大數(shù)據(jù)環(huán)境下的企業(yè)信息系統(tǒng)內(nèi)部控制風(fēng)險(xiǎn)探析

杭天竹（南京審計(jì)大學(xué)　管理科學(xué)與工程學(xué)院，南京 211815）

大數(shù)據(jù)環(huán)境下的企業(yè)信息系統(tǒng)內(nèi)部控制風(fēng)險(xiǎn)探析

杭天竹
（南京審計(jì)大學(xué)管理科學(xué)與工程學(xué)院，南京 211815）

大數(shù)據(jù)是現(xiàn)在理論界和實(shí)務(wù)界都研究的熱點(diǎn)問(wèn)題，雖然有較多學(xué)者從不同角度對(duì)企業(yè)信息系統(tǒng)內(nèi)部控制風(fēng)險(xiǎn)進(jìn)行過(guò)分析，但尚缺少大數(shù)據(jù)環(huán)境下的企業(yè)信息系統(tǒng)內(nèi)部控制風(fēng)險(xiǎn)研究。本文針對(duì)大數(shù)據(jù)的概念和特點(diǎn)，闡述了研究大數(shù)據(jù)環(huán)境下企業(yè)信息系統(tǒng)內(nèi)部控制風(fēng)險(xiǎn)的必要性。對(duì)企業(yè)信息系統(tǒng)內(nèi)部控制對(duì)象——硬件、軟件、人員、信息、運(yùn)行規(guī)程等要素逐一劃分風(fēng)險(xiǎn)關(guān)鍵控制過(guò)程，探析了大數(shù)據(jù)環(huán)境下，不同控制對(duì)象在信息系統(tǒng)建設(shè)過(guò)程中存在的主要風(fēng)險(xiǎn)，并據(jù)此提出了相應(yīng)的企業(yè)信息系統(tǒng)內(nèi)部控制風(fēng)險(xiǎn)管理方法。

大數(shù)據(jù)；信息系統(tǒng)；內(nèi)部控制；風(fēng)險(xiǎn)

1　研究大數(shù)據(jù)環(huán)境下企業(yè)信息系統(tǒng)內(nèi)部控制風(fēng)險(xiǎn)的必要性

1.1分析企業(yè)信息系統(tǒng)內(nèi)部控制風(fēng)險(xiǎn)具有重要意義

2010年，財(cái)政部等部門聯(lián)合發(fā)布了《企業(yè)內(nèi)部控制應(yīng)用指引第18號(hào)——信息系統(tǒng)》，這對(duì)加強(qiáng)企業(yè)的信息系統(tǒng)內(nèi)部控制風(fēng)險(xiǎn)管理具有重要、有效的指導(dǎo)作用。企業(yè)信息系統(tǒng)的建設(shè)改變了傳統(tǒng)的信息處理方式，改革了傳統(tǒng)的企業(yè)結(jié)構(gòu)和運(yùn)行模式，同時(shí)企業(yè)資源得到高度的共享。但是，對(duì)于企業(yè)信息系統(tǒng)而言，風(fēng)險(xiǎn)是客觀存在的，例如：信息系統(tǒng)的規(guī)劃安排不合理，可能會(huì)導(dǎo)致部門之間信息相互脫節(jié)；沒(méi)有系統(tǒng)運(yùn)行維護(hù)過(guò)程，可能會(huì)導(dǎo)致信息的泄露和系統(tǒng)壽命的縮短等問(wèn)題。因此，信息系統(tǒng)內(nèi)部控制每個(gè)對(duì)象的建設(shè)過(guò)程中都存在著不可忽視的風(fēng)險(xiǎn)，周密的信息系統(tǒng)安全風(fēng)險(xiǎn)分析是可靠的內(nèi)部控制風(fēng)險(xiǎn)管理必不可少的過(guò)程，企業(yè)必須正視風(fēng)險(xiǎn)，有效防控。

1.2大數(shù)據(jù)的概念和特點(diǎn)

