互联网企业内部控制-文献综述

-毕业设计（论文）文献综述课 题 名 称 ： 互联网企业的内部控制有效性研究 -以上海宝X电子商务有限公司为例 学 院 ： 旭日工商管理学院 专 业 ： 会计 姓 名 ： 王宇帆 学 号 ： 110770205 指 导 教 师 ： 卢宁文 二 零一 四 年 十二 月 十六 日文献综述摘要作为20世纪最伟大的发明，互联网经历了近20年的发展，已经成为国家信息基础设施的重要组成部分。当前，我国互联网的各种应用服务蓬勃发展，涌现出大量互联网企业，其中不乏形成了具有一定国际影响力和竞争力的互联网巨头公司。不难看出，互联网企业的发展与老百姓的生活息息相关，是研究者应该重点关注的范围。于此同时，互联网企业商务模式的独特性和多样性也影响到了企业内部的方方面面。如何加强互联网企业内部控制以及内部控制合理性和有效性已经成为了企业高管和外部相关利益者所关心的话题。目前国内对于互联网企业内部控制并没有专门的研究，但其他相关研究都显示互联网企业具有风险复杂化和多样化的特点，个别研究者也提出了对于IT企业内部控制管理手段的创新。一、国内外企业内部控制研究现状随着社会主义市场经济的不断发展，企业的内部控制问题显得日益重要，引起了我国理论界和实务界的普遍关注。关于内部控制的理论始于二十世纪四十年代，于八十年代在国内提出，并在2008年国家出台一系列规范和指引文件推进内部控制在企业中的全面应用。同时内部控制的运行效果与公司治理结构有着密切的关系，所以国内外基于公司治理对内部控制问题的研究也不断兴起和深入。（一） 国外研究情况西方内部控制理论的演进，经历了五个阶段，其内容由简单到复杂、目标由单元到多元、对象由局部到整体的演进。而随着人们对公司治理与内部控制的关系的不断认识，基于公司治理对内部控制的研究也不断兴起和深入，目前仍处于不断发展和完善的过程中。 国外有关公司治理下对内部控制的研究，主要是以卡德伯利报告、哈姆佩尔报告和特恩布尔报告，以及COSO的内部控制框架和OECD公司治理原则为代表。其中，前三者被称为英国公司治理和内部控制研究历史上的三大里程碑。卡德伯利报告（1992）从财务角度研究公司治理，将内部控制置于公司治理的框架内，明确要求公司建立审计委员会、实行独立董事制度，并以内部控制、财务报告质量以及公司治理之间的相互关系为前提，明确要求公司改善内部控制机制，建议董事会应就公司内部控制的有效性发表声明，外部审计师和审计委员会应对董事会发表的声明进行复核。特恩布尔报告（1999）作为公司治理委员会综合准则指南指出，董事会应对公司内部控制的有效性负责，制定正确的内部控制制度并寻求日常的保证，使内部控制系统能有效发挥作用，还应进一步确认内部控制在风险管理方面是有效的。其中特别指出，董事会应在谨慎、仔细了解相关信息的基础上形成对内部控制是否有效的正确判断。DECD公司治理原则（2004）规定：公司治理结构应确保董事会对公司的战略指导和对管理层的有效监督，对公司和股东的责任和忠诚。同时，要求董事 会确保公司会计和财务报告制度的完整性，其中包括独立审计师的完整性，确保公司具备恰当的控制制度，特别是风险管理制度，财务和营运控制制度等，确保公司的行为不违反法律和相关的准则等。 （二）国内研究情况在我国，改革开放之前，有关内部控制的理论研究几乎处于空白状态，我国政府是从20世纪90年代起开始加大企业内部控制的推动力度的。我国在内部控制规范的建设过程中，内部控制的研究取得了许多重大理论突破，特别是基于公司治理的内部控制研究也呈现出勃勃生机并不断发展。