互联网企业的内部控制

于倩 于翠萍

摘 要：随着社会经济的不断发展，“科技创新”俨然已成为时下最热词。在网络技术不断革新的今天，一批批大型互联网企业竞争激烈，作为新兴产业链，面临的不仅仅是机遇，更有挑战。近年来，我国颁布了一系列关于会计内部控制系统的文件，2008年财政部等五部委聯合发布了《企业内部控制基本规范》，2010年，五部委又联合发布了《企业内部控制配套指引》（包括应用指引、评价指引和审计指引），2010年7月财政部会计司发布了《企业内部控制规范讲解》；自2011年1月1日期在境内外同时上市公司实行，2012年1月1日在上交所和深交所上市的公司施行。这意味着，无论是国家层面还是企业自身发展，内部控制占据着越来越重要的地位，互联网企业更甚。核心目的是在介绍基本内控体系和框架的基础上，结合互联网企业自身的特点，优化其内部控制体系，以更好地帮助企业实现利润最大化和股东财富最大化。借鉴还是创新，因互联网企业自身的独有特色，所以在进行内部控制时要时刻考虑自身特点，与企业战略目标挂钩，做到措施切实可行，使之为企业创造更多的财富。

关键词：互联网；内部控制；策略；方法；现状

中图分类号：F23 文献标识码：Adoi：10.19311/j.cnki.1672-3198.2018.17.050

1 互联网企业的内控现状

回顾中国互联网企业的发展历程，就内部控制而言也只有不到十五年的历史。但在这短短的时间里，内控在互联网企业中的发展却出现了两极分化的现象。在许多大型互联网企业中，内部控制已经走过了混沌阶段，实践和发展已经逐渐迈向成熟，但对于更多的中小型互联网企业来说，内部控制的发展仍然处于初级阶段，因缺乏较完善的内部控制系统而造成巨大财务损失，以致面临破产清算的企业比比皆是。在实施内部控制时，要紧紧以企业战略目标为核心和导向，以增加企业效率和效益为宗旨，在实施过程中不断改进与完善，把它作为最终实现企业利润最大化和股东财富最大化的坚实工具。

因此，在中国互联网企业中，内部控制的发展大概经历了以下三个阶段。

（1）萌芽阶段：在这个时期，大部分的企业高管可能具有内部控制的意识，也实施了一些措施，但大多都是自发行为，没有定义化。

（2）建立阶段：由于国家层面的要求以及许多海外上市企业面临的监管要求，开始逐步构建内部控制体系和框架，以满足合规性要求。

（3）驱动阶段：许多企业在意识到良好的内部控制能带来的巨大效益和效率后，开始基于自身的特点和行业环境，逐步构建、优化和完善内部控制系统，其目标是管理需求和价值导向。

2 基于美国《萨班斯奥—克斯利法案》的内控理论

在全球内部控制体系理论中，美国《萨班斯奥—克斯利法案》对内控体系的建设可以说是最完善，占据了重要地位。其在1992年发布的《内部控制——整体框架》在1994年和2013年修改完善后，成为了内控领域著名的“COSO框架”。

COSO五要素包括控制环境、风险评估、控制活动、信息与交流、审查和监控。COSO具体框架见图1。

而在SOX法案中，也具体分成了对审计师事务所的要求、对审计委员会的要求、对公司的要求、对公司内控的要求，其中的每一部分都是比较具体全面的。

中国的互联网企业具有内部基础薄弱、合规要求强烈、业务模式及流程变化频繁的特点，因此，在中国互联网企业构建内部控制体系时，应首先基于美国SOX法案和COSO框架，以此为理论基础和支撑。

大致可以从以下五个方面来建立。

（1）控制环境：为了建立良好的控制环境，企业应该做到以下几点——董事会及管理层的支持；职责分离、内控及内审人员充分的独立；企业制定的经营目标要合理；有相应的内部控制制度和程序；管理层的经营方式和风格要廉洁奉公，并具有高标准的职业操守等

（2）风险评估：现代内部控制体系是基于风险评估和流程体系建立的，因此，要首先确定内控的目标和范围，并在此目标和范围的基础上，定期或者适时做风险评估，识别财务风险、运营风险等，全面准确实施内控。

（3）控制活动：控制活动是内部控制体系中最重要的部分，具体包括职责分离、业务交易审批、独立核对核查、审批权限授权、资产保护。

（4）信息与交流：公司有信息管理系统，相关信息必须以某种形式、某个时间、在某个框架内进行确认、捕捉和交流，数据交流具有安全性和准确性。此外，充分的信息沟通机制可以帮助员工更加清楚地理解自己在内控体系中承担的责任和义务，更好地完成组织的战略目标。

