崔晓娜

(南京财经大学 红山学院，江苏 南京 210000)

“互联网+”是互联网与传统行业相结合的过程，即利用信息技术及互联网平台使互联网与传统行业结合，创造新的经济形态。“互联网+”不仅增强了企业创新发展的动力，也对企业管理提出了新的、更高的要求。“互联网+内控”为完善企业内部控制带来了机遇，有助于提升企业内部控制水平，也使企业内部控制人才、风险评估、信息交流以及监督体系面临挑战。企业需结合自身特点进行适应性调整，强化企业内部控制，实现长远发展[1]。

1 上市公司内部控制现状

1.1 上市公司内部控制总体情况

表1 上市公司2014～2017年内部控制评级

数据来源：迪博内部控制指数

从表1看，2016年上市公司内部控制指数首次出现评级为AAA级公司。2014～2017年内部控制评级为AA、A、BBB、BB级的上市公司占比变化不大，B级占比一直在50%以上，从2014年的50.77%上升到2017年的58.54%，大体呈增长趋势。2017年评级为C级和D级的上市公司占比较2016年略有上升。总的来看，上市公司内控水平平稳向好，但评级为B级的上市公司占比偏高，这说明上市公司内部控制水平整体偏低，内部控制质量有待提升。

根据迪博数据，2018年评级为BB及以上的非强制实施公司占比14.82%，强制实施内控规范的上市公司占比23.71%，BB及以上的强制实施内控规范的上市公司占比是非强制实施公司的1.6倍，强制实施内控规范的上市公司内部控制质量整体优于非强制实施内控规范的上市公司。目前，中小板和创业板上市公司没有强制实施内部控制规范，其内部控制水平及信息披露规范性亟待提高。此类公司规模较小，管理相对薄弱，风险更高，需加强内部控制，以保护投资者利益。

1.2 内部控制评价报告缺陷分析

2017年3022家上市公司中有456家上市公司披露了内部控制缺陷，占披露内部控制评价报告公司总数的14.14%，共披露缺陷4438项，其中重大、重要缺陷226项，占比3.66%，较2016年上升1.11%。 与2016年相比，2017年内控薄弱环节依然集中在资金活动、资产管理等方面，财务报告、组织架构问题凸显，制度管理、信息系统领域问题较去年更为严峻，这说明企业内部控制风险识别、评估和应对在新环境下发生了变化。企业应重视排名上升的内部控制缺陷。

根据迪博内部控制指数，2017年有21.67 %的上市公司内部控制评级为C级和D级。但从上市公司公布的内控评价报告看，披露重大或重要缺陷的公司不到4%，且只有不到2%的公司结论为非整体有效，这说明上市公司内控评价报告没有切实反映内部控制质量。许多企业花重金设计内部控制体系，却没有真正使“内控管理”和“内控评价”成为扎根于企业的内生机制。上市公司内部控制评价报告流于形式，披露的内控缺陷相似，不能真实反映企业内部控制现状。

1.3 内部控制缺陷整改情况分析

根据迪博数据资讯，2017年上市公司披露的重大、重要缺陷中有效整改的比例接近40%，尚有44%未完成整改。一些上市公司没有制定具有可操作性的整改措施，表达不清晰，也没有具体的整改责任人或责任部门，整改情况不理想。

2 “互联网 +内控”的特点及面临的挑战

2.1 控制环境

控制环境为企业提供了基本规则和构架，塑造企业文化，并影响组织内员工的控制意识。传统金字塔形纵向的管理层级和封闭的组织结构不能及时应对变化莫测的市场环境。企业引入现代化信息管理模式，进行网状扁平化管理，将企业分成若干自主运行但又紧密联系的小单元，便于企业搜集、整理和分析市场信息，快速掌握市场变化，做出决策和行动；同时能大大调动员工的自主性和灵活性，有利于员工创新[2]。企业组织结构变化，相关职位和职能的改变，使企业对专业人才的需求量增加。近年来京蓝科技股份有限公司践行“生态环境+大数据”、移动互联、云计算发展战略，以物联网云科技为引擎发展企业。2016年京蓝科技内部控制评价报告指出，公司在控制环境方面存在缺陷，新项目不断增加，新的业务模式不断开展，需要大量专业人员，人员配置及整合工作需不断加强。企业要加大技术人才引进力度，为公司各项业务开展提供支持。

2.2 风险评估

风险评估指量化测评企业面临的威胁、存在的弱点、造成的损失，并针对风险后果制定应对策略。“互联网+”环境下企业运用信息技术进行管理，提高信息的及时性和准确性，能更好地评估公司战略、财务、运营方面的风险，提升风险评估效率。但互联网环境下市场具有更多的不确定性，企业面临多样化风险。信息技术会对企业内部控制产生特定的风险，如企业存在遭受网络病毒攻击、黑客入侵、数据被窃取及数据丢失等风险，网络安全极为重要。腾讯云由于云硬盘IO异常，导致互联网创业公司前沿数控技术线上生产数据完全丢失，给企业带来损失。原始数据输入计算机后由计算机自动处理，如果授权不当，会产生安全漏洞。技术人员非法使用自己的权利对数据进行修改，数据质量将无法保证，会影响企业正常运行。

