大数据环境下企业内部控制面临的风险和对策探究

车 蒙

（昆明冶金高等专科学校，云南 昆明 650000）

一、引言

随着互联网、物联网、云计算等技术的快速发展，以及智能终端、网络社会、数字地球等信息体的普及和建设，全球数据量出现爆炸式增长，大数据时代已经到来。一方面。云计算为这些海量的、多样化的数据提供存储和运算平台，另一方面，数据挖掘和人工智能从大数据中发现知识、规律和趋势，为决策提供信息参考。大数据给信息技术发展提供了新环境，会计信息系统当然也不例外，大多数企业采用会计信息系统处理业务，提高了信息的可获得性、准确性、及时性，极大的提高了会计工作效率。伴随着人工智能的发展，会计正日渐走向智能化。无论是学术界、实务界、还是监管机构，工作的重点已从会计工作是否会被机器代替、是否会智能化，正逐渐向学习信息技术、利用大数据技术、尽快引进人工智能转变。本文从企业内部控制视角，尝试分析大数据环境下企业内部控制的特点、面临的风险和对策探究。

二、大数据环境下企业内部控制的特点

企业内部控制的核心，是企业采取的自我调整、约束、规划、评价和控制的一系列方法、手段与措施，目的是为了实现其经营目标，保护资产的安全完整，保证会计信息资料的正确可靠，确保经营方针的贯彻执行，保证经营活动的经济性、效率性和效果性，保证企业遵守法律法规。大数据、人工智能等信息技术的发展，使企业内部控制正经历一场深刻的变革，大数据内部控制代替传统内部控制是大势所趋，具体而言，大数据环境下企业内部控制的特点如下。

1.内部控制智能化

在大数据环境下，各类企业普遍采用会计信息系统处理业务，且实现了业务财务信息的共享，例如，在基于信息技术的环境下，会计信息系统可以从业务流程中提取所需要的会计信息，通过系统中的简单操作便可实现对交易信息的创建、计量、记录、处理和报告，并将相关信息保存为电子形式，由于企业内部控制的信息也来源于会计信息系统的提供，因此内部控制中传统的人工控制越来越多地被自动控制所替代，并结合人工和计算机系统形成了智能化控制，例如，自动的订单审批，只要符合预先设定的条件，系统便可自动审批，发现问题时可及时预警，并配合人工控制的事后审阅和会计调整等，做到了事前预防、事中控制、事后检查的三重防范。

2.内部控制更高效

大多数企业采用会计信息系统处理业务，提高了信息的处理速度，也提高了会计信息的准确性、及时性，极大的提高了会计工作效率。如果在企业内部控制中采用自动控制，相比于传统的人工控制，由于自动控制系统可以提供与会计信息系统业务处理规则一致的系统处理方法，可实现信息共享，让信息更容易获取，而且，数据挖掘、语义引擎、可视化分析等技术的发展和运用，自动控制系统可从海量的数据中深度挖掘、深度解析，快速提取出所需信息，因此自动控制能够更加高效、准确地处理大流量的交易及数据，提高了内部控制的针对性、准确性和及时性，让企业内部控制变得更加高效。

3.资料数字化

首先，会计处理系统进行自动操作来实现对交易信息的创建、记录、处理和报告，并将相关信息保存为电子形式，如电子的采购订单、采购发票、入库单、出库单、发运凭证和相关会计记录、会计账簿、会计报表等，均是以电子形式存在于系统中。其次，大数据时代，各种传感器、移动设备、智能终端和网络社会等无时无刻不在产生数据，数量级别已经突破TB、PB发展至ZB，统计数据量呈千倍级别上升，且数据类型多样化发展，传统的存储方式已无法适应当前的数据情况，很多企业在依赖互联网、物联网、云计算等技术处理业务的情况下，建立了信息化系统数据库，将企业生产经营活动中产生的数据信息都聚合在数据库系统中，于是传统的纸质资料变成了电子数据资料。

4.范围扩大化

首先，在大数据环境下，大多数企业在内部控制中都会采用自动控制，相比于传统控制，由于是系统自动化处理，很多内容不会被人为绕过，无形中增加了信息的处理量，内部控制系统将处理大量的数据和信息，间接扩大了内部控制范围。其次，大数据、人工智能等技术的运用，让内部控制内容变得丰富多样；会计信息化的普及，也让企业在财务方面的内部控制内容变得更多，促进了内部控制范围的扩大。

三、大数据环境下企业内部控制面临的风险

大数据环境下，企业内部控制虽然在形式和内涵方面发生了变化，但内部控制的目标并没有发生改变，即提高管理层决策制定的效果和业务流程的效率；提高会计信息的可靠性，促进企业遵守法律法规。信息技术在改进企业内部控制的同时，也产生了一些特定的风险。

