确认问题。数据确权的立法缺失、数据来源主体的不同属性、数据合法合规的底线约束、数据资产价值的应用场景依赖、数据资产价值评估的标准不清等现实困境都表明数据资产审计不同于传统审计，具有强复杂性、多特殊性、高风险性，这也要求注册会计师应当保持更加谨慎的职业怀疑，进行更加严格的职业判断。基于此，注册会计师必须前置性、全方位深入分析被审计单位的数据分类分级、产业链、商业模式与业务模式，并紧紧围绕数据资产的这四类底层逻辑，实施数据资产审计。

（一）准确的数据分类分级是开展数据资产审计的首要前提

准确的数据分类分级是开展企业内部数据治理与外部数据资产审计的首要前提。数据是能够支持决策的已记录为可存储、传输或处理的数字化形式的观察结果；在企业拥有、控制或使用的各种形式的数据中，有助于创造价值但尚未通过会计程序确认、计量和报告的数字化资源是数据资源；企业拥有或控制的，预计为企业带来经济利益且经过会计程序确认、计量和报告的数据资源才形成数据资产。现有研究认为，并非所有的数据都能形成数据资源，并非全部的数据资源皆可确认为数据资产，只有经过会计程序确认、计量和报告的数据资源才能确认为数据资产，也就是说数据资源经过恰当的会计处理后才能确认为数据资产。在数据、数据资源、数据资产的层层递进关系中，数据是地基，数据资源是主体，数据资产是房屋。

数据的分类分级不仅能够对数据进行精细化、规范化管理，厘清数据特性并确定数据处理的安全保障水平，还能有效解决数据确权问题，实现数据要素价值，促进数据要素市场的“共同富裕”。作为数据要素市场化配置改革的制度基础、数据安全保护的最佳实践和数据流通的先决条件，数据分类分级问题首当其冲。面对强复杂性、强流动性和高涉密性的数据资产，没有准确的数据分类分级，数据治理与数据资产审计就是无本之木。

目前中央与各级地方政府纷纷开展数据分类分级立法实践，数据分类分级的部分行业指南陆续颁布。例如在《工业数据分类分级指南（试行）》《网络安全标准实践指南——网络数据分类分级指引》《信息技术大数据数据分类指南（GB/T 38667-2020）》《智能制造工业数据分类原则（GB/T 42128-2022）》《数据安全技术数据分类分级规则（GB/T 43697-2024）》等数据分类分级体系、制度和国家标准建设的顶层设计下，诸如《车联网数据分类分级指南（DJG330521/T 99-2024）》《媒体大数据分类分级指南（T/CAMIR）》《公共数据分类分级指南（DB36/T 1713-2022）》等地方、行业数据分类分级的实际应用和操作也在不断完善。因此，企业数据分类分级并非无据可查，开展企业数据资产审计之前，应当清晰企业每一类具体数据及其对应的重要性级别。

1.可靠的数据分类才能助力数据资产审计厘清不同的数据主体及权属

只有先对数据进行准确分类，才能厘清数据资产所依托的基础数据中个人数据、企业数据和公共数据主体及权属，明晰不同主体数据适用的法律要求及交易场景，进而确定属于企业的数据资源，最终界定企业的数据资产。丧失数据准确分类的基本前提，数据资产的权利和义务认定必然错误，后续的数据资产审计也定会谬以千里。例如，为了明确数据分类，工信部发布的《基础电信企业数据分类分级方法（YD/T 3813-2020）》将基础电信企业的用户相关数据分为用户身份相关数据、用户服务内容数据、用户服务衍生数据、用户统计分析数据，将基础电信企业自身相关数据分为网络与系统的建设与运行维护数据、业务运营数据、企业管理数据、其他数据，同时在每大类数据下进一步细分，用以指导基础电信企业的数据分类实践。

2.无误的数据分级方可避免审计结论与国家法律法规之间的矛盾

无误的数据分级不仅是企业规范数据处理活动、完善数据资产内部控制、履行数据安全法律责任、确保数据合规性的必备工作，更为数据资产审计夯实了基础。企业数据资产依托的数据不仅面临国家网信办、工信部、公安部等行业主管部门的常态化安全监管，在数据收集、数据存储、数据传输、数据使用加工、数据提供和共享、数据处置、数据销毁的数据全生命周期中更要实行分层次的数据保护与管理。因此，在数据分级无误的前提下，数据资产审计才能正确核实数据资产是否涉及重要数据，数据是否脱敏，交易流通的业务模式是否侵犯国家数据主权，数据是否合法合规，否则就会出现审计结论与国家法律法规相矛盾的情形。例如，中国人民银行发布的《金融数据安全数据安全分级指南（JR/T 0197-2020）》根据金融业机构数据安全性遭受破坏后对个人隐私、企业合法权益、公众利益和国家安全造成的影响程度，将数据级别由高到低划分为五级，并详细列示不同类型数据对应的重要级别，用于指导金融业机构的数据分级实践。