2012年以來(lái)，大數(shù)據(jù)引起了全世界的高度關(guān)注，麥肯錫咨詢公司是研究大數(shù)據(jù)的先驅(qū)，在2011年發(fā)表的報(bào)告《大數(shù)據(jù)：創(chuàng)新、競(jìng)爭(zhēng)和生產(chǎn)力的下一個(gè)前沿》中，把大數(shù)據(jù)定義為：大小超出一般的數(shù)據(jù)庫(kù)工具能夠采集、存取、管理和分析等的數(shù)據(jù)集。雖然大數(shù)據(jù)沒(méi)有公認(rèn)的統(tǒng)一定義，但都強(qiáng)調(diào)了數(shù)據(jù)的龐大和復(fù)雜。IBM提出了大數(shù)據(jù)的5V特點(diǎn)：Volume（大量）、Velocity（高速）、Variety（多樣性）、Value（價(jià)值）、Veracity（真實(shí)性）。大數(shù)據(jù)的定義和特點(diǎn)直接決定了它給企業(yè)的運(yùn)行和發(fā)展帶來(lái)了重大的機(jī)遇和挑戰(zhàn)。

1.3大數(shù)據(jù)環(huán)境下企業(yè)信息系統(tǒng)內(nèi)部控制風(fēng)險(xiǎn)發(fā)生變化

伴隨著企業(yè)信息化建設(shè)進(jìn)程的加深，企業(yè)獲得的數(shù)據(jù)也正在逐漸累積，催生了大數(shù)據(jù)時(shí)代的到來(lái)。相比傳統(tǒng)環(huán)境，在大數(shù)據(jù)環(huán)境下，企業(yè)的信息系統(tǒng)在建設(shè)過(guò)程中遇到的風(fēng)險(xiǎn)會(huì)發(fā)生變化，一些風(fēng)險(xiǎn)值比較小的建設(shè)過(guò)程在新的環(huán)境下可能會(huì)變得至關(guān)重要，例如：在大數(shù)據(jù)時(shí)代，對(duì)存儲(chǔ)系統(tǒng)的要求更高，高性能僅僅是基礎(chǔ)要求，并行分布、異構(gòu)資源整合等特點(diǎn)是降低企業(yè)信息系統(tǒng)風(fēng)險(xiǎn)的新要求。當(dāng)然也會(huì)產(chǎn)生一些因環(huán)境變化帶來(lái)的新風(fēng)險(xiǎn)，例如：在大數(shù)據(jù)時(shí)代，數(shù)據(jù)人才在企業(yè)信息系統(tǒng)建設(shè)過(guò)程中必不可少，并直接關(guān)乎信息系統(tǒng)建設(shè)在大數(shù)據(jù)環(huán)境下的滿意程度和可持續(xù)發(fā)展程度。為了降低大數(shù)據(jù)環(huán)境下企業(yè)信息系統(tǒng)在不同階段發(fā)生的風(fēng)險(xiǎn)，提高企業(yè)的經(jīng)營(yíng)效益，最終確保信息系統(tǒng)的成功，企業(yè)需要加強(qiáng)信息系統(tǒng)內(nèi)部控制風(fēng)險(xiǎn)管理工作。總結(jié)國(guó)內(nèi)外文獻(xiàn)，發(fā)現(xiàn)有關(guān)大數(shù)據(jù)環(huán)境下信息系統(tǒng)內(nèi)部控制的研究并不多。所以，研究大數(shù)據(jù)環(huán)境下的企業(yè)信息系統(tǒng)內(nèi)部控制風(fēng)險(xiǎn)具有理論意義和應(yīng)用價(jià)值。

2　大數(shù)據(jù)環(huán)境下的企業(yè)信息系統(tǒng)內(nèi)部控制風(fēng)險(xiǎn)

