崔曉娜

(南京財(cái)經(jīng)大學(xué) 紅山學(xué)院，江蘇 南京 210000)

“互聯(lián)網(wǎng)+”是互聯(lián)網(wǎng)與傳統(tǒng)行業(yè)相結(jié)合的過(guò)程，即利用信息技術(shù)及互聯(lián)網(wǎng)平臺(tái)使互聯(lián)網(wǎng)與傳統(tǒng)行業(yè)結(jié)合，創(chuàng)造新的經(jīng)濟(jì)形態(tài)?！盎ヂ?lián)網(wǎng)+”不僅增強(qiáng)了企業(yè)創(chuàng)新發(fā)展的動(dòng)力，也對(duì)企業(yè)管理提出了新的、更高的要求?！盎ヂ?lián)網(wǎng)+內(nèi)控”為完善企業(yè)內(nèi)部控制帶來(lái)了機(jī)遇，有助于提升企業(yè)內(nèi)部控制水平，也使企業(yè)內(nèi)部控制人才、風(fēng)險(xiǎn)評(píng)估、信息交流以及監(jiān)督體系面臨挑戰(zhàn)。企業(yè)需結(jié)合自身特點(diǎn)進(jìn)行適應(yīng)性調(diào)整，強(qiáng)化企業(yè)內(nèi)部控制，實(shí)現(xiàn)長(zhǎng)遠(yuǎn)發(fā)展[1]。

1 上市公司內(nèi)部控制現(xiàn)狀

1.1 上市公司內(nèi)部控制總體情況

表1 上市公司2014～2017年內(nèi)部控制評(píng)級(jí)

數(shù)據(jù)來(lái)源：迪博內(nèi)部控制指數(shù)

從表1看，2016年上市公司內(nèi)部控制指數(shù)首次出現(xiàn)評(píng)級(jí)為AAA級(jí)公司。2014～2017年內(nèi)部控制評(píng)級(jí)為AA、A、BBB、BB級(jí)的上市公司占比變化不大，B級(jí)占比一直在50%以上，從2014年的50.77%上升到2017年的58.54%，大體呈增長(zhǎng)趨勢(shì)。2017年評(píng)級(jí)為C級(jí)和D級(jí)的上市公司占比較2016年略有上升?？偟膩?lái)看，上市公司內(nèi)控水平平穩(wěn)向好，但評(píng)級(jí)為B級(jí)的上市公司占比偏高，這說(shuō)明上市公司內(nèi)部控制水平整體偏低，內(nèi)部控制質(zhì)量有待提升。

根據(jù)迪博數(shù)據(jù)，2018年評(píng)級(jí)為BB及以上的非強(qiáng)制實(shí)施公司占比14.82%，強(qiáng)制實(shí)施內(nèi)控規(guī)范的上市公司占比23.71%，BB及以上的強(qiáng)制實(shí)施內(nèi)控規(guī)范的上市公司占比是非強(qiáng)制實(shí)施公司的1.6倍，強(qiáng)制實(shí)施內(nèi)控規(guī)范的上市公司內(nèi)部控制質(zhì)量整體優(yōu)于非強(qiáng)制實(shí)施內(nèi)控規(guī)范的上市公司。目前，中小板和創(chuàng)業(yè)板上市公司沒(méi)有強(qiáng)制實(shí)施內(nèi)部控制規(guī)范，其內(nèi)部控制水平及信息披露規(guī)范性亟待提高。此類公司規(guī)模較小，管理相對(duì)薄弱，風(fēng)險(xiǎn)更高，需加強(qiáng)內(nèi)部控制，以保護(hù)投資者利益。

1.2 內(nèi)部控制評(píng)價(jià)報(bào)告缺陷分析

2017年3022家上市公司中有456家上市公司披露了內(nèi)部控制缺陷，占披露內(nèi)部控制評(píng)價(jià)報(bào)告公司總數(shù)的14.14%，共披露缺陷4438項(xiàng)，其中重大、重要缺陷226項(xiàng)，占比3.66%，較2016年上升1.11%。 與2016年相比，2017年內(nèi)控薄弱環(huán)節(jié)依然集中在資金活動(dòng)、資產(chǎn)管理等方面，財(cái)務(wù)報(bào)告、組織架構(gòu)問(wèn)題凸顯，制度管理、信息系統(tǒng)領(lǐng)域問(wèn)題較去年更為嚴(yán)峻，這說(shuō)明企業(yè)內(nèi)部控制風(fēng)險(xiǎn)識(shí)別、評(píng)估和應(yīng)對(duì)在新環(huán)境下發(fā)生了變化。企業(yè)應(yīng)重視排名上升的內(nèi)部控制缺陷。

