大数据背景下A公司内部控制与风险管理研究

摘 要：“大数据”概念从1998年提出至今，以澎湃之势席卷全球。A公司作为区域性百货零售业上市公司，近几年引进大数据，促进了内控体系数字化、智能化建设，但是其成本费用和利润率逐年下降，与同行业相似规模企业的差距不断扩大，A公司的大数据并未发挥应有的效用。针对以上问题，提出基于大数据的内部控制和风险管理建议，即树立大数据意识、建立信息安全管理机制、完善内部控制制度、提升员工整体水平。

关键词：大数据；内部控制；风险管理；优化设计；配套保障

中图分类号：F233 文献标志码：A 文章编号：1673-291X（2024）17-0112-04

在大数据时代下，如何对传统的内部控制体系进行调整甚至重建，借助大数据信息平台建立新的风险导向型内部控制模式，从而提升内部控制的效率和效果、不断实现价值创造是当前值得思考并亟待解决的问题。因此，本文以A公司为例，着力探讨大数据下A公司内部控制与风险防范相关问题，以期为同行业利用大数据进行内部控制体系优化和风险防范提供有益借鉴。

一、大数据与内部控制的定义

（一）大数据的定义

根据IBM（International Business Machines Corporation）对大数据5V特征的概括，大数据是数量庞大、高速运转、纷繁丰富、真实可靠、蕴藏巨大价值潜力的新型信息资产[1]。在以云计算为代表的创新技术手段下，这些难以收集、存储和处理的数据变得更易于使用[2]。企业对低成本的海量数据加以专业挖掘、整合和分析，使之升值，从而提升自身的决策水平、问题洞察水平和流程优化水平[3]。据国际数据公司IDC中国机构的研究，自2018年以来，中国大陆已有超过九成的企业受到大数据的影响[4]。大数据的浪潮汹涌来袭，无论企业是否能有意识地利用大数据提升竞争力，事实上都已身处大数据的浪潮之中。

（二）内部控制的定义

内部控制，是企业为了达成既定的战略目标，需要不断提升获取和使用各种资源的效率，因而是在企业内部采取的一系列制约和调节的方法、手段与措施的总称[5]。由于大数据、云计算等新型技术如雨后春笋般涌现，企业获取信息的方式和途径也随之改弦更张，内部控制的条件更加复杂多变，使得传统的内部控制体系局限性暴露无遗，已经很难适应企业发展的需要。

二、A公司案例介绍

（一）A公司简介

1999年5月，A公司成立。经过不断的发展和探索，2016年8月，A公司向社会公众公开发行2 000万股的股票，总市值为2.342亿元，发行方式为网上定价发行。2016年8月22日在上海证券交易所成功上市。A公司作为连锁百货的零售商，为客户提供了床上用品、食品饮料、家用电器以及个人护理等丰富多样的产品。以“兴业报国，给每个员工创造机会，让员工自豪”为使命，以“德行天下，利及万家”为愿景，把公司发展成为“区域第一、省内领先”的龙头企业，努力构筑零售行业发展的新态势和新格局，为上市公司的健康、长期可持续发展积蓄力量，进而为A公司及其股东创造更多价值。

（二）A公司大数据应用现状

为了确保A公司在商业竞争中稳定健康可持续发展，A公司领导层认为需要增强A公司的信息管理水平、信息构建水平以及在行业中的核心竞争力。为此，A公司的管理层在2015年年末按照公司发展的需要，对公司信息化建设提出一些要求。A公司为了构建一体化9O2aadDCljlAwED1CL1Sag==的信息建设平台，在经过一段时间的调研比较之后开始运用ERP系统进行管理。2018年年中，ERP系统在A公司运行6个月之后，为了改善企业的横向整合问题以及垂直整合信息管理网络，使得A公司达到科学的决策、有规律的经营管理以及及时控制风险的目标，A公司管理层决定将在系统外的分公司也纳入ERP系统进行管理。A公司以ERP系统为根本，逐渐实现了多种应用程序，构建了包括A公司总部、市外分支机构以及零售店在内的三个级别的信息网络，信息覆盖率接近100%，实现了内部商业数据的垂直通信，并实时交换多个地区、多个通道、多个品牌以及多个店铺的商业数据。ERP系统的普及极大地提高了A公司商业整合过程、企业活动中的智能化以及企业经营的信息化。

