论互联网企业的内部控制活动

宋烨桢

摘 要：本文通过对互联网企业内部控制现状进行分析，发现目前部分互联网企业确实存在内部控制失效的问题来研究互联网企业的内部控制问题。本文希望能够找到解决部分问题的方法或思路，从而提高互联网企业内部控制的有效性，保证我国互联网企业的稳健发展。

关键词：内部控制失效;互联网企业

早在2014年11月，我国在世界互联网大会上指出，政府必须在互联网发展中发挥重要作用，互联网是“大众创业”和“万众创新”的媒介。2015年3月，提出了“互联网+”行动计划，这项举措可以将互联网、大数据与制造业结合起来，从而打造“互联网+”生态体系，使各个行业在这种体系中得到持续稳健的发展。2015年5月，国务院发布了《中国制造2025》一文，文件强调了加强互联网基础设施建设的重要性，以及将制造业和互联网结合起来的必要性。2017年10月，十九大报告中指出，应当将互联网融合到各行业中，要在各个方面加强互联网基础设施的建设。互联网基础设施的建设和移动互联网的持续发展，为我国互联网和相关行业的发展提供了有利环境。而互联网企业的内部控制的有效性对互联网企业在如此好的环境中的发展非常重要。

一、内部控制的概念分析

各国对内部控制的性质都有自己的认识。英国内部控制框架以风险为中心，对内部控制的概念进行了定义，对高风险、高影响的因素进行了控制。加拿大的COCO委员会认为，内部控制不仅仅是对企业经营活动进行控制的过程，它更应该和企业的经营活动相结合，使其融为一体，以便评估企业是否实现了制定的经营目标。美国是最早提出内部控制概念的国家，COSO框架也为其他国家内部控制体系的建立提供了理论指导意义。它给出的内部控制的定义是“公司的董事會、管理层及其他人士为实现以下目标提供合理保证而实施的程序：运营的效益和效率，财务报告的可靠性和遵守适用的法律法规。”这个定义在一定程度上是合理的，但是迄今为止，学术界也没有给出一个可以高度准确地概括内部控制的定义，各国对于内部控制的定义仍然存在争议。

随着我国国内学者对内部控制研究的不断拓展，我国的内部控制体系在理论和实践两方面都得到了发展和完善。在研究初期，仅仅从会计学和审计学的角度分析内部控制，随着研究的不断深入，越来越多的学者开始注重从管理学和经济学的角度进行分析，研究的发展不断完善了我国的内部控制制度，此外，也有一部分学者基于企业的内部控制表象，将企业的内部控制与企业风险管理结合起来。

研究中国互联网企业的内部控制，首先根据互联网行业的特点，从互联网企业的角度充分理解内部控制的概念。企业内部控制中的 “企业”一般是指运用一系列的生产要素（土地、劳动力、资本和技术等），向市场提供商品或劳务，从而达到其营利目的的具有法人资格的社会经济组织;“内部”是相对于企业外部环境的定义，通常是可控的;“控制”是指通过改善企业内部环境，形成完善的、适合本企业经营发展的管理和运营模式，最终达到企业的营利目的。综上所述，本文选择的内部控制定义为“企业为达到其经营目标，通过建立有效的组织机制，运用适当的管理方法，以及实施规范的操作流程而形成的系统。

二、互联网企业特征分析

（一）发展特征

与传统制造业企业相比，互联网企业在快速发展、盈利能力和业务涉及范围上更有优势，这是因为“互联网生态”是良性循环的，它的本质是共赢，这也是互联网行业的一个重要特征。中国互联网行业的发展速度已经超过美国，但是我国互联网企业的寿命通常较短，平均只有三年左右。我国互联网企业缺乏对技术研发方面的投入，从而导致企业缺乏技术含量，进而缺乏显著的竞争力。虽然我国互联网企业数量在不断增长，但是很容易受到网络风险的影响，原因在于我国互联网企业缺乏在技术研发方面的投入，从而导致企业缺乏技术含量，没有形成自己的优势，进而缺乏显著的竞争力，这就造成了“大型企业越来越好，而中小企业逐渐被淘汰”的局面。然而，面对这种情况，我国并未针对互联网企业的特殊性建立独特的内部控制实施方案，人们也不甚了解互联网行业的内部控制问题。经过美国COSO委员会的同意后，我国财政部会计司和德勤会计师事务所共同翻译了《网络时代的内部控制》这一文件。2015年9月，为了让我国上市公司的财务管理人员更加清楚地了解“互联网生态”的发展，并从“互联网生态”体系中获益，财政部会计司高一斌发表了《“互联网+”与大会计时代》，为国内互联网企业的进一步发展提供了理论指导。利用现有的各项会计准则，提供基于互联网的会计信息服务。鉴于我国互联网行业的快速发展，以及许多发展势头较好的企业考虑赴美上市，因此，有必要系统地分析并研究中国互联网企业的内部控制制度。

