闫博 于洋

（1、北京空间机电研究所，北京 100000）

（2、华夏银行股份有限公司北京分行，北京 100000）

随着互联网技术的普及范围越来越广泛，云计算、大数据、移动支付、区块链等新一代互联网信息技术蓬勃发展，“互联网+金融”形式逐渐渗透到传统金融领域，互联网金融应运而生并逐渐成为人们生活当中不可或缺的支付和投资方式，不断冲击着人们的金融消费理念和传统金融市场的利益分配方式。

我国互联网金融行业一度处于井喷式发展状态，门槛低、诱惑大，导致从业者良莠不齐，内部控制环境缺失在业内是非常普遍的，很多平台机构追求的不是长长久久，而是轰轰烈烈，因此才会出现跑路案、倒闭潮等乱象。

健全的内部控制是规避企业内外部风险、促进行业健康快速发展的重要措施，因为无论是政府监管还是行业自律，其风险管理最终目标都必须通过企业加强内部控制建设才能得以实现。然而，很多互联网金融创业者认为内部控制就是制定制度和规则，有漏洞补漏洞，发现问题解决问题。高层领导的内部控制意识尚且如此薄弱，更不用提其他从业者，建设内部控制文化、全员参与、上下贯彻执行等都是纸上谈兵。因此，为确保互联网金融行业的长期稳定健康发展，必须对目前互联网金融企业内部控制缺陷的问题加以分析研究，从而做好企业内控工作奠定基础。

一、互联网金融企业主要内控缺陷

（一）目标制定存在偏差

目前在我国的互联网金融行业，风控不是核心部门，企业方的核心诉求是将市场做起来，市场做起来后再去找投资人融资。在很多互联网金融企业的眼里，风险控制和占领市场就像一个跷跷板，风险控制太严格，必然不利于占领市场，所以对很多互联网金融企业来说，前几年的战略目标都是市场重于风控，更有甚者，主动忽视风险控制。比如很多消费金融平台为了做大业务，通过极其简单的草率审核就可以成功放贷，结果造成坏账率倍增，然后为了掩盖坏账率，就只能通过把分母做大的手段，继续扩大规模，增加用户量，不断陷入恶性循环。

（二）风险识别难度大

很多互联网金融行业从业者都清楚一个事实，互联网金融的风控，很大一部分是反欺诈，且欺诈大部分来自内控，这是我们羞于承认却又无可辩驳的中国特色。大量存在的欺诈人员，将互联网金融平台当成投机获利利器，无孔不入，而更为严苛的现状是，大部分的欺诈来源于平台内部和欺诈人员的互相勾结，也因此增加了风险识别的难度系数。所以也有很多业内人士认为，风控的核心除了建立风控模型，审核资料，更重要的是识别人心和自我修养。

（三）风险应对规则简单

在互联网金融行业，我们不难看到一些非常简单甚至荒谬的风控规则。比如一些贷款平台，只需借款人提供在其他平台的放贷成功截图，或贴出芝麻信用分截图，或只需实名验证和读取通讯录，就可以授信或放贷，类似这样的规则不胜枚举。之所以采取这种投机取巧的方式，原因大多是信用审核成本很高，没有经济条件或技术能力。而这些极为简单的风控规则，根本不能称之为风险应对机制，属于内部控制严重缺失。

（四）控制活动失效

无可厚非的是，前端业务部门是互联网金融企业的第一道风控，甚至是最重要的风控，因为他们是唯一能够与客户面对面、听其言、观其色、察其行的人。但是过于依赖业务人员的人为判断，尤其是当前端业务人员参与套现、盗利等行为的时候，控制活动就失效了。这时只能利用后端审核来规避风险，即大家熟知的大数据风控。大数据风控是目前金融技术领域的主要应用，已经成为互联网金融企业的核心竞争力。然而，大数据风控有很强的技术壁垒，很多企业只是利用大数据风控的概念进行炒作，对其实质和应用仍旧是云里雾里。同时，风控大数据同质化极为严重，真正有特色的数据都集中在几家大型企业，例如阿里巴巴和京东拥有用户网络购物数据，腾讯拥有用户社交数据。作为核心竞争力，他们都对自己的数据极力保护，其他机构想要获取几无可能，这也相对增加了其他企业利用大数据开展风险控制活动的难度。

（五）信息安全形势严峻

在得数据者得天下的大数据时代，对于互联网金融企业而言，拥有的投资者商户信息及平台交易数据都是重要的无形资产，然而目前我国互联网金融企业的信息安全形势却普遍非常严峻。我们经常看到这方面的报道，例如某P2P平台遭受黑客攻击，以致大量个人信息被泄露，这些泄露的信息最终以各种方式成为不法分子的获利工具。从现有案例来看，信息泄露主要包括平台恶意泄露、内部员工泄露以及黑客攻击等方式，无论哪一种方式造成的信息泄露，都属于企业内部控制存在缺陷。