自2015年年末A公司正式引进大数据技术，着力打造大数据+ERP的新模式以来，公司在内部控制建设方面虽然取得一定成效，与以前相比其内部控制质量有所提升，但公司内部控制本身还有大数据运用方面仍存在一些问题，投入大量资金对其进行建设维护，导致成本大幅上升，公司的利润并没有达到预期要求。

三、A公司内部控制风险

大数据的加持为A公司带来许多机遇，然而机遇总是与风险并存。A公司的内部控制不仅在制度设计上存在漏洞，并且在执行过程中也存在不合规现象，在大数据背景下，这种缺陷更为“致命”，因此导致A公司面临各种风险。本文以A公司经营过程中面临的各种风险为着力点，以大数据背景为依托，重点对A公司的制度设计、风险管控和数据分析等方面进行分析，对A公司的内部控制体系存在的问题进行深入探究。

（一）业务流程缺陷风险

A公司的销售业务链存在一定缺陷，潜在风险系数较高，主要有以下几方面问题：第一，A公司对于新建客户的申请和销售订单的处理全部都由销售经理进行独立审批，没有设置相应制衡机制，A公司内部控制体系的控制环境不完备。第二，除订单处理外，A公司超过信用期的商品出库环节也由销售经理进行审批，由于销售经理在主观意识上倾向于利润最大化，因此处理结果在客观公正性上有待商榷。第三，财务部门对商品价格做出规定的同时，没有制定相关的监管手段确保商品按照规定价格进行销售，A公司内部控制体系审查和监督机制薄弱。

A公司供应商的相关资料均由公司采购人员提供，采购人员采购订单的审批也由其同部门人员独立完成，仓储部门仅仅负责验收入库环节，而对入库产品的金额不进行仔细核对，造成A公司内部控制制度的严重失效。A公司上游客户档案信息的维护工作由信息部门独立完成，对于供应商的选择和订单采购的职务没有相分离，ERP系统对供应商的选择没有相应的回避机制，有可能导致采购人员的不正当行为，员工可能利用不相容职务分离规定的漏洞，通过虚假报销业务支出，隐瞒业务收入等方式侵占公司资产，损害公司利益，对A公司的经营活动造成一定风险。

（二）违规操作风险

自从A公司引进ERP系统以来，由于公司大量业务数据广泛分散于A公司各个业务部门，员工间互相登录系统的现象屡见不鲜。系统没有对登陆者的使用权限进行严格规定，登陆者可能会盗取员工账户与密码进行操作，通过篡改采购数据或倒卖数据非法获利，使公司利益受损。A公司内部曾经出现过类似事件，员工利用职务便利进行违规操作，具体表现在采购价格虚高以及门店销售数据造假，严重损害公司利益。

（三）员工胜任风险

在大数据环境的驱动下，行业对公司员工的职业胜任能力提出新要求，只有每位员工都具备大数据核心意识，并在日常工作中予以落实，大数据理念才能真正与公司发展相融合。A公司作为一家老牌公司，员工队伍偏中年化。据统计，A公司内部能够熟练使用会计信息系统的员工不到4%，超半数员工对大数据不够了解，在日常工作过程中没有意识到大数据对公司发展所起的作用，对于信息系统的使用存在一定误区，存在诸多不足和缺陷，不合理操作方式也使得相关信息出现偏差，对A公司的发展产生阻碍。

四、基于大数据的内控优化设计和风险管理

鉴于A公司的内部控制存在业务流程缺陷风险、违规操作风险和员工胜任风险且其内控制度流于形式、监管力度薄弱、大数据意识不强，本文提出系列内部控制优化方案以提高其内部控制水平和风险管理能力。

（一）树立大数据意识

在传统的公司管理模式中，鲜少有大数据的运用，因此许多管理层并没有意识到大数据时代为公司带来的价值，A公司也不例外，据统计，A公司有半数以上的员工对大数据不够了解，这就要求A公司有必要加强对各级员工大数据知识的普及。

首先，要在A公司员工内部树立“大数据思想”，从A公司财务人员入手，提高财务人员的综合素质，将财务数据与大数据管理模式进行整合，形成高效的财务模式，推动大数据在A公司日常经营中的运用。

其次，要在A公司内部建立“大数据意识”，完善A公司内部控制体系的控制环境条件，广泛传播大数据概念背景，形成“全员了解、全员传授、全员参与”的良好局面，从而在大数据环境下为A公司提供有效的数据信息，提高公司自身的风险防范能力，积极应对各种潜在风险，达到内部控制的效力。