吴水澎（2000）指出，公司治理结构是内部控制的环境因素；阎达五（2001）也指出，内部控制框架与公司治理机制是内部控制管理监控系统与制度环境的关系；李连华（2005）认为，公司治理与内部控制之间是一种互动关系。阎达五、杨有红(2001)则将内部控制框架与公司治理机制结合起来，认为内部控制外延的拓宽正是由公司治理机制变化所致。因此他们建议采取双管齐下和分两步走的战略建立内部控制框架，认为首先要在组织机构设置和人员配备方面做到董事长和总经理分设、董事会和总经理班子分设，避免人员重叠；特别强调董事会在公司治理的核心地位，认为董事会应该对公司内部控制的建立、完善和有效运行负责。潘秀丽(2001)认为，需要尽快制定内部控制标准及内部控制评价规范，以便改善企业内部控制现状，完善内部控制信息的披露，保护投资者的利益，使资市场有效运行，准确地对内部控制进行评价。为了改善企业内部控制普遍薄弱的现状，应该在规范公司治理机构的同时来规范公司的内部控制，并明确管理当局对企业内部控制应承担的责任，使其真正意识到内部控制的重要性，而不是仅仅为了达到上市筹集资金或维持上市资格所做的一种形势上的包装。将内部控制相关规范的制定作为完善公司治理的重大举策，对内部控制的定位非常关键。 刘明辉、张宜霞（2002）认为，传统意义上的内部控制局限在一个较小的范围内，其目标没有与企业的整体目标相结合，从而导致不能从企业整体的角度构建内部控制。因此，应该打破传统内部控制的狭隘性，拓宽内部控制的内涵，由局部的会计控制、财务控制扩展到整个企业的治理控制，并在今后的制度建设中重视保护投资者的利益，形成企业内部控制和资本市场相互促进的良性循环。康玉珠、周长鸣（2004）认为，从历史上看，西方国家内部控制的发展、完善都离不开公司治理结构的研究，他们注重从公司治理的角度研究内部控制。我国对内部控制理论的研究主要集中于会计、审计领域。2001年财政部颁布的内部会计控制规范基本规范（试行）是较权威的标准，但也只局限于内部会计控制领域。2002年1月，中国证监会颁布了我国第一部公司治理准则上市公司治理准则，该准则也未涉及与内部控制有关的内容。我国如何将内部控制的研究与公司治理结构结合并充分发挥内部控制在公司治理结构中的作用，应该成为众多学者和实务界关注的话题。 李榕芳（2005）认为，公司治理结构与内部控制关系密切。公司治理结构是促使内部控制有效运行的前提和基础，是实行内部控制的制度环境；健全的内部控制也是正确处理企业的各利益相关者关系、完善公司治理结构、建立现代企业制度的重要手段。建立健全内部控制，应完善法人治理结构、具体划分内部控制目标、加强内部会计控制。田海峰（2011）认为，内部控制系统的运行效果与公司治理结构有着密切的关系。从表象看，各大公司信息失真及其财务丑闻的迭出无不与内部控制弱化有关，但更深的研究发现，内部控制系统的局限性不仅要依靠内部控制系统本身的完善，更要依赖公司治理结构的完善。内部控制系统局限性的克服，不能仅仅依靠内部控制机制本身的完善，还必须依赖公司治理机制的有效运行。王宣人（2011）认为，公司治理与内部控制的共同载体是企业组织，在这个载体中，内部控制的有效运行离不开公司治理的推动，公司治理的优化需要内部控制作保障。目前，我国上市公司存在着公司治理与内部控制失衡问题。其主要因素是法人治理结构不完善，缺乏完善有效的监控机制，信息和沟通系统不健全。完善上市公司治理和加强内部控制，应改善股权结构，建立健全监督检查机构和有效的激励与约束机制，健全内部会计控制体系，使二者协调发展，相互作用，最终实现公司的总体目标。