（二）风险点特征分析

1、风险投资

（1）资金来源不稳定以及资本过剩风险。互联网企业通常属于轻资产企业，因此不太可能通过抵押固定资产来获取银行的贷款，那么它的投资来源就只能依赖于外部投资者，而风险投资往往来源于境内外的天使投资，因此互联网企业的资金来源极不稳定。我国互联网中小企业往往没有较好的融资渠道，或者缺乏大量、持续的资金投入，同时在融资方面缺乏风险控制意识，导致资本分配不合理，影响企业的发展，这样一来就更加得不到外部投资，最终形成恶性循环。

（2）审批门槛高且法律法规制度不健全。我国对上市公司的要求是“实行审批制且连续三年盈利”，只有同时满足这两点，企业才能上市。而我国互联网企业由于其行业的特殊性，很难满足企业上市的要求。此外，我国互联网企业中，有一部分企业属于互联网金融企业，这类企业的特点是：风险尤其是投资风险普遍高于其他互联网企业。其原因是互联网金融企业的资金来源不仅仅是通过风险投资获得的，还有很大一部分是通过客户储蓄以及客户对金融理财产品的投资获得的。由于这一特点，许多客户对互联网金融企业的产品望而却步。因此，应当加大对互联网金融企业的监管审查力度（包括上市公司和未上市公司），并逐步制定完善的、适用于互联网企业的法律法规，这样可以在一定程度上降低互联网金融企业的投资风险。

2、高技术人才

互联网企业对高技术人才有着很强的依赖性，因此处于竞争关系的互联网公司经常会互相争夺优秀的技术人员，这样一来就大大提高了技术人员的流动性。根据业内人士的不完全统计，一个工作了10年的技术人员，大约就职过5家公司，平均每2年跳一次槽。聘请高技术人才的成本较高，而在互联网企业中，研发人员占据很大的比例，如果企业没有稳定的技术研发团队，将会大大提高企业的经营成本，同时也不能保证产品维护的及时性和有效性，进而阻碍企业未来的发展。技术是互联网企业的核心，技术人员往往掌握着大量的企业内部隐性知识，因此必须在保证企业发展的前提下，降低企业技术人员的流动性，从而保证企业人事的稳定性，进而减少由企業内部人事变动而引起的经营风险。

3、风险管理技术优势

我国传统企业的风险评估体系一般把手动控制与自动控制结合起来，把防御与发现控制结合起来，并采取有针对性的控制措施，将企业整体风险控制在企业自身制定的可承受范围内。随着“互联网+”时代的到来，企业的信息得到了充分的共享，使得信息传递成本降低，资源配置更加灵活，业务发生和会计程序可以同步进行。企业往往在经营失误时才采取控制活动，而计算机技术与内部控制的有效结合，可以改善这种局面。这样一来，投入到企业控制活动的人力大大减少，相关人员只需要通过操作机器设备，就可以迅速了解企业控制活动的有效性，在很大程度上降低了人力资源成本。如今，一部分互联网企业已经在控制活动中加入了对代码的多重审计。顾名思义，代码多重审计就是反复检查源代码中的安全缺陷，检查其是否存在安全隐患，或者有编码不规范的地方，并结合企业的具体情况，提供代码修订措施和建议。随着内控制度的不断完善，代码多重审计逐渐成为互联网企业重要的控制活动之一，它可以有效降低产品上线后出现重大事故的概率。比如，百度、腾讯等这些用户数量众多的大型互联网企业，往往在研发产品的过程中，就对系统架构、代码编写、测试用例编写、产品审阅、产品上线、引流测试等方面进行了代码多重审计，目的是保证产品在上线后，不会出现服务器宕机、XSS（Cross Site Script）以及内存泄露等问题。