（二）产业链分析是审计区分数据资产权利的关键步骤

产业链是从最初自然资源到最终产品的各个生产加工过程所构成的整个生产链条。进行企业产业链分析有利于明晰数据在产业链不同环节中的流动、使用、增值方式及数据资产各参与方的合法权利，再结合准确的数据分类分级，便于区分数据资源的持有权、加工使用权、产品经营权等分置的数据产权，也能分析数据资产依托的商业应用场景及业务模式对应的市场需求方的合理性，对数据资产审计的权利与义务认定、列报与披露认定至关重要。

例如，作为北斗导航行业产业链中游导航产品及解决方案供应商的航天宏图（688066.SH），通过公司自主发射的“宏图一号”一主三辅卫星，收集X波段HH单极化雷达的企业自主数据，加工成“宏图1号SAR数据”②并在各数据交易所完成交易挂牌，向产业链下游的消费市场提供数据产品，实现产业链下游客户的数据研究、图像分析、地形测绘、地表形变监测、水体提取、舰船提取、变化检测等应用。

（三）商业模式与业务模式分析是审计确认数据资产的核心环节

内部使用和外部出售的商业模式与具体业务模式贯穿于数据资产的确认、计量和报告的各个环节，数据资产审计的存在认定、权利和义务认定、计价和分摊认定、列报与披露认定、交易的发生认定都依赖于企业数据资产商业模式与业务模式分析。数据资产没有赖以支撑的商业模式与业务模式，就不满足预期给企业带来经济利益流入的数据资产确认条件，更遑论数据资产的计量和报告。

企业目前主要存在三种数据资产业务模式：（1）融合数据资产与其他资源，服务、支持企业运营，实现降本增效等目标的业务模式。例如，从事对交通基础设施投资运营及高速公路产业链上下游行业投资的山东高速（600350.SH），通过把门架每日按车型统计的山东省内高速自有路段下的断面车流量流水数据，加工整理成“山东高速路网车流量”③数据资产，主要应用于企业内部管理中，助力拥堵预警与疏导。此类业务模式形成的数据资产为企业内部使用，应当确认为无形资产。（2）直接交易原始数据或加工后数据给产业链的上下游企业。例如，从事数字航运与供应链、数字城市与交通等领域的中远海科（002401.SZ），在船舶航行全生命周期行为智能识别技术和全球船舶位置数据基础上进行数据集成，加工成“中远海科船视宝”④数据产品，客户可查询覆盖全球70 000余商船最近6个月在全球4 000余港口的实时更新的挂靠详细历史记录但不可转售，在2021年11月于上海数据交易所挂牌交易，并于2023年12月31日完成“船视宝”系列产品总项目研发验收，确认无形资产，最终披露于“无形资产——数据资源”。此类业务模式形成的数据资产若对外出售，仅授予对方使用权则确认为无形资产；若对外出售且转移所有权则确认为存货。（3）不论是汇总、分析数据资源形成其他主体专属定制的数据资产，还是利用数据资源和技术提供数据采集、清洗、标注等数据资源专业服务或提供算法模型、搭建平台等数据整体解决方案，均为运用企业数据资产为其他主体提供有关服务的业务模式。例如，从事通信及信息服务的中国移动（600941.SH），基于海量的用户和业务数据，面向各垂直行业客户提供定制化数据服务，在上海数据交易所挂牌交易“近6月欠费停机次数查询”“手机号三要素核验”“M1流量使用情况查询”等系列数据产品⑤，助力于金融机构对其贷款审批进行风险管控、获客风险评估，完善金融机构的风险防控手段和精细化运营能力。再比如，从事AI训练数据的研发设计、生产及销售的海天瑞声（688787.SH），在2024年第一季度将训练数据定制服务的689.68万元数据资产⑥确认为存货。此类数据资产若对外出售仅授予对方使用权，则确认为无形资产；若对外出售且转移所有权，则确认为存货。

