郭宸昊

一、大数据产业

（一）大数据的国家战略地位

大数据在我国的发展大致经历了三个阶段：

1.初步发展期2015年—2016年

2015年8月31日，国务院印发《促进大数据发展行动纲要》，文件明确了大数据的发展性质和重要意义，指出了当前及以后的主要任务，为大数据在中国的发展明确了指导思想、政策机制与总体目标。

2. 发展爆发期2017年—2018年

2017年1月17日，为贯彻落实《中华人民共和国国民经济和社会发展第十三个五年规划纲要》和《促进大数据发展行动纲要》，加快实施国家大数据战略，推动大数据产业健康快速发展，工信部编制了《大数据产业发展规划（2016年-2020年）》。文件再次明确了大数据对于国家发展的重要作用，指出：“抢抓机遇，推动大数据产业发展，对提升政府治理能力、优化民生公共服务、促进经济转型和创新发展有重大意义。”同时提出了强化大数据技术产品研发、深化大数据创新应用、促进行业大数据应用发展等重要任务。

2018年3月5日，李克强总理在政府工作报告中总结过去五年工作时指出，大数据、人工智能加速了新旧动能转换；强调要实施大数据发展行动，加强新一代人工智能研发应用，在医疗、养老、教育、文化、体育等多领域推进“互联网+”等；在谈到创新食品药品监管方式时，提出“注重用互联网、大数据等提升食品药品的监管效能”。这已经是大数据第五次写入政府工作报告。

3. 发展持续期（2019年起 ）

2019年1月17日，中国大数据产业大会在北京召开，工信部信息化和软件服务业司软件产业处副处长张毅夫表示，随着新一代信息技术的蓬勃发展，数据已成为重要的基础资源，催生了大数据和数字经济的快速发展。大数据产业政策持续完善，技术创新取得突破，行业应用不断深入，产业效能不断增强。

据国家发改委等权威机构预测，到2020年，我国的数据总量将会超过8000亿PB，占全球数据总量的比例达到20%，我国大数据市场规模将超过8000亿元。预计到2020年，我国工业大数据的占比将达到6.64%。由此可以看出，经过数年发展，大数据已经从起步阶段进入黄金时期，并且在未来有着广阔的应用前景。

（二）大数据的概念

有关大数据的概念一直没有统一定论。大数据的概念起源于上世纪90年代，被指代处理与分析大量数据。直到2008年该词才逐渐流 行（RodKitchin，2013)。 大 数据最初指代的是海量规模(Moffitt和 Vasarhelyi，2013)， 包 括 太大、太复杂而无法使用标准方法或工具操作或查询的数据集(McAfee和 Brynjolfsson，2012)。 但 是，大数据并不是小数集的简单累加（ArtWorsteretal.,2014）。

随后，对于大数据的定义有了新的拓展。KurtFanning和RitaGrant（2013）从两个方面对大数据进行定义：一方面，大数据是现今环境产生的海量数据；另一方面，使用者能够从大数据中发现有价值的信息。该看法强调了大数据的海量性与有用性。其他学者从除“海量性”和“有用性”以外的其他特性对大数据进行了定义：除了海量性、有用性以外，大数据还具有及时性、多样性和准确性(Buhl,Moser,and Heidemann2013)。NetApp公司认为大数据应包括分析(Analytic)、带宽(Bandwidth)和内容(Content)三大要素。

另一部分权威公司及网站仅从宏观上给出了大数据的定义：Wikipedia将大数据定义为“无法在一定时间内用常规软件工具对其内容进行抓取、管理和处理的数据集合”；权威IT研究与顾问咨询公司Gartner将大数据定义为“在一个或多个维度上超出传统信息技术的处理能力的极端信息管理和处理问题”；美国国家科学基金会(NSF)则将大数据定义为“由科学仪器、传感设备、互联网交易、电子邮件、音视频软件、网络点击流等多种数据源生成的大规模、多元化、复杂、长期的分布式数据集”。

