王雪莹（河北经贸大学）

COSO框架概述

2017年9月6日，COSO委员会基于2004版更新发布《企业风险管理——与战略和绩效的整合》，从企业治理的角度将风险管理与企业治理结合起来，即将企业战略、绩效和价值提升与风险管理相结合。COSO报告指出，大数据、人工智能、自动化应用、成本控制等的发展趋势对企业风险管理有着很大的影响，面对“互联网+”背景下的大数据以及数据分析速度急剧加速，企业风险管理应当更新其信息、沟通与报告的工具和手段，以全新的方式构建来内部和外部的数据整合[1]。

“互联网+”概述

世界经济的融合发展极大地鼓励了中国企业进入国际市场，同时电子信息技术在日常生活和工作中的广泛应用，也促进了社会信息化的发展。对此网络信息化发展时代倡导了“互联网+”的新概念，即“互联网+传统产业”[2]。互联网与各传统产业不是相加等于二的关系，是传统产业通过与互联网平台和信息通信技术的深度融合，打造经济发展新态势，达到大于二的效果。社会计算、物联网、大数据、云计算等新经济框架因“互联网+”而被重新定义[3]。也为传统产业带来创新和能力，提升了企业的核心市场竞争力。

基于COSO框架“互联网+”企业内部控制问题分析

（一）控制环境方面存在的问题

传统企业内部环境无法满足当代网络技术的要求。一些传统公司历史相对较长，传统管理模式在整个公司已根深蒂固，如严苛的裙带关系，复杂的管理层，集中的管理和决策权。故而传统企业要想实现可持续发展，就必须不断改变发展战略和商业模式。“互联网+”系统凭借其远超封闭计算机处理模式的开放性和共享性帮助公司资源共享的同时，也带来了较高的控制风险，如计算机因病毒入侵导致的数据丢失等。但许多企业在复杂且残酷的竞争市场中，对“互联网+”的使用较为直接粗糙，尤其是与企业内控体系之间严重不匹配[4]。在企业发展过程中，往往会因为定位不准确、战略协调不及时等出现问题，尤其是缺乏消除互联网风险意识和措施，进而使得内控体系在“互联网+”环境下难以适应内控与可持续发展的需要。

（二）风险评估方面存在的问题

企业风险管理系统的不完善，会导致企业无法评估即将发生的风险，无法对风险的严重程度进行识别，更没有方法对即将发生的风险做出相应的对策并处理该风险[5]。没有内部风险意识的传统企业通常以盈利为首要目标。从当前企业的发展状况中可看出，有一大部分的企业没有制定长远的目标，只专注于短期盈利能力，跟随趋势只做有利可图的项目。随着互联网技术的发展，每个人都可以立即获取很多的信息，但有些人却分不清信息对其有利与否。企业的发展最终会带来更高的风险和直接的财务损失，从而阻碍企业实现预期发展甚至无法继续生存。

（三）控制活动方面存在的问题

在“互联网+”环境下，企业内部控制和管理较为脆弱。互联网是涵盖面广的大数据运行的环境，开放性高，故而企业需要对内部信息处理系统进行改变以适应互联网的需求，这样才能有效实现公司内部控制与互联网的结合，使执行系统高效顺畅，充分满足企业的运营需求。但一些企业对互联网环境的治理和控制能力较差，不能充分了解和掌握企业内部控制的范围，没有与实际运营业务相结合，进而企业没有应对市场变化所需的能力。高水平的信息化内控人才也越来越成为众多企业争夺的对象[6]。

（四）信息的沟通与交流存在的问题

不少中国企业在“互联网+”转型过程中盲目安装信息系统，但在提升内控质量方面效果不佳。“互联网+”的内控发展模式主要依赖于优质的信息资源，数据的完整性和准确性是保障商务智能系统正常运行的主要条件。但是，我国大部分企业的信息系统建设不完善，系统存储的数据有限，数据质量参差不齐，这样极大地影响了企业信息和数据的有效利用。目前很多企业还没有建立风险信息管理系统，当企业面临激烈的竞争时，往往会因为对风险事件的反应不够充分而陷入风险监控的盲点。在预警提示上处于空白，在风险管理对策上较为被动，很可能给企业带来更严重的损失。