三、财务报表审计中数据资产审计的主要目标及评价标准

按照数据资源持有目的、形成方式、业务模式、与其有关的经济利益的预期消耗方式等，数据资源入表可以确认为存货、无形资产或开发支出，持有及处置数据资产审计的主要目标涉及与期末余额、交易和事项相关的认定。数据资产审计的评价标准不仅与会计处理相关，更与数据资产（资源）管理相关。

（一）数据资产审计的主要目标

企业数据资产不仅可以赋能企业自身运营管理，还可以出售给上下游企业以强化产业链上下游的协同效应。若企业对数据资产采用内部使用，或外部出售仅授予对方使用权的商业模式，则数据资产确认为无形资产；若企业采用外部出售且转移所有权的商业模式，则数据资产确认为存货。

基于财务报表审计的数据资产审计目标是：确定资产负债表中列报的数据资产实际存在（存在认定）；该数据资产确实为被审计单位拥有或控制（权利和义务认定）；被审计单位所有应当记录的数据资产以及与数据资产相关的交易均已记录（完整性认定）；记录的数据资产交易业务已发生且与被审计单位相关（发生认定）；数据资产交易业务记录于正确的会计期间，没有提前或推迟入账（截止认定）；数据资产交易业务记录于恰当的账户（分类认定），且金额及其他数据准确（准确性认定）；数据资产以恰当的金额包括在财务报表中，与之相关的计价或分摊调整已恰当记录（计价和分摊认定）；该数据资产已按照企业会计准则的规定在财务报表中作出恰当列报和披露（列报和披露认定）。

（二）数据资产审计的主要评价标准

数据资产审计的评价标准是衡量和评价被审计单位数据资产管理及其相关会计处理恰当性的标准。开展企业财务报表审计时，对其数据资产会计处理恰当性的评价标准主要是财政部颁布的《暂行规定》。由于《暂行规定》制定的主要依据是《企业会计准则——基本准则》《企业会计准则第1号——存货》《企业会计准则第6号——无形资产》《企业会计准则第8号——资产减值》《企业会计准则第14号——收入》《企业会计准则第28号——会计政策、会计估计变更和差错更正》及其应用指南，因而这些准则也应当成为评价被审计单位数据资产会计处理恰当性的评价标准。此外，国家发布了数据资源管理的法律法规、部门规章、国家标准，有些地方政府还颁布了数据资源管理的地方性标准，这些法律法规、部门规章、标准，也应当是注册会计师评价企业数据资产（资源）管理合规性、合理性的标准，如表1所示。

四、财务报表审计中数据资产审计的难点

在目前数据资产交易与流通机制初现雏形、数据法律规范体系建设尚在探索、数据资产评估实践局限重重的现实背景下，数据资产会计处理的共性问题也成为数据资产审计的难点，且集中于存在认定、权利和义务认定、计价和分摊认定、数据资产交易的发生认定。

（一）数据资产的存在认定难

数据性质、应用场景、安全要求及企业的IT架构差异，使得企业数据资产存储位置不同。虽然有文件系统存储、块存储、对象存储、数据库存储、内存存储、网络存储和云存储等形式，但数据资产均无实物形态、信息体量庞大、应用场景复杂、数据类型繁多，导致难以监盘其存在性；由于数据资产基于应用场景才能产生价值的独特性与时效性，如何证实数据资产匹配对应应用场景有效存在也存在困难。

（二）数据资产的权利和义务认定难

数据资产首先要满足资产的定义：企业过去的交易或者事项形成的、由企业拥有或者控制的、预期会给企业带来经济利益的资源；同时由于数据资产依托数据的可复制性，对数据资产的拥有或控制不仅仅体现在合法拥有或控制上，更要体现在安全、有效拥有或控制上。因此，审计企业的数据资产权利和义务认定时，难点在于合法、安全、有效拥有或控制，未来经济利益流入的判定上。

1.合法、安全、有效拥有或控制的判定难

数据的法律权属若界定不清，则数据资产审计的权利和义务认定必然存疑，数据资产的审计质量也将难以为继。在数据资产的立法层面上，目前法律无法清晰确定数据控制者的权利，数据控制者很难证明数据权利及清洁性；数据不存在清晰的产权边界，所谓的“数据使用权”存在一定的模糊性，借助数据控制的合法性判断许可使用的合法性存在困难。所以，当前世界各国法律都未能完全明确数据的产权归属。