（二） 研究趋势从以上相关文献回顾中可以看出,我国政府和理论界对内部控制问题很重视，对内部控制的理解不断深化，而且，内部控制发展至今，其内涵已大大延伸，与公司治理有着越来越多的结合点，内部控制与公司治理是“你中有我，我中有 你”的嵌合关系，两者相辅相成、相互促进。完善的公司治理有利于内部控制制度的建立和执行，健全的内部控制也将促进公司治理的完善和现代企业制度的建立。因此以后无论在理论还是实务中，都会将内部控制问题置身于一个更大的环境即公司治理下来研究和对待，其理论和实务研究在深度和广度上都还有很大的发展空间可去开拓。 二、企业内部控制有效性评价方法（一）、评价方法的运用 随着内部控制评价理论的发展，内部控制评价的方法也越来越多，通常是通过专题讨论会、问卷调查、 流程图进行初步分析，然后引入数量统计分析的方法，如层次分析法( A H P )，对定性指标进行量化处理， 再运用数学模型进行定量分析。 1 问卷调查、 流程图等传统方法 内部控制评价的传统方法主要有调查表法、文字法、流程图法和穿行测试法等，均是曾经应用比较广泛的评价方法。国外在内部 控制评价研究早期较多关注的是怎样有助于注册会计师的审计和评价工作，其中有一种比较流行的方法一“调查问卷”，即要求审计师回答相关问题，在对审计人员的内部控制评价行为进行研究时，发现，审计人员在识别企业内部控制设计缺陷时，与文字描述相比，调查问卷是一种更为有效的评价方法。国内学者张谏忠， 吴轶伦(2005)以内部控制自我评价在宝钢的运用为案例，对宝钢运用调查问卷、作业层级评价标准分析内部控制风险控制点进行了详细阐述。于增彪，王竞达，瞿卫菁(2007)以亚新科工业技术有限公司为案例，采用实地调研的方法，建立流程图与指标体系详细说明了企业内部控制的设计与评价。2 层次分析法等模糊综合评价方法 周春喜(2002)利用层次分析法建立了内部会计控制的多层次评价指标体系，讨论了模糊综合评价数学模型，对定性指标进行了量化处理。戴彦(2006)通过对A省电网公司的研究，围绕“资金流构建了评价体系，并依据德尔菲法、层次分析法等方法确定预算管理、电力营销、固定资产管理和工程项目四类关键业务的权重以及各类业务中各个指标的权重。李军训，陈静(2010)结合层次分析法和模糊数学方法构建了一套上市公司内部控制评价指标体系对上市公司内部控制进行评价。杨海琴，刘文丽(2011)也以层次分析法为基础，分析了内部控制评价的主体，构建了主体的评价指标体系，赋予权重，并主张应加强内部控制主体有效性的评价。同时张谏忠，吴轶伦(2005)、于增彪，王竞达，瞿卫菁(2007)、陈汉文，张宜霞(2008)、骆良彬，王河流(2008)、韩传模，汪士果(2009)等学者在进行内部控制评价相关研究时也不同程度的运用了层次分析法等模糊综合评价方法。3其他的数学模型及评价方法 Yu，Neter(1973)尝试性地提出内部控制三种评价模型以供审计人员选择：抽样估计、最小二乘法估计与时间序列。随后LibbyArtman，Willingham(1985)使用实验方法研究内部控制流程对其可信赖程度的影响；Colbert(1988)以实验方法研究如何评价存货项目的控制风险。而Purivs(1989)采用实验方法研究了问卷式、流程图式以及文字叙述式等三种内部控制评价方法的效果。王立勇(2004)提出运用可靠性理论和数理统计方法构建内部控制系统评价的数学分析模型，以企业业务流程图设计为基础设计内部控制系统评价的可靠性框图和模型。徐程兴(2008) 针对现实中获取模型所需样本较小的问题，认为采用灰色评价方法具有可行性，而企业内部控制制度就是一个本征性灰色系统，含有灰色信息。周瑜，郑垂勇(2008)运用特征值和特征向量对三角模糊数互反判断矩阵的一致性和排序进行了研究，以期达到更简化的排序方法，并且将该方法引入内部控制评价。