无论内部牵制、内控整体框架,还是企业风险管理体系,其目标核心均聚焦在组织的战略定位与日常行为的一致性上,并快速识别风险而采取行动(COSO,2004)。但是,从频繁爆发的P2P诈骗、科技企业遭遇技术壁垒等案例来看,企业已有的内控系统并未发挥作用,尤其对信息网络领域的风险更是无能为力。那么,这一问题的症结何在呢?分析发现,传统内控思想诞生于传统环境,在传统组织架构和资源要素下激发控制机制的运行,实现企业内控目标。目前,大数据环境影响着企业各个运营维度,企业内控体系这一重要维度同样需要实时调整才能持续发挥作用。 据国际数据公司(IDC,2016)统计,自2015年起,数据资源已经超过传统资源为企业带来超额效益,摩根大通、谷歌、脸书等公司逾七成利润来自大数据。该公司中国机构的研究同样认为,大陆科技企业的大数据贡献率超过50%(IDC报告,2018),超过九成的企业已经处于大数据包围之中。换句话说,不管企业是否应用大数据提升其竞争力,事实上已经处于大数据的汪洋大海之中。与此同时,大数据环境下的风险也表现出不同于以往的特征,例如:因成本更加透明而失去谈判优势;因分析数据不到位而错失最优经营模式;因建模不到位、数据不充分而失去竞争优势,带来巨大风险等。 因此,运行于传统环境下的内控体系应进行调整或重建,才能适应企业设置内控体系的初衷。本文基于大数据对内部控制体系的挑战与冲击,探讨内控体系瓦解的动因和影响,并给出再造大数据内控体系的思路。 二、传统内控体系的局限性分析 控制论奠基人美国学者维纳在其著作《控制论》(1948)中论述到,在一个独立的系统中,各要素在与外界环境进行物质、能量和信息交换中得以存在,并适应环境。系统之所以存在并区别于其他系统,在于独特的系统目标和环境适应性触发机制。内部控制系统的目标是保证企业组织按照董事会确定的战略方向运行,而战略是固定性和变动性的综合集,其中变动的动因来自环境,为了适应环境的变化,企业组织内部通过采集外部信息感知这一变化并迅速启动自身应急机制应对或适应该变化,达到实现组织系统目标的最终结果。传统内控体系的各要素中控制环境最为复杂、可变,不稳定是其基本属性,尤其在大数据环境下,该属性更加突出,从大数据蔓延路径和内控体系自身来看,传统体系的局限性更加明显。 (一)大数据蔓延对传统内控的影响 大数据的成分复杂,来源多样,多数数据处于不稳定状态中,从数据的初始采集到存储、处理、更新到最后淘汰消失的整个蔓延路径,均表现出不同于传统数据环境的独特属性。 1.数据化环境带来的影响 传统内控体系的构建初衷是识别并及时消除风险,目的是实现企业战略及运行过程中确定的大小目标,是根植于业务环境中的自控体系。将业务的运行和轨迹视为控制对象,是内控体系的出发点和结束点,对业务的分析和评价并辅助各种控制活动是传统内控体系的鲜明特征。大数据时代的企业环境发生了很大变化,以数据要素为重要内容的控制环境代替了传统环境,以数据为导向对业务的分析和控制要比传统模式的以业务为导向进行预警控制更为高效便捷,其原因是大数据所反映出的业务状态更快捷完整,主观识别业务状态所表现出的风险本身具有较大不确定性,无法达到大数据所反映出的业务状态,因此传统内控体系瓦解是必然的。 2.大数据构成复杂性的影响 控制体系的运行起点是某个考核指标达到阈值,而传统内控系统往往预设3个、5个或更多的指标群作为触发内控机制运行的阈值,例如对外担保额达到5000万元的阈值,需要专委会的评估和董事会审批。在大数据环境下,企业组织采集信息的渠道增多,既包括人工记录、访谈,还包括网络接口、感应设备等。多元化方式导致采集的信息成分复杂,既有接近元数据的基本粒度,又有数字、文字、符号、音频、视频等常规数据,还包括物理、化学、心理、虚拟等非结构化数据;既有符合第三范式(3NF)的传统关系型数据处理的规范数据,又有低于第一范式(1NF)的不符合常规处理要求的“杂乱数据”。这些数据跟内控系统阈值的关系复杂多样,无法采用统一的战略指标、运营指标或财务指标来约束。另外,因为传统指标是经过多次加工处理后得到的,离原始数据比较远,损失较多有价值信息,也就无法精准触发内控体系设定的众多控制流程,导致系统失灵或瘫痪,瓦解之态暴露无遗。 3.大数据归约路径的影响 数据归约技术在经济数据分析或大数据挖掘中应用广泛,目的是得到数据集归约化表示,可理解为将复杂数据简约化,但需要保持原数据的原生态、完整态等属性。大数据归约的目的是减量不减值、优化结构算法、精准分析和挖掘矢量数据。归约路径体现了系统理念在评估企业运行风险中的应用:从环境内外的大数据入手通过归约、清洗、关联、解析等步骤,及时识别大系统中单个企业所面临的风险,并给出各类风险暴露的预计时间列表以及风险后果和风险概率、风险动因之间的关联程度。上述风险识别和评价不同于传统风险管理和内部控制运行机制,从大数据中识别和捕捉风险更高效和准确,与预警节奏协同的控制措施较传统内控系统更有针对性和全局观念。依据美国COSO组织的ERM框架之理念,内控体系的目标要素是组织启动控制体系的起点,通过组织目标边界与组织行为后果的指标比较,出现偏差时即启动公司层面和业务层面的控制措施,这与大数据归约的路径存在较大差别:一是内控体系的导向由传统体系的以主观经验判断为主进行识别和评估,转变为以客观数据刻画和挖掘为核心手段的状态数据分析过程;二是由传统体系的关注组织内部业务和信息转变为综合收集和分析立体大数据为主;三是由传统内控体系的将评价、整改、跟踪等割裂开来的内控流程,转变为从组织目标到评价、整改和后期跟踪评价一体化的内控步骤及流程。