在数据产权制度的顶层设计层面上，我国尚未建立精确、统一、完整的数据产权制度，数据权属不清。虽然北京、上海、深圳、山东、浙江等地出台了数据资产登记和数据资产知识产权登记制度，北京国际大数据交易所、上海数据交易所、深圳数据交易所等数据交易平台在各自的要求标准下已经开展数据资源持有权、数据加工使用权、数据产品经营权的确权工作并发放权属证书，但其确权主要依据是本身就淡化数据所有权的“数据二十条”这一并非法律规定的政策性文件，导致数据资产确权证书的增信力度及法律效力仍存缺陷。

在数据资产的现实特征层面上，数据权的内涵和外延尚不清晰、数据本身的复杂性及数据形成过程中参与主体的多元性加大了确权难度；涉及个人数据或更敏感的公共数据的数据资产，仅仅依靠授权及数据脱敏无法全然证实数据的合法性与合规性。

基于此，在数据资产法律未立而实践必须先行的巨大挑战下，注册会计师如何准确区分企业数据资产的“权利”是所有权还是其他权利，如何将数据资源持有权、数据加工使用权、数据产品经营权的数据三权结构性分置产权概念，与会计核算中对于数据资产的“拥有或控制”予以对应，如何确定数据资产的有效产权证明文件，如何界定对数据资产的安全控制与有效控制等一系列问题迫在眉睫。

总之，在法律尚未明确、数据参与主体多元、数据资产涉及个人数据及公共数据、数据交易平台的确权实践方兴未艾的情况下，企业数据资产审计如何确定合法、安全、有效拥有或控制是数据资产审计面临的最大挑战。

2.未来经济利益流入的判定难

具有多种业务模式的数据资产不仅能与算法、人力资本和实物资产等共同作用产生经济收益，导致难以剥离并确认数据资产独有的贡献，经济利益的流入也可能是产品升级、降本增效和科学决策等难以量化的形式。实践中对于数据资源的未来经济利益流入判定难题也许是博敏电子（603936.SH）、平安电工（001359.SH）先在2024年第一季度报告中列示“无形资产——数据资源”，但随后在2024年半年报中予以更改的原因⑦。因此，企业数据资产审计中如何判断其很可能带来的经济利益流入较为困难。

（三）数据资产的计价和分摊认定难

数据资产涉及的利益具有复杂性，呈现多层次构造，不同利益处于不同的价值秩序，且数据资产的成本能够可靠计量才能予以确认。因此，数据资产的计价和分摊存在难点。

1.数据资产初始计量成本确定难

在不同的应用场景及需求下，数据资产的基础数据采集模式不同，导致不同采集模式下的数据成本构成存在显著差异；将基础数据开发成应用服务的商业场景，使其带来经济利益流入，同时符合数据安全与合规、日常管理、后续交易的要求，必然涉及数据的获取、分析、加工、处理、存储、维护、营销、评估、中介等支出，成本归集与分摊本身较复杂；若数据资产的自有基础数据伴随企业日常生产经营活动产生，数据资产的加工成本无法脱离企业经营成本而单独计量；可以重复使用的同一项数据对不同企业具有完全不同的价值，数据资产的价值又会依据商业应用场景而变化，若企业基于相同的数据资产或底层数据，进行再次开发和优化成另一商业应用场景下的数据资产，如何计量初始成本并无明确规定；确认为存货的数据资产能以边际成本接近于零的方式重复出售，无法实现收入与成本费用的匹配，这导致存货类数据资产结转操作困难，实践中对于存货类数据资产的处理难题也许是华塑股份（600935.SH）、晶华新材（603683.SH）、惠同新材（833751.BJ）、密尔克卫（603713.SH）等公司先在2024年半年报中列示“存货——数据资源”随后予以更正的原因。因此，注册会计师如何判断数据资产成本的构成要素，如何清晰界定初始计量时各项支出的归属和分摊，如何实现存货类数据资产的收入与成本匹配均存在难点。

2.数据资产研发支出的资本化与费用化的区分标准难

确认为无形资产的数据资产包括数据采集、加工、利用等多个复杂流程，这些环节本身的复杂性增加了对研发支出进行准确区分的难度，同时研究阶段和开发阶段的区分又严重依赖于主观判断。注册会计师在界定自行开发数据资产的资本化支出与费用化支出时必须进行更加细致的主观判断，从而带来挑战。

