程幼石

【關(guān)鍵詞】 內(nèi)部控制; 內(nèi)控信息化; 業(yè)務(wù)數(shù)據(jù); 數(shù)據(jù)管理

【中圖分類號】 F275? 【文獻(xiàn)標(biāo)識碼】 A? 【文章編號】 1004-5937（2022）05-0136-06

信息化是實(shí)現(xiàn)多部門、多崗位業(yè)務(wù)工作“協(xié)同有序高效”開展的重要手段，內(nèi)部控制體系涵括各項(xiàng)經(jīng)濟(jì)活動(dòng)及相應(yīng)崗位，內(nèi)控信息化集成各項(xiàng)經(jīng)濟(jì)活動(dòng)相關(guān)的信息管理系統(tǒng)，并將內(nèi)控管理與日常業(yè)務(wù)管理的流程固化其中，從而達(dá)到提高內(nèi)控管理效率和效果的目的。

內(nèi)控信息化需通過針對經(jīng)濟(jì)活動(dòng)開展數(shù)據(jù)管理乃至數(shù)據(jù)治理得以實(shí)現(xiàn)。周衛(wèi)華[1]將信息工程理論引入內(nèi)控管理，提出“企業(yè)模型的開發(fā)是在戰(zhàn)略數(shù)據(jù)規(guī)劃期間進(jìn)行”。當(dāng)前環(huán)境下，需要推動(dòng)“業(yè)財(cái)融合”模式，防控財(cái)務(wù)風(fēng)險(xiǎn)[2];重建大數(shù)據(jù)內(nèi)控體系，將“流內(nèi)控”模式與組織機(jī)構(gòu)的日常業(yè)務(wù)活動(dòng)進(jìn)行智能對接[3];大數(shù)據(jù)技術(shù)強(qiáng)調(diào)強(qiáng)化數(shù)據(jù)的整合與數(shù)據(jù)安全性的管理[4];技術(shù)在內(nèi)控信息化的數(shù)據(jù)管理中起到不可或缺的作用，區(qū)塊鏈等新技術(shù)的應(yīng)用，打通機(jī)構(gòu)內(nèi)外部信息系統(tǒng)的關(guān)聯(lián)，保證會計(jì)信息真實(shí)有效和實(shí)現(xiàn)內(nèi)外監(jiān)督[5];信息化推動(dòng)的業(yè)務(wù)數(shù)據(jù)“傳輸”，能夠提升工作效率、管理效果，也有助于提高決策準(zhǔn)確度[6];內(nèi)控風(fēng)險(xiǎn)防范的有效途徑包括內(nèi)控部門向技術(shù)部門及安全部門合理授權(quán)，以及加強(qiáng)各部門間溝通[7]?？傊?，信息管理系統(tǒng)究其根本也是數(shù)據(jù)處理系統(tǒng)，這些系統(tǒng)在日常運(yùn)行中進(jìn)行數(shù)據(jù)采集、維護(hù)，完成單據(jù)匯總與報(bào)表生成;數(shù)據(jù)管理視角下的內(nèi)控信息化需要在全面理解經(jīng)濟(jì)活動(dòng)中業(yè)務(wù)數(shù)據(jù)的前提下，實(shí)現(xiàn)將業(yè)務(wù)活動(dòng)梳理、流程再造與內(nèi)控規(guī)范下的財(cái)務(wù)管控相結(jié)合。

《行政事業(yè)單位內(nèi)部控制規(guī)范（試行）》（以下簡稱“內(nèi)控規(guī)范”）總則明確指出，“單位建立與實(shí)施內(nèi)部控制，應(yīng)當(dāng)遵循全面性、重要性、制衡性、適應(yīng)性等原則”[8];從數(shù)據(jù)管理視角考察，這些原則涉及到數(shù)據(jù)質(zhì)量管理、數(shù)據(jù)可溯源技術(shù)與數(shù)據(jù)空間技術(shù)[9]，以及信息安全管理等因素。本文通過探討這些信息技術(shù)因素與內(nèi)控管理的關(guān)系，為實(shí)現(xiàn)數(shù)據(jù)管理視角下的內(nèi)控信息化建設(shè)提供理論基礎(chǔ)。

一、內(nèi)控規(guī)范與數(shù)據(jù)管理

（一）內(nèi)控規(guī)范原則

“內(nèi)部控制規(guī)范”要求內(nèi)控管理必須“貫穿經(jīng)濟(jì)活動(dòng)從決策到執(zhí)行和監(jiān)督的全過程，從而實(shí)現(xiàn)對經(jīng)濟(jì)活動(dòng)的全面控制”，上文提及的四個(gè)原則是相互關(guān)聯(lián)的整體，內(nèi)控自身建設(shè)實(shí)際上是整個(gè)內(nèi)控“系統(tǒng)”的建設(shè)。從數(shù)據(jù)管理角度進(jìn)行透視，四個(gè)原則的本質(zhì)屬性表現(xiàn)在以下三個(gè)方面。

第一，內(nèi)控信息化建設(shè)需基于“信息完整性”這一數(shù)據(jù)質(zhì)量管理基本要求，數(shù)據(jù)規(guī)劃在先，進(jìn)行既具“全面性”的數(shù)據(jù)視圖描述，又突出單位核心業(yè)務(wù)節(jié)點(diǎn)的“重要性”，滿足既全面貫穿單位經(jīng)濟(jì)活動(dòng)，又關(guān)注單位重要經(jīng)濟(jì)活動(dòng)和重大經(jīng)濟(jì)風(fēng)險(xiǎn)的全面性和重要性原則。

第二，數(shù)據(jù)可溯源技術(shù)保證不同節(jié)點(diǎn)數(shù)據(jù)對象之間的連續(xù)性和同一數(shù)據(jù)對象不同版本間的連續(xù)性，可以通過可溯源等技術(shù)形成的數(shù)據(jù)間具有關(guān)聯(lián)支持的證據(jù)鏈管理，滿足在內(nèi)控信息化建設(shè)過程中的各部門、崗位間制衡性原則。