2.3 控制活动

利用互联网企业的控制手段更加高效和多样，可以做到事前、事中和事后全方位控制。但是网络环境也加大了企业控制活动的难度。为了适应网络环境的开放性和共享性，企业的组织构架和职责分工应相应调整。企业不仅要加强对人员的控制，而且要加强对信息系统的控制。控制程序要随着计算机处理程序的变化进行适应性调整。冀东水泥2016年度内部控制评价报告中披露了企业控制活动的缺陷。公司 ERP管理系统(SAP)开始全面使用，但人员培训不到位，统一的生产数据修改规程没有建立，数据被修改。“互联网+”环境下，企业要更加关注数据质量，加强对信息系统的控制。业务人员越权将未经批准的数据录入系统或者伪造录入的数据，技术人员利用职务便利进行非法操作谋取个人利益，都会影响企业的正常运营，给企业造成不良后果[3]。

2.4 信息与沟通

企业管理活动和控制活动要协同，协同需要信息和沟通。多数企业存在沟通不畅的问题。企业组织构架越复杂，沟通越困难，决策层政策传达失真的可能性越大。互联网使企业获取信息的途径更加便捷，企业可通过技术手段把海量数据转化为高价值的决策信息，互联网也为企业内部各部门之间提供了交流平台，信息传递效率大大提高。信息量的增加给沟通带来挑战。企业首先需要从海量的信息中筛选出自己需要的信息，并确保信息真实可靠。其次企业需进行有效信息沟通。同花顺在2016年内部控制评价报告中披露了公司信息与沟通方面的缺陷，公司后台数据库信息系统需改进，以实现与财务核算系统相承接。随着市场变化、信息技术进步，企业内部沟通出现新变化，企业要及时调整，确保各部门有效沟通。

2.5 监督

互联网使监督更加及时，方式更加多样，有助于增强监督的效果和效率。通过内部管理系统对员工工作进行实时监督，可实现对整个业务流程的掌控，有利于规范各部门、各流程管理。“互联网+”环境下企业用于监督的信息大部分由信息系统生成，业务流程中一个环节的错误可能会影响到整个企业的数据库，进而影响管理层决策，所以监督的重点和难点是全面把控系统处理流程，在内外环境发生变化时及时评估业务控制活动执行情况，调整控制措施。

3 “互联网 +内控”改进策略

3.1 发挥互联网优势，实现信息化内部控制管理

目前，很多企业内控体系设计较完善，但执行不理想。内部控制评价报告流于形式，未能反映企业内控的实质问题。企业需强化内部控制意识，更新管理理念，建立互联网思维，要利用“互联网+”创建贯穿于企业各部门和全流程的动态的内控管理系统，实现企业运营活动信息化、制度化和规范化管理，要以法规制度为标准，以合规、严格执行为原则，打破旧的事后监督的局限，实行事前控制、事中检查和事后评价相结合的监督机制，及时察觉缺陷并进行整改。联网内控系统可以将关键控制点嵌入业务流程，内控管理人员可结合企业授权、风险、法规、评价等维度的指标，高效开展企业内控流程管理，建议相关人员采用图表形式展现分析结果，为企业提供清晰、详实的风险管理报告和内控评价报告。

3.2 加强企业内部控制人才队伍建设

互联网内控系统对人才的素质要求高，处于转型期的企业大多缺乏专业技术团队，企业应加强人才引进力度，健全人才培养机制，培养高素质的复合型人才。企业应着力提升管理者素质，通过培训使管理层树立正确的风险理念，增强对内部控制和风险防控重要性的认识，切实提升风险责任感和风险防控能力。企业应引导员工树立责任意识，通过发放信息安全手册、信息安全培训、在线学习等手段，提升员工的网络安全意识，防止攻击者从普通员工入手对企业网络进行攻击。

3.3 增强企业应对风险的能力，有效实施控制活动

有效的风险管理能够使企业规避或者减少损失。企业应明确信息系统的价值，并采取相应的措施对其进行保护。首先，要制定专门的手册对员工日常操作进行控制，并定期对员工进行操作规范培训和考核，加强员工日常操作管理。要定期对信息系统的软件和硬件进行维护和升级，规范信息系统操作流程，防止违规操作，确保系统安全。其次，要合理设置岗位，明确权责，使岗位之间相互制约。对舞弊风险高的岗位要重点监督，实行轮岗制度。最后，完善授权审批程序，控制企业各项活动运营。应依据企业经营特点、规模、发展阶段、经营战略等合理设置授权审批体系，区分一般和特殊授权，确定授权审批的层次，制定规范的制度和相关指引，明确责任，防止非授权篡改数据和删除数据事件发生，保证数据质量[4]。

3.4 识别信息需求，确保信息质量，加强沟通

企业需根据风险评估要求分析信息系统活动日志数据，为企业控制活动提供及时、高质量的信息，使企业时刻对网络风险保持警惕。企业应明确各部门责任和义务，建立数据管理机制，避免信息被非法访问和修改，确保信息质量，同时做好数据备份工作，防止数据丢失。员工在保护企业信息系统安全中扮演着不同角色，企业应制定信息系统沟通计划，提升全体员工网络风险意识，使管理层和员工都能尽到内部控制责任。

3.5 完善内部控制缺陷整改机制，加强企业内部监督

动态的内控管理系统和全方位的监督机制有利于企业及时发现内部控制缺陷并持续改进。企业应主动适应时代发展，积极调整内部控制不合理的地方，建立合理的组织构架，规范和完善内控体系，并将内部控制缺陷高发领域作为监督检查的重点。对于已经发生并产生不利影响的缺陷，要及时制定整改方案，明确整改部门和整改责任人，并对整改过程进行跟踪。对于整改不力的，要分析原因，追究相关部门和人员的责任。企业应根据人员、流程和技术的变化，维护网络控制相关文档，评估控制设计和实施的有效性，有效保护信息系统运营[5]。