为便于分析，综合以上定义，本文将大数据总结为超越传统信息技术处理能力，且具有及时性、多样性、准确性，能为使用者提供有用信息的海量数据集合。

（三）大数据公司的概念及业务范围

大数据公司通常是指有获取大数据能力以及可以利用大数据进行分析预测的公司。国内大数据公司可以分为两类：一类是已经具备获取大数据能力的公司，如百度、腾讯、阿里巴巴等互联网巨头以及华为、浪潮、中兴等国内领军企业，业务涵盖了数据采集、数据存储、数据分析、数据可视化以及数据安全等领域。

另一类是初创的大数据公司，特征为依赖大数据工具，针对市场需求，为市场带来创新方案并推动技术发展。其中大部分的大数据应用需要第三方提供服务。业务范围主要涉及：（1）为电商企业提供个性化推荐引擎的大数据公司，包括推荐引擎、分析引擎和营销引擎等，覆盖大数据全产业链的实现路径。（2）实现大数据的采集、分析、处理，为各大企业提供高端信息技术咨询服务，通过构建数据资产分享和交易平台把数据或信息作为资产直接进行销售，面向个人提供基于数据分析结果的服务。（3）为传统企业提供大数据技术平台搭建和大数据驱动，整合高性能的计算和存储能力，为大数据的挖掘和分析提供专业稳定的IT基础设施平台，实现大数据存储统一管理，帮助企业精准预测和构建用户特征，搭建以用户为中心的大数据运营体系。

可见，大数据公司有着不同于传统企业的复杂业务，对于数据获取、处理、分析有着更高的要求。

（四）大数据公司的风险

大数据操作的复杂性令公司存在较大的风险。2018年，国内外企业因大数据而导致损失的案例层出不穷，主要原因有以下几点：

1.系统设置不当导致信息泄露

印度国家数据库Aadhaar因系统设置失误，导致信息泄露；美国最大面包连锁店Panerabread旗下网站泄露了数百万顾客记录，原因在于Panerabread网站纯文本数据包含了顾客的详细个人资料。

2.未设立防火墙等安全措施导致黑客攻击

加拿大大型商场电脑系统遭受黑客攻击，12.5万用户信息在黑市倒卖。美国Ticketfly遭受黑客攻击，离线中断一周。2018年6月，来自Exactis的4亿条信息由于服务器未使用防火墙加密而泄露。其他诸如北京瑞智华盛公司、圆通速递、万豪酒店集团、顺丰速运、前程无忧等公司也都存在因黑客入侵、服务器系统故障等原因造成大量信息泄露。

3.人为操作导致信息泄露

华住酒店5亿条用户信息疑似因程序员操作失误而泄露。2018年3月，至少87000万条信息从Facebook泄露，原因是剑桥咨询公司通过app窃取用户信息。由此可见，虽然大数据在公司发展中扮演重要角色，但如对其操作及保护不当，也可能为企业和社会造成巨大损失。

内部控制作为企业建立现代企业制度、谋求生存发展以及实现战略目标的要求，对企业处理面临的挑战与机遇以及实现自身发展具有重要意义。所以，为了应对大数据对企业的机遇以及挑战，有必要对大数据公司的内部控制风险以及改进建议进行说明。

二、大数据公司的相关内部控制风险

COSO内部控制框架将内部控制分为五要素：控制环境、风险评估、控制活动、信息与沟通、监督。结合内控五要素以及上文说明，本文从这五个要素阐述公司遭遇的内部控制风险。

（一）控制环境

1.员工素质达不到标准

员工作为企业的重要资源，在促进企业正常运转、创造价值方面有着不可替代的作用。然而，并非所有企业都拥有完善的内部控制环境，企业重大决策仅由管理层决定，员工对工作目标的理解力与执行力存在较大差异，内部控制人员存在职业素质较低等问题十分常见。在大数据时代下，企业员工对专业知识的掌握程度差异较大，公司对于人力资源的分配不均，导致员工对技术的应用与理想状态相去甚远。其结果就是企业经营者无法及时获取内外部信息，在竞争与发展中趋于劣势。