第三，數(shù)據(jù)空間技術(shù)支持“先有數(shù)據(jù)后有數(shù)據(jù)管理”，可以保證數(shù)據(jù)屬性新增或調(diào)整時(shí)，管理模式的靈活演化與拓展，根據(jù)數(shù)據(jù)空間理論與技術(shù)設(shè)計(jì)信息管理體系，滿足內(nèi)控管理體系適應(yīng)性原則（可持續(xù)發(fā)展）要求。

（二）數(shù)據(jù)質(zhì)量管理

大數(shù)據(jù)背景下，“數(shù)據(jù)-信息”已突破（data-information-knowledge-wisdom）的單向序列，科學(xué)研究第四范式與大數(shù)據(jù)應(yīng)用使得人們常?？梢灾苯油ㄟ^數(shù)據(jù)分析得出相應(yīng)的結(jié)論;數(shù)據(jù)質(zhì)量不僅在于數(shù)據(jù)庫技術(shù)范疇，逐漸泛指支持開展各種管理活動(dòng)的信息系統(tǒng)中以數(shù)據(jù)形式呈現(xiàn)的信息資源。

管理信息系統(tǒng)中，日常業(yè)務(wù)活動(dòng)表現(xiàn)為不同業(yè)務(wù)節(jié)點(diǎn)之間的數(shù)據(jù)交換，數(shù)據(jù)成為各層級進(jìn)行決策的重要依據(jù)。低質(zhì)量數(shù)據(jù)會導(dǎo)致信息傳遞的錯(cuò)誤或偏差，乃至錯(cuò)誤決策。數(shù)據(jù)質(zhì)量的核心問題包括數(shù)據(jù)的一致性、去重、精確性、完整性與時(shí)效性[10]，全面數(shù)據(jù)質(zhì)量管理（TDQM）概念將數(shù)據(jù)視為“產(chǎn)品”[11]，從數(shù)據(jù)獲取源頭治理出發(fā)，將產(chǎn)品質(zhì)量管理的方法移植到數(shù)據(jù)管理，建立數(shù)據(jù)質(zhì)量管理體系，設(shè)計(jì)、管理與控制信息鏈，倡導(dǎo)阻止錯(cuò)誤數(shù)據(jù)發(fā)生（事前預(yù)防），而不僅僅是修正已產(chǎn)生的錯(cuò)誤數(shù)據(jù)（事后補(bǔ)救）。

二、內(nèi)控規(guī)范原則與數(shù)據(jù)管理技術(shù)的對應(yīng)關(guān)系

（一）全面性原則與數(shù)據(jù)質(zhì)量管理

數(shù)據(jù)缺乏規(guī)范控制往往是產(chǎn)生質(zhì)量問題的主要根源之一。內(nèi)控信息化過程中，數(shù)據(jù)來自各部門獨(dú)立運(yùn)行的應(yīng)用系統(tǒng)，不同系統(tǒng)中數(shù)據(jù)的編碼規(guī)則按各自管理需求設(shè)定，造成部門之間數(shù)據(jù)重復(fù)或者沖突;業(yè)務(wù)系統(tǒng)間交換數(shù)據(jù)時(shí)接口的Bug也可能產(chǎn)生“臟數(shù)據(jù)”;進(jìn)行信息系統(tǒng)更新升級時(shí)，由于業(yè)務(wù)規(guī)則的修改，遷移過程可能產(chǎn)生數(shù)據(jù)缺漏、錯(cuò)誤、無法關(guān)聯(lián)等。如人事系統(tǒng)中的職工代碼與財(cái)務(wù)系統(tǒng)中的不匹配，數(shù)據(jù)遷移合并后職工可能擁有兩個(gè)代碼。這些都是數(shù)據(jù)流動(dòng)和交互過程中出現(xiàn)數(shù)據(jù)質(zhì)量問題的源頭。全面性原則包括全方位、全過程，數(shù)據(jù)質(zhì)量管理之于全面性原則，體現(xiàn)為以下方面。

1.全方位與數(shù)據(jù)質(zhì)量管理

內(nèi)控信息化建設(shè)的全面性應(yīng)建立在全方位了解組織內(nèi)所有涉及經(jīng)濟(jì)活動(dòng)的各種業(yè)務(wù)和事項(xiàng)基礎(chǔ)上，包括內(nèi)控涉及的各類人員，通過厘清經(jīng)濟(jì)活動(dòng)不同業(yè)務(wù)節(jié)點(diǎn)間的結(jié)構(gòu)性特征，從“戰(zhàn)略數(shù)據(jù)規(guī)劃”著手，基于結(jié)構(gòu)性規(guī)則，形成有著全局?jǐn)?shù)據(jù)視圖的內(nèi)控管理體系;將實(shí)現(xiàn)風(fēng)險(xiǎn)控制的各項(xiàng)準(zhǔn)則，如內(nèi)控措施中如授權(quán)批準(zhǔn)控制、不兼容職務(wù)分離等，以結(jié)構(gòu)化的程序語言表達(dá)，內(nèi)嵌到信息系統(tǒng)中，與具體業(yè)務(wù)流程結(jié)合，成為系統(tǒng)能夠識別的準(zhǔn)則，實(shí)現(xiàn)實(shí)時(shí)控制。

第一，從體系設(shè)計(jì)出發(fā)，通過系統(tǒng)檢視經(jīng)濟(jì)活動(dòng)，自上而下建立涵括所有經(jīng)濟(jì)活動(dòng)、部門、人員的內(nèi)控信息化建設(shè)體系，無系統(tǒng)的盡快“上馬”建設(shè)，有系統(tǒng)的及時(shí)實(shí)施迭代升級，系統(tǒng)建設(shè)必須滿足結(jié)構(gòu)性規(guī)則，這樣才能從根本上解決上面提及的產(chǎn)生數(shù)據(jù)的各個(gè)部門獨(dú)立設(shè)計(jì)和利用自己的應(yīng)用系統(tǒng)所導(dǎo)致的數(shù)據(jù)質(zhì)量問題。