陈汉文， 张宜霞(2008)倡导采用风险基础的评价方法，制定了内部控制评价指南以对企业内部控制评价进行规范和指导。王海林(2009)将管理工程学的CM思想引入到内部控制评价，构建了IC-CMM(Internal Control Capabi1ity Matur ity Mode1)内部控制能力评价模型。 (二)评价指标体系的构建 内部控制评价既可以按照法律法规的要求，围绕合规性、财务报告及相关信息的真实可靠、 资产的安全等 目标进行评价，也可以围绕其业务活动循环，或者战略实施手段、管理的效率和经营效果进行评价，还可以围绕内部控制五要素控制环境、风险评估控制活动、信息与沟通、监督进行全方位评价。因此内部控制评价指标体系的构建将主要基于上述三个方面。1 围绕内部控制目标构建评价指标体系 Maryeta1(1999)只用记录与特定的财务报表断言有关的控制机制，这种记录方式的改变标志了内部控制评价任务结构中的改变，从交易流程便化为控制目标。以Apex公司采购与付款循环系统的内部控制测试为例，先指明了控制环境是计算机基础，依据授权控制、记录准确性、内部控制执行有效性和完整性的目标记录相关信息，采用问答题方式测试内部控制是否实现了控制目标。韩传模，汪士果(2009)在利用三维结构解析企业内部控制系统的基础上，建立了基于风险导向和示意结构的内部控制递阶层次模型，其中目标层包括总目标(战略目标)和次级目标(效率效果目标、报告真实性目标和合规性目标) ；准则层包括影响企业目标实现的内外部风险因素，包括战略风险、财务风险、市场风险、运营风险和法律风险等；措施层主要控制各风险因素对目标实现的不利影响，控制措施有效性进一步取决于其健全性和是否被有效遵守，包括健全性和遵循度等。 2 围绕业务活动构建评价指标体系 周春喜(2002)从货币资金、实物资产、对外投资、工程项 目、采购与付款、筹资、销售与收款、成本费用、担保等9个方面共计3个项 目构建了内部会计控制的评价指标体系。肖全芳，曹宏凌(2003)对生产循环的首要环节采购业务循环的内部控制设计和评价进行实例分析和论述。戴彦(2006)紧紧围绕“资金流以及预算管理、电力营销、固定资产管理和工程项 目四大类“ 关键业务” 展开构建了评价指标体系。杨洁(2011)基于PDCA循环的内部控制综合评价指标，确立了综合评价内部控制有效性的研究方法和基本模型，将内部控制综合评价指标分为三级，其中一级指标为内部控制体系的评价；二级指标根据PDCA循环划分为四个指标计划Plan(F1)、执行Do(F2)、考核Check(F3)、改进ACT(F4)；在二级指标下，总共有31个三级评价指标作为对二级指标的支撑。 3 围绕内部控制五要素构建评价指标体系 EIPaso(2002)以COS0内部控制整合框架为基础，提出了9个5级量度的内部控制评估项目体系，其中控制环境 43个项目风险评估12个项目，信息与沟通14个项目，监视14个项目。我国学者郭晓梅，傅元略(2002)以COS0报告的内部控制要素为基础构建一个包括五个基本要素15个类别和26种评价指标的三个层级的递层评价指标体系。朱卫东，李永志，何秀余(2005)将BP神经网络技术应用于企业内部控制评价中，并依据COS0报告构建了五要素评价指标体系。孟林，任志宏(2007)从公司治理视角依，据内部控制五要素构建了18个项目的内部控制评价指标体系。骆良彬，王河流(2008)依据内部控制组成五要素建立评价指标体系，其中控制环境l6个项目，风险评估6个项目，控制活动5个项目，信息与沟通6个项目，监督6个项目。