1.电子信息易被篡改、窃取

在大数据环境下，由于会计信息化以及财务共享中心的推广普及，而且很多企业实现了业财一体化，企业的业务数据和财务数据实现了一体化的资源共享，信息不再局限于纸质资料，而是更多的体现为电子信息，让信息存储方便，传输便捷，但同时也给会计信息的修改、篡改提供了便利，在信息系统中修改、拷贝信息均不留痕迹，这使得财务数据信息面临易被篡改、窃取的风险，会计信息的安全性、真实性受到了极大威胁。并且在此环境下，电子信息的安全极大的依赖于可靠的网络安全保障，若传输环境本身存在风险或有易被攻击的漏洞，很容易遭到病毒或黑客等的攻击，很可能导致系统瘫痪，从而造成数据丢失、信息泄露或无法访问，使企业内部控制失效从而给企业带来不可预料的损失，而且由于大数据环境下，各行业各企业之间均涉及数据的交互共享，信息泄露必然会对所有关联用户造成严重的威胁。

2.内部控制的设计风险

在信息化环境下，企业内部控制贯穿各类业务的始终，内部控制设计方案的合理性至关重要。如销售环节，每张发票的单价、计算、商品代码、商品摘要和客户账户均由计算机程序控制，在进行内部控制设计时就要考虑是否是只有得到授权的员工才能进行更改。又如企业坏账准备的计提，依赖于自动生成的应收账款账龄分析表，那相关内部控制的设计是否考虑了检查财务系统计算账龄分析表规则的正确性。再如采购和付款流程中，企业内部控制应考虑不相容职责间是否进行了岗位分离、请购和审批手续是否完备、该审核的是否审核，验收环节是否缺乏等。在大数据环境下，内部控制的很多操作依赖于电脑，在设计内部控制时要将每个控制环节进行细分，除了考虑针对每个关键点的控制措施，还要考虑到在会计信息化、办公自动化的前提下如何确保这些关键环节的设计得以实现，确保逻辑合理，运行有效。

3.内部控制执行不到位

企业内部控制涉及企业的每位员工，贯穿各类经济业务活动的多个环节，尤其在信息化环境下，企业很多经济业务活动、日常办公都依赖于各类自动化的信息系统实现，且实现了业财融合、对内对外的信息共享，这就需要每位员工有高度的风险管控意识和高度自觉的执行力，比如，在自动化系统中，每位员工针对自身所处岗位有对应的岗位权限，员工只能在此权限内进行业务处理，自动化系统为员工设置了登录权限且只能匹配员工本人，那在企业员工暂时不进行业务处理时如果忘记退出系统或锁定屏幕，就有可能被其他员工进行故意或无意的误操作，出现人不在岗系统却在登录状态进行操作的现象，导致内部控制失效。又如，业务部门的员工在完善的内部控制系统下是可以识别出风险的，但一旦风险被识别出来，有可能会影响业务进程，那员工就极有可能对风险置之不理，隐瞒不报，那便会导致风险进一步扩大。再如，管理层的内部控制流于签字形式等执行不到位的现象，都会最终让内部控制形同虚设。

4.自动化系统更新不及时

首先，随着技术的发展和环境的变化，会计信息系统、自动控制系统、办公系统等软件和硬件都需要不断的更新完善，若更新不及时，一旦出现软件或硬件风险，可能会出现对业务、数据的错误处理，或去处理那些本身就错误的数据等问题，这就会给内部控制带来严重的风险。其次，企业所处的宏观环境是变化的，企业应该根据外部环境的变化及时调整自己的战略目标，相应的就应该及时更新内部控制设计和各类信息处理系统，若企业更新不及时，可能影响业务的实施流程，使内部控制目标和企业战略目标不匹配，达不到内部控制的效果。

四、大数据环境下企业内部控制风险应对

通过以上的分析，可看出大数据环境下的企业内部控制虽然体现出智能化、高效率的优势，但也面临内部控制机制设计不合理、系统不完善、更新不及时、员工执行不到位、环境不安全等风险隐患，因此企业应该立足于技术发展、体系建设和人才培养，扩大内部控制的优势，防范内部控制的风险，让企业乘着现代信息技术快速发展的东风，平稳、经济、高效的发展。

1.创造安全的内部控制环境

为了保证内部控制系统的运行安全，企业首先应该创造一个安全的内部控制环境，企业可以从事前预防、事中控制、事后检查等几个环节展开。企业应该创建自己的信息安全团队，专门针对企业的信息安全，比如数据易被篡改、泄露、财务数据删除丢失等问题，提前设置指纹识别、人脸识别的多重准入机制、系统自动备份机制、完善防火墙设置等安全机制；针对未备份就丢失的数据，建立自动修复程序。安全团队应该经常对企业内外部网络环境、工作的流程、数据的传输进行检查评估，及时发现存在的问题与漏洞，对薄弱环节进行修改完善，确保环境的安全。此外，企业还应该建立一套完整的风险应急机制，以便能够及时应对突发的状况和风险，确保内部控制运行的环境安全，将企业的内部控制风险降到最低。