大數(shù)據(jù)環(huán)境下企業(yè)信息系統(tǒng)內(nèi)部控制的風(fēng)險(xiǎn)分析相比非大數(shù)據(jù)環(huán)境下的更復(fù)雜，更具有挑戰(zhàn)性。本文根據(jù)COBIT框架和我國(guó)《企業(yè)內(nèi)部控制應(yīng)用指引第18號(hào)——信息系統(tǒng)》，得知信息系統(tǒng)內(nèi)部控制的主要對(duì)象是信息系統(tǒng)，所以，本文從信息系統(tǒng)內(nèi)部控制對(duì)象——硬件、軟件、人員、信息和運(yùn)行規(guī)程等信息系統(tǒng)組成要素角度探析了大數(shù)據(jù)環(huán)境下企業(yè)信息系統(tǒng)內(nèi)部控制的主要風(fēng)險(xiǎn)。通過(guò)文獻(xiàn)閱讀，發(fā)現(xiàn)很多作者從COBIT的IT域——規(guī)劃與組織、采集與實(shí)施、交付與支持和監(jiān)控角度來(lái)劃分企業(yè)信息系統(tǒng)風(fēng)險(xiǎn)，這種劃分方法中風(fēng)險(xiǎn)控制過(guò)程比較粗略和寬泛，不能準(zhǔn)確地知道是哪個(gè)對(duì)象在哪個(gè)環(huán)節(jié)發(fā)生了風(fēng)險(xiǎn)，從而降低了風(fēng)險(xiǎn)監(jiān)測(cè)的準(zhǔn)確性和及時(shí)性。而本文從控制對(duì)象進(jìn)行過(guò)程劃分，風(fēng)險(xiǎn)分析控制會(huì)更加細(xì)化、更有針對(duì)性和有效性。大數(shù)據(jù)環(huán)境下的企業(yè)信息系統(tǒng)內(nèi)部控制風(fēng)險(xiǎn)關(guān)鍵控制過(guò)程見(jiàn)表1。

表1　大數(shù)據(jù)環(huán)境下的企業(yè)信息系統(tǒng)內(nèi)部控制風(fēng)險(xiǎn)關(guān)鍵控制過(guò)程

2.1硬件風(fēng)險(xiǎn)

企業(yè)信息系統(tǒng)的硬件的風(fēng)險(xiǎn)主要包括事前規(guī)劃、采購(gòu)建設(shè)、運(yùn)行維護(hù)等過(guò)程。在硬件采購(gòu)前，企業(yè)必須確定與業(yè)務(wù)目標(biāo)和戰(zhàn)略目標(biāo)相吻合的IT戰(zhàn)略計(jì)劃，以此明確企業(yè)硬件采購(gòu)目標(biāo)。信息化硬件建設(shè)需要得到企業(yè)各級(jí)一把手的大力支持，如果高層不重視、不支持，可能會(huì)導(dǎo)致企業(yè)各個(gè)部門的消極怠工，不配合信息化部門工作，那么，信息系統(tǒng)的內(nèi)部控制會(huì)失效，最終導(dǎo)致信息系統(tǒng)運(yùn)行的失敗。

大數(shù)據(jù)環(huán)境對(duì)硬件的存儲(chǔ)容量、運(yùn)算性能、擴(kuò)展性能等有了更高的要求。隨著數(shù)據(jù)的海量爆發(fā)，首先沖擊的是企業(yè)的硬盤存儲(chǔ)。以前的結(jié)構(gòu)化數(shù)據(jù)有一定的規(guī)律性，存儲(chǔ)比較簡(jiǎn)單機(jī)械。但是隨著大量半結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)的產(chǎn)生，如果企業(yè)還是采用傳統(tǒng)環(huán)境下不斷擴(kuò)展容量的辦法來(lái)解決問(wèn)題，將無(wú)法提高數(shù)據(jù)的存儲(chǔ)速度，且縮短了硬件設(shè)備的壽命。于是出現(xiàn)了基于閃存的固態(tài)硬盤（SSD），在性能方面它有很多優(yōu)點(diǎn)：數(shù)據(jù)存取速度快、體積小、耗能低、工作溫度范圍大等。所以，SSD固態(tài)硬盤可以發(fā)展為大數(shù)據(jù)存儲(chǔ)的一種新的硬件選擇。