二、互联网金融企业内控缺陷原因分析

（一）法制与监管体系不完善

我国互联网金融还处于起步阶段，目前只有第三方支付模式具有明确的法律定位和监管主体，其他模式均没有。互联网金融市场准入、网上交易权利义务、个人信息保护、网络纠纷诉讼等都没有明确的法律规定，法制与监管体系不完善导致部分互联网金融机构不够自律，利用监管漏洞，寻找法律空子，违法违规经营，行业乱象频繁出现，整个行业随时可能越界，碰触政策和法律底线。

（二）行业复合型人才的制约

所谓“功以才成，业由才广”，现代企业的核心竞争力往往是由企业所拥有的人才决定的，作为人才密集型行业，互联网金融企业更加需要人才。中国管理科学研究院内部控制与风险管理研究所主任王炜曾表示，互联网金融企业的大部分从业人员都缺乏金融实战经验，无法有效引入、借鉴成熟的风控模型和标准业务管理程序。例如导致P2P网络借贷平台险象环生的原因，与其缺乏专业风险控制团队有直接关系。目前，从传统金融机构出来的风控人员，由于积攒的项目风险经验相对比较丰富，职业道德和基本素质也相对较高，在互联网金融行业内很受推崇。但是互联网金融作为新兴行业，其业务内容涉及银行、支付、证券、基金、保险等多个方面，其从业人员不仅需要具备金融业务相关经验，还需要懂得风险管理、网络系统、线上交易等知识，因此与传统金融机构相比还是存在较大差异。由此可见，培养既懂互联网、内控又熟悉金融业务流程的复合型人才，是制约互联网金融企业内控体系完善的一大因素。

（三）没有成熟完善的内控制度可供借鉴

中国会计学会内部控制专家组专家郑洪涛曾表示，互联网金融作为新生事物，尚未建立与之相对应的内控制度，同时，互联网金融企业既没有现成的经验可循，也缺乏风险优先意识，因此内控体系设计和执行困难重重。从行业所处阶段而言，我国互联网金融行业仍处于起步探索阶段，风险很大，从行业特点来说，具有互联网和金融两个行业的特征，并且不是两个行业的简单叠加，因此需要面对种类更多性质更复杂的风险。同时，因为传统金融机构已发展多年，完成了整个经济周期，风控模型已经得到验证，而互联网金融发展仅仅短短几年时间，所以传统金融业成熟的风险管理模型和内控程序不能满足互联网金融企业的要求。另外，国外发达国家的成功经验不一定适应我国具体国情，不能复制照搬和落地实施，因此互联网金融企业的内控制度和风险管理体系需要不断改进和创新，这是这个行业目前亟待解决的问题。

（四）企业效益凌驾于安全之上

互联网金融行业不仅是快速发展、高风险的行业，同时更是竞争激烈的行业，随着适应多元化需求的互联网金融进入井喷式发展阶段，各大传统金融机构、众多互联网公司、产融结合类企业、资本驱动类企业纷纷加入互联网金融大军，社会资金也蜂拥而入，门槛低、诱惑大，导致从业者良莠不齐。为了抢占市场、争夺客源，一些互联网金融企业甚至采用一些有争议、高风险的交易模式，比如降低商户准入资格，无视相关金融监管法规，不顾安全需要，对产品进行包装，或者以创新业务为名目不断放松风险控制，产生较高的信用风险、流动性风险、产品风险等。利欲熏心的行为不仅违背了政策监管的要求，也背离了互联网金融“做小做微”的发展趋势，更违背了互联网金融“普惠金融”的本质。

三、对策建议

内部控制是互联网金融稳健有序发展的有力保障，健全的内部控制是规避企业内外部风险、促进行业健康快速发展的重要措施。对互联网金融企业来说，其经营特点有别于传统企业，因此不能照搬传统企业的内部控制制度和流程，要根据互联网金融企业的发展现状，采取有针对性的措施与方法。

（一）合理制定战略目标，构建有风险意识的内控环境

美国COSO委员会颁布的《企业风险管理整体框架》将目标设定分为战略目标、经营目标、合规目标和报告目标，其中战略目标处于最高层次，决定了企业愿景和使命，是最重要的目标，也是最容易被忽视的目标。我国互联网金融行业正处于在不断摸索中前进的状态，各种业务模式层出不穷，多元化的盈利模式不断出现，个性化的服务也令人应接不暇，因此互联网金融企业更要重视战略目标的制定，明确企业的发展方向，而不是受利益驱动盲目追随。建议企业通过决策分析制定出战略目标，然后将战略目标进行细分，制定出具体目标，识别出关键影响因素、关键影响流程、关键影响活动及具体岗位目标，使企业的经营活动都围绕战略目标的实现来运作，达到有效管理的目的。

作为高风险行业，互联网金融企业的控制环境是内部控制的关键，是内部控制框架中最基础的要素，环境氛围直接影响着企业内部全体成员的思想和意识，包括企业治理层和管理层对风险的认识和重视程度，所以企业高层一定要树立加强风险管理的意识，在企业营造良好的风险控制环境和文化。除此之外，还应加强对员工风险意识的培养和教育，让所有工作人员都积极参与内部控制和风险管理。

