■王新华 张 明

内部控制审计是对被审计单位内部控制设计与运行有效性的情况发表审计意见，旨在帮助企业不断健全和完善内部控制体系，提高风险控制能力，促进企业经营效率和效果，最终实现企业发展战略。2017年，《小企业内部控制规范（试行）》正式下发，表明我国政府正在逐步重视和完善中小企业内部控制规范。中小企业将以《企业内部控制审计指引》、《企业内部控制基本规范》以及《小企业内部控制规范（试行）》等为依据，继续实施内部控制建设并逐步发现与解决存在的问题，实现企业的可持续发展。在激烈的市场竞争中，中小企业在进行技术创新与发展战略的转变的同时，加强内部控制，提高内部控制审计的有效性也成为其一大重任。

互联网＋、物联网、云会计等大数据到来，为企业提供了大量的数据资源。大数据信息和大数据技术正在改变和影响着审计工作，并对审计职能提出了更高的要求；数据分析和数据挖掘使得企业的信息资源更充分、完整和一致，为企业的经营发展提供更具战略性、系统性、前瞻性的审计意见，从而改善和提升企业内部控制管理。联合国的研究报告显示，大数据在很多行业都达到巨量的程度。大数据形成的数据共享、信息资源综合利用与中小企业的发展联系更加紧密。因此，在大数据广泛应用的情形下，如何将大数据运用到中小企业的内部控制审计中，改善其内部控制，提高内部控制审计的有效性，强化企业的内部治理情况，有着十分重要的意义。

一、我国中小企业内部控制审计现状

（一）管理权过于集中

目前，在我国市场主体中，中小企业占到了90%以上，数量庞大。很多中小企业由于企业规模和人员的限制，企业组织架构简单，管理权往往集中在一人或少数人手中，缺乏内部监管机制，导致权利分配和制衡关系不明晰，管理层极易凌驾于控制制度之上，从而舞弊现象频现。例如，獐子岛董事长和总裁兼任，权力高度集中，甚至导致公司的重大决策直接由总裁裁决，进而公司董事会无法正常履行监督职能，随后引发了“扇贝事件”等现象。这种高度集中的权力配置，无法实现权力的制衡，极易发生舞弊行为，是中小企业内部控制管理中的一大阻碍，对企业内部控制审计造成了极大局限。

（二）内部控制制度不健全

目前，我国中小企业大多将眼光主要投放在生产制造等环节，对内部控制的意识十分薄弱，因此，制定或实施内部控制制度的企业较少；即使是对内部控制比较重视，并且按照规定建设内部控制的中小企业中，也只有少部分按照其建立的相关规定执行内部控制。另外，大多数中小企业内部控制制度比较局限，覆盖率较低，内部控制监管不规范，难以发挥作用，进而内部控制审计有效性大打折扣。獐子岛“扇贝事件”的曝光就凸显了其内部控制制度执行的不规范，内部控制存在重大缺陷。内部控制制度对企业所有人员和业务运作形成了一种相互影响、相互制约机制，完善、严密的内部控制，对中小企业的经营状况和持续发展影响重大。

（三）成本制约内部控制建设和内部控制审计

一方面，中小企业内部控制体系的建设需要占用企业较多的资金；另一方面，由于中小企业管理权过于集中、内部控制制度不健全等原因，使得企业内部控制审计风险分布比较广泛，在进行内部控制审计时，需要扩大范围以获取充分适当的审计证据表明其内部控制设计和运行的有效，从而加大了评估风险的成本。尽管内部控制审计对评价企业内部控制制度的完善以及组织机构执行效率有着较为明显的作用，但出于成本效益原则，内部控制审计在中小企业中覆盖率依旧较低，很多中小企业不愿进行内部控制审计来增加企业额外支出。

二、大数据对中小企业内部控制审计的影响

（一）审计内容外延

传统的内部控制审计更多局限于企业的内部控制环境和内部控制制度之下，对企业的变化程度和其他信息不能得到更加充分和全面的了解，内部控制存在较大局限。大数据时代的来临，使得不同形式的数据得以生成，中小企业信息易获取，数据资源丰富而全面，中小企业的内部控制审计更加注重对内部控制风险的评估，以确保内部控制制度设计的科学性和合理性。另外，通过对大数据分析功能，强化了对行业整体发展情况的观察以及发展规律的探索，提高了企业对相关制度制定的预见性意识及理念，使得众多中小企业的内部控制制度具有更多的可比性和参考性。因此，大数据的发展，使得内部控制审计的内容不断向外衍生，审计内容更加多样化。

