大數據公司與內部控制風險應對

郭宸昊

一、大數據產業

（一）大數據的國家戰略地位

大數據在我國的發展大致經歷了三個階段：

1.初步發展期2015年—2016年

2015年8月31日，國務院印發《促進大數據發展行動綱要》，文件明確了大數據的發展性質和重要意義，指出了當前及以后的主要任務，為大數據在中國的發展明確了指導思想、政策機制與總體目標。

2. 發展爆發期2017年—2018年

2017年1月17日，為貫徹落實《中華人民共和國國民經濟和社會發展第十三個五年規劃綱要》和《促進大數據發展行動綱要》，加快實施國家大數據戰略，推動大數據產業健康快速發展，工信部編制了《大數據產業發展規劃（2016年-2020年）》。文件再次明確了大數據對于國家發展的重要作用，指出：“搶抓機遇，推動大數據產業發展，對提升政府治理能力、優化民生公共服務、促進經濟轉型和創新發展有重大意義。”同時提出了強化大數據技術產品研發、深化大數據創新應用、促進行業大數據應用發展等重要任務。

2018年3月5日，李克強總理在政府工作報告中總結過去五年工作時指出，大數據、人工智能加速了新舊動能轉換；強調要實施大數據發展行動，加強新一代人工智能研發應用，在醫療、養老、教育、文化、體育等多領域推進“互聯網+”等；在談到創新食品藥品監管方式時，提出“注重用互聯網、大數據等提升食品藥品的監管效能”。這已經是大數據第五次寫入政府工作報告。

3. 發展持續期（2019年起 ）

2019年1月17日，中國大數據產業大會在北京召開，工信部信息化和軟件服務業司軟件產業處副處長張毅夫表示，隨著新一代信息技術的蓬勃發展，數據已成為重要的基礎資源，催生了大數據和數字經濟的快速發展。大數據產業政策持續完善，技術創新取得突破，行業應用不斷深入，產業效能不斷增強。

據國家發改委等權威機構預測，到2020年，我國的數據總量將會超過8000億PB，占全球數據總量的比例達到20%，我國大數據市場規模將超過8000億元。預計到2020年，我國工業大數據的占比將達到6.64%。由此可以看出，經過數年發展，大數據已經從起步階段進入黃金時期，并且在未來有著廣闊的應用前景。

（二）大數據的概念

有關大數據的概念一直沒有統一定論。大數據的概念起源于上世紀90年代，被指代處理與分析大量數據。直到2008年該詞才逐漸流 行（RodKitchin，2013)。 大 數據最初指代的是海量規模(Moffitt和 Vasarhelyi，2013)， 包 括 太大、太復雜而無法使用標準方法或工具操作或查詢的數據集(McAfee和 Brynjolfsson，2012)。 但 是，大數據并不是小數集的簡單累加（ArtWorsteretal.,2014）。

隨后，對于大數據的定義有了新的拓展。KurtFanning和RitaGrant（2013）從兩個方面對大數據進行定義：一方面，大數據是現今環境產生的海量數據；另一方面，使用者能夠從大數據中發現有價值的信息。該看法強調了大數據的海量性與有用性。其他學者從除“海量性”和“有用性”以外的其他特性對大數據進行了定義：除了海量性、有用性以外，大數據還具有及時性、多樣性和準確性(Buhl,Moser,and Heidemann2013)。NetApp公司認為大數據應包括分析(Analytic)、帶寬(Bandwidth)和內容(Content)三大要素。

另一部分權威公司及網站僅從宏觀上給出了大數據的定義：Wikipedia將大數據定義為“無法在一定時間內用常規軟件工具對其內容進行抓取、管理和處理的數據集合”；權威IT研究與顧問咨詢公司Gartner將大數據定義為“在一個或多個維度上超出傳統信息技術的處理能力的極端信息管理和處理問題”；美國國家科學基金會(NSF)則將大數據定義為“由科學儀器、傳感設備、互聯網交易、電子郵件、音視頻軟件、網絡點擊流等多種數據源生成的大規模、多元化、復雜、長期的分布式數據集”。

