崔曉娜

(南京財經(jīng)大學 紅山學院，江蘇 南京 210000)

“互聯(lián)網(wǎng)+”是互聯(lián)網(wǎng)與傳統(tǒng)行業(yè)相結合的過程，即利用信息技術及互聯(lián)網(wǎng)平臺使互聯(lián)網(wǎng)與傳統(tǒng)行業(yè)結合，創(chuàng)造新的經(jīng)濟形態(tài)?！盎ヂ?lián)網(wǎng)+”不僅增強了企業(yè)創(chuàng)新發(fā)展的動力，也對企業(yè)管理提出了新的、更高的要求。“互聯(lián)網(wǎng)+內(nèi)控”為完善企業(yè)內(nèi)部控制帶來了機遇，有助于提升企業(yè)內(nèi)部控制水平，也使企業(yè)內(nèi)部控制人才、風險評估、信息交流以及監(jiān)督體系面臨挑戰(zhàn)。企業(yè)需結合自身特點進行適應性調(diào)整，強化企業(yè)內(nèi)部控制，實現(xiàn)長遠發(fā)展[1]。

1 上市公司內(nèi)部控制現(xiàn)狀

1.1 上市公司內(nèi)部控制總體情況

表1 上市公司2014～2017年內(nèi)部控制評級

數(shù)據(jù)來源：迪博內(nèi)部控制指數(shù)

從表1看，2016年上市公司內(nèi)部控制指數(shù)首次出現(xiàn)評級為AAA級公司。2014～2017年內(nèi)部控制評級為AA、A、BBB、BB級的上市公司占比變化不大，B級占比一直在50%以上，從2014年的50.77%上升到2017年的58.54%，大體呈增長趨勢。2017年評級為C級和D級的上市公司占比較2016年略有上升?？偟膩砜矗鲜泄緝?nèi)控水平平穩(wěn)向好，但評級為B級的上市公司占比偏高，這說明上市公司內(nèi)部控制水平整體偏低，內(nèi)部控制質量有待提升。

根據(jù)迪博數(shù)據(jù)，2018年評級為BB及以上的非強制實施公司占比14.82%，強制實施內(nèi)控規(guī)范的上市公司占比23.71%，BB及以上的強制實施內(nèi)控規(guī)范的上市公司占比是非強制實施公司的1.6倍，強制實施內(nèi)控規(guī)范的上市公司內(nèi)部控制質量整體優(yōu)于非強制實施內(nèi)控規(guī)范的上市公司。目前，中小板和創(chuàng)業(yè)板上市公司沒有強制實施內(nèi)部控制規(guī)范，其內(nèi)部控制水平及信息披露規(guī)范性亟待提高。此類公司規(guī)模較小，管理相對薄弱，風險更高，需加強內(nèi)部控制，以保護投資者利益。

1.2 內(nèi)部控制評價報告缺陷分析

2017年3022家上市公司中有456家上市公司披露了內(nèi)部控制缺陷，占披露內(nèi)部控制評價報告公司總數(shù)的14.14%，共披露缺陷4438項，其中重大、重要缺陷226項，占比3.66%，較2016年上升1.11%。 與2016年相比，2017年內(nèi)控薄弱環(huán)節(jié)依然集中在資金活動、資產(chǎn)管理等方面，財務報告、組織架構問題凸顯，制度管理、信息系統(tǒng)領域問題較去年更為嚴峻，這說明企業(yè)內(nèi)部控制風險識別、評估和應對在新環(huán)境下發(fā)生了變化。企業(yè)應重視排名上升的內(nèi)部控制缺陷。

根據(jù)迪博內(nèi)部控制指數(shù)，2017年有21.67 %的上市公司內(nèi)部控制評級為C級和D級。但從上市公司公布的內(nèi)控評價報告看，披露重大或重要缺陷的公司不到4%，且只有不到2%的公司結論為非整體有效，這說明上市公司內(nèi)控評價報告沒有切實反映內(nèi)部控制質量。許多企業(yè)花重金設計內(nèi)部控制體系，卻沒有真正使“內(nèi)控管理”和“內(nèi)控評價”成為扎根于企業(yè)的內(nèi)生機制。上市公司內(nèi)部控制評價報告流于形式，披露的內(nèi)控缺陷相似，不能真實反映企業(yè)內(nèi)部控制現(xiàn)狀。