根據(jù)迪博內(nèi)部控制指數(shù)，2017年有21.67 %的上市公司內(nèi)部控制評(píng)級(jí)為C級(jí)和D級(jí)。但從上市公司公布的內(nèi)控評(píng)價(jià)報(bào)告看，披露重大或重要缺陷的公司不到4%，且只有不到2%的公司結(jié)論為非整體有效，這說(shuō)明上市公司內(nèi)控評(píng)價(jià)報(bào)告沒(méi)有切實(shí)反映內(nèi)部控制質(zhì)量。許多企業(yè)花重金設(shè)計(jì)內(nèi)部控制體系，卻沒(méi)有真正使“內(nèi)控管理”和“內(nèi)控評(píng)價(jià)”成為扎根于企業(yè)的內(nèi)生機(jī)制。上市公司內(nèi)部控制評(píng)價(jià)報(bào)告流于形式，披露的內(nèi)控缺陷相似，不能真實(shí)反映企業(yè)內(nèi)部控制現(xiàn)狀。

1.3 內(nèi)部控制缺陷整改情況分析

根據(jù)迪博數(shù)據(jù)資訊，2017年上市公司披露的重大、重要缺陷中有效整改的比例接近40%，尚有44%未完成整改。一些上市公司沒(méi)有制定具有可操作性的整改措施，表達(dá)不清晰，也沒(méi)有具體的整改責(zé)任人或責(zé)任部門(mén)，整改情況不理想。

2 “互聯(lián)網(wǎng) +內(nèi)控”的特點(diǎn)及面臨的挑戰(zhàn)

2.1 控制環(huán)境

控制環(huán)境為企業(yè)提供了基本規(guī)則和構(gòu)架，塑造企業(yè)文化，并影響組織內(nèi)員工的控制意識(shí)。傳統(tǒng)金字塔形縱向的管理層級(jí)和封閉的組織結(jié)構(gòu)不能及時(shí)應(yīng)對(duì)變化莫測(cè)的市場(chǎng)環(huán)境。企業(yè)引入現(xiàn)代化信息管理模式，進(jìn)行網(wǎng)狀扁平化管理，將企業(yè)分成若干自主運(yùn)行但又緊密聯(lián)系的小單元，便于企業(yè)搜集、整理和分析市場(chǎng)信息，快速掌握市場(chǎng)變化，做出決策和行動(dòng)；同時(shí)能大大調(diào)動(dòng)員工的自主性和靈活性，有利于員工創(chuàng)新[2]。企業(yè)組織結(jié)構(gòu)變化，相關(guān)職位和職能的改變，使企業(yè)對(duì)專業(yè)人才的需求量增加。近年來(lái)京藍(lán)科技股份有限公司踐行“生態(tài)環(huán)境+大數(shù)據(jù)”、移動(dòng)互聯(lián)、云計(jì)算發(fā)展戰(zhàn)略，以物聯(lián)網(wǎng)云科技為引擎發(fā)展企業(yè)。2016年京藍(lán)科技內(nèi)部控制評(píng)價(jià)報(bào)告指出，公司在控制環(huán)境方面存在缺陷，新項(xiàng)目不斷增加，新的業(yè)務(wù)模式不斷開(kāi)展，需要大量專業(yè)人員，人員配置及整合工作需不斷加強(qiáng)。企業(yè)要加大技術(shù)人才引進(jìn)力度，為公司各項(xiàng)業(yè)務(wù)開(kāi)展提供支持。

