大数据环境下的内部控制体系重构

    王凡林

    

    

    

    【摘 要】 针对当前大数据环境不同于传统环境的特点,通过样本分析和实地调查,采用规范研究等方法,揭示传统内部控制体系面临的挑战,重建大数据内控体系。研究发现,以业务流程为线索、以主观识别为手段的传统内控体系已经不适应大数据环境下企业运营对内控体系的新要求。需要重建包含多層内控功能的“大数据型内控体系”,该体系有效运行的前提是大数据环境营造和持续的大数据治理,同时以“流内控”模式与企业日常业务活动进行智能对接,及时捕捉控制痛点。

    【关键词】 大数据; 大数据型内控体系; “流内控”模式; 大数据治理; 控制半径

    【中图分类号】 F234.3 ?【文献标识码】 A ?【文章编号】 1004-5937(2020)10-0002-06

    一、引言

    无论内部牵制、内控整体框架,还是企业风险管理体系,其目标核心均聚焦在组织的战略定位与日常行为的一致性上,并快速识别风险而采取行动(COSO,2004)。但是,从频繁爆发的p2p诈骗、科技企业遭遇技术壁垒等案例来看,企业已有的内控系统并未发挥作用,尤其对信息网络领域的风险更是无能为力。那么,这一问题的症结何在呢?分析发现,传统内控思想诞生于传统环境,在传统组织架构和资源要素下激发控制机制的运行,实现企业内控目标。目前,大数据环境影响着企业各个运营维度,企业内控体系这一重要维度同样需要实时调整才能持续发挥作用。

    据国际数据公司(IDC,2016)统计,自2015年起,数据资源已经超过传统资源为企业带来超额效益,摩根大通、谷歌、脸书等公司逾七成利润来自大数据。该公司中国机构的研究同样认为,大陆科技企业的大数据贡献率超过50%(IDC报告,2018),超过九成的企业已经处于大数据包围之中。换句话说,不管企业是否应用大数据提升其竞争力,事实上已经处于大数据的汪洋大海之中。与此同时,大数据环境下的风险也表现出不同于以往的特征,例如:因成本更加透明而失去谈判优势;因分析数据不到位而错失最优经营模式;因建模不到位、数据不充分而失去竞争优势,带来巨大风险等。

    因此,运行于传统环境下的内控体系应进行调整或重建,才能适应企业设置内控体系的初衷。本文基于大数据对内部控制体系的挑战与冲击,探讨内控体系瓦解的动因和影响,并给出再造大数据内控体系的思路。

    二、传统内控体系的局限性分析

    控制论奠基人美国学者维纳在其著作《控制论》(1948)中论述到,在一个独立的系统中,各要素在与外界环境进行物质、能量和信息交换中得以存在,并适应环境[ 1 ]。系统之所以存在并区别于其他系统,在于独特的系统目标和环境适应性触发机制。内部控制系统的目标是保证企业组织按照董事会确定的战略方向运行,而战略是固定性和变动性的综合集[ 2 ],其中变动的动因来自环境,为了适应环境的变化,企业组织内部通过采集外部信息感知这一变化并迅速启动自身应急机制应对或适应该变化,达到实现组织系统目标的最终结果。传统内控体系的各要素中控制环境最为复杂、可变,不稳定是其基本属性,尤其在大数据环境下,该属性更加突出,从大数据蔓延路径和内控体系自身来看,传统体系的局限性更加明显。