為便于分析，綜合以上定義，本文將大數據總結為超越傳統信息技術處理能力，且具有及時性、多樣性、準確性，能為使用者提供有用信息的海量數據集合。

（三）大數據公司的概念及業務范圍

大數據公司通常是指有獲取大數據能力以及可以利用大數據進行分析預測的公司。國內大數據公司可以分為兩類：一類是已經具備獲取大數據能力的公司，如百度、騰訊、阿里巴巴等互聯網巨頭以及華為、浪潮、中興等國內領軍企業，業務涵蓋了數據采集、數據存儲、數據分析、數據可視化以及數據安全等領域。

另一類是初創的大數據公司，特征為依賴大數據工具，針對市場需求，為市場帶來創新方案并推動技術發展。其中大部分的大數據應用需要第三方提供服務。業務范圍主要涉及：（1）為電商企業提供個性化推薦引擎的大數據公司，包括推薦引擎、分析引擎和營銷引擎等，覆蓋大數據全產業鏈的實現路徑。（2）實現大數據的采集、分析、處理，為各大企業提供高端信息技術咨詢服務，通過構建數據資產分享和交易平臺把數據或信息作為資產直接進行銷售，面向個人提供基于數據分析結果的服務。（3）為傳統企業提供大數據技術平臺搭建和大數據驅動，整合高性能的計算和存儲能力，為大數據的挖掘和分析提供專業穩定的IT基礎設施平臺，實現大數據存儲統一管理，幫助企業精準預測和構建用戶特征，搭建以用戶為中心的大數據運營體系。

可見，大數據公司有著不同于傳統企業的復雜業務，對于數據獲取、處理、分析有著更高的要求。

（四）大數據公司的風險

大數據操作的復雜性令公司存在較大的風險。2018年，國內外企業因大數據而導致損失的案例層出不窮，主要原因有以下幾點：

1.系統設置不當導致信息泄露

印度國家數據庫Aadhaar因系統設置失誤，導致信息泄露；美國最大面包連鎖店Panerabread旗下網站泄露了數百萬顧客記錄，原因在于Panerabread網站純文本數據包含了顧客的詳細個人資料。

2.未設立防火墻等安全措施導致黑客攻擊

加拿大大型商場電腦系統遭受黑客攻擊，12.5萬用戶信息在黑市倒賣。美國Ticketfly遭受黑客攻擊，離線中斷一周。2018年6月，來自Exactis的4億條信息由于服務器未使用防火墻加密而泄露。其他諸如北京瑞智華盛公司、圓通速遞、萬豪酒店集團、順豐速運、前程無憂等公司也都存在因黑客入侵、服務器系統故障等原因造成大量信息泄露。

3.人為操作導致信息泄露

華住酒店5億條用戶信息疑似因程序員操作失誤而泄露。2018年3月，至少87000萬條信息從Facebook泄露，原因是劍橋咨詢公司通過app竊取用戶信息。由此可見，雖然大數據在公司發展中扮演重要角色，但如對其操作及保護不當，也可能為企業和社會造成巨大損失。

內部控制作為企業建立現代企業制度、謀求生存發展以及實現戰略目標的要求，對企業處理面臨的挑戰與機遇以及實現自身發展具有重要意義。所以，為了應對大數據對企業的機遇以及挑戰，有必要對大數據公司的內部控制風險以及改進建議進行說明。

二、大數據公司的相關內部控制風險

COSO內部控制框架將內部控制分為五要素：控制環境、風險評估、控制活動、信息與溝通、監督。結合內控五要素以及上文說明，本文從這五個要素闡述公司遭遇的內部控制風險。

（一）控制環境

1.員工素質達不到標準

員工作為企業的重要資源，在促進企業正常運轉、創造價值方面有著不可替代的作用。然而，并非所有企業都擁有完善的內部控制環境，企業重大決策僅由管理層決定，員工對工作目標的理解力與執行力存在較大差異，內部控制人員存在職業素質較低等問題十分常見。在大數據時代下，企業員工對專業知識的掌握程度差異較大，公司對于人力資源的分配不均，導致員工對技術的應用與理想狀態相去甚遠。其結果就是企業經營者無法及時獲取內外部信息，在競爭與發展中趨于劣勢。