三、互联网企业的风险评估与内部控制彭晓峰（2013）认为互联网企业更可能会有盈利模式风险、政府监管风险、现金流风险、筹资风险、投资风险。毕祎（2014）认为互联网企业更可能具有技术风险、规模风险、流动性风险。霍冰雁(2014)认为电子商务企业存在的内部控制问题有内控在企业中的地位更为重要；.加大企业对风险控制的难度；控制方法相对落后；风险评估不足、意识薄弱。1、 战略层面分析。远期战略目标难以确定的风险。对于技术更新速度快的互联网企业来说,成本低,壁垒低的特点,再加上竞争的激烈,使得互联网企业的战略目标有时候就形同虚设。由于互联网企业在制订战略目标时没有考虑目标的经济性、安全性和社会责任性,导致战略层面具体存在的问题经营目标情况:没有明确互联网企业的市场地位。没有经营创新。没有确定企业的生产水平能力指标。2、经营层面分析(l)互联网企业人才流动性大,.给企业带来风险。(2)信息技术风险。(3)财务制度与审计制度缺乏给互联网企业带来风险。(4)经营模式风险。(5)客户忠诚度风险。3、财务层面分析。互联网企业财务层面的风险主要有:融资风险、金融市场风险、知识产权风险、信用风险等。在相关政策和程序无法对金融市场产生足够的控制力时,财务领域中的实施风险便产生了。实施风险会导致实际损失或机会成本的产生,因为财务手段并不有助于实现公司低成本经营的目标。金融市场风险。由于金融市场变量(如汇率、价格)的变化影响互联网企业的收入、费用的计量和资产负债表的账面价值,从而导致互联网企业的盈利能力、价值的变化。知识产权风险。由于信息技术的发展,盗版假冒现象非常猖撅。信用风险。由于通过互联网这个虚拟的空间进行交易,要处理好对赊销或推迟付款的控制及信用管理和收款政策能够很好地平衡销量最大化和坏账损失最小化之间的矛盾。如果评估信用风.险的过程不够高效,它会限制互联网企业的成长或产生无法承受的信用风险,包括过多的坏账和收款成本。4、合规风险层面分析。互联网行业发展存在限制因素,行业标准及行业法规尚一不健全,这一切都有可能影响到互联网企业同其它可替代行业的竞争。二、互联网企业风险管理及内部控制中存在问题的原因分析。1、成本与效益难以衡量。2、内部控制不受重视,形同虚设。(l)内部审计职能弱化内部审计是企业内部控制制度的一个重要组成部分。据调查,为数不少的互联网企业没有设置内部审计机构,即使具有内审机构的企业,其职能也已严重弱化,不能正确评价财务会计信息及各级管理部门的绩效。于是,各级管理部门更加有恃无恐,趁机钻了内部控制的空子。另外,内部审计机构职能的发挥从很大程度上取决于企业最高层的主观意愿。(2)信息系统失真及不够重视。对于互联网企业来说信息数据的真实性是非常重要的,有的互联网企业对此认识不足。例如:一些互联网企业由于会计处理缺乏一贯性、完整性,会计工作秩序混乱、核算不实而造成的信息失真现象较为严重。其具体表现在会计凭证的填制缺乏合理有效的原始凭证支持;人为捏造会计事实、篡改会计数据、设置账外账、乱挤乱摊成本、隐瞒或虚报收入和利润;资产不清、债务不实,恶意逃避税收等。(3)内控制度没有覆盖所有的部门和人员,没有渗透到互联网企业各个业务领域和各个操作环节,使互联网企业会计工作秩序混乱、核算不实。例如不少互联网企业常规票据分管制度、重要空白凭证保管使用制度、会计人员分工中的“内部牵制”原则均没有建立,甚至一些小的互联网企业没有正规的财会部门,会计、出纳、审核等事项由一个人包办。原始凭证的取得或填制本身就不合法,以此为依据编制的记账凭证、登记的账簿、出具的会计报表及一系列的会计分析等也就毫无意义。所有这些,都与互联网企业内部控制制度不健全密切相关。