    (一)大数据蔓延对传统内控的影响

    大数据的成分复杂,来源多样,多数数据处于不稳定状态中,从数据的初始采集到存储、处理、更新到最后淘汰消失的整个蔓延路径,均表现出不同于传统数据环境的独特属性。

    1.数据化环境带来的影响

    传统内控体系的构建初衷是识别并及时消除风险,目的是实现企业战略及运行过程中确定的大小目标,是根植于业务环境中的自控体系。将业务的运行和轨迹视为控制对象,是内控体系的出发点和结束点,对业务的分析和评价并辅助各种控制活动是传统内控体系的鲜明特征。大数据时代的企业环境发生了很大变化,以数据要素为重要内容的控制环境代替了传统环境,以数据为导向对业务的分析和控制要比传统模式的以业务为导向进行预警控制更为高效便捷,其原因是大数据所反映出的业务状态更快捷完整,主观识别业务状态所表现出的风险本身具有较大不确定性,无法达到大数据所反映出的业务状态,因此传统内控体系瓦解是必然的。

    2.大数据构成复杂性的影响

    控制体系的运行起点是某个考核指标达到阈值,而传统内控系统往往预设3个、5个或更多的指标群作为触发内控机制运行的阈值,例如对外担保额达到5 000万元的阈值,需要专委会的评估和董事会审批。在大数据环境下,企业组织采集信息的渠道增多,既包括人工记录、访谈,还包括网络接口、感应设备等。多元化方式导致采集的信息成分复杂,既有接近元数据的基本粒度,又有数字、文字、符号、音频、视频等常规数据,还包括物理、化学、心理、虚拟等非结构化数据;既有符合第三范式(3NF)的传统关系型数据处理的规范数据,又有低于第一范式(1NF)的不符合常规处理要求的“杂乱数据”。这些数据跟内控系统阈值的关系复杂多样,无法采用统一的战略指标、运营指标或财务指标来约束。另外,因为传统指标是经过多次加工处理后得到的,离原始数据比较远,损失较多有价值信息,也就无法精准触发内控体系设定的众多控制流程,导致系统失灵或瘫痪,瓦解之态暴露无疑。

    3.大数据归约路径的影响

    数据归约技术在经济数据分析或大数据挖掘中应用广泛,目的是得到数据集归约化表示,可理解为将复杂数据简约化,但需要保持原数据的原生态、完整态等属性。大数据归约的目的是减量不减值、优化结构算法、精准分析和挖掘矢量数据。归约路径体现了系统理念在评估企业运行风险中的应用:从环境内外的大数据入手通过归约、清洗、关联、解析等步骤,及时识别大系统中单个企业所面临的风险,并给出各类风险暴露的预计时间列表以及风险后果和风险概率、风险动因之间的关联程度。上述风险识别和评价不同于传统风险管理和内部控制运行机制,从大数据中识别和捕捉风险更高效和准确,与预警节奏协同的控制措施较传统内控系统更有针对性和全局观念。依据美国COSO组织的ERM框架之理念,内控体系的目标要素是组织启动控制体系的起点,通过组织目标边界与组织行为后果的指标比较,出现偏差时即启动公司层面和业务层面的控制措施,这与大数据归约的路径存在较大差别:一是内控体系的导向由传统体系的以主观经验判断为主进行识别和评估,转变为以客观数据刻画和挖掘为核心手段的状态数据分析过程;二是由传统体系的关注组织内部业务和信息转变为综合收集和分析立体大数据为主;三是由传统内控体系的将评价、整改、跟踪等割裂开来的内控流程,转变为从组织目标到评价、整改和后期跟踪评价一体化的内控步骤及流程。

    (二)传统内控体系自身的不适应性

    1.内控体系的设计导向不适应大数据环境

    传统内控体系的设计是基于人工步骤和业务过程的经验逻辑,以业务风险为导向,通过人工专业判断导致业务风险的可能因素或概率,并配置大量工作步骤或流程,以便应对可能的风险隐患,因此内控体系过程漫长、体量臃肿、缺乏灵活性,对内生性风险具备一定预防作用,而对输入型风险则被动滞后,甚至无能为力。大数据环境的内控体系则是以数据解析为导向,将目标和阈值进行瞬时比对,可覆盖企业内外风险、业务关键点风险,包括内生型、输入型等风险,克服单一、滞后和主观判断的弊端。

