大数据环境下对强化企业内部控制的思考

    摘 要 伴随着大数据时代的来临，先进的信息技术已经广泛应用于各行各业当中。对于现代化企业来说，数据库、云计算等技术作为提升企业内部管理质量、辅助内部控制管理活动顺利开展的有效工具，在企业信息处理、会计核算、业务活动流程优化以及管理决策等环节发挥着重要的作用。本文以大数据环境为研究背景，分析现阶段企业内部控制工作面临的机遇与挑战，并针对重构内部控制管理体系提出相应的建议。

    关键词 大数据环境 企业 内部控制

    一、大数据基本内涵及业务范围

    通俗来讲，大数据就是指大量数据的集合。作为一个综合性概念，大数据技术能够对大规模、多样化的数据进行采集、存储、处理和分析，挖掘数据潜在的价值意义，实现企业效益最大化。现阶段，大数据已经在教育、文化、医疗、体育等多个领域推进和应用，大数据也成为了国家发展战略的支撑点。大数据在企业中的应用主要体现在搜索引擎、数据分析技术、数据库、财务共享服务中心等方面，对于企业数据处理和财务管理工作发挥着重要作用，这也是企业利用大数据技术进行内部管理改革与创新的主要原因。

    二、大数据环境给企业内部控制带来的机遇和挑战

    （一）机遇

    首先，有利于加强内部监管。信息技术的应用必然会催生业务流程再造重组，相对应的，信息技术也能够在低成本的条件下对业务执行环节进行实时监督，有效提升企业内部控制实施成效。可以使不同的信息需求者能够及时、充分、同步获取经营决策相关信息，有效减少内部信息孤岛现象，也能够通过信息共享实现部门与部门、岗位与岗位之间的监督与约束，避免内部贪污腐败现象等[1]。其次，可以减少人为操作失误，人工控制的方式被信息技术所取代，不仅提升了数据处理效率和财务信息质量，也有效避免了人为操作失误。

    （二）挑战

    一是扩大了内部控制基本内容，使得内部控制的管控范围增加，一定程度上增加了不确定性。传统的内部控制管理体系是对人员和工作的控制，以信息处理方法和管理程序作为控制手段，通过制度建设、岗位设置和监督评价等环节，实现既定的内部管理目标。在大数据环境下，企业的内部管理以计算机系统控制代替“人控”，控制内容也得到了延伸和拓展，包括设备控制、安全控制以及登录权限控制等，控制中心也向信息系统控制和作业流程控制倾斜。二是给内控实施带来了难度。长期以来，企业的任何一项业务决策和财务支出环节，都需要具备相应权限的责任人员审核签字，在“层层复核、道道把关”的监管机制下，能够有效提升授权审批环节的规范性。而大数据环境下，申请审批通常以口令方式获取权限和进行操作。一旦出现口令失控现象，不仅会给企业带来重大的经济损失，还会因为信息系统的隐蔽性给内部控制管理增加难度。

    三、大数据环境下企业重构内部控制管理体系的思考

    （一）内控环境

    内控环境是内部控制管理系统建立和运行的基础与保障，它奠定了内部组织的基本氛围，影响着管理层的战略部署和基层人员的控制意识，也是内部控制框架体系中其他要素的发展前提。从理论层面来看，影响内控环境的主要因素包括企业经营模式、管理方法、文化氛围、组织结构、权责体系、内部审计以及人事政策等。在信息化条件下，信息传递的方式与速度发生了本质改变，这对于内部控制环境也产生了一定的影响。具体来说，将企业控制体系分为公司层面控制、信息系统应用控制与信息系统总体控制。其中，公司层面的控制是以COSO（美国反虚假财务报告委员会下属的发起人委员会）模型中5项基本要素为主要内容，即控制环境、风险评价、控制活动、信息沟通、监控;信息系统应用控制层面通常与企业财务报告相关，应用系统控制应当包括审批授权、职责分离、系统编辑控制和系统计算;信息系统总体控制是指对操作系统、网络平台、管理模块和数据库的控制，总体控制内容包括物理安全、信息运行、数据管理、电子表格管理、变更管理和系统计算[2]。

