“互联网+”环境下会计控制问题探讨

2020-07-14 17:19许莉贺慕翔

财会月刊·下半月 2020年7期

许莉　贺慕翔

【摘要】“互联网+”环境下，互联网与传统行业深度融合产生的创新成果对于会计控制产生了重大影响。新环境下，包含会计控制的内部控制的薄弱环节逐渐显现。运用内部控制基本理论，借助科学技术创新，分析“互联网+”环境下的会计控制新情况及风险点，探讨新环境下的会计控制措施，为提升会计控制制度的健全性和有效性提出建议。

【关键词】会计控制;互联网+;信息技术;内部控制

【中图分类号】F234 【文献标识码】A 【文章编号】1004-0994（2020）14-0072-6

一、引言

“互联网+”是在信息化、移动互联网环境下形成的一种新的经济形态， 2015年李克强总理在十二届全国人大三次会议上首次提出了“互联网+”的行动倡议。 “互联网+”的涵义简单来说就是“互联网+各传统行业”，也就是利用互联网所带来的现代信息技术进行资源的再优化和再配置，充分发挥互联网在社会资源配置中的优化和集成作用，降低成本，提高效率，实现对数据价值的最大化利用，最终实现传统行业的信息化发展，提高社会生产力，形成以互联网为基础的社会发展新形态。近年来，区块链技术的快速创新与发展为互联网时代下的信息技术进步注入了新的活力，其作为一个去中心化的数据库，为数据存储、传输和加密提供了新的解决办法。

新环境下会计业务模式和流程的转变给会计控制带来了新的风险点，会计控制的发展相较于会计业务的变革存在一定滞后性，传统的会计控制模式已不适用于新的业务流程。纵观我国现行的由财政部会同证监会、审计署、银监会、保监会共同颁布的内部控制有关规范和指引，虽然有助于提高财务信息的相关性和可靠性，但仍无法完全杜绝舞弊现象的发生。随着网络化、信息化时代的到来，在“互联网+”环境下，信息系统的使用、会计业务流程的转变、支付方式的多样化、账务核对方式的转变和科学技术的发展给传统的企业会计控制带来了一系列的风险，因此，对“互联网+”环境下的企业会计控制措施的研究是很有必要的。

二、会计控制的基本理论及作用机理

内部控制的发展经历了从内部牵制阶段、内部控制制度阶段、内部控制结构阶段、内部控制整合框架阶段到风险管理阶段的过程，内部控制理论不断拓展，内部控制的目标也在不断变化。早期的内部牵制阶段，内部控制的主要目标是运用各种手段来保证会计记录的正确性和财产的安全性。 1988年，美国注册会计师协会确立了内部控制的三要素，以内部控制结构取代了内部控制制度。 1992年， COSO委员会提出了企业内部控制的五要素，确立了内部控制的整体架构。 2004年， COSO委员会发布《企业风险管理——整合框架》，提出内部控制的八要素，将内部控制的内涵拓展到了风险管理领域，体现了对企业风险的重视。 2008年，我国发布《企业内部控制基本规范》，确立了以COSO五要素为基础的企业内部控制的基本框架。 2010年，我国发布《企业内部控制配套指引》，连同之前发布的《企业内部控制基本规范》，初步建立了我国企业内部控制规范体系。 2014年，我国开始施行《行政事业单位内部控制基本规范（试行）》，为行政事业单位内部控制提供了操作规范。

蒙哥马利认为，内部控制就是相互牵制，即不相容职务分离、重点环节控制、流程控制，其目的是保护企业资产、检查会计数据的准确性和可靠性，提高经营效率，促使有关人员遵循既定的管理方针[1] 。 1992年COSO报告指出，内部控制是由主体的各层次实施旨在为实现其主要目标提供合理保证的过程。

阎达五、杨有红[2] 认为保护资产安全和会计信息真实是内部控制发展的主线，会计控制是企业内部控制的核心。杨雄胜[3] 认为计算机网络系统的建立将滞后信息变为实时信息，原本意义上实体、财务、信息三分离的情况已经不复存在，实体活动、财务收支、信息反映几乎同时完成，信息对实体与财务的反映能力达到了一定水平，这时内部控制所面临的根本问题是如何切实反映并改善经济活动。李心合[4] 认为应当确立以风险防控为目标、以运营管理层为主体、以内部牵制为核心机制的内部控制体系，关注内部牵制机制及其实现形式的健全与优化，重启内部牵制机制。陆赛江、许莉[5] 认为对于金融机构的内部控制应立足于防范系统性金融风险，建立风险治理与内部控制运作模式，在风险识别与风险评估的基础上进行内部控制设计。