很多企業(yè)在信息化硬件建設(shè)過(guò)程中，發(fā)現(xiàn)單個(gè)系統(tǒng)的功能都比較有效，但是整個(gè)系統(tǒng)的功能卻達(dá)不到預(yù)期要求，經(jīng)過(guò)研究，找到一個(gè)重要的原因是硬件集成的失敗，硬件集成是通過(guò)硬件設(shè)備將各個(gè)子系統(tǒng)連接起來(lái)，這關(guān)系到信息系統(tǒng)的完整性和有效性。在大數(shù)據(jù)環(huán)境中，市場(chǎng)需求在不斷發(fā)生變化，企業(yè)如果不對(duì)信息系統(tǒng)硬件進(jìn)行持續(xù)維護(hù)、二次開(kāi)發(fā)和升級(jí)，信息系統(tǒng)可能會(huì)面臨失效的危險(xiǎn)。

2.2軟件風(fēng)險(xiǎn)

在對(duì)信息系統(tǒng)軟件內(nèi)部控制的過(guò)程中，主要涉及需求分析與規(guī)劃、軟件設(shè)計(jì)、編碼與測(cè)試、運(yùn)行維護(hù)等不同過(guò)程。

在需求分析與規(guī)劃階段，本文主要涉及與大數(shù)據(jù)密切相關(guān)的文件系統(tǒng)、數(shù)據(jù)處理系統(tǒng)的分析。在傳統(tǒng)環(huán)境下，企業(yè)通過(guò)ETL工具將數(shù)據(jù)從來(lái)源端經(jīng)過(guò)抽取、轉(zhuǎn)換、加載到數(shù)據(jù)倉(cāng)庫(kù)中進(jìn)行存儲(chǔ)，但是傳統(tǒng)數(shù)據(jù)倉(cāng)庫(kù)的數(shù)據(jù)存儲(chǔ)量很少超過(guò) TB量級(jí)，所以傳統(tǒng)的數(shù)據(jù)倉(cāng)庫(kù)技術(shù)并不能滿足大數(shù)據(jù)的存儲(chǔ)，如果不改進(jìn)傳統(tǒng)的文件系統(tǒng)，將會(huì)限制企業(yè)信息系統(tǒng)的運(yùn)行和發(fā)展。近年來(lái)，比較熱門的大數(shù)據(jù)文件系統(tǒng)是開(kāi)源項(xiàng)目Hadoop軟件架構(gòu)下的分布式文件系統(tǒng)HDFS（Hadoop Distributed File System），部署在廉價(jià)的機(jī)器上，可以存儲(chǔ)大文件，具有較高的吞吐量。在此基礎(chǔ)上，又發(fā)展了QFS（Quantcast File System），它在讀寫(xiě)速度、兼容性上更優(yōu)于HDFS，能夠節(jié)省50%的磁盤空間。企業(yè)在選擇文件系統(tǒng)時(shí)，要規(guī)避傳統(tǒng)數(shù)據(jù)存儲(chǔ)技術(shù)帶來(lái)的風(fēng)險(xiǎn)，結(jié)合自身的業(yè)務(wù)特點(diǎn)以及預(yù)算約束，選擇最適合自身在大數(shù)據(jù)環(huán)境下發(fā)展的文件系統(tǒng)。

數(shù)據(jù)處理系統(tǒng)模式主要是批處理和流處理，批處理的第一步是存儲(chǔ)，然后再處理，提高系統(tǒng)吞吐量，而流處理是直接處理，實(shí)時(shí)收集大量數(shù)據(jù)。在不同的企業(yè)應(yīng)用場(chǎng)景需要用到不同的數(shù)據(jù)處理模式，需要采用流數(shù)據(jù)處理的主要有網(wǎng)頁(yè)點(diǎn)擊、傳感器網(wǎng)絡(luò)等實(shí)時(shí)性很強(qiáng)的場(chǎng)景，例如：Twitter的Storm、Amazon 的Spark和Linkedin的Samza等。MapReduce軟件框架是最具有代表性的批處理模式，在實(shí)際中，大多企業(yè)采用批處理模式。最終企業(yè)是選擇某一種處理模式還是結(jié)合兩種模式，都要根據(jù)企業(yè)自身的需求靈活選擇，否則，可能會(huì)增加企業(yè)在數(shù)據(jù)處理模式控制上的風(fēng)險(xiǎn)。