（二）审计工作模式发生转变

在大数据背景下，审计工作将会引入云审计、人工智能和区块链等新技术，满足中小企业的多样化需求，为中小企业的内部控制审计提供更宽广的空间。大数据技术与大数据分析功能的有效结合，能够对中小企业的所有数据进行充分分析、过滤和挖掘，增强了隐藏的内部控制审计相关信息的可见性和数据的客观性，有利于实现全面和连续的内部控制审计，使得中小企业的内部控制审计具有可追踪性，进而提升审计工作效率。

（三）对内审人员提出了更高要求

在大数据背景下，企业的内部控制变得更为复杂，企业人员通过不同系统，可以更多更快地深入渗透到企业内部控制的角色中，企业内部控制不再独立。此外，大数据应用带来的数据管理、储存、授权风险、数据出错或处理错误等特别风险，也对企业内审人员的职业素养、工作技能等方面提出了更高标准。这时，企业的内审人员需要提升职业技能和辨识能力，拓展自身优势，增强对数据的处理和分析能力，更好地识别企业的内部控制缺陷，从源头提高内部控制审计的有效性。

三、大数据背景下中小企业内部控制审计的对策

（一）完善内部控制体系建设

1.转变管理理念。目前，很多中小企业管理层对大数据的建设缺乏积极性，一方面是由于中小企业特别是家族企业高层管理人员自身学识有限，缺少足够能力和远见，不能从长远角度审视大数据对企业发展的重要意义；另一方面，出于资金的限制，中小企业更多倾向于将资金投入到收益时效显著的项目，而减缓对大数据的建设。然而，麦肯锡的研究报告显示，大数据技术能显著降低管理成本、创造经济价值、提高管理效率。由此可见，利用大数据可以使成本降低，此外还可以使企业管理程序规范化、无效投资率和损失浪费率降低。因此，在大数据背景下，中小企业应该充分借助大数据技术对海量数据进行分析，提供更有针对性的数据分析报告，有效满足中小企业管理层需求。另外，中小企业可以采取外聘职业经理人或外包给第三方来降低资金投入的方式来加快树立大数据理念，带动企业大数据系统的建设与应用，使得大数据审计在企业内部控制审计中发挥作用，具有更高的前瞻性。

2.促进组织结构构建。目前，很多中小企业的管理模式呈现金字塔结构，管理层级多、信息传播速度慢、沟通和反馈机制效率低下。大数据时代信息范围广泛，每一个员工和管理者都是企业的信息传播者和接收者，都对企业的内部控制有着重要的影响。因此，中小企业可以采用扁平化的组织结构，加快企业内部的信息交流和信息传播速度，完善企业治理结构。良好的治理结构能够有效提升企业内部控制水平，促使企业内部控制制度体系更具有针对性和科学性，进而有效提高内部控制审计效果。

3.充分发挥内审职能。随着大数据审计的应用，中小企业应该提高对内审人员的专业素质要求，使其具备相关的专业知识和技术操作。如财务、审计方面的知识以及专业的数据分析、统计分析能力，来适应大数据导致的新技术、新方法、新变革，进而充分发挥内审职能，在一定程度上降低中小企业内部控制缺陷的可能性，降低了审计风险，为进行内部控制审计提供了较为可靠的证据，提高了内部控制审计质量。

（二）加快建立基础数据库和审计经验库

我国中小企业数量众多，行业范围广泛，企业的内部控制审计受众多因素的影响。另外，管理层舞弊现象的存在使得内部控制审计难度加大，加之审计项目的时间又十分有限。而相关数据表明，我国审计机关可达8 000个，审计人员有12万余人，然而整体的覆盖面却只能够达到2%，无法满足巨大的工作量。充分运用大数据实行中小企业的内部控制审计，建立基础数据库和审计经验库，整合数据资源，对中小企业的电子数据进行系统以及跨部门的综合分析，实现内部控制审计数据的集成化管理。利用大数据等技术获取中小企业的具体情况、控制环境以及经营风险等信息，对所有数据进行分析，建立动态化的中小企业内部控制审计信息平台，通过对平台动态化的监管，准确监控企业的内部控制。这样，在一定层面上既加强了企业内部控制效率，减少信息孤岛的影响，又能够使之发挥更大效能，降低信息化成本，增强企业信息化效率，实现资源共享。目前，贵阳大数据交易所“中小企业融资服务大数据”融合多方数据的信息系统已经形成。可见，中小企业基础数据库的形成和完善以及运用到内部控制审计中，形成审计经验库的目的指日可待。