第二，自下而上地將各個(gè)涉及經(jīng)濟(jì)活動(dòng)的業(yè)務(wù)崗位終端均納入全面性結(jié)構(gòu)規(guī)則管理，從業(yè)務(wù)、事項(xiàng)、個(gè)人等為入口的操作，不僅僅受到本部門業(yè)務(wù)系統(tǒng)相關(guān)規(guī)則的控制，也會受到與其他部門業(yè)務(wù)系統(tǒng)關(guān)聯(lián)的結(jié)構(gòu)性規(guī)則的控制。

2.全過程與數(shù)據(jù)質(zhì)量管理

《內(nèi)控規(guī)范》涉及預(yù)算、收支、政府采購、資產(chǎn)、建設(shè)項(xiàng)目、合同等各個(gè)業(yè)務(wù)節(jié)點(diǎn)，這些業(yè)務(wù)節(jié)點(diǎn)在自身及節(jié)點(diǎn)之間均有控制規(guī)則，以及業(yè)務(wù)節(jié)點(diǎn)之間也有規(guī)則，從而將單位的經(jīng)濟(jì)活動(dòng)鏈接為一個(gè)整體。內(nèi)控信息化必須從各節(jié)點(diǎn)業(yè)務(wù)數(shù)據(jù)以及節(jié)點(diǎn)間的業(yè)務(wù)數(shù)據(jù)流角度考察，分析如“審核人與制表人不允許是同一人”的人員控制、“預(yù)算總額與分項(xiàng)數(shù)額加總校驗(yàn)平衡”與“無預(yù)算不采購”等節(jié)點(diǎn)內(nèi)與節(jié)點(diǎn)間的控制，明確規(guī)則，采用結(jié)構(gòu)化語言描述，并內(nèi)嵌到各信息管理平臺中，避免采購與預(yù)算分離、賬實(shí)不符等方面的風(fēng)險(xiǎn)。

數(shù)據(jù)質(zhì)量的解決方案需要理解業(yè)務(wù)數(shù)據(jù)與組織流程的相關(guān)依賴關(guān)系，不僅僅是只解決存儲在數(shù)據(jù)庫中數(shù)據(jù)問題，而是在全面數(shù)據(jù)質(zhì)量管理的理念下解決貫穿整個(gè)業(yè)務(wù)數(shù)據(jù)流程的問題。傳統(tǒng)內(nèi)部控制對于業(yè)務(wù)管理有一套完善的流程控制機(jī)制，但由于有信息溝通不足，以及人為操縱、偏離流程或流程外操作等風(fēng)險(xiǎn)，這些機(jī)制往往很難真正意義上實(shí)現(xiàn)。內(nèi)控信息化實(shí)現(xiàn)數(shù)據(jù)是流程過程中產(chǎn)生，數(shù)據(jù)質(zhì)量因而與該業(yè)務(wù)數(shù)據(jù)相關(guān)即“流經(jīng)”的每個(gè)業(yè)務(wù)節(jié)點(diǎn)相關(guān)，深層次提升數(shù)據(jù)質(zhì)量與業(yè)務(wù)流程優(yōu)化的共生共演。

全過程表達(dá)為流程管理，可以實(shí)現(xiàn)對單項(xiàng)具體業(yè)務(wù)（部門內(nèi)或跨部門）以工作流的形式實(shí)現(xiàn)流程化管理，通過信息系統(tǒng)控制信息流轉(zhuǎn)，以人機(jī)結(jié)合實(shí)時(shí)運(yùn)作，流程化控制機(jī)制與結(jié)構(gòu)化規(guī)則結(jié)合，內(nèi)置于工作流，采取由系統(tǒng)自動(dòng)按預(yù)設(shè)條件審核判斷的方式?jīng)Q定流程走向，包括權(quán)限分配等，不僅大大提升效率，也避免不規(guī)范經(jīng)濟(jì)活動(dòng)，如超審批權(quán)限操作的風(fēng)險(xiǎn)。

具體實(shí)現(xiàn)過程采取數(shù)據(jù)管理方式，將流程規(guī)則轉(zhuǎn)化包含數(shù)據(jù)的條件設(shè)定。以資產(chǎn)管理的“設(shè)備報(bào)廢”為例，包括能否在信息系統(tǒng)中提交報(bào)廢申請（報(bào)廢年限條件）和審批權(quán)限的不同層級（固定資產(chǎn)額度條件）等規(guī)則，這些條件均可固化于系統(tǒng)配置，從而避免風(fēng)險(xiǎn)。特別是授權(quán)控制也是信息化建設(shè)的一個(gè)重要方面，基本規(guī)則是當(dāng)某項(xiàng)經(jīng)濟(jì)活動(dòng)或事件發(fā)生時(shí)，某部門或某人有權(quán)限或符合標(biāo)準(zhǔn)，則可以處理該事件，否則不允許。授權(quán)控制是內(nèi)控管理的基本模式，與全過程控制的流程管理相配合，大大提高內(nèi)控執(zhí)行的效果。

（二）重要性原則與數(shù)據(jù)質(zhì)量管理

數(shù)據(jù)質(zhì)量工程實(shí)踐中，評估數(shù)據(jù)質(zhì)量和評估業(yè)務(wù)影響是一個(gè)“互操作”的關(guān)系[12]，其中首要步驟是確定業(yè)務(wù)問題的優(yōu)先次序，所表達(dá)的是在數(shù)據(jù)質(zhì)量管理過程中，需要根據(jù)業(yè)務(wù)重要性，更多關(guān)注關(guān)鍵業(yè)務(wù)中產(chǎn)生的數(shù)據(jù)。

