大数据、人工智能环境下内控风险及防范探索

2019-07-11孙红梅雷喻捷

会计之友 2019年13期

孙红梅雷喻捷

【摘要】大数据、人工智能时代的到来，使会计云计算平台、财务共享中心、大数据内部控制3.0技术、财务机器人、区块链、风险预警技术等新兴信息技术应运而生，给企业带来高效和便捷的同时，也引发了潜在的内部控制风险。通過对大数据和人工智能两大技术可能产生的信息获取、信息泄露、人员舞弊、新兴技术不成熟、人员匮乏等风险分析，从制度、技术、人员等角度对企业内部控制风险及其防范问题提出建议，认为大数据、人工智能环境的内部控制风险应当由政府和企业双重实施手段加以防范，企业内部控制部门向技术部门与安全部门合理授权、加强各部门间的有限沟通是风险防范的有效途径。

【关键词】人工智能; 大数据; 新兴信息技术; 内部控制; 风险防范

【中图分类号】 F233 【文献标识码】 A 【文章编号】 1004-5937（2019）13-0118-05

一、引言

要数据干什么？数据是一个企业的基础设施建设，是一个企业发展巨大无比的资产。互联网、物联网、车联网、企业ERP等新兴技术的发展，引领人们进入大数据时代;而基于数据处理的全方位跨层次布局的人工智能（AI）技术，将成为引领行业发展的主要工具。未来将是属于大数据企业的时代，越来越多的企业争前恐后成为大数据企业，抢占数据资源的浪潮持续升温，这背后定会引发一系列新的问题;与传统企业相比，大数据企业经营环境、业务及机构、人员设置等复杂性更强，实时风险评估与防范系统面临的压力更大，在保证数据安全性的前提下，更需要构建完善的内部控制体系。那么，大数据、人工智能环境下，作为企业竞争力重要保障的内部控制将面临何种风险与挑战呢？内部控制又将借助大数据、人工智能的发展采取何种措施防范风险呢？

二、文献回顾

内部控制是为企业实现既定经营目标所服务的，目的是保证企业资源的安全性、经营的合法性、会计信息的完整可靠性、提高企业整体运行效率。在信息爆炸性增长、AI技术迅速发展的今天，企业不可避免地需要面对大数据、人工智能环境下带来的内部控制问题[1]。

（一）关于内部控制的研究

1972年，美国审计准则委员会（ASB）在《审计准则公告》中对内部控制定义如下：内部控制是在一定的环境下，单位为了提高经营效率，充分有效地获得和使用各种资源，达到既定管理目标，而在单位内部实施的各种制约和调节的组织、计划、程序和方法。尽管内部控制实践历史悠久、源远流长，但内部控制始终随着外部经济、社会、政治、科技等因素的不断变化而调整，至今已先后经历了内部控制系统、内部控制结构、内部控制整体框架和企业风险管理框架等阶段。

各行各业内部控制的要求及规范都有着很大的差异，2010年起，对内部控制的研究进入了更有针对性的时代。张先治等[2]研究了中国企业内部控制体系，构建了适合我国制度环境的“董事会内部控制评价+注册会计师财务报告内部控制审计+政府监管部门（或非营利性机构）”新的内部控制评价模式;随后，王兆楠等[3]进一步提出，要将内部控制引进《会计法》的修正，明确内部控制的内涵、目标、要素，界定清楚内部控制的责任主体和法律责任等;基于政府内部控制的研究，刘永泽等[4]提出分事行权机制、分岗设权机制、分级授权机制、定期轮岗机制和流程控制机制，构成了政府内部控制制约机制;[5-6]研究了高校内部控制体制的构建;王学莲[7]基于COSO框架对人民银行内部控制体系进行研究;郑晓薇等[8]基于风险防范的背景，研究了基金管理公司子公司的内部控制体系。

不难发现，目前学者关于内部控制的研究，基本是从内部监督、信息沟通、控制活动、风险评估及内部环境的角度展开的，而大数据、人工智能等新型理念的提出，将引领内部控制进入新的时代。

（二）关于大数据与内部控制的研究

2012年3月，美国奥巴马政府宣布启动“大数据的研究和发展计划”，并将数据称为“信息的石油”，自此，大数据上升到了各国战略高度，这意味着数字主权将是继边防、海防、空防之后，另一个大国博弈的空间。