2.完善企业内部控制系统

企业要根据自身战略目标、组织架构、人员分工，结合自身业务的特点，合理设计完善内部控制系统，将内部控制和企业业务、财务结合在一起，将自动控制和人工控制相结合，设计合乎逻辑的、有针对性的内部控制系统。做到不相容岗位职责权限分离、业务流程有经办也有复核等。比如企业坏账准备的计提，依赖于自动生成的应收账款账龄分析表，相关内部控制就要检查财务系统中计算账龄分析表的规则是否正确，同时还要配合相关的人工控制，如管理层应该复核坏账准备计提表的计算，并签字确认。再比如销售环节，通过自动控制系统的登录限制权限控制，只有得到授权的员工才能更改产品定价，再由人工控制核对经授权的价格清单与计算机中获得的价格清单是否一致。总之，大数据环境下的内部控制系统，虽然更加方便高效，但企业还是要根据自身业务特点进行个性化的定制，以更好的服务于企业经营，另外，不能完全信任自动控制，自动控制是在预先设定的情境下测试有效得以推行，若遇突发状况，自动系统可能无法识别或做出错误的处理，所以还需要辅以人工控制，对一些关键的业务流程进行复核控制，同时能够及时对突发状况进行识别判断处理。

3.注重培养全体员工的风控意识

企业应该将风险控制的理念融入企业文化，让风险控制深植于每位员工的心中。在风险控制框架下，首先,企业应该对每位员工进行专业化的培训，让员工充分认识到自身岗位的重要性，知晓与自己岗位相关的风险管控目标和运行机制，把信息安全、风险防控贯彻到业务处理的全过程，以便在发现风险时能够及时、有效、从容的应对风险。其次,企业可将风险控制与员工绩效挂钩，以此督促员工在日常工作中立足于本职岗位，勤勉尽责，发现风险时积极运用风险控制手段管控风险，积极上报，不让内部控制流于形式。最后，风险不是一成不变的，未知风险的防范是系统不能解决的，还是需要依靠和发挥员工的主观能动性，依靠优秀的风控人才，企业可成立单独的风险管控部门，对企业的日常事务进行监督，做到事前预测，事中控制，事后检查处理；针对突发的风险和状况进行及时的补救和处理，将风险损失降到最低。

4.及时对自动化系统进行更新

企业要想加强内部控制，前提条件是建立完善的内部控制制度和管理系统，并根据实际经营情况制定实施方案，并对实施情况进行监督和规范。其次，在大数据和信息化环境下，企业大量工作依赖于自动化系统展开，企业应将相关内部控制设计贯穿于会计信息系统、自动化办公系统中，整合数据资源，使资源得到充分利用，同时就要求企业要紧跟技术的发展，及时修补漏洞，及时更新和完善各类系统，创造高效安全的系统环境，使内部控制的效率和准确性得到相应保证。

5.加强风险监控

一般企业的监控系统都比较单一，在大数据背景下，企业对内部控制的监督应该包括持续的日常监督和单独的评价。持续的日常监督要求企业把监督贯穿于日常经营活动与常规管理工作中，把各类业务财务信息、企业内外部的信息、上下级之间的交互和传递渠道都纳入监控中，建立多级、多方位的动态监控系统。同时，风险的监控也不应只局限于系统本身，系统外部、系统环境都应该纳入监控之中，比如在一些关键的部门领域设置监控，对一些向企业外部的数据传输设置识别抓取，定期进行数据汇总分析，考虑是否有数据信息泄露的风险。而单独的评价要求企业成立内部审计部门或设置内部审计人员岗位，对内部控制的设计和执行进行专门的评价，另外，企业也可以委托外部的审计机构不定期对企业的内部控制工作进行审计（如离任审计、财务审计等），以此弥补内部控制中存在的不足。通过这样多级多方位的全面持续、动态的监控，企业管理层可以对战略目标的执行情况进行充分的了解。

五、结语

大数据环境下，信息技术的发展在财务领域掀起了深刻变革，业财一体、资源共享平台使企业会计信息质量和效率都有了很大提高，会计信息成本大幅度降低，随之内部控制体系的转变也成为了必然，虽然有智能化、高效率的优势，但也面临内部控制机制设计不合理、系统不完善、更新不及时、员工执行不到位、环境不安全等风险隐患，因此企业应采取一系列的措施，包括及时更新完善内部控制系统、创造安全的网络传输环境、培养员工风险管控意识、加强风险监控等，将企业内部控制贯穿业务的始终，将自动控制和人工控制相结合，持续监督和单独评价相结合，以期能有效提升企业内部控制的效率和水平，助力企业实现更高效的发展。