杭天竹（南京审计大学　管理科学与工程学院，南京 211815）

大数据环境下的企业信息系统内部控制风险探析

杭天竹
（南京审计大学管理科学与工程学院，南京 211815）

大数据是现在理论界和实务界都研究的热点问题，虽然有较多学者从不同角度对企业信息系统内部控制风险进行过分析，但尚缺少大数据环境下的企业信息系统内部控制风险研究。本文针对大数据的概念和特点，阐述了研究大数据环境下企业信息系统内部控制风险的必要性。对企业信息系统内部控制对象——硬件、软件、人员、信息、运行规程等要素逐一划分风险关键控制过程，探析了大数据环境下，不同控制对象在信息系统建设过程中存在的主要风险，并据此提出了相应的企业信息系统内部控制风险管理方法。

大数据；信息系统；内部控制；风险

1　研究大数据环境下企业信息系统内部控制风险的必要性

1.1分析企业信息系统内部控制风险具有重要意义

2010年，财政部等部门联合发布了《企业内部控制应用指引第18号——信息系统》，这对加强企业的信息系统内部控制风险管理具有重要、有效的指导作用。企业信息系统的建设改变了传统的信息处理方式，改革了传统的企业结构和运行模式，同时企业资源得到高度的共享。但是，对于企业信息系统而言，风险是客观存在的，例如：信息系统的规划安排不合理，可能会导致部门之间信息相互脱节；没有系统运行维护过程，可能会导致信息的泄露和系统寿命的缩短等问题。因此，信息系统内部控制每个对象的建设过程中都存在着不可忽视的风险，周密的信息系统安全风险分析是可靠的内部控制风险管理必不可少的过程，企业必须正视风险，有效防控。

1.2大数据的概念和特点

2012年以来，大数据引起了全世界的高度关注，麦肯锡咨询公司是研究大数据的先驱，在2011年发表的报告《大数据：创新、竞争和生产力的下一个前沿》中，把大数据定义为：大小超出一般的数据库工具能够采集、存取、管理和分析等的数据集。虽然大数据没有公认的统一定义，但都强调了数据的庞大和复杂。IBM提出了大数据的5V特点：Volume（大量）、Velocity（高速）、Variety（多样性）、Value（价值）、Veracity（真实性）。大数据的定义和特点直接决定了它给企业的运行和发展带来了重大的机遇和挑战。

1.3大数据环境下企业信息系统内部控制风险发生变化

伴随着企业信息化建设进程的加深，企业获得的数据也正在逐渐累积，催生了大数据时代的到来。相比传统环境，在大数据环境下，企业的信息系统在建设过程中遇到的风险会发生变化，一些风险值比较小的建设过程在新的环境下可能会变得至关重要，例如：在大数据时代，对存储系统的要求更高，高性能仅仅是基础要求，并行分布、异构资源整合等特点是降低企业信息系统风险的新要求。当然也会产生一些因环境变化带来的新风险，例如：在大数据时代，数据人才在企业信息系统建设过程中必不可少，并直接关乎信息系统建设在大数据环境下的满意程度和可持续发展程度。为了降低大数据环境下企业信息系统在不同阶段发生的风险，提高企业的经营效益，最终确保信息系统的成功，企业需要加强信息系统内部控制风险管理工作。总结国内外文献，发现有关大数据环境下信息系统内部控制的研究并不多。所以，研究大数据环境下的企业信息系统内部控制风险具有理论意义和应用价值。

2　大数据环境下的企业信息系统内部控制风险

大数据环境下企业信息系统内部控制的风险分析相比非大数据环境下的更复杂，更具有挑战性。本文根据COBIT框架和我国《企业内部控制应用指引第18号——信息系统》，得知信息系统内部控制的主要对象是信息系统，所以，本文从信息系统内部控制对象——硬件、软件、人员、信息和运行规程等信息系统组成要素角度探析了大数据环境下企业信息系统内部控制的主要风险。通过文献阅读，发现很多作者从COBIT的IT域——规划与组织、采集与实施、交付与支持和监控角度来划分企业信息系统风险，这种划分方法中风险控制过程比较粗略和宽泛，不能准确地知道是哪个对象在哪个环节发生了风险，从而降低了风险监测的准确性和及时性。而本文从控制对象进行过程划分，风险分析控制会更加细化、更有针对性和有效性。大数据环境下的企业信息系统内部控制风险关键控制过程见表1。