大数据背景下，内部控制的研究主要集中在内部审计领域，白涛[9]提出充分运用大数据分析技术，实现对风险的前瞻、全面、深入、持续的审计覆盖;杨虎等[10]科学地利用数据，设计系统的流程，构建了互联网企业内部控制风险预警系统;马薇等[11]进一步研究发现，大数据可以使动态风险函数模型更精确、理论体系更健全、实时性更强，使内部控制监督更有效。

在大数据时代，企业会计信息的效率和质量都有一定的提高，资源共享的平台使会计信息成本大幅度降低，但企业内部控制体系也逐渐显现出诸多问题。胡若诗[12]指出企业内部控制机制和会计信息共享平台建设不完善，会计信息系统人员分配不明确，以及缺乏与企业实际相匹配的软件会引起人为舞弊、计算机病毒、相关法律法规不健全的问题;孟龙华[13]认为，大多数财务管理工作人员缺乏大数据的技术和思维，只是简单地运用计算机进行财务数据统计，使大数据的内部控制优势难以充分体现。

（三）关于人工智能与内部控制的研究

2007年7月，国务院印发《新一代人工智能发展规划》，提出了面向2030年我国新一代人工智能发展的指导思想、战略目标、重点任务和保障措施，强调部署构建我国人工智能发展的先发优势，加快建设创新型国家和世界科技强国。

而人工智能对内部控制的影响主要集中在内部审计、财务机器人、经济决策等方面。内部审计方面，乔恩·拉斐尔[14]提出，利用人工智能解决信息传递速度与成本之间的困难，让审计人员从枯燥烦琐的体力劳动中解放出来，将精力与时间集中在提高审计质量，提升内部控制水平之上。财务机器人方面，余应敏等[15]指出财务机器人有深度学习、精准可靠、高效低耗和快速反应等优势，其出现必将进一步简化企业的管理流程，降低管理成本等;但同时也给财务行业带来巨大挑战，基层会计将面临失业或转岗再就业的压力，传统财务理论将经受挑战，内部控制亦会面临新的难题。经济决策方面，王菁等[16]认为，人工智能的出现可以帮助财务人员区分有用与无用信息，及时、便捷、科学地做出财务决策，这对企业的内部控制经营至关重要。

综上，学者们普遍认为，大数据、人工智能等信息技术的发展在推动企业内部控制优化的同时，也会带来诸多风险。因此需要分析上述两大技术在企业内部控制领域的应用与可能隐含的风险，并探索风险规避的方法，以期对企业发展有所帮助。

三、信息技术在内部控制中的应用

（一）大数据在内部控制中的应用

进行企业生产经营活动收集、加工、处理、传递的数据处理技术，经历了手工处理、机械处理、电子计算机处理、网络化处理四个阶段，开发企业ERP系统，建立企业外部网、内部网，使企业数据得以共享，消除“信息孤岛”，完成企业各种信息的集成，有利于加强内部各个部门沟通，提高企业内部控制能力。大数据特点表现为“4V”+无形性[17]：大量（Volume）、多样（Variety）、价值（Value）、高速（Velocity）、无形性。在内部控制中的应用可以分为三个方面，即构建会计云计算平台、财务共享中心、大数据内部控制3.0技术。

1.会计云计算平台

随着会计大数据时代的到来，所有企业都需要改变传统的观点，向数据分析型企业转型，构建会计大数据分析平台，全过程、全方位、全员地利用数据。而如何避免云平台产生“浮云”效应，成为企业真正的“祥云”，是各个企业内部控制必须关注的问题。

首先，企业务必深刻认识到：大数据不是信息，信息不是成功。数据分析能力可以决定价值创造过程的质量，这意味着如果没有数据分析，“大数据”只能成为没意义的IT库存，花费高额储存成本却无收益。对企业来说，真正有价值的，是数据背后的信息，通过对信息的集成、处理，集思广益，找寻到企业的精准点，才能转化为企业的“智慧”。每个企业的精准点各不相同，需要靠企业各自的内部控制来挖掘。