（5）审查和监控：内部审计人员、审计委员会、披露委员会和管理层都需要参与到监控中。具体表现形式有：员工评估、内审、外审、经理会、公司治理等。

在满足SOX法案合规性基础上，COSO框架提供了有效的延伸，从满足财务报告基础上，逐渐拓展到经营效率和法律法规的维度，为互联网企业内部控制的构建和发展提供了理论依据和支撑。

3 互联网企业内部控制体系构建策略和方法

会联网企业内控体系的构建，在具体的实践和实施过程中，可以遵循以下五个步骤。

第一步：确定目标和范围。

互联网企业的内控框架构建应该起始于目标和范围的确定，只有做到精确定义，以下四个步骤才更有效率和效益。

在目标定义过程中，可以根据行业特点，以及管理层的期望和企业的战略要求，从财务、运营等各个维度出发，选择一个或者多个目标领域或内容，作为企业内控体系构建的起始点。在确定目标后，可以根据自身情况，考虑需要纳入的范围，如会计报表、组织与人员等。

第二步：识别与评估风险。

在基于已确定的目标和范围基础上，考虑纳入的各个指标的风险性，然后根据优先级排序或者根据加权平均后的结果进行考量，对各风险因子进行定性或定量的分析，评估出是固有风险、控制风险或失侦风险，然后提出具体应当措施。

第三步：评估现有内控体系。

根据风险评估结果，对具有各风险因素的现有内控体系进行考量，包括内控措施设计的合理性、执行的有效性等，有針对性地评估执行措施期间的工作效率和效益，对现有内控体系的缺陷进行记录和汇总。

第四步：内控体系的实施。

在实施内部控制时，要紧紧以企业战略目标为核心和导向，以增加企业效率和效益为宗旨，在实施过程中不断改进与完善，把它作为最终实现企业利润最大化和股东财富最大化的坚实工具。

第五步：内控体系的持续监控与优化。

在公司级、部门级、流程级等体系实施后，因互联网企业自身具有业务创新能力强、组织架构灵活等特点，为确保内控体系的可操作性，需要对运行结果和外部风险进行持续监控和优化，不断完善和提升。

4 结论

借鉴还是创新，因互联网企业自身的独有特色，所以在进行内部控制时要时刻考虑自身特点，与企业战略目标挂钩，做到措施切实可行，使之为企业创造更多的财富。

参考文献

[1]王保辉.互联网金融行业内部控制问题研究——基于“e租宝”与“支付宝”的对比[J].财会通讯，2017，（35）：116-119+129.

[2]熊颖.D互联网公司内部控制研究[D].南昌：华东交通大学，2017.

[3]孙瑶.中小型互联网金融机构内部控制现状问卷调查研究[D].北京：中国财政科学研究院，2017.

[4]张玉兰，张路瑶，王园园.风险管理框架下“互联网+”上市公司内部控制有效性评价[J].财会月刊，2017，（15）：62-69.

[5]姚晓蓉，王芳.“互联网+”时代企业集团资金内部控制的新变化及应对策略[J].科技广场，2016，（08）：147-151.

[6]唐大鹏，葛静，王璐璐.浅谈“互联网+”背景下乐视网的内部控制[J].财政监督，2016，（15）：104-107.

[7]赵晓宇，张忠慧.“互联网+”下企业内部控制存在的问题及建议[J].中国集体经济，2016，（10）：112-113.

[8]程平，张卢.“互联网+”下云会计AIS内部控制绩效评价[J].会计之友，2016，（02）：127-131.

[9]王钰涵.互联网企业的财务风险及其防范策略[J].经营与管理，2018，（03）：109-111.

[10]郑俊旭.互联网企业多元化经营的财务风险及控制[J].中国国际财经（中英文），2018，（01）：61-62.

[11]郭慧度.互联网金融企业的内部审计及风险控制研究[J].现代经济信息，2016，（14）：232.

[12]赵晓宇，张忠慧.“互联网+”下企业内部控制存在的问题及建议[J].中国集体经济，2016，（10）：112-113.

[13]郗望.论互联网金融企业的信息系统内部控制管理与创新[J].中国市场，2016，（01）：107-108.

[14]黄麟.探析我国互联网企业风险管理模式及内控机制[J].管理观察，2015，（23）：65-67.

[15]赵晓青，陈伟.互联网金融企业的信息系统内部控制研究[J].中国管理信息化，2015，18（03）：43-45.