1.3 內(nèi)部控制缺陷整改情況分析

根據(jù)迪博數(shù)據(jù)資訊，2017年上市公司披露的重大、重要缺陷中有效整改的比例接近40%，尚有44%未完成整改。一些上市公司沒有制定具有可操作性的整改措施，表達不清晰，也沒有具體的整改責任人或責任部門，整改情況不理想。

2 “互聯(lián)網(wǎng) +內(nèi)控”的特點及面臨的挑戰(zhàn)

2.1 控制環(huán)境

控制環(huán)境為企業(yè)提供了基本規(guī)則和構架，塑造企業(yè)文化，并影響組織內(nèi)員工的控制意識。傳統(tǒng)金字塔形縱向的管理層級和封閉的組織結構不能及時應對變化莫測的市場環(huán)境。企業(yè)引入現(xiàn)代化信息管理模式，進行網(wǎng)狀扁平化管理，將企業(yè)分成若干自主運行但又緊密聯(lián)系的小單元，便于企業(yè)搜集、整理和分析市場信息，快速掌握市場變化，做出決策和行動；同時能大大調(diào)動員工的自主性和靈活性，有利于員工創(chuàng)新[2]。企業(yè)組織結構變化，相關職位和職能的改變，使企業(yè)對專業(yè)人才的需求量增加。近年來京藍科技股份有限公司踐行“生態(tài)環(huán)境+大數(shù)據(jù)”、移動互聯(lián)、云計算發(fā)展戰(zhàn)略，以物聯(lián)網(wǎng)云科技為引擎發(fā)展企業(yè)。2016年京藍科技內(nèi)部控制評價報告指出，公司在控制環(huán)境方面存在缺陷，新項目不斷增加，新的業(yè)務模式不斷開展，需要大量專業(yè)人員，人員配置及整合工作需不斷加強。企業(yè)要加大技術人才引進力度，為公司各項業(yè)務開展提供支持。

2.2 風險評估

風險評估指量化測評企業(yè)面臨的威脅、存在的弱點、造成的損失，并針對風險后果制定應對策略?！盎ヂ?lián)網(wǎng)+”環(huán)境下企業(yè)運用信息技術進行管理，提高信息的及時性和準確性，能更好地評估公司戰(zhàn)略、財務、運營方面的風險，提升風險評估效率。但互聯(lián)網(wǎng)環(huán)境下市場具有更多的不確定性，企業(yè)面臨多樣化風險。信息技術會對企業(yè)內(nèi)部控制產(chǎn)生特定的風險，如企業(yè)存在遭受網(wǎng)絡病毒攻擊、黑客入侵、數(shù)據(jù)被竊取及數(shù)據(jù)丟失等風險，網(wǎng)絡安全極為重要。騰訊云由于云硬盤IO異常，導致互聯(lián)網(wǎng)創(chuàng)業(yè)公司前沿數(shù)控技術線上生產(chǎn)數(shù)據(jù)完全丟失，給企業(yè)帶來損失。原始數(shù)據(jù)輸入計算機后由計算機自動處理，如果授權不當，會產(chǎn)生安全漏洞。技術人員非法使用自己的權利對數(shù)據(jù)進行修改，數(shù)據(jù)質量將無法保證，會影響企業(yè)正常運行。