表1　大数据环境下的企业信息系统内部控制风险关键控制过程

2.1硬件风险

企业信息系统的硬件的风险主要包括事前规划、采购建设、运行维护等过程。在硬件采购前，企业必须确定与业务目标和战略目标相吻合的IT战略计划，以此明确企业硬件采购目标。信息化硬件建设需要得到企业各级一把手的大力支持，如果高层不重视、不支持，可能会导致企业各个部门的消极怠工，不配合信息化部门工作，那么，信息系统的内部控制会失效，最终导致信息系统运行的失败。

大数据环境对硬件的存储容量、运算性能、扩展性能等有了更高的要求。随着数据的海量爆发，首先冲击的是企业的硬盘存储。以前的结构化数据有一定的规律性，存储比较简单机械。但是随着大量半结构化和非结构化数据的产生，如果企业还是采用传统环境下不断扩展容量的办法来解决问题，将无法提高数据的存储速度，且缩短了硬件设备的寿命。于是出现了基于闪存的固态硬盘（SSD），在性能方面它有很多优点：数据存取速度快、体积小、耗能低、工作温度范围大等。所以，SSD固态硬盘可以发展为大数据存储的一种新的硬件选择。

很多企业在信息化硬件建设过程中，发现单个系统的功能都比较有效，但是整个系统的功能却达不到预期要求，经过研究，找到一个重要的原因是硬件集成的失败，硬件集成是通过硬件设备将各个子系统连接起来，这关系到信息系统的完整性和有效性。在大数据环境中，市场需求在不断发生变化，企业如果不对信息系统硬件进行持续维护、二次开发和升级，信息系统可能会面临失效的危险。

2.2软件风险

在对信息系统软件内部控制的过程中，主要涉及需求分析与规划、软件设计、编码与测试、运行维护等不同过程。

在需求分析与规划阶段，本文主要涉及与大数据密切相关的文件系统、数据处理系统的分析。在传统环境下，企业通过ETL工具将数据从来源端经过抽取、转换、加载到数据仓库中进行存储，但是传统数据仓库的数据存储量很少超过 TB量级，所以传统的数据仓库技术并不能满足大数据的存储，如果不改进传统的文件系统，将会限制企业信息系统的运行和发展。近年来，比较热门的大数据文件系统是开源项目Hadoop软件架构下的分布式文件系统HDFS（Hadoop Distributed File System），部署在廉价的机器上，可以存储大文件，具有较高的吞吐量。在此基础上，又发展了QFS（Quantcast File System），它在读写速度、兼容性上更优于HDFS，能够节省50%的磁盘空间。企业在选择文件系统时，要规避传统数据存储技术带来的风险，结合自身的业务特点以及预算约束，选择最适合自身在大数据环境下发展的文件系统。

数据处理系统模式主要是批处理和流处理，批处理的第一步是存储，然后再处理，提高系统吞吐量，而流处理是直接处理，实时收集大量数据。在不同的企业应用场景需要用到不同的数据处理模式，需要采用流数据处理的主要有网页点击、传感器网络等实时性很强的场景，例如：Twitter的Storm、Amazon 的Spark和Linkedin的Samza等。MapReduce软件框架是最具有代表性的批处理模式，在实际中，大多企业采用批处理模式。最终企业是选择某一种处理模式还是结合两种模式，都要根据企业自身的需求灵活选择，否则，可能会增加企业在数据处理模式控制上的风险。