2.2 風(fēng)險(xiǎn)評(píng)估

風(fēng)險(xiǎn)評(píng)估指量化測(cè)評(píng)企業(yè)面臨的威脅、存在的弱點(diǎn)、造成的損失，并針對(duì)風(fēng)險(xiǎn)后果制定應(yīng)對(duì)策略?！盎ヂ?lián)網(wǎng)+”環(huán)境下企業(yè)運(yùn)用信息技術(shù)進(jìn)行管理，提高信息的及時(shí)性和準(zhǔn)確性，能更好地評(píng)估公司戰(zhàn)略、財(cái)務(wù)、運(yùn)營(yíng)方面的風(fēng)險(xiǎn)，提升風(fēng)險(xiǎn)評(píng)估效率。但互聯(lián)網(wǎng)環(huán)境下市場(chǎng)具有更多的不確定性，企業(yè)面臨多樣化風(fēng)險(xiǎn)。信息技術(shù)會(huì)對(duì)企業(yè)內(nèi)部控制產(chǎn)生特定的風(fēng)險(xiǎn)，如企業(yè)存在遭受網(wǎng)絡(luò)病毒攻擊、黑客入侵、數(shù)據(jù)被竊取及數(shù)據(jù)丟失等風(fēng)險(xiǎn)，網(wǎng)絡(luò)安全極為重要。騰訊云由于云硬盤(pán)IO異常，導(dǎo)致互聯(lián)網(wǎng)創(chuàng)業(yè)公司前沿?cái)?shù)控技術(shù)線上生產(chǎn)數(shù)據(jù)完全丟失，給企業(yè)帶來(lái)?yè)p失。原始數(shù)據(jù)輸入計(jì)算機(jī)后由計(jì)算機(jī)自動(dòng)處理，如果授權(quán)不當(dāng)，會(huì)產(chǎn)生安全漏洞。技術(shù)人員非法使用自己的權(quán)利對(duì)數(shù)據(jù)進(jìn)行修改，數(shù)據(jù)質(zhì)量將無(wú)法保證，會(huì)影響企業(yè)正常運(yùn)行。

2.3 控制活動(dòng)

利用互聯(lián)網(wǎng)企業(yè)的控制手段更加高效和多樣，可以做到事前、事中和事后全方位控制。但是網(wǎng)絡(luò)環(huán)境也加大了企業(yè)控制活動(dòng)的難度。為了適應(yīng)網(wǎng)絡(luò)環(huán)境的開(kāi)放性和共享性，企業(yè)的組織構(gòu)架和職責(zé)分工應(yīng)相應(yīng)調(diào)整。企業(yè)不僅要加強(qiáng)對(duì)人員的控制，而且要加強(qiáng)對(duì)信息系統(tǒng)的控制?？刂瞥绦蛞S著計(jì)算機(jī)處理程序的變化進(jìn)行適應(yīng)性調(diào)整。冀東水泥2016年度內(nèi)部控制評(píng)價(jià)報(bào)告中披露了企業(yè)控制活動(dòng)的缺陷。公司 ERP管理系統(tǒng)(SAP)開(kāi)始全面使用，但人員培訓(xùn)不到位，統(tǒng)一的生產(chǎn)數(shù)據(jù)修改規(guī)程沒(méi)有建立，數(shù)據(jù)被修改?！盎ヂ?lián)網(wǎng)+”環(huán)境下，企業(yè)要更加關(guān)注數(shù)據(jù)質(zhì)量，加強(qiáng)對(duì)信息系統(tǒng)的控制。業(yè)務(wù)人員越權(quán)將未經(jīng)批準(zhǔn)的數(shù)據(jù)錄入系統(tǒng)或者偽造錄入的數(shù)據(jù)，技術(shù)人員利用職務(wù)便利進(jìn)行非法操作謀取個(gè)人利益，都會(huì)影響企業(yè)的正常運(yùn)營(yíng)，給企業(yè)造成不良后果[3]。

2.4 信息與溝通

企業(yè)管理活動(dòng)和控制活動(dòng)要協(xié)同，協(xié)同需要信息和溝通。多數(shù)企業(yè)存在溝通不暢的問(wèn)題。企業(yè)組織構(gòu)架越復(fù)雜，溝通越困難，決策層政策傳達(dá)失真的可能性越大。互聯(lián)網(wǎng)使企業(yè)獲取信息的途徑更加便捷，企業(yè)可通過(guò)技術(shù)手段把海量數(shù)據(jù)轉(zhuǎn)化為高價(jià)值的決策信息，互聯(lián)網(wǎng)也為企業(yè)內(nèi)部各部門(mén)之間提供了交流平臺(tái)，信息傳遞效率大大提高。信息量的增加給溝通帶來(lái)挑戰(zhàn)。企業(yè)首先需要從海量的信息中篩選出自己需要的信息，并確保信息真實(shí)可靠。其次企業(yè)需進(jìn)行有效信息溝通。同花順在2016年內(nèi)部控制評(píng)價(jià)報(bào)告中披露了公司信息與溝通方面的缺陷，公司后臺(tái)數(shù)據(jù)庫(kù)信息系統(tǒng)需改進(jìn)，以實(shí)現(xiàn)與財(cái)務(wù)核算系統(tǒng)相承接。隨著市場(chǎng)變化、信息技術(shù)進(jìn)步，企業(yè)內(nèi)部溝通出現(xiàn)新變化，企業(yè)要及時(shí)調(diào)整，確保各部門(mén)有效溝通。

