大數(shù)據(jù)環(huán)境下的內(nèi)部控制體系重構(gòu)

王凡林

【摘 要】 針對當前大數(shù)據(jù)環(huán)境不同于傳統(tǒng)環(huán)境的特點，通過樣本分析和實地調(diào)查，采用規(guī)范研究等方法，揭示傳統(tǒng)內(nèi)部控制體系面臨的挑戰(zhàn)，重建大數(shù)據(jù)內(nèi)控體系。研究發(fā)現(xiàn)，以業(yè)務(wù)流程為線索、以主觀識別為手段的傳統(tǒng)內(nèi)控體系已經(jīng)不適應(yīng)大數(shù)據(jù)環(huán)境下企業(yè)運營對內(nèi)控體系的新要求。需要重建包含多層內(nèi)控功能的“大數(shù)據(jù)型內(nèi)控體系”，該體系有效運行的前提是大數(shù)據(jù)環(huán)境營造和持續(xù)的大數(shù)據(jù)治理，同時以“流內(nèi)控”模式與企業(yè)日常業(yè)務(wù)活動進行智能對接，及時捕捉控制痛點。

【關(guān)鍵詞】 大數(shù)據(jù); 大數(shù)據(jù)型內(nèi)控體系; “流內(nèi)控”模式; 大數(shù)據(jù)治理; 控制半徑

【中圖分類號】 F234.3 ?【文獻標識碼】 A ?【文章編號】 1004-5937（2020）10-0002-06

一、引言

無論內(nèi)部牽制、內(nèi)控整體框架，還是企業(yè)風險管理體系，其目標核心均聚焦在組織的戰(zhàn)略定位與日常行為的一致性上，并快速識別風險而采取行動（COSO，2004）。但是，從頻繁爆發(fā)的P2P詐騙、科技企業(yè)遭遇技術(shù)壁壘等案例來看，企業(yè)已有的內(nèi)控系統(tǒng)并未發(fā)揮作用，尤其對信息網(wǎng)絡(luò)領(lǐng)域的風險更是無能為力。那么，這一問題的癥結(jié)何在呢？分析發(fā)現(xiàn)，傳統(tǒng)內(nèi)控思想誕生于傳統(tǒng)環(huán)境，在傳統(tǒng)組織架構(gòu)和資源要素下激發(fā)控制機制的運行，實現(xiàn)企業(yè)內(nèi)控目標。目前，大數(shù)據(jù)環(huán)境影響著企業(yè)各個運營維度，企業(yè)內(nèi)控體系這一重要維度同樣需要實時調(diào)整才能持續(xù)發(fā)揮作用。

據(jù)國際數(shù)據(jù)公司（IDC，2016）統(tǒng)計，自2015年起，數(shù)據(jù)資源已經(jīng)超過傳統(tǒng)資源為企業(yè)帶來超額效益，摩根大通、谷歌、臉書等公司逾七成利潤來自大數(shù)據(jù)。該公司中國機構(gòu)的研究同樣認為，大陸科技企業(yè)的大數(shù)據(jù)貢獻率超過50%（IDC報告，2018），超過九成的企業(yè)已經(jīng)處于大數(shù)據(jù)包圍之中。換句話說，不管企業(yè)是否應(yīng)用大數(shù)據(jù)提升其競爭力，事實上已經(jīng)處于大數(shù)據(jù)的汪洋大海之中。與此同時，大數(shù)據(jù)環(huán)境下的風險也表現(xiàn)出不同于以往的特征，例如：因成本更加透明而失去談判優(yōu)勢;因分析數(shù)據(jù)不到位而錯失最優(yōu)經(jīng)營模式;因建模不到位、數(shù)據(jù)不充分而失去競爭優(yōu)勢，帶來巨大風險等。