軟件設(shè)計(jì)中的業(yè)務(wù)處理設(shè)計(jì)是信息系統(tǒng)內(nèi)部控制重要的環(huán)節(jié)之一。如果業(yè)務(wù)處理流程或者權(quán)限控制設(shè)計(jì)不合理，將會(huì)導(dǎo)致業(yè)務(wù)流程重組的失敗，影響數(shù)據(jù)的正確性、業(yè)務(wù)處理的速度和信息系統(tǒng)的安全性。控制功能設(shè)計(jì)在信息化建設(shè)過(guò)程中也必不可少，如果缺少系統(tǒng)控制功能設(shè)計(jì)，大部分靠人工控制，企業(yè)業(yè)務(wù)數(shù)據(jù)的準(zhǔn)確性可能會(huì)下降，可能會(huì)發(fā)生錯(cuò)誤和舞弊。

編碼與測(cè)試、運(yùn)行維護(hù)過(guò)程是企業(yè)信息系統(tǒng)建設(shè)的重要IT過(guò)程，編碼是進(jìn)行模塊測(cè)試的前提，沒(méi)有規(guī)范的編碼，可能會(huì)加大后期信息系統(tǒng)運(yùn)行維護(hù)的難度，而測(cè)試又是使設(shè)計(jì)的軟件達(dá)到預(yù)期要求的檢驗(yàn)過(guò)程。軟件維護(hù)升級(jí)是保證信息系統(tǒng)可持續(xù)發(fā)展的充分條件，通過(guò)對(duì)軟件不斷的修改和升級(jí)提高信息系統(tǒng)的滿意度。

除了對(duì)以上軟件過(guò)程風(fēng)險(xiǎn)控制，還需要加強(qiáng)對(duì)軟件集成的風(fēng)險(xiǎn)控制。沒(méi)有軟件集成，異構(gòu)軟件的相互連接可能會(huì)發(fā)生錯(cuò)誤，數(shù)據(jù)利用率可能會(huì)降低，從而不能發(fā)揮大數(shù)據(jù)給企業(yè)信息系統(tǒng)帶來(lái)的優(yōu)勢(shì)與效益。

2.3人員風(fēng)險(xiǎn)

在大數(shù)據(jù)環(huán)境下，企業(yè)對(duì)員工的素質(zhì)和專業(yè)能力要求更高，招聘員工不僅需要具備豐富的業(yè)務(wù)知識(shí)，還需要具備一定的數(shù)據(jù)算數(shù)專業(yè)知識(shí)，大數(shù)據(jù)領(lǐng)域的技術(shù)人員和商業(yè)人才對(duì)企業(yè)在大數(shù)據(jù)環(huán)境中的信息化建設(shè)尤其重要。

大數(shù)據(jù)人才培養(yǎng)在當(dāng)下競(jìng)爭(zhēng)激烈的商業(yè)環(huán)境中顯得尤其重要，通過(guò)大數(shù)據(jù)知識(shí)學(xué)習(xí)的相關(guān)培訓(xùn)，可以加強(qiáng)員工對(duì)大數(shù)據(jù)的認(rèn)識(shí)深度。沒(méi)有系統(tǒng)的、先進(jìn)的大數(shù)據(jù)知識(shí)培訓(xùn)，企業(yè)員工在收集數(shù)據(jù)、使用數(shù)據(jù)、管理數(shù)據(jù)能力上的缺失會(huì)造成企業(yè)丟失大數(shù)據(jù)機(jī)遇，錯(cuò)過(guò)發(fā)展自身優(yōu)勢(shì)，最終被新環(huán)境淘汰的局面。企業(yè)信息系統(tǒng)內(nèi)部控制需要確保IT人員的不相容崗位互相分離、制約和監(jiān)督，否則可能會(huì)給企業(yè)帶來(lái)破壞和舞弊行為，增加信息系統(tǒng)風(fēng)險(xiǎn)。