(4)内部监督失灵或没有内部监督。目前相当一部分互联网企业对建立内部监督不够重视,内部监督体系残缺不全、有关内容不够合理或流于形式,失去了应有的刚性和严肃性。目前大部分互联网企业都设立了内部审计机构,但仍然存在很,多问题,如一些互联网企业虽然设立了董事会、监事会、聘任了总经营班子,但是,在实际工作中,董事会的监控作用严重弱化,经常只有一个“虚职”且缺少必要的常设机构。互联网企业应有的一些机构没有设置,或者没有起到应有的作用。互联网企业仅仅具有现代企业的外壳,但没有从根本上形成真正的治理结构,没有明确界定董事会、审计委员会和管理者的权限和责任。内部监督缺乏。企业内部控制是一个过程,这个过程系通过纳入管理过程的大量制度及活动实现的。要确保内部控制制度切实执行且执行的效果良好,内部控制能够随时适应新情况等,内部控制必须被监督,且单位负责人必须带头执行。目前我国有些互联网企业虽然有内部控制,但只是形式、花架子,没有人认真地去考核检查执行的效果。缺乏有效的监督机制为了加强监督,我国已形成了包括政府监督和社会监督在内的企业外部监督体系。但如此庞大的监督体系对中小互联网企业的监督效果却不尽如人意。有的互联网企业虽然有内部审计,却不能充分发挥其职能。一些互联网企业的业务经办人员、财会人员甚至领导干部利用监督不力的漏洞,大量收受贿赂,大肆侵吞公款,利用虚假发票非法占有互联网企业资金等。3、管理越权,使内部控制权责不清。(1)责任不清。一个良好的信息系统应能确保组织中的每个人都能清楚地知道其所承担的特定职务。在我国有些互联网企业中往往存在着一些谁都可以管谁都可以不管的“自由”区域,这可以从一些事务处理的“踢皮球”现象上看出。然而,出问题的往往是这些区域,出了问题以后常常是互相推卸责任,互相指责,最终不了了之,没法追究责任。(2)监督机制弱化,是内部控制失效者不能产生压力。包括财政、税务、银行、审计等在内的社会监督机构,工作中各行其是,未能形成综合监督的合力,读企业的威慑力不够;对审计的独立监督、公正职能未予以充分重视,审计未形成而职工素质得不到提高,进而导致企业效益再度滑坡,形成恶性循环;教育手段软弱的影响。重视思想品德、制度宣传的软性教育,而忽视对道德败坏,践踏法制者的硬性规定处罚教育,存在有法不依、违法不究的普遍现象;管理措施不力的影响。对管理者、会计人员、内部审计人员缺乏职业化系统管理,内部激励机制不够完善。4、教育水平不高,是内部控制执行者的素质不协调。内控制度行为主体素质较低。近年来,互联网企业财会人员的思想教育、业务培训跟不上,一些根本不具备从业资格的人员混进财会队伍,思想素质差,业网企业都应该建立可以辨认、分析和管理风险的机制,并确认高风险领域,以加强管理,但我国互联网企业缺乏的就是这种机制,往往出现盲目扩张等风险。风险意识不强。环境控制和风险评估,是提高企业内部控制效率和效果的关键。从我国互联网企业现状来看,其风险意识并没有提到应有的高度,企业管理层人员的思想中缺乏风险概念,许多企业没有设置风险管理机制,因此抗风险能力低下。5、不确定性。互联网企业属于技术型企业,在当今技术日新月异的时代,全球化、技术、重组、变化中的市场、竞争和管制等,甚至互联网企业本身的战略选择也会带来或导致不确定性。虽然风险及内控系统强调了互联网企业的对面临的风险的识别、评估及应对,试图最大限度地将不确定因素囊括与系统之下,然而列外事项,诸如一个无法控制的事件,一个未预期的错误,或者是一个不合适的报告事件仍有可能发生。参考文献【1】Akresh，A. Statistical Sampling in Public Accounti