其次，企业必须确保大数据的质量。垃圾的数据，只会使企业获得垃圾的信息，产生垃圾的决策，最终导致失败，数据具有时效性、无形性、多样性、完整性、准确性，数据收集、传递、处理、分析等集成过程中的任何一个环节都要保证质量。企业内部控制的有效性必须基于大数据的完整性、准确性、一致性、可信性、时效性和可解释性。

最后，企业需解决内部控制的核心问题：云平台的建设。大数据粘合性的特征决定了大数据不是单一产品、单一部门可以解决的问题，它需要融合多个部门传统+创新的技术，构造出一整套解決问题的方案。构建云平台的基础是构建大数据分析平台，要求企业完善内部控制体制，协调各个部门，从大数据中挖掘出价值，构建一个灵活的、可拓展、可延伸、易管理的企业大数据云计算平台。

一个完整的会计云计算生态系统主要有五大要素：服务的消费者、服务的供应商、服务的管理者、被管理资源池和管理平台[18]。其中，管理平台是大数据管理的起点与基础，依次是供应商服务建设与管理、消费者服务消费与利用、管理者对资源进行管理。云平台的构建主要包括业务模式和管理模式两大板块，核心是企业能否获得服务供应商提供的适合本企业经营模式和管理模式的大数据云计算管理平台，企业内部控制的好坏与否，直接决定了与供应商信息沟通的质量，对供应商的研发有着直接的影响。平台运行关系见图1。

2.财务共享中心

财务共享中心是数据时代的一种新型内部控制模式，其核心是“专业分层，业务融合”，将企业业务、财务融合化，以共享平台为支撑，内部加强核算部门与其他部门之间的联系，战略性地实现内部业务专门化，利用大数据突破各个部门的堡垒，利用互联网、区块链等将各个企业联合在一起;以财务部门为中心，利用共享平台联合带动整个企业的协调发展。其建设包括地点选择、流程设计、组织设置、信息技术支持等方面。

第一，地点选择问题。财务共享中心的构建、办公地点的选择，直接决定企业执行力度的强弱、经营状况的好坏及收入利益的能否获利情况。比如中国平安，2012年首先在上海成立财务共享体系，为了规避单一性的系统风险，减低营运成本，陆续在内江、成都、深圳、合肥建立四个财务分作业中心，总部统筹内部控制体系。

第二，流程设计问题。构建财务共享中心，就是要将企业集团的财务数据继续梳理和再造，借助大数据处理技术，解决各个子公司财务部数据、信息异质化的问题，最大程度发挥内部控制优势性。比如宝钢集团财务共享中心深入细化业务流程，流程与岗位一一对应，形成242个细分岗位，涉及所有能够进行财务共享核算的业务。

第三，组织设置问题。构建财务共享系统，企业内控要解决的关键问题是组织结构的深度变革，将原来分散的直线管理的结构整合成由总公司集中领导、各部门扁平化发展的新型管理结构，实现“协同处理、集中管理”。比如中兴通讯财务共享服务中心内部控制机构提出“三三制”。

第四，信息技术支持问题。财务共享中心的改进需要在新信息技术的支持下完成。

3.大数据内部控制3.0技术

未来的企业，将继续对大数据进行深入发掘，预测内外风险，围绕绿色、互赢的理念，构建新型内部控制体系。挖掘数据的方法将更加广泛，涵盖但不局限于神经网络法、遗传算法、决策树法、覆盖正例排斥反例法、统计分析法、模糊集法等。挖掘的数据内容更加具体，涵盖但不局限于预测建模、关联分析、聚类分析和异常检测等。

（二）人工智能在内部控制中的应用

1.层次化处理数据，精准可靠

人工智能对企业内部控制可以分为以下三个层次：第一层主管理部门进行一致性和合规性检查，比如利用人工智能程序自动将财务数据提取到ERP软件中。第二层次，对数据进行简单的汇总与分析，完成数据的过滤性，达成某规则，如内外部合同评审中，自动识别、确认某种字符，事务所对审计函的处理中自动确定客户回复。第三层次，借助人工智能处理海量异构化数据，如利用自然语言处理系统完成自然语言理解、自然语言生成两大功能，实现异构化海量数据的处理，数据分析后自动生成券商报告、企业财务报告、行业报告等。