企業(yè)需要明確各部門的職責(zé)權(quán)限和授權(quán)審批程序，如果沒(méi)有對(duì)人員進(jìn)行合理授權(quán)管理，可能會(huì)導(dǎo)致數(shù)據(jù)的泄露和非法修改，降低數(shù)據(jù)安全性和真實(shí)性，對(duì)信息系統(tǒng)造成重大傷害。

在大數(shù)據(jù)環(huán)境下，對(duì)員工的考核如果僅限于業(yè)務(wù)的處理，而沒(méi)有涉及大數(shù)據(jù)知識(shí)和技能的考核，可能會(huì)導(dǎo)致企業(yè)不能充分發(fā)揮信息系統(tǒng)的優(yōu)勢(shì)和效益。

2.4信息風(fēng)險(xiǎn)

大數(shù)據(jù)時(shí)代的到來(lái)，拓寬了數(shù)據(jù)和信息的采集源，學(xué)習(xí)新的數(shù)據(jù)采集技術(shù)是企業(yè)適應(yīng)大數(shù)據(jù)發(fā)展的前提，Hadoop的Chukwa、Cloudera的Flume、Facebook的Scribe等都是比較著名的數(shù)據(jù)采集工具。所以，企業(yè)為了加強(qiáng)信息系統(tǒng)內(nèi)部控制，降低信息系統(tǒng)風(fēng)險(xiǎn)，需要學(xué)習(xí)大數(shù)據(jù)采集技術(shù)和方法。數(shù)據(jù)信息集成是建立在硬件和軟件集成的基礎(chǔ)上的，是系統(tǒng)集成的核心，如果沒(méi)有數(shù)據(jù)信息集成，可能會(huì)降低數(shù)據(jù)信息的共享性，造成信息的泄露的嚴(yán)重后果。數(shù)據(jù)清洗是數(shù)據(jù)分析利用前的最后一道程序，可以發(fā)現(xiàn)并糾正數(shù)據(jù)錯(cuò)誤、丟失等問(wèn)題，提高后續(xù)工作的效率和輸出結(jié)果的準(zhǔn)確性。比較有名的數(shù)據(jù)清洗工具有：Data Wrangler和Google Refine等。

大數(shù)據(jù)時(shí)代下被稱為資產(chǎn)的數(shù)據(jù)將直接決定企業(yè)在大數(shù)據(jù)環(huán)境下的可持續(xù)發(fā)展能力。大數(shù)據(jù)環(huán)境下，基于云技術(shù)的云存儲(chǔ)得到很多大型企業(yè)的偏愛(ài)，云存儲(chǔ)可以解決因海量非結(jié)構(gòu)化數(shù)據(jù)的增長(zhǎng)而帶來(lái)的難題，提高了數(shù)據(jù)存儲(chǔ)效率，但云端虛擬化技術(shù)在解決存儲(chǔ)空間浪費(fèi)問(wèn)題的同時(shí)也帶了新的風(fēng)險(xiǎn)，例如：攻擊擴(kuò)散率加快等。企業(yè)需要加強(qiáng)保護(hù)數(shù)據(jù)的完整性和可靠性，以減少企業(yè)信息系統(tǒng)的風(fēng)險(xiǎn)，提高系統(tǒng)的空間利用率和安全性。

大數(shù)據(jù)的價(jià)值不在于數(shù)據(jù)本身，而在于如何通過(guò)數(shù)據(jù)分析計(jì)算工具，得到對(duì)企業(yè)發(fā)展有利的分析和預(yù)測(cè)。大數(shù)據(jù)的分析技術(shù)具有高擴(kuò)展性、低成本、容錯(cuò)性等優(yōu)點(diǎn)，運(yùn)用大數(shù)據(jù)技術(shù)有利于數(shù)據(jù)信息的加工整理，否則可能會(huì)降低信息的有效性，降低信息系統(tǒng)的可靠性和穩(wěn)定性。所有的大數(shù)據(jù)分析結(jié)果都需要以清晰易懂的方式展現(xiàn)給企業(yè)管理者，例如：圖表、流程圖、網(wǎng)絡(luò)圖、層級(jí)面板視圖等方式，以此來(lái)減低企業(yè)信息系統(tǒng)風(fēng)險(xiǎn)，促進(jìn)信息系統(tǒng)的改進(jìn)和發(fā)展。