3.数据资产累计摊销金额核实难

由于数据资产能够根据不同需求及商业应用场景进行重新配置和再应用，数据资产的价值会随着市场和技术的变化而波动，使得确定其使用寿命的长短变得复杂且不确定；当底层数据来源于公共数据时，数据资产作为无形资产的使用年限不仅取决于其本身的价值创造潜力和时效性，还受限于公共数据授权的具体年限；在数据资产交易市场并未统一、规范、活跃的情况下，对使用寿命的评估及摊销方法的选择很大程度上又依赖于主观判断，使得注册会计师核实累计摊销时存在困境。

4.数据资产的减值测试难

在企业数据资产的管理和应用中，关于数据安全管理、个人信息保护、公共数据管理、数据资产评估、数据资产会计处理的法律法规的完善可能会导致对数据资产的权利产生限制从而影响其价值；数据资产的价值也会随时间和市场的影响而频繁波动，这种不稳定性意味着数据资产的价值可能迅速上升或急剧下降，甚至可能会受市场环境变化影响而完全丧失经济价值，因而必须进行数据资产的减值测试。但是在尚未形成统一规范的数据资产交易市场中，由于缺乏成熟市场的公允价格作为参考，数据资产的未来收益存在较大不确定性，数据资产还面临数据安全风险、合规风险、法律风险、人为操纵风险、技术风险、市场风险等因素，这些风险增加了评估数据资产预计未来现金流量的现值的不确定性，进而导致注册会计师在确定数据资产的可收回金额时遇到难题。因此，注册会计师对企业数据资产的减值测试存在困难。

（四）数据资产交易相关损益的发生认定难

数据资产及其基础数据均存在数据交易的巨大需求。敏感级与核心级数据资产在合规管控上存在挑战，这些数据资产的流转路径、具体字段、流转量级和接口等的信息安全性至关重要，因为不当处理可能会引发隐私泄露和数据安全事件，使得这些数据资产的交易合法性、规范性及其在审计中的确认面临困境。

五、财务报表审计中数据资产审计的对策建议

无论是企业还是注册会计师，数据资产固有风险要求其在进行数据资产的会计确认和审计时，都应当持有更加谨慎的态度，并更加严格地依据相关准则和标准来执行，这是确保数据资产得到正确确认和审计的核心理念。由于企业数据资产安全与合规问题过于突出，对企业数据资产的审计，不可避免地要基于数据资产涉及的数据合规审计与数据安全审计，否则就会出现审计结论与国家法律法规相矛盾的情形。同时，注册会计师应当明晰企业上下游产业链，核实数据资产的商业模式与业务模式，识别与评估其固有风险；了解和测试数据资产相关内部控制设计与执行有效性，评价控制风险；评价数据资产会计政策的恰当性，并检查其应用的准确性。

（一）数据资产存在认定的审计应对措施

数据从采集、处理、加工、生成数据资产有着证明存在认定及权利和义务认定的链路关系，注册会计师对数据资产的存在认定不仅要覆盖数据资产，还应当延伸到数据资产依托的数据；不仅要证实被审计单位数据资产及其依托数据的存在，更要证实数据资产围绕应用场景的有效存在，而非匹配不足的虚假存在。

注册会计师首先要检查被审计单位数据资产的存储管理、加密要求、存储系统相应的账号权限管理、日志管理、访问控制、数据备份等内部控制文件，并测试其有效性；获取被审计单位数据资产目录，询问数据资产相关监管人员，检查数据资产及其数据的存在状态及质量，包括数据内容、数据量、数据结构、数据级别、数据类型、数据价值、数据分布、数据存储位置、使用频率、更新周期、数据生命周期、数据归属与责任人、应用场景、限制场景，验证数据资产是否真实存在；检查数据资产使用过程中的基本访问控制权限与专人审批机制，检查数据资产涉及的数据使用操作记录存档资料，通过检查其使用情况进一步验证其存在性。在上述程序的基础上，注册会计师再根据被审计单位的数据血缘关系图谱及元数据地图，利用大数据审计、机器学习、高级数据挖掘分析、智能预测等技术进行数据溯源，顺向检查被审计单位数据从产生到形成数据资产的链路关系，检查数据资产在具体商业应用场景中的实际运用成果，从而核实数据资产及其依托数据的存在性、有效性。