会计控制屬于COSO框架中的控制活动，是企业内部控制的重要组成部分，关乎企业资金活动、采购业务、资产管理和销售业务等方面，其有效性对企业的财务和资金安全以及风险管理和信息安全均会产生重大影响。从内部控制到会计控制的研究路径如图所示。本文主要关注企业会计控制中对于关键点和业务流程的控制，评价其控制的健全性和有效性，提出可行性建议，帮助企业完善内部控制。

三、 “互联网+”环境下会计控制风险点分析

21世纪以来，随着互联网技术的不断发展，会计控制环境也发生了重大变化，我国企业开始进入真正的“互联网+会计”阶段。新环境下，公司业务模式和业务流程发生变化，传统控制措施渐渐失效。在此基础上新制度的建立不够及时、有效，覆盖的业务范围不够全面，暴露出一系列企业会计控制风险。

（一）“互联网+”环境下的系统设计风险

本文的系统性风险，是指企业在进行包括数据处理系统、管理信息系统、决策支持系统等在内的信息系统选择、系统设计、系统控制时产生的信息系统风险。在“互联网+”环境下，系统设计存在一定缺陷，对新环境下的薄弱环节、重点控制点，没有做相应技术设计。传统的企业会计控制基于《蒙哥马利审计学》提出的控制环节、控制流程的相互牵制思想，遵从“双线核算”原则，但现在信息化环境下传统的“双线”控制已经转变为ERP系统控制[1] 。 ERP系统，即企业信息管理系统，可以在信息技术的基础上，以系统化的思维为企业管理层提供决策建议。在“互联网+”环境下， ERP系统的应用越来越普遍，以供应链思维进行企业信息管理固然具有一定的优势（如实现了管理层对于信息的实时控制、集成了物流和资金流等），但企业通过ERP系统进行会计处理仍存在一些问题。

1. 系统的适配性及选择问题。企业在选择ERP系统时，应根据企业的产业结构、业务流程进行选择。但受限于企业经济实力，中小企业一般没有针对自身企业设计专用的ERP系统。国际通用ERP系统对于我国企业的实际需求不够了解，其与我国企业会计业务的适配程度不高，不能有效发挥ERP系统的作用。

2. 系统设计中的事中控制已转化为事前审核与事后多方位复核相结合的模式。在ERP系統会计控制中，在系统内录入会计信息后，系统会自动生成分户账和总账，所以无论初始数据正确与否，系统内分户账和总账的账面一定相符，已经没有“总分核对”的控制功能。数据的准确性主要依靠对初始数据录入的复核、企业账务与银行账务的核对，以及通过区块链技术利用多方位数据来进行复核。这种设计在技术上、理论上可以防范风险，但也存在一定缺陷，如：会计信息录入系统时，财务人员单人进行原始凭证的录入工作，失去了有效牵制，员工的职业素质和职业操守受到考验，此时存在较大会计信息失真风险; 企业对于原始凭证的整理、审核工作成为会计控制中的重要环节，现有制度对于原始凭证的审核工作控制不足，对于录入系统内数据的复核工作有待加强; 基于ERP系统的事后复核工作对于财务人员素质要求较高，财务人员对于ERP系统不够了解，对于操作流程和操作方式不够熟练，不便于ERP系统发挥其管理优势; 传统的会计控制大多通过财务部门内部的“账账核对”来进行账务核对，从而忽视了与银行对账的重要性，且企业内容易出现记账、收取对账单、寄回对账单为同一人的情况，不便于不相容岗位分离。不难看出，由于传统的会计业务流程发生了变化，原有的会计控制措施失效，新业务环节的会计控制制度没有及时做出修改，导致会计控制系统性风险的产生。