2.内部治理结构不完善

内部治理结构是保证企业内部控制能够正常执行的基础。近年来我国企业在很大程度上对内部治理结构进行了优化，但是问题依然存在。其中最重要的问题有两点：一方面，治理结构形同虚设，缺乏科学决策、良性运行机制和执行力。表现为董事会、监事会和经理层职责权限、任职条件、议事规则和工作程序等不明确，无法确保决策、执行和监督相互分离，无法形成制衡，导致企业经营失败，难以实现发展战略。另一方面，内部机构设计不科学，权责分配不合理，表现为未对各机构职能进行合理分解，没有确定具体岗位的名称、职责以及工作要求等，没有明确各个岗位的权限和相互关系。

（二）风险评估

良好的风险管理意识是实施风险评估的前提，也是企业对预防风险、控制风险以及风险应对的基础。风险机制为企业进行风险管理提供了依据，在全面风险管理中占据重要地位。但目前，大部分企业风险管理人员为内控人员兼职，未能做到对风险进行专项管理。企业风险管理人员掌握的相关理论不充分，无法按照既定标准进行工作。机制的缺乏导致企业未及时发现风险以及未及时解决，从而阻碍了新风险的发现。

（三）控制活动

1.交易授权批准缺乏有效牵制

当李小树重新提起这个话题的时候，我躺在床上挑起半边嘴角不经意地轻笑了一声。我想李小树也会和我一样，过不了两天就会把这事忘得一干二净，就像李小树说要去寻找许春花一样，我也只认为他只是一时冲动随口说说而已。后来我又迷迷糊糊地睡着了，天不见亮的时候，手机又发神经地响了起来。我瞄了一眼，看到又是李小树拨过来的电话，这次我没给他说话的机会，接起电话我就对着话筒吼：“李小树，你到底有完没完？你还让不让人睡觉了？”

授权批准是企业基础内部控制中的常见步骤，明确了各个岗位办理业务和事项的权限范围、审批程序和相应责任。传统企业交易授权需要企业按照规定的权限和程序对投资项目进行复核、签章，不容易出现疏漏风险。但是由于大数据公司的特殊性，在信息系统中，传统的签章被口令代替，一旦出现口令失效或失真，则会造成授权信息造成偏差，引发严重后果。

2.企业内部信息缺乏安全性，控制风险高

企业内部信息系统是企业内部控制中不可忽略的部分，由传统纸质版本的信息逐渐演变为电子信息，从而大大减少了员工的重复工作。但是电子信息的多样化、数字化以及较高的可交流性也给企业安全带来了风险。恶意篡改数据、黑客入侵、随意删除数据等事件屡屡发生。如果企业不重视信息保护，可能会导致企业核心资料泄露甚至丧失，或者自身信息被竞争对手掌握，失去自身的核心竞争力。

（四）信息与沟通

1.信息载体变更，数据真实性受到威胁

大数据由于其对海量信息和历史数据的汇总提炼，使其信息的载体已经不能单纯是传统的纸质媒介，需要在网络中以特殊载体存储。在我国，会计电算化使得财务与业务一体化，企业经营管理日益依赖网络系统。网络系统的复杂性、共享性使得数据很容易遭受病毒与黑客的攻击，致使数据泄露、损毁等问题发生的概率加大。

2.信息化管理存在漏洞，内控风险系数增大

信息管理部门为信息管理提供了重要的平台与体系，应当构成企业内部控制的重要组成部分。然而，受传统思想的影响，信息的重要程度仍未从自我意识转移到面向市场和消费者的数据实践上。同时，由于信息化建设投资大，短期内难以产生收益，易引发管理者的短视行为。以上因素导致了企业以及管理者缺乏对大数据管理部门的重视程度，致使大数据管理部门形同虚设或者构建不科学、不合理。