因此，運行于傳統(tǒng)環(huán)境下的內(nèi)控體系應(yīng)進行調(diào)整或重建，才能適應(yīng)企業(yè)設(shè)置內(nèi)控體系的初衷。本文基于大數(shù)據(jù)對內(nèi)部控制體系的挑戰(zhàn)與沖擊，探討內(nèi)控體系瓦解的動因和影響，并給出再造大數(shù)據(jù)內(nèi)控體系的思路。

二、傳統(tǒng)內(nèi)控體系的局限性分析

控制論奠基人美國學者維納在其著作《控制論》（1948）中論述到，在一個獨立的系統(tǒng)中，各要素在與外界環(huán)境進行物質(zhì)、能量和信息交換中得以存在，并適應(yīng)環(huán)境[ 1 ]。系統(tǒng)之所以存在并區(qū)別于其他系統(tǒng)，在于獨特的系統(tǒng)目標和環(huán)境適應(yīng)性觸發(fā)機制。內(nèi)部控制系統(tǒng)的目標是保證企業(yè)組織按照董事會確定的戰(zhàn)略方向運行，而戰(zhàn)略是固定性和變動性的綜合集[ 2 ]，其中變動的動因來自環(huán)境，為了適應(yīng)環(huán)境的變化，企業(yè)組織內(nèi)部通過采集外部信息感知這一變化并迅速啟動自身應(yīng)急機制應(yīng)對或適應(yīng)該變化，達到實現(xiàn)組織系統(tǒng)目標的最終結(jié)果。傳統(tǒng)內(nèi)控體系的各要素中控制環(huán)境最為復雜、可變，不穩(wěn)定是其基本屬性，尤其在大數(shù)據(jù)環(huán)境下，該屬性更加突出，從大數(shù)據(jù)蔓延路徑和內(nèi)控體系自身來看，傳統(tǒng)體系的局限性更加明顯。

（一）大數(shù)據(jù)蔓延對傳統(tǒng)內(nèi)控的影響

大數(shù)據(jù)的成分復雜，來源多樣，多數(shù)數(shù)據(jù)處于不穩(wěn)定狀態(tài)中，從數(shù)據(jù)的初始采集到存儲、處理、更新到最后淘汰消失的整個蔓延路徑，均表現(xiàn)出不同于傳統(tǒng)數(shù)據(jù)環(huán)境的獨特屬性。

1.數(shù)據(jù)化環(huán)境帶來的影響

傳統(tǒng)內(nèi)控體系的構(gòu)建初衷是識別并及時消除風險，目的是實現(xiàn)企業(yè)戰(zhàn)略及運行過程中確定的大小目標，是根植于業(yè)務(wù)環(huán)境中的自控體系。將業(yè)務(wù)的運行和軌跡視為控制對象，是內(nèi)控體系的出發(fā)點和結(jié)束點，對業(yè)務(wù)的分析和評價并輔助各種控制活動是傳統(tǒng)內(nèi)控體系的鮮明特征。大數(shù)據(jù)時代的企業(yè)環(huán)境發(fā)生了很大變化，以數(shù)據(jù)要素為重要內(nèi)容的控制環(huán)境代替了傳統(tǒng)環(huán)境，以數(shù)據(jù)為導向?qū)I(yè)務(wù)的分析和控制要比傳統(tǒng)模式的以業(yè)務(wù)為導向進行預警控制更為高效便捷，其原因是大數(shù)據(jù)所反映出的業(yè)務(wù)狀態(tài)更快捷完整，主觀識別業(yè)務(wù)狀態(tài)所表現(xiàn)出的風險本身具有較大不確定性，無法達到大數(shù)據(jù)所反映出的業(yè)務(wù)狀態(tài)，因此傳統(tǒng)內(nèi)控體系瓦解是必然的。