（二）系统设计缺陷带来财务操作风险

新环境下，由于会计控制制度存在不足，会计控制的重点并没有在财务制度的设计中得以体现，有的财务人员在工作过程中利用企业信息系统漏洞牟取私利，加大了企业财务风险。

1. 初始录入数据的修改风险。管理信息系统中嵌入的财务管理功能在于分析会计核算数据，并支持财务决策，因此会计数据的真实性对于信息系统至关重要。系统内数据录入完成后应重点控制数据修改行为的审批和授权，防止数据被随意篡改，如果系统控制力度不足，容易出现系统内数据被随意篡改甚至是财务造假的情况。在会计数据录入时，财务人员拥有进入信息系统的权限，但企业只对数据录入人员是否可以进入系统进行控制，却未对这项权限的使用进行控制，例如何时允许进入系统、是否有权修改已录入数据、可以查看何种级别财务数据等方面的控制。由于企业对于数据修改行为的授权设计不足，数据录入人员利用系统权限可以随时进入系统对数据进行修改。财务人员不仅可以对其负责录入的数据进行修改，还可以对其他人录入的财务数据进行修改，如果不加以控制，容易给企业造成巨大的财务风险。

2. 初始数据自动登记总账，分户账串户很难及时发现。以企业发放工资或劳务费为例：传统的发放流程是财务部门造表清点现金，员工拿到现金和劳务清单核对无误后签字确认，当现金多于或少于劳务发放清单上的数额时能即刻发现错误，以实现对财务部门的反向监督。现在企业大多委托银行代发工资，发放工资时员工能收到一条银行的入账信息，虽然只有总金额，但由于月工资数额基本不变，一般也没有太大风险。但在企业发放劳务费时，若事先没有签订协议或员工不清楚自己应得的具体收入数额，每次劳务费用的金额又不固定，支付频次也不确定，企业依然转账发放而又不让员工签字对表，则很容易出现少发或串户的风险。有的企业事先没有签订劳务契约，企业发放劳务费用时也不要求收款人签字，收款人无法判断入账金额是否正确，甚至有的企业还通过财务人员个人的微信账户或支付宝账户再划转，导致付款行为出现许多不确定性，有的财务人员就会利用这些漏洞在付款过程中套取应付款，造成收款人损失的同时也导致公司的资金流失，产生一系列的企业财务风险。

例如甲员工的劳务收入为5000元，有的财务人员只通过银行向其发放3000元，另2000元转给他人，劳务收入不需要做成工资条发给员工，甲员工在并不清楚劳务收入的准确金额的情况下，很难发现另有2000元收入被转入他人账户的情况，其他财务人员核对时只关注5000元劳务费用的支出，也很难发现串户的情况。又如在付款过程中，甲公司和乙先生约定业务金额为10000元，但是并没有签订劳务合同说明付款金额是税前金额还是税后金额，有的财务人员谎称帮其交纳个人所得税，将应支付给乙先生的税后金额10000元截留一部分汇入其个人账户，将剩余部分支付给乙先生，也不要求乙先生在收据上签字，财务部门以约定金额10000元记账，不仅造成公司财务风险也影响到了公司的声誉。

3. 当记账、收取对账单、寄回对账单为同一人时，容易出现舞弊行为。在账务核对环节中，传统的账务核对方式是通过核对分户账和总账来进行“账账核对”。由于记账方式发生转变，在ERP系统下分户账和总账必然相符，所以“账账核对”已经失效，转变为企业与银行之间通过银行对账单进行内外账务核对，财务核对的控制重点从企业内部核对转移至企业与银行核对，但会计控制却未做出相应的调整。在这种情况下，当记账、收取对账单、寄回对账单为同一人时，企业与银行之间的内外账务核对工作由同一人完成，有的财务人员利用职务便利串通出纳人员将公司账户里的钱挪作他用，并在记账过程中将其违规行为掩盖，在“账账核对”失效的情况下，企业只能通过银行对账单来发现其舞弊行为; 当记账人员同时负责收取和寄回银行对账单时，企业内外账务核对功能失效，也没有其他途径对其违规行为进行核查，其违规操作就很难被发现。甚至有的财务人员在违规转出企业银行账户存款后利用职务便利收取对账单，私自盖章后寄回对账单，谎称公司账目与银行账目已对平，引发公司财务风险。

例如乙公司银行账户有1000万元，财务部门丙员工利用职务便利串通出纳人员转出500万元到其他账户，但由于记账、收取对账单、寄回对账单都由丙员工一人经办，丙员工便可以在对账过程中谎称银行存款账目已与银行账目对平，公司审核盖章后由其寄回对账单，使得500万元银行存款不翼而飞却无人知晓，给公司带来巨大的财务风险。