2.5 監(jiān)督

互聯(lián)網(wǎng)使監(jiān)督更加及時(shí)，方式更加多樣，有助于增強(qiáng)監(jiān)督的效果和效率。通過(guò)內(nèi)部管理系統(tǒng)對(duì)員工工作進(jìn)行實(shí)時(shí)監(jiān)督，可實(shí)現(xiàn)對(duì)整個(gè)業(yè)務(wù)流程的掌控，有利于規(guī)范各部門(mén)、各流程管理?！盎ヂ?lián)網(wǎng)+”環(huán)境下企業(yè)用于監(jiān)督的信息大部分由信息系統(tǒng)生成，業(yè)務(wù)流程中一個(gè)環(huán)節(jié)的錯(cuò)誤可能會(huì)影響到整個(gè)企業(yè)的數(shù)據(jù)庫(kù)，進(jìn)而影響管理層決策，所以監(jiān)督的重點(diǎn)和難點(diǎn)是全面把控系統(tǒng)處理流程，在內(nèi)外環(huán)境發(fā)生變化時(shí)及時(shí)評(píng)估業(yè)務(wù)控制活動(dòng)執(zhí)行情況，調(diào)整控制措施。

3 “互聯(lián)網(wǎng) +內(nèi)控”改進(jìn)策略

3.1 發(fā)揮互聯(lián)網(wǎng)優(yōu)勢(shì)，實(shí)現(xiàn)信息化內(nèi)部控制管理

目前，很多企業(yè)內(nèi)控體系設(shè)計(jì)較完善，但執(zhí)行不理想。內(nèi)部控制評(píng)價(jià)報(bào)告流于形式，未能反映企業(yè)內(nèi)控的實(shí)質(zhì)問(wèn)題。企業(yè)需強(qiáng)化內(nèi)部控制意識(shí)，更新管理理念，建立互聯(lián)網(wǎng)思維，要利用“互聯(lián)網(wǎng)+”創(chuàng)建貫穿于企業(yè)各部門(mén)和全流程的動(dòng)態(tài)的內(nèi)控管理系統(tǒng)，實(shí)現(xiàn)企業(yè)運(yùn)營(yíng)活動(dòng)信息化、制度化和規(guī)范化管理，要以法規(guī)制度為標(biāo)準(zhǔn)，以合規(guī)、嚴(yán)格執(zhí)行為原則，打破舊的事后監(jiān)督的局限，實(shí)行事前控制、事中檢查和事后評(píng)價(jià)相結(jié)合的監(jiān)督機(jī)制，及時(shí)察覺(jué)缺陷并進(jìn)行整改。聯(lián)網(wǎng)內(nèi)控系統(tǒng)可以將關(guān)鍵控制點(diǎn)嵌入業(yè)務(wù)流程，內(nèi)控管理人員可結(jié)合企業(yè)授權(quán)、風(fēng)險(xiǎn)、法規(guī)、評(píng)價(jià)等維度的指標(biāo)，高效開(kāi)展企業(yè)內(nèi)控流程管理，建議相關(guān)人員采用圖表形式展現(xiàn)分析結(jié)果，為企業(yè)提供清晰、詳實(shí)的風(fēng)險(xiǎn)管理報(bào)告和內(nèi)控評(píng)價(jià)報(bào)告。

3.2 加強(qiáng)企業(yè)內(nèi)部控制人才隊(duì)伍建設(shè)

互聯(lián)網(wǎng)內(nèi)控系統(tǒng)對(duì)人才的素質(zhì)要求高，處于轉(zhuǎn)型期的企業(yè)大多缺乏專業(yè)技術(shù)團(tuán)隊(duì)，企業(yè)應(yīng)加強(qiáng)人才引進(jìn)力度，健全人才培養(yǎng)機(jī)制，培養(yǎng)高素質(zhì)的復(fù)合型人才。企業(yè)應(yīng)著力提升管理者素質(zhì)，通過(guò)培訓(xùn)使管理層樹(shù)立正確的風(fēng)險(xiǎn)理念，增強(qiáng)對(duì)內(nèi)部控制和風(fēng)險(xiǎn)防控重要性的認(rèn)識(shí)，切實(shí)提升風(fēng)險(xiǎn)責(zé)任感和風(fēng)險(xiǎn)防控能力。企業(yè)應(yīng)引導(dǎo)員工樹(shù)立責(zé)任意識(shí)，通過(guò)發(fā)放信息安全手冊(cè)、信息安全培訓(xùn)、在線學(xué)習(xí)等手段，提升員工的網(wǎng)絡(luò)安全意識(shí)，防止攻擊者從普通員工入手對(duì)企業(yè)網(wǎng)絡(luò)進(jìn)行攻擊。