重要性原則強(qiáng)調(diào)單位內(nèi)部控制應(yīng)突出重點(diǎn)、兼顧一般，著力防范重大風(fēng)險(xiǎn)，包括重要業(yè)務(wù)事項(xiàng)、高風(fēng)險(xiǎn)崗位、關(guān)鍵崗位等。《內(nèi)控規(guī)范》對風(fēng)險(xiǎn)評估有專門的規(guī)定，即單位應(yīng)定期開展經(jīng)濟(jì)活動(dòng)風(fēng)險(xiǎn)評估工作，識別單位層面和業(yè)務(wù)層面的關(guān)鍵風(fēng)險(xiǎn)點(diǎn)，進(jìn)行排序，建立風(fēng)險(xiǎn)地圖，設(shè)計(jì)有效的防控措施。這些與數(shù)據(jù)質(zhì)量控制中優(yōu)先監(jiān)測重要業(yè)務(wù)數(shù)據(jù)相一致。

數(shù)據(jù)質(zhì)量管理之于重要性原則，主要是在內(nèi)控信息化建設(shè)中，加強(qiáng)對涉及到關(guān)鍵事務(wù)、關(guān)鍵崗位所產(chǎn)生業(yè)務(wù)數(shù)據(jù)的重點(diǎn)監(jiān)測，如預(yù)算、收支、政府采購、資產(chǎn)管理、建設(shè)項(xiàng)目和合同管理等環(huán)節(jié)產(chǎn)生的數(shù)據(jù);內(nèi)控評價(jià)指標(biāo)的權(quán)重上，如“單位主要負(fù)責(zé)人承擔(dān)內(nèi)部控制建立與實(shí)施責(zé)任”（6分）、“對權(quán)力運(yùn)行的制約情況”（8分）等占據(jù)了較高的分值，也是需要重點(diǎn)關(guān)注的事項(xiàng)。

內(nèi)控信息化實(shí)施對關(guān)鍵業(yè)務(wù)數(shù)據(jù)的監(jiān)測是行之有效的防風(fēng)險(xiǎn)措施，同時(shí)建設(shè)過程中也需按照定期的風(fēng)險(xiǎn)評估結(jié)果，適時(shí)調(diào)整重點(diǎn)監(jiān)測對象，確保將經(jīng)濟(jì)活動(dòng)風(fēng)險(xiǎn)控制在單位可承受的范圍。

（三）制衡性原則與數(shù)據(jù)可溯源技術(shù)

數(shù)據(jù)可溯源技術(shù)與數(shù)據(jù)的可關(guān)聯(lián)、可理解共同組成數(shù)據(jù)連續(xù)性的一整套數(shù)據(jù)管理措施，以保障數(shù)據(jù)可用、可信、可控，降低風(fēng)險(xiǎn)。數(shù)據(jù)可溯源技術(shù)與關(guān)聯(lián)數(shù)據(jù)、數(shù)據(jù)空間、語義Web共同組成技術(shù)支撐，在時(shí)間和空間等維度上刻畫數(shù)據(jù)連續(xù)性，保證數(shù)據(jù)對象在歷史版本和在不同節(jié)點(diǎn)流動(dòng)之間的連續(xù)性。數(shù)據(jù)可溯源也是數(shù)據(jù)可信的前提，可以明確數(shù)據(jù)是否具備支持證據(jù)鏈管理、可信度評估等方面的能力，從而確保降低數(shù)據(jù)“失信”風(fēng)險(xiǎn)。

相互制衡是建立和實(shí)施內(nèi)部控制的核心理念，可表達(dá)為不兼容機(jī)構(gòu)、崗位、人員的相互分離和制約。制衡機(jī)制失效，將會出現(xiàn)濫用職權(quán)或串通舞弊的行為，導(dǎo)致內(nèi)控的失敗。機(jī)構(gòu)設(shè)置的制衡與結(jié)構(gòu)性制衡是一致的，在一定程度上是全面性原則的延續(xù)。全面性不僅僅是組織經(jīng)濟(jì)活動(dòng)范圍的全方位，也是組織內(nèi)部結(jié)構(gòu)的全方位。權(quán)責(zé)的制衡包括：其一，不同職能部門間在業(yè)務(wù)上的制衡，也是機(jī)構(gòu)設(shè)置制衡的體現(xiàn);其二，“權(quán)力運(yùn)行機(jī)制的構(gòu)建”與“權(quán)力運(yùn)行的監(jiān)督”。

因此，數(shù)據(jù)可溯源技術(shù)之于制衡性原則，還體現(xiàn)在內(nèi)控信息化建設(shè)的業(yè)務(wù)數(shù)據(jù)管理過程中，針對不同職能部門信息管理系統(tǒng)之間流動(dòng)的業(yè)務(wù)數(shù)據(jù)的可溯源。各部門業(yè)務(wù)數(shù)據(jù)形成均可溯源到原點(diǎn)狀態(tài)，通過相互之間的比較可知產(chǎn)出數(shù)據(jù)的可靠性、真實(shí)性及偏差成因，使用者和決策者可據(jù)此判斷各職能部門的履職情況及制衡效果，防范舞弊及歪曲事實(shí)。