2.大數(shù)據(jù)構(gòu)成復雜性的影響

控制體系的運行起點是某個考核指標達到閾值，而傳統(tǒng)內(nèi)控系統(tǒng)往往預設(shè)3個、5個或更多的指標群作為觸發(fā)內(nèi)控機制運行的閾值，例如對外擔保額達到5 000萬元的閾值，需要專委會的評估和董事會審批。在大數(shù)據(jù)環(huán)境下，企業(yè)組織采集信息的渠道增多，既包括人工記錄、訪談，還包括網(wǎng)絡(luò)接口、感應(yīng)設(shè)備等。多元化方式導致采集的信息成分復雜，既有接近元數(shù)據(jù)的基本粒度，又有數(shù)字、文字、符號、音頻、視頻等常規(guī)數(shù)據(jù)，還包括物理、化學、心理、虛擬等非結(jié)構(gòu)化數(shù)據(jù);既有符合第三范式（3NF）的傳統(tǒng)關(guān)系型數(shù)據(jù)處理的規(guī)范數(shù)據(jù)，又有低于第一范式（1NF）的不符合常規(guī)處理要求的“雜亂數(shù)據(jù)”。這些數(shù)據(jù)跟內(nèi)控系統(tǒng)閾值的關(guān)系復雜多樣，無法采用統(tǒng)一的戰(zhàn)略指標、運營指標或財務(wù)指標來約束。另外，因為傳統(tǒng)指標是經(jīng)過多次加工處理后得到的，離原始數(shù)據(jù)比較遠，損失較多有價值信息，也就無法精準觸發(fā)內(nèi)控體系設(shè)定的眾多控制流程，導致系統(tǒng)失靈或癱瘓，瓦解之態(tài)暴露無疑。

3.大數(shù)據(jù)歸約路徑的影響

數(shù)據(jù)歸約技術(shù)在經(jīng)濟數(shù)據(jù)分析或大數(shù)據(jù)挖掘中應(yīng)用廣泛，目的是得到數(shù)據(jù)集歸約化表示，可理解為將復雜數(shù)據(jù)簡約化，但需要保持原數(shù)據(jù)的原生態(tài)、完整態(tài)等屬性。大數(shù)據(jù)歸約的目的是減量不減值、優(yōu)化結(jié)構(gòu)算法、精準分析和挖掘矢量數(shù)據(jù)。歸約路徑體現(xiàn)了系統(tǒng)理念在評估企業(yè)運行風險中的應(yīng)用：從環(huán)境內(nèi)外的大數(shù)據(jù)入手通過歸約、清洗、關(guān)聯(lián)、解析等步驟，及時識別大系統(tǒng)中單個企業(yè)所面臨的風險，并給出各類風險暴露的預計時間列表以及風險后果和風險概率、風險動因之間的關(guān)聯(lián)程度。上述風險識別和評價不同于傳統(tǒng)風險管理和內(nèi)部控制運行機制，從大數(shù)據(jù)中識別和捕捉風險更高效和準確，與預警節(jié)奏協(xié)同的控制措施較傳統(tǒng)內(nèi)控系統(tǒng)更有針對性和全局觀念。依據(jù)美國COSO組織的ERM框架之理念，內(nèi)控體系的目標要素是組織啟動控制體系的起點，通過組織目標邊界與組織行為后果的指標比較，出現(xiàn)偏差時即啟動公司層面和業(yè)務(wù)層面的控制措施，這與大數(shù)據(jù)歸約的路徑存在較大差別：一是內(nèi)控體系的導向由傳統(tǒng)體系的以主觀經(jīng)驗判斷為主進行識別和評估，轉(zhuǎn)變?yōu)橐钥陀^數(shù)據(jù)刻畫和挖掘為核心手段的狀態(tài)數(shù)據(jù)分析過程;二是由傳統(tǒng)體系的關(guān)注組織內(nèi)部業(yè)務(wù)和信息轉(zhuǎn)變?yōu)榫C合收集和分析立體大數(shù)據(jù)為主;三是由傳統(tǒng)內(nèi)控體系的將評價、整改、跟蹤等割裂開來的內(nèi)控流程，轉(zhuǎn)變?yōu)閺慕M織目標到評價、整改和后期跟蹤評價一體化的內(nèi)控步驟及流程。