软件设计中的业务处理设计是信息系统内部控制重要的环节之一。如果业务处理流程或者权限控制设计不合理，将会导致业务流程重组的失败，影响数据的正确性、业务处理的速度和信息系统的安全性。控制功能设计在信息化建设过程中也必不可少，如果缺少系统控制功能设计，大部分靠人工控制，企业业务数据的准确性可能会下降，可能会发生错误和舞弊。

编码与测试、运行维护过程是企业信息系统建设的重要IT过程，编码是进行模块测试的前提，没有规范的编码，可能会加大后期信息系统运行维护的难度，而测试又是使设计的软件达到预期要求的检验过程。软件维护升级是保证信息系统可持续发展的充分条件，通过对软件不断的修改和升级提高信息系统的满意度。

除了对以上软件过程风险控制，还需要加强对软件集成的风险控制。没有软件集成，异构软件的相互连接可能会发生错误，数据利用率可能会降低，从而不能发挥大数据给企业信息系统带来的优势与效益。

2.3人员风险

在大数据环境下，企业对员工的素质和专业能力要求更高，招聘员工不仅需要具备丰富的业务知识，还需要具备一定的数据算数专业知识，大数据领域的技术人员和商业人才对企业在大数据环境中的信息化建设尤其重要。

大数据人才培养在当下竞争激烈的商业环境中显得尤其重要，通过大数据知识学习的相关培训，可以加强员工对大数据的认识深度。没有系统的、先进的大数据知识培训，企业员工在收集数据、使用数据、管理数据能力上的缺失会造成企业丢失大数据机遇，错过发展自身优势，最终被新环境淘汰的局面。企业信息系统内部控制需要确保IT人员的不相容岗位互相分离、制约和监督，否则可能会给企业带来破坏和舞弊行为，增加信息系统风险。

企业需要明确各部门的职责权限和授权审批程序，如果没有对人员进行合理授权管理，可能会导致数据的泄露和非法修改，降低数据安全性和真实性，对信息系统造成重大伤害。

在大数据环境下，对员工的考核如果仅限于业务的处理，而没有涉及大数据知识和技能的考核，可能会导致企业不能充分发挥信息系统的优势和效益。

2.4信息风险

大数据时代的到来，拓宽了数据和信息的采集源，学习新的数据采集技术是企业适应大数据发展的前提，Hadoop的Chukwa、Cloudera的Flume、Facebook的Scribe等都是比较著名的数据采集工具。所以，企业为了加强信息系统内部控制，降低信息系统风险，需要学习大数据采集技术和方法。数据信息集成是建立在硬件和软件集成的基础上的，是系统集成的核心，如果没有数据信息集成，可能会降低数据信息的共享性，造成信息的泄露的严重后果。数据清洗是数据分析利用前的最后一道程序，可以发现并纠正数据错误、丢失等问题，提高后续工作的效率和输出结果的准确性。比较有名的数据清洗工具有：Data Wrangler和Google Refine等。

大数据时代下被称为资产的数据将直接决定企业在大数据环境下的可持续发展能力。大数据环境下，基于云技术的云存储得到很多大型企业的偏爱，云存储可以解决因海量非结构化数据的增长而带来的难题，提高了数据存储效率，但云端虚拟化技术在解决存储空间浪费问题的同时也带了新的风险，例如：攻击扩散率加快等。企业需要加强保护数据的完整性和可靠性，以减少企业信息系统的风险，提高系统的空间利用率和安全性。

大数据的价值不在于数据本身，而在于如何通过数据分析计算工具，得到对企业发展有利的分析和预测。大数据的分析技术具有高扩展性、低成本、容错性等优点，运用大数据技术有利于数据信息的加工整理，否则可能会降低信息的有效性，降低信息系统的可靠性和稳定性。所有的大数据分析结果都需要以清晰易懂的方式展现给企业管理者，例如：图表、流程图、网络图、层级面板视图等方式，以此来减低企业信息系统风险，促进信息系统的改进和发展。