4. 业务授权签字过程常常被忽略，导致重要控制環节失灵。新环境下的业务授权新增了指纹识别等身份验证模式，我国银行业也大多采用这种方式，由于银行的安保措施严密，清晰的银行监控录像可以反映操作人员的全部操作行为，保证授权环节的安全规范; 但在企业授权环节中，由于缺乏对授权环节的执行控制，有的企业也没有监控录像来记录授权过程，财务主管密钥泄露给其他财务人员的情况时有发生，授权环节流于表面，没有发挥其应有的控制作用，导致财务人员利用指纹膜或财务主管密钥进入财务系统篡改数据或获取公司财务信息的事件发生。有的公司由于业务范围广，财务经理经常出差，需要财务经理授权审批的业务往往不能及时处理，财务经理就将业务审批权限临时委托给财务主管，却没有考虑到不相容职务互相分离的要求。在这种情况下，没有人对财务部门的业务行为进行审核，财务主管就有机会在公司财务行为中以权谋私，增加公司财务风险。

（三）科技风险

在“互联网+”环境下，人工智能、大数据、云计算、区块链等高科技技术与企业会计业务创新深度融合，科技已经渐渐融入企业会计处理流程之中，与之相关的科技风险也逐渐显露。

1. 黑客的攻击给企业信息安全带来科技风险。网络与计算机并不是万无一失的，信息和数据的过于集中让各大银行和企业成了不法分子进行信息化攻击的主要目标，层出不穷的攻击手段严重威胁着公司的信息安全。 2016年4月，黑客入侵孟加拉国央行在纽约联邦储备银行的账户，盗走了8100万美元。在新环境下，企业在享有科技便利的同时也要更加注意科学技术发展给企业经营带来的科技风险。如今一些中小企业受限于经济实力，对于信息安全重视程度不高，也没有做好安全防护措施，信息管理人员的业务能力不足，不能有效地保护企业信息安全，由此导致企业会计信息泄露，甚至是商业机密泄露，造成严重后果。

2. 银行系统故障给企业财务安全带来科技风险。企业的资金业务往来大多通过银行账户交易，而银行的业务运行又依赖于银行信息系统，所以当银行信息系统的运行出现问题时，就可能导致银行的业务系统失灵、业务指令延迟、结算系统故障等问题，企业下达的业务指令无法正常执行，严重的可能还会延误商机，给企业带来损失。例如，德意志银行代发苹果公司的开发费用给开发者，但2019年9月开发者们收到的费用却是应收金额的六七倍之多，最终发现，问题的根源是和苹果公司合作的德意志银行的结算系统出现问题，错将应该支付的人民币金额以美元汇入了开发者的账户，导致这次乌龙事件的发生，也给苹果公司带来了重大的科技风险。这说明在新环境下，企业在信任银行系统的同时，也应采取相应的控制措施来监督银行以避免出现类似的问题，并且一旦出现问题要能及时发现、快速应对。

3. 生物识别等科技创新给支付及授权行为带来科技风险。人工智能的快速发展为企业支付及授权行为带来了新的变革，新环境下支付和授权行为不仅可以通过密码来完成，也可以通过生物识别来完成，例如指纹识别、人脸识别等。虽然生物识别的方式在一定程度上保障了公司授权或支付业务仅能由指定人员确认执行，避免了财务人员均知道密码的情况，但近年来关于生物识别漏洞的报道不绝于耳，容易出现类似于指纹信息泄露的问题。一旦出现这种情况，就会给公司的信息安全、财务安全、支付安全带来科技风险。

四、 “互联网+”环境下会计控制措施建议

（一）运用内部控制先进理念，指导新环境下的会计控制

蒙哥马利认为，内部控制包括两方面内容，即内部会计控制和业务控制。内部会计控制的目标是保证会计数据的完整性、有效性和准确性，以及会计数据和单位资产的妥善管理[1] 。 COSO框架中将内部控制按照作用分为内部会计控制和内部管理控制。内部会计控制范围包括所有的会计业务，主要是指为了防止职务侵占和其他违法行为的发生，以及保护企业财产安全所制定的各种会计处理程序和控制措施。