（二）傳統(tǒng)內(nèi)控體系自身的不適應(yīng)性

1.內(nèi)控體系的設(shè)計導向不適應(yīng)大數(shù)據(jù)環(huán)境

傳統(tǒng)內(nèi)控體系的設(shè)計是基于人工步驟和業(yè)務(wù)過程的經(jīng)驗邏輯，以業(yè)務(wù)風險為導向，通過人工專業(yè)判斷導致業(yè)務(wù)風險的可能因素或概率，并配置大量工作步驟或流程，以便應(yīng)對可能的風險隱患，因此內(nèi)控體系過程漫長、體量臃腫、缺乏靈活性，對內(nèi)生性風險具備一定預防作用，而對輸入型風險則被動滯后，甚至無能為力。大數(shù)據(jù)環(huán)境的內(nèi)控體系則是以數(shù)據(jù)解析為導向，將目標和閾值進行瞬時比對，可覆蓋企業(yè)內(nèi)外風險、業(yè)務(wù)關(guān)鍵點風險，包括內(nèi)生型、輸入型等風險，克服單一、滯后和主觀判斷的弊端。

2.內(nèi)控體系的要素關(guān)系不適應(yīng)大數(shù)據(jù)環(huán)境

無論COSO或ERM的國際標準，還是我國內(nèi)控規(guī)范和指引中給定的體系建議，均說明各要素之間的內(nèi)在關(guān)系：在限定企業(yè)控制環(huán)境后，依據(jù)企業(yè)目標，通過風險評估和偏好界定，選擇合適的內(nèi)控措施（流程）對可能的風險點進行規(guī)避或降低，再將過程信息報告至每一個崗位，同時輔以監(jiān)督和優(yōu)化，形成企業(yè)內(nèi)控體系的自我循環(huán)或良性運轉(zhuǎn)。看似合理的體系至少存在三方面問題：一是控制環(huán)境的局限性，例如業(yè)務(wù)環(huán)境、組織架構(gòu)等無法完全反映完整環(huán)境，導致因漏掉重要信息而錯失風險暴露關(guān)鍵時機;二是風險識別準確性無標準可依;三是信息溝通與控制活動錯位。

3.組織信息角色變化導致內(nèi)控體系的變遷

由于內(nèi)控體系與外界環(huán)境之間需要時刻進行物質(zhì)、能量和信息的交換（香農(nóng)、貝塔朗菲，1946），而組織自身運營模式發(fā)生變化對內(nèi)控體系的構(gòu)成、運行和自我修正產(chǎn)生重大影響。首先，業(yè)務(wù)運行的信息以大數(shù)據(jù)的形式收集和存儲，使得內(nèi)控體系更有效地獲取組織的運行狀態(tài);其次，控制指令更易通過大數(shù)據(jù)通道傳達到業(yè)務(wù)環(huán)節(jié)，控制半徑擴大，控制幅度更廣，控制層級更深;最后，企業(yè)戰(zhàn)略與崗位任務(wù)直接對接，協(xié)調(diào)構(gòu)成更加便捷，內(nèi)控體系發(fā)揮的作用與業(yè)務(wù)作用融為一體。

傳統(tǒng)環(huán)境與大數(shù)據(jù)環(huán)境下內(nèi)控體系的比較見表1。

三、大數(shù)據(jù)型內(nèi)控體系結(jié)構(gòu)和功能初探

如前所述，大數(shù)據(jù)環(huán)境導致傳統(tǒng)內(nèi)控體系存在諸多不適應(yīng)性，解體和重構(gòu)成為必然趨勢。本文結(jié)合大數(shù)據(jù)環(huán)境特點以及對內(nèi)控體系的內(nèi)在要求，嘗試構(gòu)建一個全新的內(nèi)控體系，這里暫稱其為大數(shù)據(jù)型內(nèi)控體系[ 2 ]。