（二）建立信息安全管理机制

信息安全管理是对信息资产的保护，这种保护通过维护其全面性、机密性和可使用性来实现，它对信息安全进行相应规范、梳理和保障，其本质是一种风险管理。针对违规操作风险，除了构建大数据风险管理体系和优化ERP系统外，还可提供一系列安全保障，即建立信息安全管理机制。

A公司在享受大数据技术手段带来的便利时，也面临着一系列信息安全风险。首先，在大数据条件下，A公司可以利用好已建立的大数据风险管理体系，将各项业务全流程的每个环节如数纳入，同时作为辅助保障，A公司还应设立独立的信息技术部门，为公司大数据风险管理体系提供日常监控和维护，为系统的安全稳定运行保驾护航。在搭建A公司内部信息集成大数据风险管理体系时，需要注意数据信息的保护工作，数据迁移过程中一定要做好备份，防止一些不可逆损失，例如数据丢失和数据损坏等。做好数据迁移后，A公司需要定期维护系统防火墙，防止非法人员篡改与窃取公司内部信息。其次，A 公司应加强对于系统的权限管理，只允许使用A公司内网访问管理系统，登陆系统时需要员工个人身份信息，并且后台自动保存操作痕迹，使得员工操作轨迹有迹可循。对于A公司的机密信息，尤其是公司的财务数据及产品研发资料，只有授权的人员才可以登陆获取，以此保障公司机密，严防信息安全纰漏。

（三）完善内部控制制度

1.增设沟通渠道。信息与沟通就是企业经营管理信息的获取、传递、应用的过程，这些信息需要高度的准确性和及时性，通过适当的方式传递于企业内外，满足企业的使用需要，这是实施内部控制的重要条件，也是内部控制的纽带。针对制度执行风险，除了构建大数据风险管理体系和优化ERP系统外，还可提供一系列内部控制制度保障，首先从增设沟通渠道做起。

A公司的员工、领导和供应商之间缺乏沟通，这一现象需要引起足够重视，因此提出相应优化保障方案。针对A公司员工之间相互沟通的问题，A公司各部门管理层需要调动员工相互之间的沟通积极性，可以通过相关制度条款的制定，要求员工之间保持通畅的业务活动沟通习惯，实现信息资源共享，做好信息交流平台的搭建工作。

针对A公司员工与领导之间沟通的问题，A公司的领导层对于公司员工的真实情况了解甚微，信息获取不全面导致最终决策失误。公司领导需要定期展开各管理层人员与部门员工的沟通对话，对A公司内部控制的实施情况进行复盘和优化。在沟通现场，员工如果有不方便提出的内容，公司可以设置意见箱或采取单独约见的方式进行收集，保障意见的真实性和高效性。

针对A公司员工与供应商之间沟通的问题，缺乏沟通易导致采购人员无法迅速取得市场一线信息，容易做出不符合经济效益的采购决策，长此以往对A公司造成的损失不可估量。针对该问题，A公司采购部门的负责人需要下达硬性任务，规定各个采购人员每月要定期联系供应商，了解市场情况进而及时调整，降低不必要成本，在源头上控制成本支出，提高A公司的经济效益。

2.发挥监管职责。监督管理的实现主要是依据内控的工作规章，而内控规章的设计与改进则是监督管理顺利实现的有效动力，监督管理和内控两者相互促进、相辅相成，兼顾两者才能实现内控的目的。针对制度执行风险，发挥监管职责也是提供内部控制保障的有力措施。

A公司能够根据大数据风险控制体系建设，达到公司部门信息资源整合以及实现公司部门之间信息共享的目的，这样能够给内部控制监督部门提供一定帮助。内部控制监督部门根据大数据风险控制体系对A公司内控情况进行全面监督管理，从而发挥内部控制监督部门的职能。

A公司还应该设置内部控制监督系统在大数据风险控制体系当中，内部控制监督部门使用内部控制监督系统对公司各个部门内控的工作内容以及工作结果进行全面监督管理，同时还可以帮助内部控制监督管理部门对内控工作的效率和效果进行分析评价，当发现内控中没有发挥作用的冗余部分时，能够及时进行调整，从而确保A公司的有效运行。

在大数据管理的条件下，通过信息平台，A公司能够对工作流程进行全面、实时的监督。大数据风险控制体系在员工对工作流程进行错误操作时，可以自动识别错误从而发出纠错提示，以降低企业员工在工作流程中出现错误的概率。除此之外，为了减弱人情往来对公司监督的影响，A公司可以将员工岗位之间的监管混合进大数据风险控制管理体系当中，从而使得岗位的监管成为工作日常的一部分。