（二）数据资产权利和义务认定的审计应对措施

1.合法、安全、有效拥有或控制的审计应对

（1）数据资产的法律权属问题应对

在目前数据资产法律未立而审计实践必须先行的情况下，注册会计师只能以严格、审慎的态度创新性地开展数据资产的权利和义务认定，而非纠结于数据资产法律权属不清问题裹足不前。同时，被审计单位严格对照企业会计准则和《暂行规定》关于无形资产或存货的定义和确认条件，谨慎地完成数据资源入表，即便存在现实困境造就的法律瑕疵，也并不违反实质重于形式的规定。此外，会计准则中企业对资产的控制权是企业能够任意使用该项经济资源并能获得其未来产生的经济收益，并不要求企业拥有该项经济资源的所有权。

因此，注册会计师应当检查被审计单位数据资源入表路线图，包括其自身收集运营数据涉及的信息、数据库模型、客户数据及运维日志等数据收集链路证明材料，验证其对数据资产拥有所有权或控制权；检查数据交易所颁发的数据权属证书、律师事务所出具的数据资产法律声明文件、评估机构出具的数据资产价值评估报告；检查被审计单位数据资产流通存证溯源体系，利用区块链、数字签名等技术手段，对数据来源、内容、格式、质量、处理过程、流通过程进行全面的鉴别；最终汇总被审计单位数据资产涉及数据的全生命周期各个环节链上的数据公证证书，以核实数据资产权利和义务认定是否恰当。

（2）数据合法合规问题应对

只有数据合法合规，才能够形成数据资产。注册会计师要执行审计程序核实被审计单位数据资产涉及的数据来源、数据内容、数据处理、数据管理、数据经营、数据交易、数据安全均合法合规，才能确定被审计单位对数据资产事实上的控制且不存在侵权、权属不清、违法违规等情况，才能对其权利和义务认定发表审计意见。

注册会计师应当检查被审计单位数据采集、生产加工、安全管理、交易流通等内部控制，并测试其有效性；检查数据分类分级清单、数据资产安全培训记录、数据关键岗位人员保密协议，验证其数据来源合法合规性及相关处理的恰当性；检查第三方服务机构为被审计单位出具的数据资产合法合规报告，查阅相应的数据资产产权登记证书材料；函证或访谈数据资产涉及数据的供应商，了解相关交易的实际情况，对未回函部分执行替代程序，进一步验证数据合规性；检查数据资产独立性的相关说明、特殊资质材料、许可备案相关证明材料；核实数据资产是否涉及国家秘密，使用范围是否合规；检查数据资产加工过程说明及技术性文件等，验证数据资产形成过程的合规合法性；检查数据资产交易相关材料，核实其交易的合规合法性。图1汇总了判断被审计单位数据资产数据采集、加工、存储、传输、访问、共享使用、安全管理等全流程是否符合合规合法的基本逻辑。

（3）数据分置产权的对应问题应对

被审计单位在生产经营过程中通过合法、合规采集形成对数据资源的原始持有权，本身就构成了对数据资源的合法拥有或控制；企业通过授权得到的对数据资源的继受持有权，因受限于权利让渡时签订的合同条款限制，构成对数据资源有限的合法拥有或控制；数据使用权和数据经营权须具备一定的排他性才能确认为会计意义上的合法拥有或控制。

在被审计单位准确的数据分类、数据合法合规的基础上，注册会计师可以根据数据资产涉及到的数据血缘关系图谱、元数据地图及数据、数据类型、数据从产生到形成数据资产的链路关系检查程序，仔细甄别被审计单位涉及使用权或经营权的数据资产相关合同的限制性规定、数据加密或访问控制等技术保护措施，重点获取数据使用权和经营权的排他性审计证据。例如，被审计单位若购买深圳南方电网深港科技创新有限公司的“电力看征信数据接口”⑧数据产品，并确认为数据资产，用于查询其目标用户用电情况进行征信评估、市场调查、授信评估或空壳企业识别，由于所有付费企业均可无差别地享受相同的查询服务，被审计单位的数据使用权不具有排他性，无法确认其合法拥有或控制数据资产，违反权利和义务认定。