2.3 控制活動

利用互聯(lián)網(wǎng)企業(yè)的控制手段更加高效和多樣，可以做到事前、事中和事后全方位控制。但是網(wǎng)絡環(huán)境也加大了企業(yè)控制活動的難度。為了適應網(wǎng)絡環(huán)境的開放性和共享性，企業(yè)的組織構架和職責分工應相應調(diào)整。企業(yè)不僅要加強對人員的控制，而且要加強對信息系統(tǒng)的控制?？刂瞥绦蛞S著計算機處理程序的變化進行適應性調(diào)整。冀東水泥2016年度內(nèi)部控制評價報告中披露了企業(yè)控制活動的缺陷。公司 ERP管理系統(tǒng)(SAP)開始全面使用，但人員培訓不到位，統(tǒng)一的生產(chǎn)數(shù)據(jù)修改規(guī)程沒有建立，數(shù)據(jù)被修改?！盎ヂ?lián)網(wǎng)+”環(huán)境下，企業(yè)要更加關注數(shù)據(jù)質量，加強對信息系統(tǒng)的控制。業(yè)務人員越權將未經(jīng)批準的數(shù)據(jù)錄入系統(tǒng)或者偽造錄入的數(shù)據(jù)，技術人員利用職務便利進行非法操作謀取個人利益，都會影響企業(yè)的正常運營，給企業(yè)造成不良后果[3]。

2.4 信息與溝通

企業(yè)管理活動和控制活動要協(xié)同，協(xié)同需要信息和溝通。多數(shù)企業(yè)存在溝通不暢的問題。企業(yè)組織構架越復雜，溝通越困難，決策層政策傳達失真的可能性越大?；ヂ?lián)網(wǎng)使企業(yè)獲取信息的途徑更加便捷，企業(yè)可通過技術手段把海量數(shù)據(jù)轉化為高價值的決策信息，互聯(lián)網(wǎng)也為企業(yè)內(nèi)部各部門之間提供了交流平臺，信息傳遞效率大大提高。信息量的增加給溝通帶來挑戰(zhàn)。企業(yè)首先需要從海量的信息中篩選出自己需要的信息，并確保信息真實可靠。其次企業(yè)需進行有效信息溝通。同花順在2016年內(nèi)部控制評價報告中披露了公司信息與溝通方面的缺陷，公司后臺數(shù)據(jù)庫信息系統(tǒng)需改進，以實現(xiàn)與財務核算系統(tǒng)相承接。隨著市場變化、信息技術進步，企業(yè)內(nèi)部溝通出現(xiàn)新變化，企業(yè)要及時調(diào)整，確保各部門有效溝通。

2.5 監(jiān)督

互聯(lián)網(wǎng)使監(jiān)督更加及時，方式更加多樣，有助于增強監(jiān)督的效果和效率。通過內(nèi)部管理系統(tǒng)對員工工作進行實時監(jiān)督，可實現(xiàn)對整個業(yè)務流程的掌控，有利于規(guī)范各部門、各流程管理。“互聯(lián)網(wǎng)+”環(huán)境下企業(yè)用于監(jiān)督的信息大部分由信息系統(tǒng)生成，業(yè)務流程中一個環(huán)節(jié)的錯誤可能會影響到整個企業(yè)的數(shù)據(jù)庫，進而影響管理層決策，所以監(jiān)督的重點和難點是全面把控系統(tǒng)處理流程，在內(nèi)外環(huán)境發(fā)生變化時及時評估業(yè)務控制活動執(zhí)行情況，調(diào)整控制措施。

3 “互聯(lián)網(wǎng) +內(nèi)控”改進策略

3.1 發(fā)揮互聯(lián)網(wǎng)優(yōu)勢，實現(xiàn)信息化內(nèi)部控制管理

目前，很多企業(yè)內(nèi)控體系設計較完善，但執(zhí)行不理想。內(nèi)部控制評價報告流于形式，未能反映企業(yè)內(nèi)控的實質問題。企業(yè)需強化內(nèi)部控制意識，更新管理理念，建立互聯(lián)網(wǎng)思維，要利用“互聯(lián)網(wǎng)+”創(chuàng)建貫穿于企業(yè)各部門和全流程的動態(tài)的內(nèi)控管理系統(tǒng)，實現(xiàn)企業(yè)運營活動信息化、制度化和規(guī)范化管理，要以法規(guī)制度為標準，以合規(guī)、嚴格執(zhí)行為原則，打破舊的事后監(jiān)督的局限，實行事前控制、事中檢查和事后評價相結合的監(jiān)督機制，及時察覺缺陷并進行整改。聯(lián)網(wǎng)內(nèi)控系統(tǒng)可以將關鍵控制點嵌入業(yè)務流程，內(nèi)控管理人員可結合企業(yè)授權、風險、法規(guī)、評價等維度的指標，高效開展企業(yè)內(nèi)控流程管理，建議相關人員采用圖表形式展現(xiàn)分析結果，為企業(yè)提供清晰、詳實的風險管理報告和內(nèi)控評價報告。