企业在大数据环境下需要注重灾备系统的建设过程。在大数据环境下，企业的灾备系统目标需要细化，不仅仅针对破坏性强的故障，对于频发的故障也要重视，结合故障发生的可能性和破坏程度对故障重新定义，合理安排企业资源预防和解决问题。否则，可能会导致灾备系统的重建，从而影响信息系统的正常运行。

2.5运行规程风险

硬件和软件在企业信息系统中相互依存、协同发展、缺一不可，而不规范的软硬件评估的技术要求和标准，会导致评估过程的无效，同时不能保证采购过程的规范和合理。

系统开发和变更制度是企业信息系统所有规程中最基础的，所以对其内部控制显得尤其重要。企业如果没有合适的系统开发制度，会使得系统开发无据可依，导致系统无目的的开发，造成企业资源的浪费，最终酿成信息系统建设失败的严重后果；系统变更制度可以在很大程度上明确系统程序职责分工和权限管理，减少未授权的修改过程，从而保证信息系统的合法、正常运行。

企业信息系统的安全管理制度包括物理安全、数据信息安全等，如果没有这些制度可能会给信息系统带来安全隐患。信息系统的物理安全涉及整个系统，是信息系统安全运行的基本保障。在大数据时代，企业对数据信息安全的重视程度逐渐提高，数据已经成为新的资产，企业在挖掘分析数据的同时，如果没有做好数据信息的安全管理工作，可能导致数据的篡改和泄露，造成客户隐私的暴露和信息系统的崩溃等严重后果。

为了降低信息系统运营成本，合理安排人力资源，企业可能会将非核心业务外包给其他企业。所以，企业需要对第三方服务商进行严格的控制和管理，否则可能会泄露企业机密，降低信息系统的安全性和可用性。为了保证信息系统的可持续发展，企业需要对信息系统功能、效益、安全性等进行定期的评价，发现问题并改进。

3　结语

本文根据大数据的特点和研究现状，从信息系统内部控制对象角度出发，探析了大数据环境下企业信息系统内部控制的主要风险。通过本文研究可知，大数据在创造机遇的同时也给企业信息系统带来了新的风险。所以，在大数据环境下，为了更有针对性、更有效地降低传统风险和新风险，企业应当细化信息系统建设过程中的风险对象和过程，加强信息系统内部控制。

主要参考文献

［1］陈伟.大数据环境下的电子数据审计：机遇，挑战与方法［J］.计算机科学，2016，43（1）：8－13，34.

［2］吴炎太，林斌，孙烨.基于生命周期的信息系统内部控制风险管理研究［J］.审计研究，2009（6）：87－92.

［3］杨丽彬，李海林，张飞波.大数据环境下的管理信息系统发展研究［J］.大数据，2016（1）：86-98.

［4］Tuttle B，Vandervelde S D.An Empirical Examination of COBIT as an Internal Control Framework for Information Technology［J］.International Journal of Accounting Information Systems，2007，8（4）：240－263.

［5］Moorthy J，Lahiri R，Biswas N，et al.Big Data：Prospects and Challenges ［J］.Vikalpa，2015，40（1）：74－96.

10.3969/j.issn.1673-0194.2016.17.027

F232

A

1673-0194（2016）17-0059-04

0引言

2016-05-25

南京审计大学研究生实践创新计划项目（MG2015007）。高信息系统的效率与效益，实现企业资源的合理分配，最终实现战略目标，具有重大的意义。本文从信息系统内部控制的对象角度出发，对大数据环境下企业信息系统内部控制风险进行探析。

2015年9月，国务院印发了《促进大数据发展行动纲要》，充分证明了研究大数据环境的重要性。信息技术与经济社会的融合发展引发了数据的迅猛增长，大数据时代对社会生产经济产生了重要的影响，为了在竞争激烈的商业环境中生存下来，企业需要顺应大数据的发展潮流。如何在大数据环境下加强信息系统内部控制，降低风险，形成良好的信息传递渠道，对于提