（4）安全、有效拥有或控制的问题应对

被审计单位一旦采用电子证据，审计不仅要验证证据本身的可靠性问题，还要验证技术的可靠性，而数据资源的原始持有权或继受持有权虽然合法拥有或控制，但还要确保安全、有效拥有或控制数据资产，否则仍然违反权利和义务认定。因此，注册会计师应当检查被审计单位数据资产安全的内部控制以及数据资产安全应急预案，检查数据资产存储基本设施是否健全，是否采用符合业务需求及数据存储特征的终端数据防泄密（DLP）系统、云访问安全代理（CASB）、集成密码（SDK）、透明数据加密（TDE）、全磁盘加密（FDE）等数据存储加密技术，避免数据资产受恶意攻击、非法篡改、数据泄露，保障数据存储安全。注册会计师应当检查被审计单位是否采用多方安全计算技术、联邦学习技术、差分隐私技术、可信执行环境隐私计算技术等隐私保护计算技术，使得数据可用不可见，以安全保障数据资产在使用时维持原有的状态和经济价值，确保数据安全；对于确认为存货或仅出售使用权的数据资产，注册会计师应当检查被审计单位是否采用访问控制技术、数据密态胶囊、智能合约、数据沙箱等数据管控技术，使得数据流通可控、可追溯，保证自身数据资产被合法用户合法使用的同时，防止违反合同规定的再加工、再转让、再许可等非法滥用问题。

2.未来经济利益流入的审计应对

对于被审计单位内部开发用于服务、支持企业自身运营，实现降本增效等目标的数据资产，若其单独作用于企业内部，注册会计师执行分析程序核实数据资产实施前后被审计单位的财务数据与非财务数据，获取数据资产带来经济利益流入的审计证据；若与算法、人力资本和实物资产等共同作用于企业内部，获取被审计单位的此类协同资产全景图，分析各类资产协同作用的逻辑关系，利用专家工作评价各类资产的价值贡献占比，结合分析程序核实协同资产实施前后被审计单位的财务数据与非财务数据，获取数据资产带来经济利益流入的审计证据。

对于被审计单位确认为存货的数据资产，注册会计师应当检查数据资产应用场景地图，分析商业应用场景的适用范围、应用场景、商业模式、供求关系、数据关联、应用风险法律法规、行业标准，进行市场需求调研，实地走访或函证数据资产在上下游产业链中商业应用厂商的真实性，对未实地走访或回函部分执行替代程序，获取数据资产是否存在市场需求的审计证据；利用专家工作的同时，执行询问、分析等程序，检查被审计单位数据资产的行业认可度、行业规范标准等情况，获取数据资产市场需求是否足够的审计证据，最终判断企业应用或利用数据资产是否有经济上的可行性，带来的经济利益是否流入被审计单位。

（三）数据资产计价和分摊认定的审计应对措施

1.数据资产初始计量成本的审计应对

数据资产成本归属和分摊难的原因在于数据资产开发业务流程与被审计单位匹配低，数据资产全生命周期的管理效率低，没有运用数字身份、数据空间、隐私计算等新技术保障数据可控可计量。存货类数据资产的收入与成本匹配难的原因在于数据产品销售模式和定价模式不协调。被审计单位在数据资源入表前就应当确定数据分类分级目录、构建数据资产商业应用场景并进行数据产品研发，然后聘请资产评估机构评估数据资产价值、聘请会计师事务所确定数据资源入表的恰当性、聘请律师事务所评估数据资产合规合法性并出具法律意见书，依托知识产权相关机构获取数据知识产权证书、依托数据交易所获得数据产品交易凭证，而非寄希望于数据资产审计时由注册会计师从零梳理数据资产的会计确认。

注册会计师检查被审计单位数据资产全生命周期管理的内部控制，观察并询问数据资产的采集流程、开发流程、合规处理流程、交易流程等是否良好运行；检查数据资产全生命周期每个阶段的成本依据材料，逐一识别数据采集、开发、质量规范、传输、存储、处理、应用、管理、运维、销毁阶段的成本；检查被审计单位是否运用数字身份、数据空间、隐私计算等技术保障数据可控可计量；汇总审计证据，核实被审计单位的数据资产初始成本计量是否可靠。

2.数据资产研发支出的资本化与费用化区分标准的审计应对

注册会计师检查被审计单位自行开发数据资产的内部控制，检查数据资产的产品立项与管理流程，核实不同等级数据资产研发阶段的支出；对资本化支出部分，注册会计师检查被审计单位在开发阶段的证明材料，验证被审计单位完成该数据资产以使其能够使用或出售在技术上是否具有可行性，是否具有完成该数据资产并使用或出售的意图，是否运用该数据资产生产的产品存在市场或数据资产自身存在市场，内部使用的数据资产是否有用，是否有足够的技术、财务资源和其他资源支持以完成该数据资产的开发，是否有能力使用或出售该数据资产，归属于该数据资产开发阶段的支出是否能够可靠地计量。