（五）对环境的监控存在的问题

部分企业内部控制制度建设存在的不足，不仅是外部环境造成的，也有内部因素造成的。健全的内控制度与建立有效的监督机制密不可分。一些企业设有内部审计和内部稽核部门作为内部控制的监督者，以履行内部审计职能。但在现实中，这些部门并不能充分发挥各自的作用，而且很多工作都是形式化的，不能起到根本性的监督作用。在工作过程中，很多监督人员所掌握的权利形同虚设，无法有效保障公司的内部控制。

“互联网+”企业内部控制策略

（一）提升企业内部环境，加强企业内部控制效果

长期的公司治理战略可以有效改善企业内部经营管理的环境。如今，传统的企业治理措施都已形成一定的体系，措施趋于完善；新型企业根据时代发展需要制定发展战略，管理措施相较而言更先进。企业在实施内部控制时，实行自上而下的全面管理，消除管理盲区，完善各项公司治理措施。公司最高管层可根据领导层存在的问题提出解决方案，对领导层进行监督和指导，并对基层管理人员进行适当引导，使公司领导层得到有效提升和综合管理。对公司的管控将改善公司内部管控环境，严格确保公司管理市场化与国际化，不走封闭的发展道路。

（二）调动员工积极性，提高企业内部控制效率

深化对“互联网+”的认识，推进内控管理与“互联网+”的融合。在“互联网+”的运行环境中，内控管理涉及了大量数据处理，对负责的员工提出了更高的要求，需要企业各个部门通力合作，全面对企业内部控制进行监督管理。企业管理者可对员工进行内部控培训，以确保公司员工充分了解其的重要性和必要性。同时员工也可以了解到市场发展现状，看到本企业与其他企业在管理方面的落后之处，并以此调动员工，使其发挥自身主观能动性来加强学习，提升职业技能，不被时代所抛弃。这样，公司才能将发展理念充分融入个人职业发展中，调动了员工积极性，提高了内控管理效率，落实了企业的战略规划。

（三）加强网络安全防护，保障企业信息安全

网络信息安全问题一直是信息时代的通病，通过提前预测和控制可及时解决，防止信息系统漏洞的扩大。在妥善处理网络安全问题的时候，企业首先要清醒认识网络信息安全的重要性和网络维护要求，严格落实网络安全责任，全面加强网络安全，切实提高企业信息安全的必要性。同时企业可以根据网络安全问题和自身发展情况，定期开展网络安全培训，积极培养起每位员工安全使用网络的观念，不得随意泄露会对企业造成不利影响的负面信息。通过定期培训，员工可以逐步提高维护企业网络信息的意识，发挥其相关业务能力，采取相应的措施保障企业网络安全。为了保证企业网络信息的安全，内部网络必须与外部网络隔离，这对维护公司关键信息有重要保障。

（四）建立有效的内部监督制度

在“互联网+”环境下，企业解决自身管理问题的一个重要途径就是建立有效的内部监督体系。现代信息技术的飞速发展凸显了互联网在企业日常管理中的优势，信息交换效率高、应用领域广的特点为企业提高管理效率提供了有利条件，但当前的内部监管职位比较空缺，企业在填补人员的同时要保证内部监督人员的权责统一，发挥其工作积极性，保证内部监督制度有效执行。

结束语

“互联网+”新形势下，企业内外部都发生了巨大变化，对传统企业内控水平提出更高要求，传统企业转型升级的同时，内部控制管理也要随之变革。企业要建立互联网思维，以市场为导向，在组织结构、发展理念等多面实现提升和优化。同时要提高员工的工作效率，提高对各个方面的风险防范意识，构建完善的内控监督体系，实现企业的可持续发展。