2.內部治理結構不完善

內部治理結構是保證企業內部控制能夠正常執行的基礎。近年來我國企業在很大程度上對內部治理結構進行了優化，但是問題依然存在。其中最重要的問題有兩點：一方面，治理結構形同虛設，缺乏科學決策、良性運行機制和執行力。表現為董事會、監事會和經理層職責權限、任職條件、議事規則和工作程序等不明確，無法確保決策、執行和監督相互分離，無法形成制衡，導致企業經營失敗，難以實現發展戰略。另一方面，內部機構設計不科學，權責分配不合理，表現為未對各機構職能進行合理分解，沒有確定具體崗位的名稱、職責以及工作要求等，沒有明確各個崗位的權限和相互關系。

（二）風險評估

良好的風險管理意識是實施風險評估的前提，也是企業對預防風險、控制風險以及風險應對的基礎。風險機制為企業進行風險管理提供了依據，在全面風險管理中占據重要地位。但目前，大部分企業風險管理人員為內控人員兼職，未能做到對風險進行專項管理。企業風險管理人員掌握的相關理論不充分，無法按照既定標準進行工作。機制的缺乏導致企業未及時發現風險以及未及時解決，從而阻礙了新風險的發現。

（三）控制活動

1.交易授權批準缺乏有效牽制

當李小樹重新提起這個話題的時候，我躺在床上挑起半邊嘴角不經意地輕笑了一聲。我想李小樹也會和我一樣，過不了兩天就會把這事忘得一干二凈，就像李小樹說要去尋找許春花一樣，我也只認為他只是一時沖動隨口說說而已。后來我又迷迷糊糊地睡著了，天不見亮的時候，手機又發神經地響了起來。我瞄了一眼，看到又是李小樹撥過來的電話，這次我沒給他說話的機會，接起電話我就對著話筒吼：“李小樹，你到底有完沒完？你還讓不讓人睡覺了？”

授權批準是企業基礎內部控制中的常見步驟，明確了各個崗位辦理業務和事項的權限范圍、審批程序和相應責任。傳統企業交易授權需要企業按照規定的權限和程序對投資項目進行復核、簽章，不容易出現疏漏風險。但是由于大數據公司的特殊性，在信息系統中，傳統的簽章被口令代替，一旦出現口令失效或失真，則會造成授權信息造成偏差，引發嚴重后果。

2.企業內部信息缺乏安全性，控制風險高

企業內部信息系統是企業內部控制中不可忽略的部分，由傳統紙質版本的信息逐漸演變為電子信息，從而大大減少了員工的重復工作。但是電子信息的多樣化、數字化以及較高的可交流性也給企業安全帶來了風險。惡意篡改數據、黑客入侵、隨意刪除數據等事件屢屢發生。如果企業不重視信息保護，可能會導致企業核心資料泄露甚至喪失，或者自身信息被競爭對手掌握，失去自身的核心競爭力。

（四）信息與溝通

1.信息載體變更，數據真實性受到威脅

大數據由于其對海量信息和歷史數據的匯總提煉，使其信息的載體已經不能單純是傳統的紙質媒介，需要在網絡中以特殊載體存儲。在我國，會計電算化使得財務與業務一體化，企業經營管理日益依賴網絡系統。網絡系統的復雜性、共享性使得數據很容易遭受病毒與黑客的攻擊，致使數據泄露、損毀等問題發生的概率加大。

2.信息化管理存在漏洞，內控風險系數增大

信息管理部門為信息管理提供了重要的平臺與體系，應當構成企業內部控制的重要組成部分。然而，受傳統思想的影響，信息的重要程度仍未從自我意識轉移到面向市場和消費者的數據實踐上。同時，由于信息化建設投資大，短期內難以產生收益，易引發管理者的短視行為。以上因素導致了企業以及管理者缺乏對大數據管理部門的重視程度，致使大數據管理部門形同虛設或者構建不科學、不合理。