    （二）风险管理

    在大数据环境下，风险评价环节，主要侧重于业务活动流程再造影响、生产过程控制手段适应性以及信息数据管理成效等。在实际操作中，针对信息系统的风险评估活动应当体现在以下3个方面。其一，对系统特征进行分析，确定系统目标。信息系统管理目标通常以企业整体的目标为主要导向，包括立足于公司整体层面的战略目标、经营目标和报告目标。其中，战略目标是企业发展规划与产业投资方向的指引;而经营目标则包含绩效目标、获利目标、资产增值目标等;报告目标则集中于财务信息质量层面。其二，对风险因素进行识别和分析。由于信息技术应用风险来源以内部环境为主。内部风险主要指财务管理风险、投资决策风险、员工关系风险、操作舞弊风险以及信息系统安全风险等。只有全面识别各项风险的产生原因和危害程度，才能够选择合理的方法做好风险防范与规避。风险识别与分析是一个长期反复的过程，需要企業针对不同的风险类型采取差异化的识别手段，如财务表格分析法、生产流程分析法等。其三，对风险因素进行合理应对。由于外部经济环境、产业发展前景、内部管理模式、系统配件设施等控制因素随时都会发生变化，这就需要发挥风险评估中最关键的步骤，及时确认内外部环境变化情况，并提前采取必要的防御措施。

    （三）控制活动

    控制活动管理模块通常是在统一的指令下，按照既定的程序和政策实现对业务活动的控制。从授权审批环节来说，该程序由制度控制和系统控制共同组成。制度控制包括授权责任制、审批流程等;程序控制则体现在用户身份鉴定、登录密码、设置口令以及电子签章等。针对不同层级的信息获取，岗位人员通过设置一定的授权批准业务类型和数量限制数据获取权限，并对超级用户建立牵制制度。从资产管理环节来说，通过硬件及软件等基础设施，在资产接触制度较为完善的基础上，只有经过授权的人员才能够转移和使用资产。比如，制定上级授权操作规程，或在系统上设置安全报警器，防止未经授权的人员接触资产信息与重要记录。同时，通过在信息系统中设置仓库周边监控系统、远程访问系统以及电子商务控制等，不仅可以实时监督库存变化情况，也能够及时获取资产信息。

    （四）信息与沟通

    在内部控制管理工作中，信息与沟通是企业资源配置、信息转换的基本路径。通过信息系统能够随时输入、处理和输出各种形式的数据，并确保各项信息能够在企业管理组织中自上而下传达或自下而上反馈，实现信息处理与传输的动态化和便捷性。在这一过程中，企业要对信息传输设置一定的控制标准，包括有效性、完整性、保密性、可靠性和可获取性。同时，为了实现管理层与职能部门之间的纵向沟通和各职能部门之间的横向沟通，企业可以通过建立数据仓库、企业网站以及共享平台等方式，确保信息沟通贯穿企业内部控制管理的全过程，并对风险因素识别、业务活动控制和内部监管发挥重要作用[3]。

    （五）内部监控

    内部监管主要是针对内部控制构成要素的运行情况进行全面评估，是一项持续性、系统化的工作。在大数据环境下，一方面，企业可以借助信息技术对部分业务活动进行自动监控。这需要企业对信息系统设置自动监控功能，及时了解控制程序、控制参数的变化情况，对业务流程控制节点的运行状态进行有效评估，并根据执行进度与参数变化，重新调整或更改控制参数及程序。同时，企业要利用信息技术建立缺陷报告制度，将内部控制系统运行问题及时反馈给企业管理层。另一方面，由于程序监督结果取决于程序设计质量，因此，企业也不能过度依赖信息监督系统，在监督信息系统运行的同时，还要设立人工监控系统，以内部审计部门为核心，借助信息共享平台及时获取内部控制执行进度、财务收支情况以及资产管理情况等，定期编制内部审计报告，提升企业内部监管成效。

    四、结语

    虽然大数据概念已经处于理论成熟、技术发展阶段，但实际上当前人们对大数据的理解和应用还处于初级阶段，很少有现代化企业能够真正通过大数据技术实现价值创造与管理模式改進。企业在不断完善内部控制管理体系的过程中，必须要认识到大数据技术对于企业未来发展的重要性，尽快适应外部环境，将信息系统建设纳入企业发展规划中，实现大数据与内部管理的高度统一，为企业稳固核心竞争优势奠定基础。

    （作者单位为四川西南交大铁路发展股份有限公司）

    [作者简介：王兴文（1977—），男，四川简阳人，本科，中级会计师，四川西南交大铁路发展股份有限公司财资中心财务总监助理，研究方向：企业内部控制与绩效管理。]

    参考文献

    [1] 徐轶.基于大数据背景下企业内部控制存在的问题及对策[J].全国商情·理论研究，2019（10）：73-75.

    [2] 曹姝，韩睿.大数据时代下企业内部控制探析[J].辽宁经济，2018（07）：84-85.

    [3] 严雪岚，徐欢欢.大数据技术对企业内部控制的影响及优化策略[J].现代营销，2020（03）：146-147.