2016年COSO《企业风险管理框架》的颁布，突显了内部控制理论发展与企业全面风险管理的结合，强调了风险管理对企业价值创造的贡献，以及从更加宏观的层面来进行内部控制。 2019年国资委印发《关于加强中央企业内部控制体系建设与监督工作的实施意见》，将完善中央企业风险防控机制作为首要目标，将信息化建设作为加强内部控制体系刚性约束的重要手段，推进信息系统间的集成共享。企业要在不断完善的内部控制理论和规范指引下，将企业全面风险管理与会计业务流程相结合，发现新环境下会计控制的关键点和薄弱环节，寻找行之有效的控制手段，运用信息化手段来实现内部控制目标，推动企业会计控制制度不断完善，发挥会计控制制度的重要作用。

（二）优化信息系统内部控制设计，强化系统重点环节控制

企业在开发信息系统时，根据内部控制的全面性原则和重要性原则，应当将生产经营的全部业务流程、关键控制点和处理规则嵌入系统程序，在覆盖手工环境下的控制功能的基础上拓展控制功能。企业在选择适合自身业务特色的ERP系统的基础上，还应该根据企业业务流程来设计ERP系统具体操作流程，并对员工进行业务培训，让员工了解系统设置、系统操作及其职责权限和各模块之间的联系，确保ERP系统的主要功能能够最大限度地发挥作用。对于原有会计制度的关键控制环节应该在系统设计中有所体现，不能因为转为ERP系统记账而忽视原有风险点，而应该在原有风险点的基础上发现ERP系统所带来的新的风险点并加以控制。

企业还应当加强对信息系统访问与权限变更、数据输入与输出、文件储存与保管等方面的控制，保证信息系统中数据的真实性和可靠性。在企业ERP系统进行会计数据录入的过程中，对于录入系统的原始凭证要安排专人对原始凭证的真实性进行审核; 在数据录入时，企业应安排专人将录入系统的数据与审核后的原始凭证进行核对，保证数据准确性的同时也可以监督录入人员是否合规操作; 数据录入工作完成后，严格控制数据录入人员的访问权限，不允许录入人员再次进入系统对数据进行修改，若数据确需修改，则需要财务主管或管理人员审核同意并授权后方可修改; 对于系统的访问，要进行严格的权责划分，根据职务建立不同等级的授权审批制度，保证系统内不同等级信息的访问权限只授予对应岗位的责任人，防止企业核心技术与信息的泄露。

企业还可以利用区块链技术来改进ERP系统，在数据录入过程中运用“分布式账本”，多人共同参与记账和监督，防止单一记账人员记假账的现象发生; 通过区块链技术保障录入系统的数据“不可伪造”，即除非“分布式账本”内所有节点均被破坏，否则账目就不会丢失或被伪造; 对于访问系统的人员和进行的操作“全程留痕”，即何人何时登录系统自动进行记录，其访问足迹也会记录在案; 对于系统内数据的修改做到“可以追溯”，修改前数据及之前所有数据都可以追溯并找回，防止数据被篡改。总而言之，就是要利用区块链技术实现信息系统数据可控制、可追溯、可检查，有效降低人为违规操纵数据导致的财务造假风险。

（三）优化财务核算流程，避免财务风险

企业办理资金支付业务，应当明确支出款项的用途、金额、支付方式等内容，并附原始单据或相关证明，在账务核对工作中，对于资金支出后的去向也要核查，有问题及时反馈。

1. 事前控制。在企业支付劳务费用前，为了防止劳务费用模糊造成串户的情况发生，企业应当在事前与劳务人员签订明确的劳务合同，明确劳务费用金额与税费情况，财务人员完全遵循合同支付款项; 收款人在明确劳务费用金额后，也可以反向监督财务人员劳务费发放行为，避免因为金额不明造成收款人财产损失的情况出现。

2. 事中控制。在企业付款过程中，为避免付款环节的财务风险，企业应当重点控制款项支付证明：一方面是财务人员的付款证明，即财务人员通过银行转账或个人微信支付宝账户转账时，要核查银行转账单和手机支付记录，如微信或支付宝支付成功页面截图等，保证向员工支付的款项金额准确无误。另一方面则是收款人的收款证明，无论财务人员使用何种方式付款，收款人都应该保留收款证明备查。在财务人员支付款项后，如果是当面付款，财务人员应要求收款人在写明收款金额和收款方式的收款证明上签字确认; 如果是采用移动支付，也应要求收款人通过语音信息或其他方式对金额和款项到账情况进行确认。