（五）監督

三、大數據公司內部控制的構建策略

針對以上問題，本文結合實際情況，提出以下建議：

1.培養適應大數據時代的人才

大數據時代的人才需要具備處理數據、分析數據的能力。具體而言，需要在大數據獲取、計算機使用、數據分析整理儲存以及加載轉換等過程中體現自己的專業能力與意識。企業應為員工提供針對新技能和系統應用的學習課程，提升員工的技能水平與業務能力。

2.完善內部治理結構

企業應當梳理現有治理結構和內部機構，確保企業治理結構、內部機構設置符合要求。在梳理治理結構時，應當重點關注董監高以及其他高級管理人員的任職資歷和履職情況，以及管理層的運行效果。董事會應依法行使企業的經營決策權；監事會監督董事、經理和其他高級管理人員是否依法履行職責；經理層應對董事會負責，主持企業生產經營管理工作；董事會、監事會和經理層的人員構成、知識結構、能力素質應當滿足履行職責的要求。所以大數據公司中，對于數據操作背景的要求應當適當提高。同時，應當重點關注內部機構設置是否存在職能交叉、缺失或者效率低下等問題。發現組織架構設計與運行中存在缺陷的，應當優化調整，充分聽取員工意見，按照規定的權限和程序進行決策審批。

3.控制信息質量，構建并完善大數據管理部門

控制信息質量主要表現在控制信息的真實性、不對稱性以及及時性。真實性表現在對各類交易和事項相關的發生認定、完整性認定，做到不虛構、不低估所發生的經濟業務。只有保持信息的真實性，才能為內部控制提供合理準確的依據，有效做好內部控制。信息的不對稱性表現在：企業管理層可能為了業績與自身利益，有選擇性的對外披露信息，使得內部管理者與信息使用者之間存在信息不對稱。企業應當建立完善的數據管理部門，以約束管理層的利己行為，降低內外部的信息不對稱問題。同時應當強化董事監事的監督作用，與內控部門的職責相協調。在控制信息安全方面，企業應當控制內部會計信息的安全性，避免數據泄露等風險事件的發生，并通過建立防火墻、反爬蟲措施、全面分析網絡環境等措施，盡力降低網絡安全風險。

4.建立健全信息化安全管理制度，降低內控風險

企業應當建立信息與溝通制度，明確大數據內部控制相關信息的收集、處理和傳遞程序，確保信息及時溝通，促進內部控制有效運行。對收集的各種內部信息和外部信息進行合理篩選、核對、整合，提高信息的有用性。同時利用大數據信息技術促進信息的集成與共享，充分發揮信息技術在信息與溝通中的作用。

建立反舞弊機制，堅持懲防并舉、重在預防的原則，明確反舞弊工作的重點領域、關鍵環節和有關機構在反舞弊工作中的職責權限，規范舞弊案件的舉報、調查、處理、報告和補救程序。建立舉報投訴制度和舉報人保護制度，設置舉報專線，明確舉報投訴處理程序、辦理時限和辦結要求，確保舉報、投訴成為企業有效掌握信息的重要途徑。舉報投訴制度和舉報人保護制度應當及時傳達至全體員工。

5.設立風險動態監督系統，完善網絡內控措施

企業應當根據《企業內部控制準則》規范及其配套辦法，制定內部控制監督制度，明確內部審計機構（或經授權的其他監督機構）和其他內部機構在內部監督中的職責權限，規范內部監督的程序、方法和要求。可以通過建立多級動態監督系統，對企業進行日常監督與專項監督。

企業應當制定內部控制缺陷認定標準，將缺陷劃分為設計缺陷與運行缺陷。對監督過程中發現的內部控制缺陷，應當分析缺陷的性質和產生的原因，提出整改方案，采取適當的形式及時向董事會、監事會或者經理層報告。發揮系統和內部網絡平臺的優勢，建立信息共享模式，保障監督與溝通有效進行。

同時，企業應當以書面或者其他適當的形式，妥善保存內部控制建立與實施過程中的相關記錄或者資料，確保內部控制建立與實施過程的可驗證性。