在如今这个到处充斥着大数据和多媒体的互联网时代，互联网金融企业面临的市场环境瞬息万变，业务流程和产品概念不断被创新，信息技术变革日新月异，产品更新换代的周期越来越短，因此互联网金融企业的治理结构也应当做出相应变革，除了满足企业运营特点的需要，最重要的是能使企业对市场环境的变化做出快速有效的反应，灵活应对各种突发事件和问题。

（二）建立风险评估机制，强化风险识别能力

互联网金融企业面临市场风险、操作风险、系统风险等诸多风险，因此企业应设立履行风险管理职能的专职部门，提前制定具体准确的风险评估机制，运用定性、定量或两者相结合的方法对风险的程度、等级和可能产生的后果以及承受风险的能力进行合理的评估，以确保风险管理和经营目标的实现。

不确定性的存在，使得企业管理者需要及时识别潜在事项对企业可能产生的正面或负面影响，进而判断是机会还会风险，对于机会要牢牢抓住、合理利用，对于风险则要全面分析并尽量规避，无法规避的要控制在可接受范围内。互联网金融行业存在大量机会与风险，正因如此，一向门禁森严的金融业快速涌进了众多参与者，成为传统金融的“搅局者”。而面对诸多竞争和瞬息万变的市场，互联网金融企业要想在互联网金融领域占有一席之地，必须具备并不断提高对事件的识别能力，因为事件识别是全面风险管理的关键一步，直接决定了企业决策的成败，如果没有及时识别出风险，严重的话甚至会导致企业一败涂地，而如果错失机会，可能使企业发展落后其他竞争者很多，只能步步追随。

（三）优化风险应对措施

控制活动指那些有助于管理层决策顺利实施的政策和程序，如授权、验证、职责分离等。内部控制活动讲求的是正确地做事，即管理体系的有效性，因此，在大数据和信息爆炸型时代，能够预测潜在问题并及时阻止风险发生的预防性控制和自动化控制显得更为重要。建议互联网金融企业充分考虑成本与效益匹配原则，将全方位控制与重点控制相结合。传统金融企业经过几十年发展，已经拥有完善的风险应对机制，而大多数互联网金融企业目前的主要目标是扩大用户基数、吸引商户、发展业务规模，并没有把风险应对放在与业务规模相匹配的地位，以致不能及时应对风险。对互联网金融企业的管理者来说，核心工作是应对风险，因为互联网金融企业利用互联网营销手段能够充分快速地接触到潜在客户，经营效率得到提高，但同时流动性风险、信用风险等经营风险也在不断上升，面对各种风险，企业必须优化风险应对措施，选择出一套符合企业整体目标的风险应对方案，决定回避风险、接受风险、分散风险、转移风险或者减少风险。

（四）完善信息与沟通渠道

完善信息传递过程。部门间信息沟通不流畅、跨部门审阅审批流程不合规等内控问题，在传统企业和互联网金融企业中都是常见的问题，互联网金融行业的特点决定了企业必须重视信息的时效性和准确性，所以必须完善信息传递过程，重视信息传播与沟通方式。

完善信息系统建设。互联网金融企业处于开放式的网络通信系统中，其依赖的大数据、云计算、区块链等技术都以计算机网络和通信技术为载体，极易爆发系统性故障或遭受大范围攻击，存在很高的技术性风险。目前我国互联网金融行业信息安全形势十分严峻，信息泄露事件屡见不鲜，因此所有互联网金融企业都必须将信息系统安全放在重要位置，重视信息系统建设，不断提高网络信息安全技术，最大限度降低事故发生概率，保障信息系统正常运行，保障网络系统和客户信息安全。

（五）强化内部控制监控和奖惩机制

内部监控的目的是评价内部控制是否有效和适用，在此前提下确保内部控制被恰当的设计并得到有力执行。内部监控必须从上到下贯穿于整个内部控制过程中，这包含两层意思：一是管理层自我监控与评估，诸如日常经营活动中执行的授权审批、职责分离等，并定期评价执行情况和结果。二是相对独立部门的监督和审查，如内部审计部门或外部第三方机构进行的内部控制审计。

审计作为事后控制，通常不像业务部门和风控部门一样能及时把控风险，但是审计具有很高的独立性和权威性，拥有直接向治理层汇报的特权，这使其可以客观真实地反映情况、发挥职能。因此在实践中，互联网金融企业要重视审计部门，它的作用是业务部门和风控部门不能代替的，另外，要充分发挥审计的作用，避免只是为了审计而审计，其结果只能是形同虚设。同时，为健全和规范互联网金融企业风险管理流程，提升员工风险管控意识，应建立有效的风险责任界定和奖惩机制，如果没有严格的奖惩机制就会使各项合理的规章制度形同虚设。