當(dāng)前數(shù)據(jù)溯源已有多項(xiàng)成熟技術(shù)，其中基于注釋的追蹤方法比較簡單，也比較容易實(shí)現(xiàn)，內(nèi)控信息化建設(shè)在設(shè)計(jì)信息管理系統(tǒng)時(shí)可采取相關(guān)的技術(shù)。以建設(shè)項(xiàng)目為例，一個(gè)基建項(xiàng)目的立項(xiàng)需要經(jīng)歷項(xiàng)目申請、分管領(lǐng)導(dǎo)審核、組織論證、單位主要負(fù)責(zé)人審議、報(bào)主管部門審批、轉(zhuǎn)入實(shí)施等過程。轉(zhuǎn)入實(shí)施（含招標(biāo)）后也有一系列的如設(shè)計(jì)（含論證）、施工、驗(yàn)收、交付等流程。這項(xiàng)工作至少涉及規(guī)劃、基建、使用、財(cái)務(wù)管理等部門。因此，從申請階段的申請書文檔到設(shè)計(jì)文檔，直至施工圖紙文檔以及最后的竣工驗(yàn)收報(bào)告，是一個(gè)完整的工作鏈。建設(shè)項(xiàng)目周期較長、多部門參與等多種內(nèi)外部因素（可能涉及到各職能部門獨(dú)立的信息管理系統(tǒng)而產(chǎn)生的多源數(shù)據(jù)集成），都會引起項(xiàng)目變更，如何使得初始的項(xiàng)目申請書與最終的竣工驗(yàn)收報(bào)告之間變動(dòng)范圍符合相應(yīng)的變更比例，控制工程預(yù)算與竣工決算不突破合理的“預(yù)算執(zhí)行差異率”，既需要全面性原則中的全過程管理，也需要通過數(shù)據(jù)可溯源技術(shù)，或設(shè)置不同業(yè)務(wù)數(shù)據(jù)之間關(guān)聯(lián)，或確定項(xiàng)目主數(shù)據(jù)，在主數(shù)據(jù)隨業(yè)務(wù)流程跨信息系統(tǒng)交換過程中以時(shí)間戳、審批人簽章等方式，實(shí)施可追蹤的“注釋”，從而實(shí)現(xiàn)即便有變更也可追溯。

（四）適應(yīng)性原則與數(shù)據(jù)空間技術(shù)

數(shù)據(jù)空間技術(shù)的基本思想是確定與主體（組織或個(gè)人）相關(guān)且可控的數(shù)據(jù)及其關(guān)系的集合，從時(shí)間、空間、內(nèi)容等不同維度理解數(shù)據(jù)，隨著需求的變化可以不斷納入新的數(shù)據(jù)管理要求（時(shí)間），數(shù)據(jù)源可以分布存儲于不同的信息系統(tǒng)或網(wǎng)絡(luò)環(huán)境（空間），也可以是異構(gòu)、動(dòng)態(tài)的各類型數(shù)據(jù)源，關(guān)系型數(shù)據(jù)庫、文本文件、XML文檔、圖像文件、Web服務(wù)等，以期實(shí)現(xiàn)不同數(shù)據(jù)源之間的模式匹配和數(shù)據(jù)（內(nèi)容）映射。數(shù)據(jù)空間技術(shù)的技術(shù)思路包括“先有數(shù)據(jù)后有管理”等模式、不改變數(shù)據(jù)源中的數(shù)據(jù)格式、分布式“共存”等方面[13]。

適應(yīng)性原則強(qiáng)調(diào)建設(shè)和實(shí)施絕非一蹴而就，提倡內(nèi)控信息化要與本單位業(yè)務(wù)特點(diǎn)以及當(dāng)前實(shí)踐相結(jié)合，建立符合自身以及當(dāng)下需要的內(nèi)控體系，在相對穩(wěn)定的基礎(chǔ)上，隨內(nèi)外部環(huán)境變化，不斷且適時(shí)地改進(jìn)與完善。

數(shù)據(jù)空間技術(shù)之于適應(yīng)性原則，體現(xiàn)著以科學(xué)和理性地態(tài)度對待內(nèi)控管理體系建設(shè)與發(fā)展?，F(xiàn)階段，單位內(nèi)控管理水平存在較大差異，還存在制度和流程等方面的問題，預(yù)防性控制難以奏效。譬如列入評價(jià)指標(biāo)的合同管理，并非所有單位已完成制定合同管理辦法。即便是在已進(jìn)行一定程度內(nèi)控信息化建設(shè)的單位中，也存在如職能部門管理信息系統(tǒng)的覆蓋全面性不足、已有信息系統(tǒng)重點(diǎn)性原則制衡性原則設(shè)計(jì)欠缺、文檔數(shù)據(jù)等業(yè)務(wù)數(shù)據(jù)處理孤立于流程之外、制度執(zhí)行完全依賴于經(jīng)辦及審批人員的個(gè)人理解及業(yè)務(wù)能力等狀況，風(fēng)險(xiǎn)控制水平較低的現(xiàn)狀需要漸進(jìn)式推進(jìn)內(nèi)控管理和內(nèi)控信息化。此外，內(nèi)控環(huán)境也在發(fā)生變化，就行政事業(yè)單位而言，隨著政府職能轉(zhuǎn)變深入推進(jìn)，單位主體經(jīng)濟(jì)活動(dòng)的日漸增多，對內(nèi)控建設(shè)有著更加全面和深入細(xì)致的政策要求。

因此，內(nèi)控信息化建設(shè)一方面要落實(shí)基本架構(gòu)的搭建，另一方面則從適應(yīng)性角度考慮數(shù)據(jù)布局，應(yīng)用數(shù)據(jù)空間技術(shù)實(shí)現(xiàn)解決不同類型業(yè)務(wù)數(shù)據(jù)所映射到業(yè)務(wù)活動(dòng)并進(jìn)行處置的問題，需要在做好長期規(guī)劃的前提下，確保相關(guān)項(xiàng)目能夠穩(wěn)步擴(kuò)展。從這個(gè)角度，數(shù)據(jù)空間技術(shù)對業(yè)務(wù)數(shù)據(jù)的可控性能確?；竞秃诵囊?，通過相關(guān)性解決不同時(shí)間、空間、內(nèi)容的業(yè)務(wù)數(shù)據(jù)的可理解性，確保其未來可擴(kuò)展，與適應(yīng)性原則保持一致。