    2.内控体系的要素关系不适应大数据环境

    无论COSO或ERM的国际标准,还是我国内控规范和指引中给定的体系建议,均说明各要素之间的内在关系:在限定企业控制环境后,依据企业目標,通过风险评估和偏好界定,选择合适的内控措施(流程)对可能的风险点进行规避或降低,再将过程信息报告至每一个岗位,同时辅以监督和优化,形成企业内控体系的自我循环或良性运转。看似合理的体系至少存在三方面问题:一是控制环境的局限性,例如业务环境、组织架构等无法完全反映完整环境,导致因漏掉重要信息而错失风险暴露关键时机;二是风险识别准确性无标准可依;三是信息沟通与控制活动错位。

    3.组织信息角色变化导致内控体系的变迁

    由于内控体系与外界环境之间需要时刻进行物质、能量和信息的交换(香农、贝塔朗菲,1946),而组织自身运营模式发生变化对内控体系的构成、运行和自我修正产生重大影响。首先,业务运行的信息以大数据的形式收集和存储,使得内控体系更有效地获取组织的运行状态;其次,控制指令更易通过大数据通道传达到业务环节,控制半径扩大,控制幅度更广,控制层级更深;最后,企业战略与岗位任务直接对接,协调构成更加便捷,内控体系发挥的作用与业务作用融为一体。

    传统环境与大数据环境下内控体系的比较见表1。

    三、大数据型内控体系结构和功能初探

    如前所述,大数据环境导致传统内控体系存在诸多不适应性,解体和重构成为必然趋势。本文结合大数据环境特点以及对内控体系的内在要求,尝试构建一个全新的内控体系,这里暂称其为大数据型内控体系[ 2 ]。

    (一)大数据型内控体系的整体结构

    从影响内控体系的因素来看,大数据有三方面的特点不可忽视:(1)大数据包括公司层面、业务层面、环境层面、市场主体层面的多个维度,具有丰富的信息结构内涵;(2)大数据既包括规范的结构化数据,如财务表格、账户交易,又包括各类文本文件等半结构化数据和图片、视频、动画等非结构化数据,挖掘这些数据背后的逻辑是内控体系有效运行的基础;(3)环境中的大数据是企业各类活动的反映,所承载的信息量不同,需要专门的工具或手段来捕捉,进而输送至内控体系的阀门或接口,才能触发控制体系,在构建内控体系时需要深入考虑。大数据型内控体系整体结构模型如图1所示[ 3 ]。

    大数据型内控体系包括四部分内容,最底层是以Hadoop大数据平台为基础的技术层、工具层和方法层。在此基础上,存放各类控制数据和指标,通过比对和识别,迅速锁定潜在风险,实时给出控制措施,包括管理控制和数据控制,将其作为控制主体,可以通过操作界面实现查询和互动,直至系统自动化内控体系的运行。

    (二)大数据型内控体系功能解析

    1.第一层技术方法层

    技术方法层主要是指Hadoop大数据平台及数据处理手段。这是大数据型内控体系运行的物质基础。与传统内控体系相比,该部分的创新属性较强,通过并发模式,将数据流、控制流等处理加工,所采用的技术包括HDFS\HBase\Hadoop MapReduce,R\SAS等。控制过程也是大数据处理过程,通过关联、分类、聚类等分析,以及偏差检测、预测模型、相似性挖掘等手段来识别和解析,解析的对象是能完全映射公司各个层面运行状态的大数据,包括符合3NF的关系型数据库表达的结构化数据、半结构化数据和非结构化数据,随时响应内控体系空间的环境变化。