三、互联网企业内部控制活动现状分析

1、信息与沟通现状分析

信息与沟通是企业实施内部控制的基础，而及时获取准确的数据则是信息与沟通活动中最重要的部分。比起传统企业，互联网企业的信息与沟通活动更具多样性，并贯穿于整个内部控制过程。《企业内部控制基本规范》第38条提出，企业应该建立有效的信息沟通体系，及时收集、处理、传递内部控制相关数据，确保信息沟通的及时性，提高企业内部控制运行的有效性。

有别于传统企业，信息技术是互联网企业的核心，它以电子商务等服务为媒介，在一定程度上有效防范了企业内部信息的失真，节约了各部门的信息沟通成本，这也是互联网企业组织结构趋于扁平化的一个原因。对于互联网企业来说，数据信息尤为重要，是企业必不可少的信息资产，对企业战略方案的制定极其重要，并且需要保证数据信息能够在企业各部门各层级间及时、准确地传递，以保证企业经营活动的有效性。如今，互联网企业越来越重视用户行为和用户消费习惯等信息，通过分析、处理这些数据信息，可以及时了解用户的需求变化，以便寻找新的商机。互联网企业可以快捷地获取新技术和新应用，可以用更低的成本了解行业发展的动态，因此，互联网企业内部信息的沟通可以随时进行，形式也日趋多样化。

整体上来看，我国互联网企业在信息与沟通方面有所优势，但是实际执行时，还是会存在一些漏洞。比如，我国企业内部员工习惯用QQ、微信进行信息沟通与文件传输，而这些聊天记录中的重要信息并不能完全保证不被他人恶意盗取，因此，互联网企业可以考虑开发内部聊天软件，以保证信息传输过程中的加密性。

2、内部控制监督现状分析

监督是指对企业内部控制运行的有效性进行综合测评，并在最后阶段生成报告。监督能够保证企业内部控制活动执行的有效性，并为外部监管活动提供支持，保障股东的权益。然而，在我国互联网企业中，仅有个别企业建立了适合本公司发展的内部控制体系，在这之中，只有一小部分能够符合我国已经制定的内部控制制度。而大部分企业在具体执行内部控制活动时，还存在着各种各样的现实问题：比如未能合理分配工作任务，未能明确权责划分等。因此，互联网企业的监督活动往往不能保证其有效性。此外，监督这一环节会涉及到较多的企业内部利益关系，为了防止各人员互相包庇，有必要加大监督力度。

我国互联网企业更偏爱内推的招聘方式，这种方式的优点是可以降低企业的招聘成本，维持较稳定的人员流动率，保证信息沟通的流畅度;缺点是可能会提高集体离职率，不利于企业的人事管理。

四、研究建议

通过以上分析本文建议：建立和实施有效的内部控制活动。

对于经营活动较为丰富的互联网企业，要更加重视全面预算控制以及各业务间的资源有效分配。在多元化业务的成长期，应该理智分析未来发展路径，先保证核心业务的发展，让企业的收入实现稳定增长，再考虑投资其他业务领域。同时，在扩展业务的过程中，要及时预测潜在的风险，做好应对措施，避免盲目扩张业务领域。

在信息沟通中，由于内部控制的涉及范围很广，几乎企业的各级人员都能有所接触，所以企业应该建立有效的双向沟通机制，确保信息沟通的及时性和完整性。

监督活动对于内部控制活动的效果起到了至关重要的作用。需要设立内部控制活动监督的部门和岗位，需要拥有负责任又有内部控制监督专业知识的人才，需要有利于内部控制监督的制度体系。

参考文献：

[1]杨光.李克强加强网络基础设施建设提高网络普及率[J].计算机与网络，2014（4）

[2]高曦.企业信息化实施的内部控制问题研究——以销售业务为例[J].会计之友，2017（12）