（一）大數(shù)據(jù)型內(nèi)控體系的整體結(jié)構(gòu)

從影響內(nèi)控體系的因素來看，大數(shù)據(jù)有三方面的特點不可忽視：（1）大數(shù)據(jù)包括公司層面、業(yè)務(wù)層面、環(huán)境層面、市場主體層面的多個維度，具有豐富的信息結(jié)構(gòu)內(nèi)涵;（2）大數(shù)據(jù)既包括規(guī)范的結(jié)構(gòu)化數(shù)據(jù)，如財務(wù)表格、賬戶交易，又包括各類文本文件等半結(jié)構(gòu)化數(shù)據(jù)和圖片、視頻、動畫等非結(jié)構(gòu)化數(shù)據(jù)，挖掘這些數(shù)據(jù)背后的邏輯是內(nèi)控體系有效運行的基礎(chǔ);（3）環(huán)境中的大數(shù)據(jù)是企業(yè)各類活動的反映，所承載的信息量不同，需要專門的工具或手段來捕捉，進而輸送至內(nèi)控體系的閥門或接口，才能觸發(fā)控制體系，在構(gòu)建內(nèi)控體系時需要深入考慮。大數(shù)據(jù)型內(nèi)控體系整體結(jié)構(gòu)模型如圖1所示[ 3 ]。

大數(shù)據(jù)型內(nèi)控體系包括四部分內(nèi)容，最底層是以Hadoop大數(shù)據(jù)平臺為基礎(chǔ)的技術(shù)層、工具層和方法層。在此基礎(chǔ)上，存放各類控制數(shù)據(jù)和指標，通過比對和識別，迅速鎖定潛在風險，實時給出控制措施，包括管理控制和數(shù)據(jù)控制，將其作為控制主體，可以通過操作界面實現(xiàn)查詢和互動，直至系統(tǒng)自動化內(nèi)控體系的運行。

（二）大數(shù)據(jù)型內(nèi)控體系功能解析

1.第一層技術(shù)方法層

技術(shù)方法層主要是指Hadoop大數(shù)據(jù)平臺及數(shù)據(jù)處理手段。這是大數(shù)據(jù)型內(nèi)控體系運行的物質(zhì)基礎(chǔ)。與傳統(tǒng)內(nèi)控體系相比，該部分的創(chuàng)新屬性較強，通過并發(fā)模式，將數(shù)據(jù)流、控制流等處理加工，所采用的技術(shù)包括HDFS＼HBase＼Hadoop MapReduce，R＼SAS等。控制過程也是大數(shù)據(jù)處理過程，通過關(guān)聯(lián)、分類、聚類等分析，以及偏差檢測、預測模型、相似性挖掘等手段來識別和解析，解析的對象是能完全映射公司各個層面運行狀態(tài)的大數(shù)據(jù)，包括符合3NF的關(guān)系型數(shù)據(jù)庫表達的結(jié)構(gòu)化數(shù)據(jù)、半結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)，隨時響應(yīng)內(nèi)控體系空間的環(huán)境變化。

2.第二層基本數(shù)據(jù)層

基本數(shù)據(jù)層主要是指企業(yè)的各類信息系統(tǒng)以及二次加工的數(shù)據(jù)指標。這是大數(shù)據(jù)型內(nèi)控體系運行的依據(jù)或靈魂，所反映的企業(yè)狀態(tài)均可在本數(shù)據(jù)層中得到映射，也是內(nèi)控體系隨時診斷和監(jiān)控企業(yè)各種參數(shù)的核算要素。內(nèi)控體系運行的效果主要依賴于大數(shù)據(jù)的信息豐富程度，一般應(yīng)覆蓋宏觀環(huán)境、行業(yè)市場、競爭對手、合作伙伴、公司架構(gòu)、經(jīng)營業(yè)務(wù)等層面的多維度數(shù)據(jù)。從信息系統(tǒng)的分類來看，會從OA系統(tǒng)、CRM系統(tǒng)、ERP系統(tǒng)、SCM系統(tǒng)、EDP系統(tǒng)、HR系統(tǒng)、AIS系統(tǒng)以及其他MIS或主數(shù)據(jù)系統(tǒng)中獲取元素，因此內(nèi)控體系應(yīng)該對接此類系統(tǒng)，同時包括上述系統(tǒng)輸出數(shù)據(jù)、在加工數(shù)據(jù)，滿足風險識別或預警控制的需要。