（三）精确定位风险，提高风险防范机制

我国大多数中小企业在收集、处理市场信息的能力较弱，信息不对称问题严重，无法及时准确地对市场波动做出判断，抗风险能力弱，风险防范意识不足。外部不确定性造成的风险管理与企业内部控制的内容紧密联系，大数据时代的来临，给中小企业风险防范带来了契机。大数据技术在企业风险管控时，将会提供更为全面、准确的业务数据。通过采集、分析和处理大量的数据和资料，可以得到不同层面、不同类别的数据分析结论，通过对数据结果的分析和对比，及时发现数据是否出现异常，提高企业风险防范的前瞻性；利用数据云平台实现信息共享，运用统计分析方法，找出数据间存在的规律与内生性，结合中小企业有关内部控制评价的规范与标准，自动实现公司内部控制量化评价、展现风险分布，实行精准定位，促进风险导向审计在内部控制审计中的广泛运用，进而指导决策，降低问题的出现几率。

（四）利用大数据，实现控制环境的全覆盖

数量大、分布以及所涉行业广泛使得我国中小企业的整体控制环境呈现复杂性和多样性的特征。利用大数据进行充分的数据采集，从法律法规、行业数据、国内外同类型产品价格以及产品市场等相关信息进行全面、准确、及时的搜集，将所有数据在大数据平台上进行统一管理。通过数据筛选功能，剔除无用数据，按照行业特征、区域差异等形成板块化数据库，并实现跨系统的无限扩展。利用大数据的数据分析功能进行数据对比分析，寻找数据运行规律，从内部控制流程的环节上寻找数据间的差异和矛盾。这样，通过数据的统计、分析，对内部控制审计控制环境实行全覆盖的大数据管理，对与控制环境相关的控制环节实现“节点管理”，提供出更加丰富便捷以及整合度更高的信息资源，缩小中小企业之间内部控制审计的异质性。另外，中小企业业务的多样化，使得其在实际应用中对大数据的需求使用不一致。基于中小企业的业务层面，发展新型的数据挖掘技术，为企业制定专属的服务和功能，开发数据板块管理功能，使得各中小企业能够根据自身内部控制管理需求进行数据处理和利用。同时，对企业当期的交易事项、账户余额以及过往数期的财务和业务信息，采取文字记录、图像扫描、音频录制以及位置信息确定等方式，恰当地存储在数据平台。

（五）加大数据信息安全维护

大数据时代，维护信息安全，增强信息的保密对企业内部控制审计至关重要。大数据时代内部控制审计涉及的数据量大、范围广、价值高，一旦计算机罢工或者被病毒感染，例如之前的勒索病毒，企业信息系统的数据往往面临丢失的风险，甚至瘫痪，审计过程严重受阻。另外，电子数据信息易于修改，不留痕迹，一个数据被恶意篡改或无意修改，都会造成审计结果的偏差，影响审计质量。因此，在大数据背景下的内部控制审计工作中，要实行灾难备份措施，防止意外后果。同时，应建立规范的授权系统，对数据使用者的层级权限划分明确，并对权限设置进行定期确认，适时突击检查，确保电子数据的安全性，避免信息的滥用和泄密。

（六）完善监督体系，提高内控审计积极性

政府监督是内部控制审计的源动力，政府监督能有效促进中小企业实施内部控制审计，因此，政府应强化对中小企业的内部控制审计的监管，督促其大数据体系的建设，充分运用大数据技术反映出中小企业的内部控制变化情况，对发现的风险点和内控缺失部分进行跟踪调查，发挥信息系统和内部网络平台的优势，建立信息共享机制，及时公布内控监督报告，同时，与企业内部控制的自主披露以及内控审计报告进行对比，严格管理内部控制的后续改进工作，进而丰富和完善企业的内部控制管理制度，实现监督体制的整合优化。在监督过程中，还应积极与外部信息披露媒介对接，提高公司信息透明度，通过信息披露形成改善内控机制的动力，形成双向助力，推动内部控制的不断改进，保持内部控制审计监督的持续性。

此外，中小企业对内部控制审计的积极性很大程度上取决于其对成本效益的衡量上，因此，会计师事务应当提高注册会计师执业水平，充分了解中小企业的内部控制特点，有效运用大数据技术进行信息搜集和数据分析处理，合理控制审计成本；企业在对大数据的应用时，要采用高效、低价的数据系统，使其在满足企业需求的同时又在企业的可承受范围之内。当审计成本得到降低，内控审计监管力度加大，中小企业将会重视内部控制建设，提高内部控制审计覆盖率，从而增强内部控制审计的有效性。

········ 参 考 文 献 ·····················

[1]陈艳利，方鸿斌.关于“獐子岛”内部控制整改措施的剖析与完善[J].财务与会计，2015，（24）：30－31.

[2]宁国良，黄侣蕾，廖靖军.交易成本的视角:大数据时代政府治理成本的控制[J].湘潭大学学报（哲学社会科学版），2015，（5）：18－21.

[3]谢柳芳，高雅.内部控制审计研究述评与展望[J].财会月刊，2016，（15）：105－109.

[4]刘颖.全覆盖条件下大数据审计工作模式研究[J].财会学习，2017，（15）：155－156.