2.人工智能机器人，深度学习

面对大量烦琐、机械化的财务工作，人类难免会产生抱怨和情绪，财务人工智能可以有效解决这一问题。把复杂的财务信息分解成子信息，借助财务人工智能系统探索求解。比如德勤与Kira Systems合作，推出财务审计机器人，替代人类开展审计、税务、财管等工作。2016年7月后，普华永道、安永、毕马威陆续引进适合自己业务的财务机器人，将引领企业不断深度学习。

3.风险管控，高效低耗

人工智能可以让内部控制深度参与到企业经营中去，提高财务管理效率与交易效率，并使用户体验上升为企业内控最重要的因素。比如滴滴财务的客服中心，80%的问题都是机器人回答的，只有20%的问题才需要人工处理，这是人工智能在内部控制演进过程中带来的变化。

（三）其他信息技术在内部控制中的应用

随着超级计算、传感器、5G等技术的加速突破和广泛应用，将对企业内部控制带来颠覆性影响。比如区块链技术，其运用比特币底层技术，由数据货币向金融、内控领域发展，具有不可伪造和不可更改性，可以大幅降低交易成本，实现交易记录节点全覆盖，消除清算等多余环节，高效缩短交易周期和时间，是内部控制极有利的工具。再比如风险预警技术，可以针对不同企业，进行不同的内部控制风险预警处理，做到事前、事中、事后的三重防范，及时、准确地处理问题，使企業损失降到最低。

四、大数据、人工智能环境内部控制的风险

（一）隐私与道德安全危机

1.数据获取风险

许多系统或平台的业务，都需要将处理结果以某种形式展示给用户：例如，百度需要根据用户的搜索关键词展示可能的结果网页，淘宝需要根据用户的关键词展示相应的商品信息，去哪儿需要根据搜索展示符合条件的机票信息，前程无忧需要根据人力资源（HR）的搜索展示合适的候选人简历等，这些本来是正常的业务流程。但在大数据时代，这些正常的数据获取业务流程，极容易出现数据的不安全因素。

（1）数据获取结果的呈现往往导致知识产权安全的问题，一级搜索引擎获取数据，后被多级公司挖掘数据背后的二级价值，二级价值又被一级搜索引擎所引用，相互间的数据版权又该花落谁家？比如：360曾经上线的综合搜索，是把其他搜索引擎的结果采集过来，然后再对各家搜索引擎结果进行综合，展示搜索结果，一般在技术上称为元搜索引擎。今日头条刚开始本身并没有生成任何资讯，只是把各家新闻站点的新闻都采集过来，然后进行分析和整理，以自己的形式展示出来。

（2）数据获取严重损害居民利益的风险。比如2016年7月，法国数据保护监管机构CNIL向微软发出警告函，指责微软利用Windows 10系统搜集过多的用户数据另做他用，其跟踪用户浏览记录的做法也未获取用户同意。同时，微软也没有实现对客户信息高安全和高保密的承诺，主要是因为未经顾客许可就默认获取客户信息，包括将用户信息保存到登录国家以外的软件上，开启多项数据追踪功能等，这严重违反了欧盟“安全港”法规。

2.信息泄露风险

信息泄露事件频发，由此引发的数据产权归属成为焦点，21世纪爆发了雅虎、摩根大通银行、塔吉特百货等14大国际数据泄露事件。目前各行各业、企业组织都涉及大量数据交互，任何一个企业信息泄露，不仅会对用户财产造成严重威胁，甚至会危及到整个社会经济、政治、人文等的发展，所以，企业必须严把内控，避免信息泄露。

3.人员舞弊风险

我国快递行业频发人员舞弊事件。2013年10月，圆通客户的地址、姓名、手机号码等信息被暴露，近百万条信息，购买者可随意挑选。技术专家证实，能随时看到全国所有客户的实时信息，除了圆通内鬼，即便黑客也很难做到。同样，2017年3月，京东内部员工涉嫌盗取50亿条用户信息数据。