3.第三層控制指標層

控制指標層是基于組織戰(zhàn)略目標的分解指標。這是大數(shù)據(jù)型內(nèi)控體系發(fā)揮控制作用的目標和方向，目標不明確的控制體系是難以為繼的。貝塔朗菲在其經(jīng)典著作中反復強調(diào)，任何組織都有其存在的目標，為了維持該目標而活力四射地進行各類物質(zhì)、信息和能量的交換（Von Bertalanffy，1946）。內(nèi)控體系的目標來自企業(yè)戰(zhàn)略目標，包括總體戰(zhàn)略、競爭戰(zhàn)略和職能部門的計劃目標，它們共同組成目標體系。該目標體系是通過一系列定量指標和定性指標來描述的，而諸如社會責任、環(huán)境保護、節(jié)能降耗等方面的信息可通過非結(jié)構(gòu)化指標來反映，這就構(gòu)成了控制指標層面的目標大數(shù)據(jù)。同時設(shè)計了識別和評估風險的控制邊界指標，主要適用于定性或非結(jié)構(gòu)化標準的判斷，如收入閾值、負面輿情臨界值等，這是內(nèi)控體系運行的觸發(fā)臨界點。當然，如何確定該臨界值，需要綜合考慮企業(yè)大數(shù)據(jù)、環(huán)境大數(shù)據(jù)、宏觀大數(shù)據(jù)、市場大數(shù)據(jù)、供應(yīng)鏈大數(shù)據(jù)、平均數(shù)據(jù)、峰值數(shù)據(jù)、歷史數(shù)據(jù)、災(zāi)難臨界數(shù)據(jù)等一系列數(shù)據(jù)的范圍、后果或概率。

4.第四層控制措施層

控制措施層主要是指根據(jù)內(nèi)控體系識別出的風險類別、程度、敞口及關(guān)聯(lián)度，給出的最佳應(yīng)對策略或措施組合，達到最優(yōu)風控效果，這是內(nèi)控體系中最核心和重要的功能，在給出控制措施的同時啟動執(zhí)行“開關(guān)”，實現(xiàn)組織體系精準匹配企業(yè)控制目標的最終要求。本層設(shè)計的控制措施可基于數(shù)據(jù)控制和管理控制兩方面來實施。數(shù)據(jù)控制主要依賴大數(shù)據(jù)自身的優(yōu)勢，通過“檢索”“關(guān)聯(lián)”“報警”“核算”“監(jiān)督”“審計”“可視化”“智能識別”“數(shù)據(jù)挖掘”“綜合評估”“似然關(guān)聯(lián)”“風險預警”等實現(xiàn);管理控制是通過內(nèi)控體系與業(yè)務(wù)層或管理層聯(lián)動，由控制中心將內(nèi)控體系識別捕捉到的“警情”與最關(guān)聯(lián)的業(yè)務(wù)聯(lián)系起來，提示進行風險應(yīng)對，以最大程度地減少損失。例如在簽訂或執(zhí)行合同的過程中，可以利用大數(shù)據(jù)識別出當事人的誠信等級、資金實力、履約記錄、消費實力等，以便在合作初期精準選擇恰當?shù)暮献骰锇椋坏┯龅胶贤`約風險，內(nèi)控系統(tǒng)可及時預警，提示接下來的預案或措施，達到規(guī)避合同風險的控制目標。數(shù)據(jù)控制與管理控制是一個問題的兩個方面，在實際工作中相互融合支撐，一般通過內(nèi)控體系的學習功能，不斷積累優(yōu)化最佳實踐，達到一事一計、因險施策、精準化險，避免傳統(tǒng)內(nèi)控體系中一個流程包打天下的尷尬。