三、基于數(shù)據(jù)管理的信息安全風(fēng)險(xiǎn)控制

信息安全是信息管理系統(tǒng)設(shè)計(jì)方案和內(nèi)控信息化中風(fēng)險(xiǎn)控制的重要組成部分，在業(yè)務(wù)數(shù)據(jù)已逐漸成為數(shù)據(jù)資產(chǎn)的當(dāng)下，信息安全的風(fēng)險(xiǎn)管控尤其重要。數(shù)據(jù)管理之于信息安全有兩個(gè)方面的涵義，一是信息管理系統(tǒng)中業(yè)務(wù)數(shù)據(jù)不會丟失或被篡改等，與災(zāi)備管理等相關(guān);二是從數(shù)據(jù)管理視角，提出實(shí)現(xiàn)經(jīng)濟(jì)活動(dòng)的風(fēng)險(xiǎn)控制解決方案，特別是權(quán)限管理。本文主要從后者探討。

一方面，日常業(yè)務(wù)活動(dòng)中源源不斷產(chǎn)生和更新數(shù)據(jù);另一方面，業(yè)務(wù)數(shù)據(jù)為多源（不同職能部門）異構(gòu)，且業(yè)務(wù)數(shù)據(jù)的建立、查閱、獲取、修改等權(quán)限也各有不同。因此，業(yè)務(wù)數(shù)據(jù)的特征體現(xiàn)為數(shù)據(jù)體量大、功能模塊（信息管理系統(tǒng)）多、用戶權(quán)限關(guān)系復(fù)雜、數(shù)據(jù)多源異構(gòu)、數(shù)據(jù)類型龐雜以及多為流數(shù)據(jù)或day-by-day行為數(shù)據(jù)等。數(shù)據(jù)安全管理貫徹整個(gè)內(nèi)控信息化建設(shè)過程，根據(jù)管理的顆粒度要求，權(quán)限管理可通過設(shè)置數(shù)據(jù)級權(quán)限和字段級權(quán)限來控制，管理組件包括接口代理、接口認(rèn)證、接口授權(quán)、數(shù)據(jù)訪問控制以及集中審計(jì)等。

具體地說，安全管理主要包括用戶管理、授權(quán)管理（功能權(quán)限和數(shù)據(jù)權(quán)限）、日志管理，通過用戶管理可以靈活定義和維護(hù)權(quán)限。本文提出一種基于數(shù)據(jù)標(biāo)簽控制的多源異構(gòu)業(yè)務(wù)數(shù)據(jù)安全管理模式，以解決用戶管理和權(quán)限分配問題。

（一）基于數(shù)據(jù)標(biāo)簽的業(yè)務(wù)數(shù)據(jù)安全管理原理

數(shù)據(jù)標(biāo)簽管理方式，是指利用機(jī)器可理解、可執(zhí)行的數(shù)據(jù)標(biāo)簽（datatag）對所生產(chǎn)的數(shù)據(jù)進(jìn)行分類分級管理，整合數(shù)據(jù)的安全屬性和訪問權(quán)限。

第一，建立數(shù)據(jù)標(biāo)簽集，數(shù)據(jù)標(biāo)簽是描述文件、數(shù)據(jù)集保存、傳輸和使用權(quán)限的標(biāo)志，通過對權(quán)限的描述表達(dá)其對應(yīng)的安全屬性。作為集合，各標(biāo)簽相互獨(dú)立且可排序。

第二，建立匹配規(guī)則，即通過將管理制度轉(zhuǎn)換為系統(tǒng)可識別的結(jié)構(gòu)性規(guī)則，形成機(jī)器可讀可執(zhí)行的數(shù)據(jù)干預(yù)方案，在明確各類業(yè)務(wù)數(shù)據(jù)（包括文檔數(shù)據(jù)等）對應(yīng)的安全屬性的基礎(chǔ)上，匹配得出對應(yīng)的數(shù)據(jù)標(biāo)簽。匹配規(guī)則可根據(jù)需要進(jìn)行調(diào)整。

第三，建立“數(shù)據(jù)標(biāo)簽存儲庫”，從系統(tǒng)架構(gòu)角度，存儲庫可以是實(shí)體整合，也可以是邏輯整合，前者面向單一元數(shù)據(jù)中心的管理，后者則是針對多數(shù)據(jù)源與數(shù)據(jù)空間相結(jié)合的模式。無論何種模式，都需要滿足每個(gè)數(shù)據(jù)有且只有一個(gè)數(shù)據(jù)標(biāo)簽;數(shù)據(jù)存儲與訪問方式嚴(yán)格遵循數(shù)據(jù)標(biāo)簽對應(yīng)的方式。

基于以上設(shè)計(jì)，數(shù)據(jù)安全管理的原理主要分為數(shù)據(jù)寫入和讀取兩個(gè)部分。數(shù)據(jù)寫入過程與日常業(yè)務(wù)工作同步。每當(dāng)有業(yè)務(wù)數(shù)據(jù)生成時(shí)，也同時(shí)會按照匹配規(guī)則，確定該業(yè)務(wù)數(shù)據(jù)的數(shù)據(jù)標(biāo)簽，數(shù)據(jù)標(biāo)簽的ID與業(yè)務(wù)數(shù)據(jù)的ID打包生成的數(shù)據(jù)記錄一并同時(shí)寫入“數(shù)據(jù)標(biāo)簽存儲庫”，“同時(shí)寫入”是確保日常業(yè)務(wù)數(shù)據(jù)的特征，含數(shù)據(jù)標(biāo)簽ID的寫入則是權(quán)限設(shè)定;當(dāng)需要讀取某個(gè)業(yè)務(wù)數(shù)據(jù)的時(shí)候，則需要根據(jù)業(yè)務(wù)數(shù)據(jù)ID調(diào)用“數(shù)據(jù)標(biāo)簽存儲庫”相關(guān)記錄中所設(shè)定和對應(yīng)的安全屬性和訪問憑證要求，系統(tǒng)完成身份驗(yàn)證和審核后將符合安全屬性要求的業(yè)務(wù)數(shù)據(jù)傳輸給操作人員。