（五）监督

三、大数据公司内部控制的构建策略

针对以上问题，本文结合实际情况，提出以下建议：

1.培养适应大数据时代的人才

大数据时代的人才需要具备处理数据、分析数据的能力。具体而言，需要在大数据获取、计算机使用、数据分析整理储存以及加载转换等过程中体现自己的专业能力与意识。企业应为员工提供针对新技能和系统应用的学习课程，提升员工的技能水平与业务能力。

2.完善内部治理结构

企业应当梳理现有治理结构和内部机构，确保企业治理结构、内部机构设置符合要求。在梳理治理结构时，应当重点关注董监高以及其他高级管理人员的任职资历和履职情况，以及管理层的运行效果。董事会应依法行使企业的经营决策权；监事会监督董事、经理和其他高级管理人员是否依法履行职责；经理层应对董事会负责，主持企业生产经营管理工作；董事会、监事会和经理层的人员构成、知识结构、能力素质应当满足履行职责的要求。所以大数据公司中，对于数据操作背景的要求应当适当提高。同时，应当重点关注内部机构设置是否存在职能交叉、缺失或者效率低下等问题。发现组织架构设计与运行中存在缺陷的，应当优化调整，充分听取员工意见，按照规定的权限和程序进行决策审批。

3.控制信息质量，构建并完善大数据管理部门

控制信息质量主要表现在控制信息的真实性、不对称性以及及时性。真实性表现在对各类交易和事项相关的发生认定、完整性认定，做到不虚构、不低估所发生的经济业务。只有保持信息的真实性，才能为内部控制提供合理准确的依据，有效做好内部控制。信息的不对称性表现在：企业管理层可能为了业绩与自身利益，有选择性的对外披露信息，使得内部管理者与信息使用者之间存在信息不对称。企业应当建立完善的数据管理部门，以约束管理层的利己行为，降低内外部的信息不对称问题。同时应当强化董事监事的监督作用，与内控部门的职责相协调。在控制信息安全方面，企业应当控制内部会计信息的安全性，避免数据泄露等风险事件的发生，并通过建立防火墙、反爬虫措施、全面分析网络环境等措施，尽力降低网络安全风险。

4.建立健全信息化安全管理制度，降低内控风险

企业应当建立信息与沟通制度，明确大数据内部控制相关信息的收集、处理和传递程序，确保信息及时沟通，促进内部控制有效运行。对收集的各种内部信息和外部信息进行合理筛选、核对、整合，提高信息的有用性。同时利用大数据信息技术促进信息的集成与共享，充分发挥信息技术在信息与沟通中的作用。

建立反舞弊机制，坚持惩防并举、重在预防的原则，明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限，规范舞弊案件的举报、调查、处理、报告和补救程序。建立举报投诉制度和举报人保护制度，设置举报专线，明确举报投诉处理程序、办理时限和办结要求，确保举报、投诉成为企业有效掌握信息的重要途径。举报投诉制度和举报人保护制度应当及时传达至全体员工。

5.设立风险动态监督系统，完善网络内控措施

企业应当根据《企业内部控制准则》规范及其配套办法，制定内部控制监督制度，明确内部审计机构（或经授权的其他监督机构）和其他内部机构在内部监督中的职责权限，规范内部监督的程序、方法和要求。可以通过建立多级动态监督系统，对企业进行日常监督与专项监督。

企业应当制定内部控制缺陷认定标准，将缺陷划分为设计缺陷与运行缺陷。对监督过程中发现的内部控制缺陷，应当分析缺陷的性质和产生的原因，提出整改方案，采取适当的形式及时向董事会、监事会或者经理层报告。发挥系统和内部网络平台的优势，建立信息共享模式，保障监督与沟通有效进行。

同时，企业应当以书面或者其他适当的形式，妥善保存内部控制建立与实施过程中的相关记录或者资料，确保内部控制建立与实施过程的可验证性。