3.2 加強企業(yè)內(nèi)部控制人才隊伍建設

互聯(lián)網(wǎng)內(nèi)控系統(tǒng)對人才的素質要求高，處于轉型期的企業(yè)大多缺乏專業(yè)技術團隊，企業(yè)應加強人才引進力度，健全人才培養(yǎng)機制，培養(yǎng)高素質的復合型人才。企業(yè)應著力提升管理者素質，通過培訓使管理層樹立正確的風險理念，增強對內(nèi)部控制和風險防控重要性的認識，切實提升風險責任感和風險防控能力。企業(yè)應引導員工樹立責任意識，通過發(fā)放信息安全手冊、信息安全培訓、在線學習等手段，提升員工的網(wǎng)絡安全意識，防止攻擊者從普通員工入手對企業(yè)網(wǎng)絡進行攻擊。

3.3 增強企業(yè)應對風險的能力，有效實施控制活動

有效的風險管理能夠使企業(yè)規(guī)避或者減少損失。企業(yè)應明確信息系統(tǒng)的價值，并采取相應的措施對其進行保護。首先，要制定專門的手冊對員工日常操作進行控制，并定期對員工進行操作規(guī)范培訓和考核，加強員工日常操作管理。要定期對信息系統(tǒng)的軟件和硬件進行維護和升級，規(guī)范信息系統(tǒng)操作流程，防止違規(guī)操作，確保系統(tǒng)安全。其次，要合理設置崗位，明確權責，使崗位之間相互制約。對舞弊風險高的崗位要重點監(jiān)督，實行輪崗制度。最后，完善授權審批程序，控制企業(yè)各項活動運營。應依據(jù)企業(yè)經(jīng)營特點、規(guī)模、發(fā)展階段、經(jīng)營戰(zhàn)略等合理設置授權審批體系，區(qū)分一般和特殊授權，確定授權審批的層次，制定規(guī)范的制度和相關指引，明確責任，防止非授權篡改數(shù)據(jù)和刪除數(shù)據(jù)事件發(fā)生，保證數(shù)據(jù)質量[4]。

3.4 識別信息需求，確保信息質量，加強溝通

企業(yè)需根據(jù)風險評估要求分析信息系統(tǒng)活動日志數(shù)據(jù)，為企業(yè)控制活動提供及時、高質量的信息，使企業(yè)時刻對網(wǎng)絡風險保持警惕。企業(yè)應明確各部門責任和義務，建立數(shù)據(jù)管理機制，避免信息被非法訪問和修改，確保信息質量，同時做好數(shù)據(jù)備份工作，防止數(shù)據(jù)丟失。員工在保護企業(yè)信息系統(tǒng)安全中扮演著不同角色，企業(yè)應制定信息系統(tǒng)溝通計劃，提升全體員工網(wǎng)絡風險意識，使管理層和員工都能盡到內(nèi)部控制責任。

3.5 完善內(nèi)部控制缺陷整改機制，加強企業(yè)內(nèi)部監(jiān)督

動態(tài)的內(nèi)控管理系統(tǒng)和全方位的監(jiān)督機制有利于企業(yè)及時發(fā)現(xiàn)內(nèi)部控制缺陷并持續(xù)改進。企業(yè)應主動適應時代發(fā)展，積極調(diào)整內(nèi)部控制不合理的地方，建立合理的組織構架，規(guī)范和完善內(nèi)控體系，并將內(nèi)部控制缺陷高發(fā)領域作為監(jiān)督檢查的重點。對于已經(jīng)發(fā)生并產(chǎn)生不利影響的缺陷，要及時制定整改方案，明確整改部門和整改責任人，并對整改過程進行跟蹤。對于整改不力的，要分析原因，追究相關部門和人員的責任。企業(yè)應根據(jù)人員、流程和技術的變化，維護網(wǎng)絡控制相關文檔，評估控制設計和實施的有效性，有效保護信息系統(tǒng)運營[5]。