此外，A公司的线下店铺分布得比较广泛，公司的内部监督部门很难有效管理到所有线下的店铺。所以，A公司可以引入相关第三方监督管理机构，为公司定期进行内控的评价和监督，这样可以确保A公司内控的运行有效。

（四）提升员工整体水平

1.加强复合型人才培养。针对员工胜任风险，A公司需要加强人才保障，促进复合型人才培养。伴随着大数据时代的到来，A公司面临的是人才方面的缺口空白。A公司需要加强对相关人才的引进和培养，主要依托外部招聘和内部培训两种途径，这就要求A公司调整招聘模式和架构，完善员工培训制度，为A公司的发展添砖加瓦。

首先，要提升A公司员工的业务能力。由于大数据时代的创新性和复杂性，对从业人员的要求较高，不仅需要掌握相应理论知识，还要达到相应实践水平、具备丰富实战经验，同时涉猎财务会计、移动互联网、公司管理等方面的知识，达到复合型人才的要求。除了对相关技术人员能力培训以外，更重要的是提升财务人员的整体水平，利用大数据的信息技术处理工作内容，加快从传统财务人员到财务管理人才的转变，做好预算管理、风险管理及管理决策工作。

其次，要建立合理的激励机制。通过股权激励、薪酬激励、职位激励等手段调动A公司员工的积极性，明确工作目的，在完成组织目标的同时实现自身需要，提升员工的归属感和自豪感，开创协作奋进的良好氛围。

2.重视员工绩效考核。绩效考核运用了科学的手段，采取具体特定的指标以及标准，对企业员工以往的工作过程、工作结果进行定性和定量评估，同时将评估结果反馈给企业员工，以实现企业顺利生产经营的目标。还可通过重视员工绩效考核等措施加强人才保障以应对员工胜任风险。

目前A公司已经建立了相应的绩效考核指标体系，但在分配任务方面却做得不好。因为分配任务仅仅是简单的分配，没有制定相应的考核制度，也没有将工作结果和绩效考核的指标挂钩。所以，A公司首先应当将部门中的各个项目目标明确，分配项目目标，通过每个员工的工作职能，将目标分配到个人，这样的绩效考核方案可以使得员工都能清楚自己的任务和职能，方便公司进行相应考核。

A公司在方案的具体实施过程中，应当增加月度和季度的考核，月度考核应当根据员工当月的表现进行评定，而季度考核则需要根据月度的考核进行相应分析和评价。同样，年度考核应当参考月度和季度考核结果进行综合分析得出结论，以保证绩效考核的有效性和公正性。根据以上信息，A公司主要依据绩效考核的结论给员工进行晋升或者调薪，根据员工考核结果进行横向分析，得出一个相对公平合理的考核制度，以便为下年度工作提供参考。A公司也会将对员工考核的结果公布于众，以确保绩效考核的公平性和合理性。

五、结束语

大数据时代下，企业需要提高内部控制信息化建设水平。一方面，企业需要树立大数据意识，并推动大数据与现有信息系统的有机结合。从A企业实际来看，虽然运用了大数据技术，但却未能实现与ERP等现有信息系统的有机结合，导致该技术未能充分发挥效用。因此，企业应从技术融合的角度出发，促进新兴技术与现有系统间的相互渗透，推动构建诸如大数据+ERP等新模式在内控方面的运用。另一方面，企业应完善内部控制制度，提升员工整体水平，推进系统互联互通，增强信息共享和业务协同能力，优化企业内部控制整体环境。

参考文献：

[1] 鲍熹懿.大数据背景下高校财务管理风险：成因、类型与防范[J].商业会计，2019（14）：113-115.

[2] 陈丽红，林鸿熙，柯婵晓.大数据背景下福建茶企内部控制问题及对策分析[J].福建茶叶，2018，40（11）：54，90.

[3] 窦晓飞.大数据环境下内部审计在风险管理中的应用研究[J].中外企业家，2019（32）：59-60.

[4] 封坤，穆昭.大数据时代下对企业内部控制的思考[J].山东纺织经济，2017（1）：10-11，33.

[5] 黄胜泉.金融科技背景下商业银行内部审计防范风险的路径探究[J].金融纵横，2018（9）：38-44.

[责任编辑 卫 星]