企業(yè)在大數(shù)據(jù)環(huán)境下需要注重災(zāi)備系統(tǒng)的建設(shè)過(guò)程。在大數(shù)據(jù)環(huán)境下，企業(yè)的災(zāi)備系統(tǒng)目標(biāo)需要細(xì)化，不僅僅針對(duì)破壞性強(qiáng)的故障，對(duì)于頻發(fā)的故障也要重視，結(jié)合故障發(fā)生的可能性和破壞程度對(duì)故障重新定義，合理安排企業(yè)資源預(yù)防和解決問(wèn)題。否則，可能會(huì)導(dǎo)致災(zāi)備系統(tǒng)的重建，從而影響信息系統(tǒng)的正常運(yùn)行。

2.5運(yùn)行規(guī)程風(fēng)險(xiǎn)

硬件和軟件在企業(yè)信息系統(tǒng)中相互依存、協(xié)同發(fā)展、缺一不可，而不規(guī)范的軟硬件評(píng)估的技術(shù)要求和標(biāo)準(zhǔn)，會(huì)導(dǎo)致評(píng)估過(guò)程的無(wú)效，同時(shí)不能保證采購(gòu)過(guò)程的規(guī)范和合理。

系統(tǒng)開(kāi)發(fā)和變更制度是企業(yè)信息系統(tǒng)所有規(guī)程中最基礎(chǔ)的，所以對(duì)其內(nèi)部控制顯得尤其重要。企業(yè)如果沒(méi)有合適的系統(tǒng)開(kāi)發(fā)制度，會(huì)使得系統(tǒng)開(kāi)發(fā)無(wú)據(jù)可依，導(dǎo)致系統(tǒng)無(wú)目的的開(kāi)發(fā)，造成企業(yè)資源的浪費(fèi)，最終釀成信息系統(tǒng)建設(shè)失敗的嚴(yán)重后果；系統(tǒng)變更制度可以在很大程度上明確系統(tǒng)程序職責(zé)分工和權(quán)限管理，減少未授權(quán)的修改過(guò)程，從而保證信息系統(tǒng)的合法、正常運(yùn)行。

企業(yè)信息系統(tǒng)的安全管理制度包括物理安全、數(shù)據(jù)信息安全等，如果沒(méi)有這些制度可能會(huì)給信息系統(tǒng)帶來(lái)安全隱患。信息系統(tǒng)的物理安全涉及整個(gè)系統(tǒng)，是信息系統(tǒng)安全運(yùn)行的基本保障。在大數(shù)據(jù)時(shí)代，企業(yè)對(duì)數(shù)據(jù)信息安全的重視程度逐漸提高，數(shù)據(jù)已經(jīng)成為新的資產(chǎn)，企業(yè)在挖掘分析數(shù)據(jù)的同時(shí)，如果沒(méi)有做好數(shù)據(jù)信息的安全管理工作，可能導(dǎo)致數(shù)據(jù)的篡改和泄露，造成客戶隱私的暴露和信息系統(tǒng)的崩潰等嚴(yán)重后果。

為了降低信息系統(tǒng)運(yùn)營(yíng)成本，合理安排人力資源，企業(yè)可能會(huì)將非核心業(yè)務(wù)外包給其他企業(yè)。所以，企業(yè)需要對(duì)第三方服務(wù)商進(jìn)行嚴(yán)格的控制和管理，否則可能會(huì)泄露企業(yè)機(jī)密，降低信息系統(tǒng)的安全性和可用性。為了保證信息系統(tǒng)的可持續(xù)發(fā)展，企業(yè)需要對(duì)信息系統(tǒng)功能、效益、安全性等進(jìn)行定期的評(píng)價(jià)，發(fā)現(xiàn)問(wèn)題并改進(jìn)。