（二）新兴技术风险

新兴技术属于正在研发，并不完全成熟的项目，仍存在算法盲点，且其运行系统本身固有的缺陷和问题、网络故障、基础设施建设与维护问题、系统设计方案不合理、人员操作失误都会造成严重后果，系统性固有风险在进一步上升，企业对信息越依赖，系统出现问题后的损失也越大。比如2017年5月，针对Windows操作系统，全球范围爆发了勒索软件（WannaCry）感染事件，使全球100多个国家用户加密文件删除受损，多个行业遭受冲击。利用新型技术来发掘数据漏洞使这一全球性的黑色产链的规模不断扩大。

（三）人才匮乏风险

大数据的广泛应用一方面加速了各行业的飞速发展，另一方面由于大数据人员培养难，人才缺乏。企业均竭尽所能地去挖掘行业顶尖人才。据统计，目前大数据分析与处理人才缺口2 000万左右，大数据的兴起，使各个高校迫切需要开设新型大数据相关的学科，建设大数据实训环境及吸纳大数据教学经验，尽快解决大数据人才缺乏问题。

五、内部控制风险防范

大数据、人工智能时代，企业内部控制在技术、制度、人才方面都面临着重要的机遇和挑战。因此，企业内部控制体系的构建必须要立足于技术发展、制度建设与人才培养，扩大内部控制的优势，防控内部控制的风险，使企业搭乘信息技术时代的顺风车，平稳、经济、高效地发展。

（一）政府加强监管，提前预处理部分数据

政府运用大数据进行监督和管理，必须从层次和制度两方面进行，需要各个主体积极主动地设计、遵守与维护。第一，在层次方面，政府要起到带头引领的作用，政府部门拥有大量数据，但是只有极少数据向公众发布，大部分数据内部的价值未发掘;所以，政府要调动企业、单位、个人的积极性，共同设计大数据系统，建立大数据、物联网、平台三位一体的机制体系，挖掘深层价值。第二，在制度方面，为了进一步提高数据的公信度，政府要保证数据的获取、收集、分析、整理、储存、发布、决策、实施与监督等使用大数据全流程的准确性，建立健全法律制度，推动大数据规范化发展。

大数据规模大、时效强、密度大等特点决定了大数据预处理过程将很复杂，所以，政府必须推动大数据信息平台的整合，要以企业为主体，加大大数据的关键技术研发、产业发展和人才培养制度，着力推进数据的收集与汇总制度，将公共资源数据适度合理地向公众开放，宏观数据的开发和应用，借助互联网、人工智能、大数据等新兴信息技术进行创新，但是对于公开数据，政府要在不降低信息质量的前提下，对数据进行预处理，同时兼顾公民隐私保密的问题。

政府要联合各部委、机构等，着重对交通、人口、社保、卫生、教育等关乎居民生活水平的数据进行重点预处理。

（二）公司注重治理新IT技术

公司内部控制系统要从全局的角度出发，高度重视IT风险的治理，最大限度地利用资源。IT风险治理，时刻保持风险管控意识，不仅要求技术的安全，还要重视安全的管理。公司要建立长期战略目标体系，量化成中短期具体实施方案，从上到下，建立信息安全体系，确保整个系统的整体性、延续性、稳定性，合理利用大数据、人工智能等新兴技术资源，恰当管控风险。使组织扁平化，责任归属具体部门，制定风险防控保护等级机制，最大限度地提高经济效率。

（三）技术严控风险，决策权适度放大

大数据、人工智能时代，企业内部控制机构过度依赖机器管控，而忽视了技术部门人的因素，内部控制机构不应该一味地追求机器人使用方面，而忽视了风险本身危害程度等因素，应该正视企业的安全与风险问题。技术部门是风险最高的“一线”部门，第一，应加强安全管控人员与内控部门之间的联系与沟通，给予他们一定处理风险的权利，使他们及时有效地把控整体风险，避免企业遭受风险损失;第二，企业要保证技术的可靠性和可行性，及时修补漏洞，避免客户信息泄露导致风险;第三，大数据企业要时刻走在技术的前面，加大技术资金的投入，建立专门的技术团队，先保证技术建设再确保收益，内控部门充分衡量成本投入与收益之比;第四，内部安全人员提高风险预警、防范能力，借助国外的先进大数据业务处理流程与系统，运用最新的数据分析软件，及时修复与查验数据库漏洞。