5.第五層用戶層

用戶層主要是內(nèi)控體系后臺大數(shù)據(jù)與企業(yè)管理層的交流界面。通過該界面控制主體（用戶）可以交互對話關(guān)于系統(tǒng)的需求和評價，內(nèi)控體系采集崗位的關(guān)鍵控制參數(shù)，及時調(diào)整或優(yōu)化系統(tǒng)控制策略。界面功能包括交互控制、輸入輸出控制、移動控制、先驗控制、遠程控制等，為智能化、移動化、人物互聯(lián)、腦物互聯(lián)等外部環(huán)境提供數(shù)據(jù)交換接口，真正做到大數(shù)據(jù)內(nèi)控體系的體系互聯(lián)、協(xié)同控制，徹底避免內(nèi)生性、輸入性、隨機性、規(guī)律性風險在大數(shù)據(jù)內(nèi)控系統(tǒng)中醞釀、爆發(fā)或蔓延。

四、實施大數(shù)據(jù)型內(nèi)控體系的建議

（一）建立基于大數(shù)據(jù)的數(shù)控環(huán)境

“數(shù)控環(huán)境”是內(nèi)控體系運行的土壤，在某種程度上環(huán)境的反作用對內(nèi)控體系的運行效果影響巨大，因此在構(gòu)建大數(shù)據(jù)型內(nèi)控體系時，首先要規(guī)劃數(shù)控壞境。按照COSO、COBIT、ISO規(guī)范等體系的布局原則，大數(shù)據(jù)型內(nèi)控體系的運行環(huán)境包括以下三點：一是思想意識環(huán)境，即組織成員要樹立大數(shù)據(jù)風險意識、大數(shù)據(jù)治理意識;二是大數(shù)據(jù)安全環(huán)境，因為大數(shù)據(jù)的構(gòu)成比較復雜，每一個數(shù)據(jù)來源和流向必須有安全控制措施，只有保證數(shù)據(jù)安全、信息完整可靠，才能作為內(nèi)控體系的核心內(nèi)容加以利用;三是人文、法制環(huán)境，包括網(wǎng)絡(luò)倫理、信息化道德、數(shù)字法制、規(guī)則意識等均要實現(xiàn)布局，并持續(xù)完善。

（二）在組織中嵌入大數(shù)據(jù)治理框架

大數(shù)據(jù)環(huán)境因素的導入，改變了傳統(tǒng)公司治理的目標、結(jié)構(gòu)和壓力輸送渠道，尤其是以利益制衡為導向的公司治理模式逐漸被以信息控制為導向的治理模式所替代。因此，在公司治理的基礎(chǔ)上嵌入大數(shù)據(jù)治理框架，以便適應(yīng)大數(shù)據(jù)下公司治理的目標要求（見圖2）。

大數(shù)據(jù)治理是公司治理的一部分，屬于IT治理范疇，按照COSO和COBIT的框架理論，該治理結(jié)構(gòu)應(yīng)包括三大部分：一是大數(shù)據(jù)Hadoop平臺，從信息集成、信息治理、流計算、加速器、過濾器、數(shù)據(jù)倉庫等方面處理和規(guī)范數(shù)據(jù);二是在此基礎(chǔ)上對已有數(shù)據(jù)進行處理、探究和應(yīng)用，發(fā)揮工具性作用;三是風險可視化查詢、內(nèi)控應(yīng)用開發(fā)、評價系統(tǒng)管理等，起到基礎(chǔ)平臺作用。