（二）數(shù)據(jù)標(biāo)簽管理在內(nèi)控信息化中的應(yīng)用

較為成熟的數(shù)據(jù)標(biāo)簽分級管理技術(shù)解決方案是采用專家分級決策的數(shù)據(jù)標(biāo)簽匹配機(jī)制（基于決策樹模型或問卷匹配）。內(nèi)控信息化過程中可直接把通過內(nèi)控管理規(guī)范明確的業(yè)務(wù)活動(dòng)權(quán)限分配與控制規(guī)則轉(zhuǎn)換為數(shù)據(jù)使用協(xié)議，并代入寫入和讀取權(quán)限匹配機(jī)制。以下以資產(chǎn)管理業(yè)務(wù)中“設(shè)備資產(chǎn)處置管理”為場景，結(jié)合所對應(yīng)的內(nèi)控規(guī)范，從數(shù)據(jù)標(biāo)簽管理角度描述其在內(nèi)控信息化中的應(yīng)用。

一般來說，“設(shè)備資產(chǎn)處置管理”的簡要流程是：使用部門管理人員提交報(bào)廢申請表、負(fù)責(zé)人審核;鑒定小組給出報(bào)廢鑒定意見;財(cái)務(wù)管理部門資產(chǎn)管理人員處理申請表、負(fù)責(zé)人審核;設(shè)備部門工作人員處理申請表、負(fù)責(zé)人審核;單位負(fù)責(zé)人（或上級主管部門）審核;使用部門管理人員、設(shè)備管理部門工作人員、財(cái)務(wù)管理部門資產(chǎn)管理人員分別進(jìn)行資產(chǎn)臺賬和財(cái)務(wù)賬處理。流程中產(chǎn)生的業(yè)務(wù)數(shù)據(jù)有報(bào)廢申請表、三個(gè)職能部門和單位負(fù)責(zé)人的審核意見、設(shè)備和財(cái)務(wù)管理部門工作人員的處理記錄、三個(gè)職能部門工作人員的資產(chǎn)臺賬和財(cái)務(wù)賬。

針對以上流程，可梳理出的業(yè)務(wù)數(shù)據(jù)包括：（1）流程數(shù)據(jù)，即設(shè)備資產(chǎn)處置流程、審核條件、審核記錄;（2）用戶數(shù)據(jù)，即使用部門管理人員、負(fù)責(zé)人，設(shè)備管理部門工作人員、負(fù)責(zé)人，財(cái)務(wù)管理部門資產(chǎn)管理人員、負(fù)責(zé)人;單位負(fù)責(zé)人，上級主管部門;（3）文檔數(shù)據(jù)，即報(bào)廢申請表、報(bào)廢鑒定意見表（專家論證）;（4）表格數(shù)據(jù)，即資產(chǎn)標(biāo)簽、資產(chǎn)臺賬、財(cái)務(wù)賬、資產(chǎn)處置表單等。

其中，“設(shè)備資產(chǎn)處置流程”作為結(jié)構(gòu)化規(guī)則寫入資產(chǎn)管理信息系統(tǒng)，包括是否達(dá)到規(guī)定使用年限、單項(xiàng)原值且年報(bào)廢原值等為流程數(shù)據(jù)類型的“審核條件”數(shù)據(jù)等。這些流程數(shù)據(jù)的管理權(quán)限屬于設(shè)備管理部門負(fù)責(zé)人（單位負(fù)責(zé)人授權(quán)），其他如文檔數(shù)據(jù)、表格數(shù)據(jù)的寫入和讀取權(quán)限按如下規(guī)則：

規(guī)則1：“向下兼容”，單位負(fù)責(zé)人有讀取和審批職能部門負(fù)責(zé)人及工作人員業(yè)務(wù)數(shù)據(jù)的權(quán)限，職能部門負(fù)責(zé)人有讀取和審批工作人員的權(quán)限，但不可逆;

規(guī)則2：設(shè)定為下級工作人員寫入的權(quán)限，上級主管（單位負(fù)責(zé)人或職能部門負(fù)責(zé)人）可讀取和審批，不具備寫入權(quán)限;

規(guī)則3：不同職能部門之間權(quán)限“不兼容”，即任一部門只能寫入和讀取流程中涉及到本部門的業(yè)務(wù)數(shù)據(jù)，或只能讀取但不能寫入流程上流轉(zhuǎn)下來的他部門的業(yè)務(wù)數(shù)據(jù)。

基于此規(guī)則系列，設(shè)計(jì)簡化的具有3位字符的數(shù)據(jù)標(biāo)簽，第1和第3位表示行政級別，用數(shù)字字符，作為判斷“向下兼容”（系統(tǒng)判斷數(shù)值越小，權(quán)限越大），第2位表示部門劃分，解決不同部門間的“不兼容”，用大寫英文字符，其中A預(yù)設(shè)給單位負(fù)責(zé)人（系統(tǒng)判斷不同值為權(quán)限拒絕，A為例外）。此處以大寫英文字符僅為范例，一般而言，組織的二級機(jī)構(gòu)數(shù)會大于26個(gè)，在具體實(shí)施中需要采用更為復(fù)雜的編碼規(guī)則。

根據(jù)流程中用戶設(shè)置如下：使用部門管理人員（1B1）、負(fù)責(zé)人（1B0）;設(shè)備管理部門工作人員（1C1）、負(fù)責(zé)人（1C0）;財(cái)務(wù)管理部門資產(chǎn)管理人員（1D1）、負(fù)責(zé)人（1D0）;單位負(fù)責(zé)人（0A0）。括號內(nèi)為可設(shè)置權(quán)限的數(shù)據(jù)標(biāo)簽。

綜上，設(shè)計(jì)出業(yè)務(wù)數(shù)據(jù)安全權(quán)限管理模型如圖2，流程每個(gè)環(huán)節(jié)新產(chǎn)生的業(yè)務(wù)數(shù)據(jù)（含對原有業(yè)務(wù)數(shù)據(jù)的操作）均與用戶身份（含權(quán)限）打包生成記錄存入“數(shù)據(jù)標(biāo)簽存儲庫”。