    2.第二层基本数据层

    基本数据层主要是指企业的各类信息系统以及二次加工的数据指标。这是大数据型内控体系运行的依据或灵魂,所反映的企业状态均可在本数据层中得到映射,也是内控体系随时诊断和监控企业各种参数的核算要素。内控体系运行的效果主要依赖于大数据的信息丰富程度,一般应覆盖宏观环境、行业市场、竞争对手、合作伙伴、公司架构、经营业务等层面的多维度数据。从信息系统的分类来看,会从OA系统、CRM系统、ERP系统、SCM系统、EDP系统、HR系统、AIS系统以及其他MIS或主数据系统中获取元素,因此内控体系应该对接此类系统,同时包括上述系统输出数据、在加工数据,满足风险识别或预警控制的需要。

    3.第三层控制指标层

    控制指标层是基于组织战略目标的分解指标。这是大数据型内控体系发挥控制作用的目标和方向,目标不明确的控制体系是难以为继的。贝塔朗菲在其经典著作中反复强调,任何组织都有其存在的目标,为了维持该目标而活力四射地进行各类物质、信息和能量的交换(Von Bertalanffy,1946)。内控体系的目标来自企业战略目标,包括总体战略、竞争战略和职能部门的计划目标,它们共同组成目标体系。该目标体系是通过一系列定量指标和定性指标来描述的,而诸如社会责任、环境保护、节能降耗等方面的信息可通过非结构化指标来反映,这就构成了控制指标层面的目标大数据。同时设计了识别和评估风险的控制边界指标,主要适用于定性或非结构化标准的判断,如收入阈值、负面舆情临界值等,这是内控体系运行的触发临界点。当然,如何确定该临界值,需要综合考虑企业大数据、环境大数据、宏观大数据、市场大数据、供应链大数据、平均数据、峰值数据、历史数据、灾难临界数据等一系列数据的范围、后果或概率。

    4.第四层控制措施层

    控制措施层主要是指根据内控体系识别出的风险类别、程度、敞口及关联度,给出的最佳应对策略或措施组合,达到最优风控效果,这是内控体系中最核心和重要的功能,在给出控制措施的同时启动执行“开关”,实现组织体系精准匹配企业控制目标的最终要求。本层设计的控制措施可基于数据控制和管理控制两方面来实施。数据控制主要依赖大数据自身的优势,通过“检索”“关联”“报警”“核算”“监督”“审计”“可视化”“智能识别”“数据挖掘”“综合评估”“似然关联”“风险预警”等实现;管理控制是通过内控体系与业务层或管理层联动,由控制中心将内控体系识别捕捉到的“警情”与最关联的业务联系起来,提示进行风险应对,以最大程度地减少损失。例如在签订或执行合同的过程中,可以利用大数据识别出当事人的诚信等级、资金实力、履约记录、消费实力等,以便在合作初期精准选择恰当的合作伙伴,一旦遇到合同违约风险,内控系统可及时预警,提示接下来的预案或措施,达到规避合同风险的控制目标。数据控制与管理控制是一个问题的两个方面,在实际工作中相互融合支撑,一般通过内控体系的学习功能,不断积累优化最佳实践,达到一事一计、因险施策、精准化险,避免传统内控体系中一个流程包打天下的尴尬。

    5.第五层用户层

    用户层主要是内控体系后台大数据与企业管理层的交流界面。通过该界面控制主体(用户)可以交互对话关于系统的需求和评价,内控体系采集岗位的关键控制参数,及时调整或优化系统控制策略。界面功能包括交互控制、输入输出控制、移动控制、先验控制、远程控制等,为智能化、移动化、人物互联、脑物互联等外部环境提供数据交换接口,真正做到大数据内控体系的体系互联、协同控制,彻底避免内生性、输入性、随机性、规律性风险在大数据内控系统中酝酿、爆发或蔓延。