IT治理是大數(shù)據(jù)型內(nèi)控體系發(fā)揮作用的監(jiān)督機制，從治理對象、治理標準、COBIT標準、治理成熟度等方面，通過與公司治理以及大數(shù)據(jù)治理的兩端對接，實現(xiàn)IT治理效果和目標。治理的效果是信息資源符合公司治理的目標，減少各利益相關(guān)主體間的信息不對稱性，均衡各方利益。按照國際信息系統(tǒng)審計控制協(xié)會（ISACA）的定義和精神，符合COBIT和ITG原則的治理目標與公司治理目標是一致的，但需要考慮信息要素的加入對原有機制的調(diào)整和再平衡。

（三）引入智能化“流內(nèi)控”模式

大數(shù)據(jù)型內(nèi)控體系的核心邏輯是依據(jù)大數(shù)據(jù)所反映的企業(yè)風險蔓延路徑，及時觸發(fā)控制機制，將風險遏制于萌芽狀態(tài)，從而保障整個企業(yè)按既定目標運行。這里的大數(shù)據(jù)控制體系將從組織內(nèi)外、業(yè)務(wù)全階段、事件各環(huán)節(jié)收集捕捉各種風險信號，利用現(xiàn)代大數(shù)據(jù)處理技術(shù)，提前分析、預警可能發(fā)生的目標錯位或風險失控信號。因此，本文所構(gòu)建的以分析大數(shù)據(jù)為主的內(nèi)控體系不同于傳統(tǒng)以分析業(yè)務(wù)為導向的內(nèi)控體系，本文將其稱為“流內(nèi)控”模式，是大數(shù)據(jù)內(nèi)控體系實施的具體選項。該模式的數(shù)據(jù)流就像企業(yè)組織的血液，內(nèi)控體系需要從血液的狀態(tài)分析出可能的風險并加以控制，這是從企業(yè)風險的“病根”上診斷病情，從切斷風險的病因上根除風險，尋找“病根”的過程是一個將風險信號以智能化手段捕捉的過程，需要綜合剖析企業(yè)戰(zhàn)略目標、產(chǎn)品生命周期階段、市場反應(yīng)、競爭對手行為、市場主體博弈等各方信息，以及本企業(yè)歷史數(shù)據(jù)、沉淀成本和應(yīng)急條件，構(gòu)建智能化模型，通過n，n+1，...，n+t等試錯和優(yōu)化路徑，最終得到適合本企業(yè)組織的治理模式，拋棄傳統(tǒng)內(nèi)控體系那種一個流程統(tǒng)管所有業(yè)務(wù)，僅靠內(nèi)部牽制等相互制約、犧牲效率等手段實現(xiàn)風險防范的弊端。

“流內(nèi)控”模式的運行需與業(yè)務(wù)流程綁定，內(nèi)控所需信息要及時從業(yè)務(wù)流中獲取，再結(jié)合環(huán)境等的大數(shù)據(jù)判斷，來實時診斷業(yè)務(wù)過程中的風險，其與業(yè)務(wù)流動的關(guān)系如圖3所示。需要注意的是，對復雜業(yè)務(wù)所表現(xiàn)出的非結(jié)構(gòu)化數(shù)據(jù)的風險預測，可使用預測模型標記語言（PMML）實現(xiàn)大數(shù)據(jù)預測的有效部署，進而實施預測分析的應(yīng)用，例如利用R語言實現(xiàn)隱性風險的可視化，做到內(nèi)控行為的外部化、顯性化。

【參考文獻】

[1] 宋健.科學與社會系統(tǒng)論[M].濟南：山東科學技術(shù)出版社，1991：50-68.

[2] 拉茲洛.用系統(tǒng)論的觀點看世界[M].北京：中國社會科學出版社，1985：112-125.

[3] 趙剛.大數(shù)據(jù)技術(shù)與應(yīng)用實踐指南[M].北京：電子工業(yè)出版社，2016：330-351.