四、結(jié)語

數(shù)據(jù)架構(gòu)角度，不同業(yè)務(wù)層次間相互連接，連接業(yè)務(wù)關(guān)系的具體體現(xiàn)是業(yè)務(wù)數(shù)據(jù)流。數(shù)據(jù)架構(gòu)基于單位內(nèi)控管理制度，也必須由單位通過經(jīng)濟(jì)活動(dòng)實(shí)現(xiàn)其發(fā)展戰(zhàn)略，涉及到以發(fā)展戰(zhàn)略的制定、計(jì)劃、實(shí)施、反饋、績效等為主線進(jìn)行，根據(jù)發(fā)展戰(zhàn)略設(shè)置預(yù)算，通過計(jì)劃分解到各項(xiàng)業(yè)務(wù)，經(jīng)過經(jīng)濟(jì)活動(dòng)實(shí)施反饋執(zhí)行信息等，落實(shí)對于業(yè)務(wù)流的分析。

內(nèi)控信息化涉及的業(yè)務(wù)數(shù)據(jù)不僅來自財(cái)務(wù)系統(tǒng)，還來自不同系統(tǒng)的功能模塊或獨(dú)立的信息管理平臺，各個(gè)功能模塊或信息管理平臺間的業(yè)務(wù)數(shù)據(jù)存在關(guān)聯(lián)和交互流動(dòng)，內(nèi)控系統(tǒng)的信息化建設(shè)是通過對業(yè)務(wù)數(shù)據(jù)抽取以及業(yè)務(wù)數(shù)據(jù)流進(jìn)行匯總，并全面進(jìn)行頂層設(shè)計(jì)，完成所有業(yè)務(wù)數(shù)據(jù)類型的預(yù)置后方可實(shí)現(xiàn)。內(nèi)控信息化建設(shè)從根本上需要以全面性、重點(diǎn)性、制衡性、適應(yīng)性四個(gè)原則為出發(fā)點(diǎn)，系統(tǒng)安全和數(shù)據(jù)安全共同構(gòu)造的信息安全是信息化建設(shè)的重要環(huán)節(jié)。

本文探討全面數(shù)據(jù)質(zhì)量管理、數(shù)據(jù)可溯源技術(shù)、數(shù)據(jù)空間技術(shù)、數(shù)據(jù)標(biāo)簽管理技術(shù)與信息化實(shí)施的綜合運(yùn)用。但一方面，這些技術(shù)自身在發(fā)展;另一方面，數(shù)據(jù)本身也蘊(yùn)含了巨大的財(cái)富，如果能對其加以合適分析和利用，可以將數(shù)據(jù)打造為資產(chǎn)，《數(shù)據(jù)資產(chǎn)管理實(shí)踐白皮書》[14]等行業(yè)報(bào)告也揭示業(yè)務(wù)數(shù)據(jù)正逐漸“資產(chǎn)化”，數(shù)據(jù)管理視角下的內(nèi)控信息化建設(shè)在技術(shù)發(fā)展與數(shù)據(jù)內(nèi)涵變遷的合力下不斷優(yōu)化完善。

【參考文獻(xiàn)】

[1] 周衛(wèi)華.信息化環(huán)境下內(nèi)部控制工程研究[M].北京：經(jīng)濟(jì)管理出版社，2016：39-41.

[2] 陳文潔.基于大數(shù)據(jù)思維的“業(yè)財(cái)融合”管理會計(jì)體系應(yīng)用[J].現(xiàn)代商業(yè)，2020（18）：165-166.

[3] 王凡林.大數(shù)據(jù)環(huán)境下的內(nèi)部控制體系重構(gòu)[J].會計(jì)之友，2020（10）：2-7.

[4] 黃小華.基于大數(shù)據(jù)技術(shù)的高校管理會計(jì)體系創(chuàng)新研究[J].科技經(jīng)濟(jì)市場，2019（9）：54-56.

[5] 何瑛，楊孟杰，周慧琴.數(shù)字經(jīng)濟(jì)時(shí)代區(qū)塊鏈技術(shù)重塑會計(jì)學(xué)科體系路徑[J].會計(jì)之友，2020（11）：153-160.

[6] 鄧麗娜.大數(shù)據(jù)時(shí)代高校管理會計(jì)發(fā)揮的作用[J].財(cái)經(jīng)界（學(xué)術(shù)版），2019（26）：180.

[7] 孫紅梅，雷喻捷.大數(shù)據(jù)、人工智能環(huán)境下內(nèi)控風(fēng)險(xiǎn)及防范探索[J].會計(jì)之友，2019（13）：118-122.

[8] 財(cái)政部.行政事業(yè)單位內(nèi)部控制規(guī)范（試行）[A].財(cái)會〔2012〕21號，2012.

[9] 朝樂門.數(shù)據(jù)連續(xù)性：未來跨學(xué)科研究的重要課題[J].情報(bào)學(xué)報(bào)，2016，35（3）：227-236.

[10] 樊文飛，弗洛里斯·吉爾茨. 數(shù)據(jù)質(zhì)量管理基礎(chǔ)[M].劉瑞虹，賈西貝，譯.北京：國防工業(yè)出版社，2016：3.

[11] 理查德.信息質(zhì)量[M].曹建軍，刁興春，許永平，譯.北京：國防工業(yè)出版社，2013：244.

[12] 麥吉利夫雷.數(shù)據(jù)質(zhì)量工程實(shí)踐：獲取高質(zhì)量數(shù)據(jù)和可信信息的十大步驟[M].刁興春，等譯.北京：電子工業(yè)出版社，2010：7-10.

[13] 李玉坤，孟小峰，張相於.數(shù)據(jù)空間技術(shù)研究[J].軟件學(xué)報(bào)，2008（8）：2018-2031.

[14] 大數(shù)據(jù)技術(shù)標(biāo)準(zhǔn)推進(jìn)委員會，等.數(shù)據(jù)資產(chǎn)管理實(shí)踐白皮書[R].2021.