    四、实施大数据型内控体系的建议

    (一)建立基于大数据的数控环境

    “数控环境”是内控体系运行的土壤,在某种程度上环境的反作用对内控体系的运行效果影响巨大,因此在构建大数据型内控体系时,首先要规划数控坏境。按照COSO、COBIT、ISO规范等体系的布局原则,大数据型内控体系的运行环境包括以下三点:一是思想意识环境,即组织成员要树立大数据风险意识、大数据治理意识;二是大数据安全环境,因为大数据的构成比较复杂,每一个数据来源和流向必须有安全控制措施,只有保证数据安全、信息完整可靠,才能作为内控体系的核心内容加以利用;三是人文、法制环境,包括网络伦理、信息化道德、数字法制、规则意识等均要实现布局,并持续完善。

    (二)在组织中嵌入大数据治理框架

    大数据环境因素的导入,改变了传统公司治理的目标、结构和压力输送渠道,尤其是以利益制衡为导向的公司治理模式逐渐被以信息控制为导向的治理模式所替代。因此,在公司治理的基础上嵌入大数据治理框架,以便适应大数据下公司治理的目标要求(见图2)。

    大数据治理是公司治理的一部分,属于IT治理范畴,按照COSO和COBIT的框架理論,该治理结构应包括三大部分:一是大数据Hadoop平台,从信息集成、信息治理、流计算、加速器、过滤器、数据仓库等方面处理和规范数据;二是在此基础上对已有数据进行处理、探究和应用,发挥工具性作用;三是风险可视化查询、内控应用开发、评价系统管理等,起到基础平台作用。

    IT治理是大数据型内控体系发挥作用的监督机制,从治理对象、治理标准、COBIT标准、治理成熟度等方面,通过与公司治理以及大数据治理的两端对接,实现IT治理效果和目标。治理的效果是信息资源符合公司治理的目标,减少各利益相关主体间的信息不对称性,均衡各方利益。按照国际信息系统审计控制协会(ISACA)的定义和精神,符合COBIT和ITG原则的治理目标与公司治理目标是一致的,但需要考虑信息要素的加入对原有机制的调整和再平衡。

    (三)引入智能化“流内控”模式

    大数据型内控体系的核心逻辑是依据大数据所反映的企业风险蔓延路径,及时触发控制机制,将风险遏制于萌芽状态,从而保障整个企业按既定目标运行。这里的大数据控制体系将从组织内外、业务全阶段、事件各环节收集捕捉各种风险信号,利用现代大数据处理技术,提前分析、预警可能发生的目标错位或风险失控信号。因此,本文所构建的以分析大数据为主的内控体系不同于传统以分析业务为导向的内控体系,本文将其称为“流内控”模式,是大数据内控体系实施的具体选项。该模式的数据流就像企业组织的血液,内控体系需要从血液的状态分析出可能的风险并加以控制,这是从企业风险的“病根”上诊断病情,从切断风险的病因上根除风险,寻找“病根”的过程是一个将风险信号以智能化手段捕捉的过程,需要综合剖析企业战略目标、产品生命周期阶段、市场反应、竞争对手行为、市场主体博弈等各方信息,以及本企业历史数据、沉淀成本和应急条件,构建智能化模型,通过n,n+1,...,n+t等试错和优化路径,最终得到适合本企业组织的治理模式,抛弃传统内控体系那种一个流程统管所有业务,仅靠内部牵制等相互制约、牺牲效率等手段实现风险防范的弊端。

    “流内控”模式的运行需与业务流程绑定,内控所需信息要及时从业务流中获取,再结合环境等的大数据判断,来实时诊断业务过程中的风险,其与业务流动的关系如图3所示。需要注意的是,对复杂业务所表现出的非结构化数据的风险预测,可使用预测模型标记语言(PMML)实现大数据预测的有效部署,进而实施预测分析的应用,例如利用R语言实现隐性风险的可视化,做到内控行为的外部化、显性化。

    【参考文献】

    [1] 宋健.科学与社会系统论[M].济南:山东科学技术出版社,1991:50-68.

    [2] 拉兹洛.用系统论的观点看世界[M].北京:中国社会科学出版社,1985:112-125.

    [3] 赵刚.大数据技术与应用实践指南[M].北京:电子工业出版社,2016:330-351.