3. 事后控制。企业在进行财务复核时，复核人员除检查账面金额是否准确外，还要对财务人员付款证明和收款人的收款证明进行核对，重点检查款项金额和支付方式是否一致，尽可能降低付款过程中的财务风险。

（四）不相容职务分离，科学设置程序分段控制

蒙哥马利认为，对资产的保管以及会计程序和有关会计控制程序的执行进行职责分工，可以减少员工财务舞弊或出现差错的风险[1] 。企业在确定职权和岗位分工过程中，应当严格遵循不相容职务相互分离的要求。不相容职务可以实行分段控制，即重要业务流程由多人完成，每人负责部分业务流程，以此实现内部牵制，降低财务舞弊的可能性。对银行对账环节进行业务分段控制，企业记账人员与收取对账单人员要分离开来，防止记账人员根据对账单金额调整公司账目的情况发生; 收取对账单和寄回对账单的人员也要分离，防止财务人员私自盖章寄回对账单的情况发生。为了避免财务部门内部舞弊，可以安排人力资源管理部门或其他行政部门来负责银行对账单的收取和寄回工作，在进行账务核对的同时也可以监督财务部门的工作，以此加强企业银行账户的管理。

根据授权控制原则，企业应当编制常规授权的权限指引，严格执行授权审批制度，避免制度流于形式。要提高管理层和员工对于授权审批制度的重视程度，对于制度安排中需要授权审批的环节，一定要拥有相应权限的人授权审批，一旦出现问题，授权审批人要承担连带承担，以此来约束授权人的行为，提高授权人的风险意识，防止出现财务人员均知道授权口令或利用授权人指纹膜随意授权的情况。对于特别授权和临时授权，也要考虑不相容职务分离的要求，当授权人不在现场时，可以利用信息系统进行远程授权，避免临时授权的风险，可以有效防止临时授权人滥用职权。

（五）加强信息安全防护，不断进行内部控制科技创新

企业应当对网络安全加强保障，重视信息安全，建立信息安全防护机制，防范来自外部的黑客攻击和内部的系统问题。对于涉及互联网科技的环节都应建立监控机制和应急处置机制，企业可以利用区块链技术，对于系统内的关键信息去中心化，定期备份，当网络或软件系统出现问题时可以第一时间进行防护和修复，或者通过非科技手段进行弥补; 对于服务器等硬件设备应妥善保管并建立定期检查机制，严禁任何人在未经授权的情况下接触计算机硬件，防止因为硬件设备故障造成系统故障; 在系统关键授权环节采用多重验证手段，例如指纹加密码同时验证通过才可以进入系统，降低生物识别漏洞可能造成的影响，同时提高系统的安全性; 企业可以充分运用计算机技术和网络技术，在线上对于可能出现的风险进行预防控制，在网络失灵或出现系统故障时，通过线下操作来对可能出现的风险进行补充控制，利用线上线下共同控制的手段，保障企业信息安全。

飞速发展的科学技术对企业内部控制设计提出了更高的要求，企业应当根据自身发展状况、机构设置、业务流程，结合科技发展带来的新技术、新方法为企业内部控制的设计找寻新方向、新手段，利用科技创新完善内部控制制度设计。德勤会计师事务所在“互联网+”环境下利用科技创新建立多个共享中心，包括函证中心、报销中心等，提高了业务处理效率。报销中心负责所有的报销业务，以前依靠人工完成的项目核算和报销业务现在全部可以通过系统扫描来完成，降低了人工差错导致的财务风险。函证中心负责完成所有的函证业务，既可以使函证过程中较少受到主观因素的影响，又可以保证函证的准确性，还可以节省大量的人力物力成本。

【主要参考文献】

[ 1 ] 文森特·M.奥赖利等.蒙哥马利审计学[M].北京：中信出版社，2007：N/A.

[ 2 ] 閻达五，杨有红.内部控制框架的构建[ J].会计研究，2001（2）：9 ～ 14.

[ 3 ] 杨雄胜.正确认识信息技术对内部控制的深刻影响[ J].财务与会计，2007（18）：1.

[ 4 ] 李心合.内部控制研究的困惑与思考[ J].会计研究，2013（6）：54 ～ 61.

[ 5 ] 陆赛江，许莉.基于2016版ERM框架的商业银行内部控制[ J].现代企业，2018（3）：60 ～ 61.