（四）内部控制部门对重点技术进行评审

内部控制部门要联合内部审计、财务、销售、生产、投资、经营等各个部门，对大数据人工智能等新兴信息技术的相关软硬件进行严格审核，对其运行的服务器、客户端、复核设备、软硬件配置、补丁管理系统等进行实时监控，定期进行安全测试。对可能产生安全问题的每个环节都进行严格的控制和审核，以保证系统的稳定、持续、安全地运行。内部控制部门的职责已不仅仅是监测监督，还需要充分地与信息系统开发、运作、维护部门与计算机专业人员沟通，联合开展安全管理。

（五）培养全体员工风险管控意识、吸收风险管控高端人才

在风险控制框架下，内部控制部门应该设置特殊条例和例外处理流程，当出现未知风险，一线人员及时、有效、从容地来应对风险，而不必层层上报，造成进一步损失。每位一线人员都应该进行专业化的培训和充分的训练，对企业风险管控机制及营运目标有一致的认识，积极运用风险控制手段管控风险，企业应建立以内部控制机构为主导，各个部门协调管控的风险控制系统。在解决量化的已知风险基础上，新兴技术极可能带来的是未知的风险，未知风险的防范是机器人所不能解决的，需要依靠优秀的风险管控人才，事前预测风险，制定合理而灵活的风险管控决策机制，力图将风险损失降到最低。

（六）加强与外部安全人员的合作

大数据时代，每个公司都需要构建一个开放的信息沟通机制，利用自身的优势资源，及时有效地与外部人员进行沟通交流，实时了解行业环境，随时发现企业的机遇与挑战，精准地收集内外人员的信息与反馈，掌握大众需求。

互联网将整个地球连为一体，任何企业都置于瞬息万变的大环境之中，没有企业能独立存在。如今，大型企业必须建立安全紧急内部控制响应中心，与外部相关企业共同进行安全性测试，及时发现数据漏洞，低耗高效地对风险进行测试。

六、结语

大数据、人工智能等新兴技术的突起，云计算平台、财务共享中心、财务机器人等不仅具有高效低能、节省成本等优势，也给企业带来巨大的风险，内部控制体系的转变成为了必然。本文强调了内部控制中制度、技术、人员的重要性，认为内部控制的重点是调整内部技术部门，强化全体员工的风险意识，加强与外部合作，并针对突发事件制定特殊应急措施。●

【参考文献】

[1] OMOTESO K.The application of artificial intelligence in auditing：looking back to the future[J].Expert Systems with Applications，2012，39（9），8490-8495.

[2] 張先治，戴文涛.中国企业内部控制评价系统研究[J].审计研究，2011（1）：69-78.

[3] 王兆楠，张先治.关于将管理会计与内部控制纳入《会计法》修订的思考[J].财务与会计，2017（23）：11-13.

[4] 刘永泽，况玉书，吉津海.政府内部控制制约机制研究——基于“三分一轮一流程”的视角[J].财政监督，2015（21）：8-12.

[5] 基于财务风险管控视角的高校内部控制框架体系构建研究[J].财会学习，2018（5）：175-176.

[6] 陶俊.基于财务风险管控视角的中小学内部控制框架体系构建探析[J].会计师，2016（18）：49-50.

[7] 王学莲.基于COSO新框架的人民银行内部控制体系构建[J].财会研究，2017（3）：62-68.

[8] 郑晓薇，纪士鹏.基金管理公司子公司内部控制体系构建——基于COSO内部控制整体框架的案例分析[J].上海管理科学，2014，36（2）：21-28.

[9] 白涛.“大数据”时代内部审计发展策略的理论思考——以“信息化审计”引领未来发展[J].西部金融，2013（10）：7-9.

[10] 杨虎，易丹辉，肖宏伟.基于大数据分析的互联网金融风险预警研究[J].现代管理科学，2014（4）：3-5.

[11] 马薇，卢英，刘月月.大数据条件下金融风险测度的方法[J].统计与决策，2015（9）：84-87.

[12] 胡若诗.大数据时代企业会计信息化的风险及对策研究[J].商业经济，2017（12）：130-132.

[13] 孟龙华.大数据下企业财务管理模式改革初探[J].中国商论，2018（5）：135-136.