3　結(jié)語(yǔ)

本文根據(jù)大數(shù)據(jù)的特點(diǎn)和研究現(xiàn)狀，從信息系統(tǒng)內(nèi)部控制對(duì)象角度出發(fā)，探析了大數(shù)據(jù)環(huán)境下企業(yè)信息系統(tǒng)內(nèi)部控制的主要風(fēng)險(xiǎn)。通過(guò)本文研究可知，大數(shù)據(jù)在創(chuàng)造機(jī)遇的同時(shí)也給企業(yè)信息系統(tǒng)帶來(lái)了新的風(fēng)險(xiǎn)。所以，在大數(shù)據(jù)環(huán)境下，為了更有針對(duì)性、更有效地降低傳統(tǒng)風(fēng)險(xiǎn)和新風(fēng)險(xiǎn)，企業(yè)應(yīng)當(dāng)細(xì)化信息系統(tǒng)建設(shè)過(guò)程中的風(fēng)險(xiǎn)對(duì)象和過(guò)程，加強(qiáng)信息系統(tǒng)內(nèi)部控制。

主要參考文獻(xiàn)

［1］陳偉.大數(shù)據(jù)環(huán)境下的電子數(shù)據(jù)審計(jì)：機(jī)遇，挑戰(zhàn)與方法［J］.計(jì)算機(jī)科學(xué)，2016，43（1）：8－13，34.

［2］吳炎太，林斌，孫燁.基于生命周期的信息系統(tǒng)內(nèi)部控制風(fēng)險(xiǎn)管理研究［J］.審計(jì)研究，2009（6）：87－92.

［3］楊麗彬，李海林，張飛波.大數(shù)據(jù)環(huán)境下的管理信息系統(tǒng)發(fā)展研究［J］.大數(shù)據(jù)，2016（1）：86-98.

［4］Tuttle B，Vandervelde S D.An Empirical Examination of COBIT as an Internal Control Framework for Information Technology［J］.International Journal of Accounting Information Systems，2007，8（4）：240－263.

［5］Moorthy J，Lahiri R，Biswas N，et al.Big Data：Prospects and Challenges ［J］.Vikalpa，2015，40（1）：74－96.

10.3969/j.issn.1673-0194.2016.17.027

F232

A

1673-0194（2016）17-0059-04

0引言

2016-05-25

南京審計(jì)大學(xué)研究生實(shí)踐創(chuàng)新計(jì)劃項(xiàng)目（MG2015007）。高信息系統(tǒng)的效率與效益，實(shí)現(xiàn)企業(yè)資源的合理分配，最終實(shí)現(xiàn)戰(zhàn)略目標(biāo)，具有重大的意義。本文從信息系統(tǒng)內(nèi)部控制的對(duì)象角度出發(fā)，對(duì)大數(shù)據(jù)環(huán)境下企業(yè)信息系統(tǒng)內(nèi)部控制風(fēng)險(xiǎn)進(jìn)行探析。

2015年9月，國(guó)務(wù)院印發(fā)了《促進(jìn)大數(shù)據(jù)發(fā)展行動(dòng)綱要》，充分證明了研究大數(shù)據(jù)環(huán)境的重要性。信息技術(shù)與經(jīng)濟(jì)社會(huì)的融合發(fā)展引發(fā)了數(shù)據(jù)的迅猛增長(zhǎng)，大數(shù)據(jù)時(shí)代對(duì)社會(huì)生產(chǎn)經(jīng)濟(jì)產(chǎn)生了重要的影響，為了在競(jìng)爭(zhēng)激烈的商業(yè)環(huán)境中生存下來(lái)，企業(yè)需要順應(yīng)大數(shù)據(jù)的發(fā)展潮流。如何在大數(shù)據(jù)環(huán)境下加強(qiáng)信息系統(tǒng)內(nèi)部控制，降低風(fēng)險(xiǎn)，形成良好的信息傳遞渠道，對(duì)于提