3.数据资产累计摊销金额的审计应对

注册会计师检查被审计单位确定数据资产使用寿命的依据，结合数据资产的商业应用场景与业务模式、数据资产依托数据的使用期限、法律或行业标准对使用期限的限制性规定、数据资产相关权利的失效情况及失效事由、行业惯例、数据交易市场类似数据资产使用寿命信息、数据资产生产的产品寿命周期、数据资产与被审计单位其他资产协同使用的关联性、数据资产涉及技术现阶段情况及未来估计、数据资产的劳务市场需求情况、数据资产预期的更新维护支出及被审计单位的支付能力、竞争者预期行动、未来收益测算等情况，判断数据资产摊销年限的合理性；注册会计师检查被审计单位数据资产摊销方法的依据，分析数据资产的商业应用场景、预期消耗方式，判断数据资产摊销方法的合理性。

4.数据资产减值测试的审计应对

注册会计师获取被审计单位数据资产应用商业场景的行业分析与市场需求调研资料，评价被审计单位数据资产全生命周期管理能力，核实数据资产价值是否存在减值迹象，必要时利用专家工作进行数据资产价值评估；检查数据资产减值准备计提和转销的批准程序，取得书面报告等证明文件；检查被审计单位计提数据资产减值准备的依据是否充分，会计处理是否正确；检查数据资产转让时，相应的减值准备是否一并结转，会计处理是否正确；检查期后事项，以及比较前期数据资产减值准备数与实际发生数，评价数据资产减值准备的合理性。

（四）数据资产交易相关损益的审计应对措施

注册会计师检查被审计单位数据资产交易、数据传输的内部控制并评价其有效性；检查被审计单位对数据资产出售或处置的数据安全风险评估材料、审批材料，数据脱敏等保护措施材料，验证交易的数据资产是否存在危害国家安全、违反公序良俗或侵权信息；检查数据资产销售或处置合同，验证相关交易的合规性。对于被审计单位交易的特殊数据资产，检查购买方是否取得相应资质，核验购买方对数据资产的安全保护能力是否符合要求。对于被审计单位交易的出境数据资产，注册会计师要检查数据资产出境申报书、数据出境安全评估报告、被审计单位与购买方签订的法律文件、行政主管部门的安全评估回复等材料。函证或访谈数据资产的客户，了解相关交易的实际情况，对未回函部分执行替代程序。

六、结论

企业数据资源入表无疑会给财务报表审计带来更多的挑战与风险。注册会计师应当熟悉数据资产依托数据的分类分级基础工作，事先厘清涉及数据中的个人数据、企业数据和公共数据主体及其权属，确保所涉及数据的合法合规性，并借助于企业产业链明晰数据资产的持有权、加工使用权、产品经营权等，再根据数据资产会计处理及数据资产（资源）管理相关的审计评价标准，核实确认符合企业商业模式与业务模式的企业数据资产，避免出现审计结论与国家法律法规相矛盾的情形。

注册会计师在上述前置性工作的基础上，进一步结合数据合规审计、数据安全审计、企业数据内部控制评价，聚焦被审计单位数据资产财务报表审计高风险领域。执行审计程序时，核实数据资源及其依托数据的存在，围绕应用场景有效应对存在认定的难点；核实被审计单位对数据资产的合法、安全、有效拥有或控制及未来经济利益流入，应对权利和义务认定的难点；核实数据资产成本的构成要素、初始计量时各项支出的归属和分摊、存货类数据资产的收入与成本匹配、自行开发数据资产的资本化支出与费用化支出、确认无形资产的数据资产使用寿命及摊销方法、数据资产的减值测试等，有效应对计价和分摊认定的难点；核实数据资产交易合法性、规范性及其相关会计处理，有效应对发生认定的难点。数据资产给审计带来了挑战与机遇，需要在审计实践中持续优化应对策略。

作者：朱锦余 朱锦余 白瑾瑜 白瑾瑜

来源：会计之友微信公众号

编辑：孙哲

目前180000+人已关注我们，您还等什么？