3.3 增強(qiáng)企業(yè)應(yīng)對(duì)風(fēng)險(xiǎn)的能力，有效實(shí)施控制活動(dòng)

有效的風(fēng)險(xiǎn)管理能夠使企業(yè)規(guī)避或者減少損失。企業(yè)應(yīng)明確信息系統(tǒng)的價(jià)值，并采取相應(yīng)的措施對(duì)其進(jìn)行保護(hù)。首先，要制定專門(mén)的手冊(cè)對(duì)員工日常操作進(jìn)行控制，并定期對(duì)員工進(jìn)行操作規(guī)范培訓(xùn)和考核，加強(qiáng)員工日常操作管理。要定期對(duì)信息系統(tǒng)的軟件和硬件進(jìn)行維護(hù)和升級(jí)，規(guī)范信息系統(tǒng)操作流程，防止違規(guī)操作，確保系統(tǒng)安全。其次，要合理設(shè)置崗位，明確權(quán)責(zé)，使崗位之間相互制約。對(duì)舞弊風(fēng)險(xiǎn)高的崗位要重點(diǎn)監(jiān)督，實(shí)行輪崗制度。最后，完善授權(quán)審批程序，控制企業(yè)各項(xiàng)活動(dòng)運(yùn)營(yíng)。應(yīng)依據(jù)企業(yè)經(jīng)營(yíng)特點(diǎn)、規(guī)模、發(fā)展階段、經(jīng)營(yíng)戰(zhàn)略等合理設(shè)置授權(quán)審批體系，區(qū)分一般和特殊授權(quán)，確定授權(quán)審批的層次，制定規(guī)范的制度和相關(guān)指引，明確責(zé)任，防止非授權(quán)篡改數(shù)據(jù)和刪除數(shù)據(jù)事件發(fā)生，保證數(shù)據(jù)質(zhì)量[4]。

3.4 識(shí)別信息需求，確保信息質(zhì)量，加強(qiáng)溝通

企業(yè)需根據(jù)風(fēng)險(xiǎn)評(píng)估要求分析信息系統(tǒng)活動(dòng)日志數(shù)據(jù)，為企業(yè)控制活動(dòng)提供及時(shí)、高質(zhì)量的信息，使企業(yè)時(shí)刻對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)保持警惕。企業(yè)應(yīng)明確各部門(mén)責(zé)任和義務(wù)，建立數(shù)據(jù)管理機(jī)制，避免信息被非法訪問(wèn)和修改，確保信息質(zhì)量，同時(shí)做好數(shù)據(jù)備份工作，防止數(shù)據(jù)丟失。員工在保護(hù)企業(yè)信息系統(tǒng)安全中扮演著不同角色，企業(yè)應(yīng)制定信息系統(tǒng)溝通計(jì)劃，提升全體員工網(wǎng)絡(luò)風(fēng)險(xiǎn)意識(shí)，使管理層和員工都能盡到內(nèi)部控制責(zé)任。

3.5 完善內(nèi)部控制缺陷整改機(jī)制，加強(qiáng)企業(yè)內(nèi)部監(jiān)督

動(dòng)態(tài)的內(nèi)控管理系統(tǒng)和全方位的監(jiān)督機(jī)制有利于企業(yè)及時(shí)發(fā)現(xiàn)內(nèi)部控制缺陷并持續(xù)改進(jìn)。企業(yè)應(yīng)主動(dòng)適應(yīng)時(shí)代發(fā)展，積極調(diào)整內(nèi)部控制不合理的地方，建立合理的組織構(gòu)架，規(guī)范和完善內(nèi)控體系，并將內(nèi)部控制缺陷高發(fā)領(lǐng)域作為監(jiān)督檢查的重點(diǎn)。對(duì)于已經(jīng)發(fā)生并產(chǎn)生不利影響的缺陷，要及時(shí)制定整改方案，明確整改部門(mén)和整改責(zé)任人，并對(duì)整改過(guò)程進(jìn)行跟蹤。對(duì)于整改不力的，要分析原因，追究相關(guān)部門(mén)和人員的責(zé)任。企業(yè)應(yīng)根據(jù)人員、流程和技術(shù)的變化，維護(hù)網(wǎng)絡(luò)控制相關(guān)文檔，評(píng)估控制設(shè)計(jì)和實(shí)施的有效性，有效保護(hù)信息系統(tǒng)運(yùn)營(yíng)[5]。