［摘 要］ 20世紀90年代以來，以網絡化、數字化和信息化為核心的信息技術革命，全方位地沖擊著傳統的組織結構、管理模式和商務觀念，催生了一種新型商務模式——電子商務運營模式。由于這種商務運營模式不再依靠紙面文件以及單據的傳送，而是借助于現代信息技術來全面實現電子化的交易和結算過程，因此，在電子商務環境下，企業的財務收支及其有關的經營管理活動的特點必然發生巨大的變化，各種業務趨于隱性化和數字化，導致舞弊行為更易發生；與此同時，利用傳統手段已然無法對新環境下的內部控制進行科學、合理的評價。面對電子商務環境，我們需要對內部控制的理念以及控制措施加以創新。本文運用COSO內部控制整體框架理論，著重討論了傳統內部控制理念中不適合電子商務新環境發展要求的部分，進而闡明適合電子商務環境發展要求的新型內部控制理念，并提出將現代信息技術完美滲透到內部控制系統之中的指導思想。 ［關鍵詞］ 電子商務；內部控制；現代信息技術；內控理念；制度創新 伴隨著現代信息技術特別是網絡技術日益滲透到社會經濟和生活的方方面面，商業活動作為人類最基本、最廣泛的活動方式，自然也面臨著由傳統模式向網絡模式的轉型發展，于是，電子商務便應運而生。所謂電子商務，就是指借助于互聯網開展商業貿易活動。由于這種商業活動模式可以打破公司與顧客之間的時間限制，也可以打破相互之間的地理距離限制，因此，與傳統的商業貿易運營模式或渠道相比，電子商務從理論上分析應該能給公司創造更多的商業機會；但與此同時，由于電子商務是建立在開放、分散的互聯網之上的，所以，通過電子商務進行經濟業務時除了內部容易發生舞弊之外，還要面對外部的各種威脅，如網絡黑客的攻擊、虛假的交易表示以及各種網絡病毒的蓄意侵襲，也就是說電子商務環境下正常的交易行為可能經由網絡會遭受任何意想不到的非法騷擾與破壞。由此可見，電子商務環境下，內部控制的控制目標、控制風險、控制政策與控制程序等均隨控制環境發生了重大改變，亟待重新定位和調整。面對這一全新環境，我們需要對內部控制的理念以及控制措施加以創新。本文擬對此做一些粗淺的探討以求起到拋磚引玉的作用。 一、 理論分析工具 本文對電子商務環境下內部控制有關問題的探討主要以COSO內部控制整體框架理論為基本分析工具。按照COSO定義，內部控制是由企業董事會、經理階層和全體員工共同實施的，為財務報告的可靠性、營運的效率效果、相關法律法規的遵守等目標的達成而提供合理保證的過程。該定義揭示了內部控制的三大目標，即確保經濟信息和財務報告的可靠性、企業經營活動的效率和效果以及相關法律法規的嚴格遵循。COSO進一步指出，內部控制整體框架由控制環境、風險評估、控制活動、信息與溝通、監督五大要素共同構成。筆者認為，內部控制不僅與資產管理有關，而且與行政、業務管理也密切相關，其控制內容應該超越會計和財務范圍，滲透到經營的各個方面和管理的全過程，COSO所定義的內部控制三大目標應該理解為更廣義的三大目標，即操作性目標、信息性目標和合規性目標。在這里，操作性目標不只針對經營活動，而且還包括其他各種活動；信息性目標既包括財務會計信息又包括管理信息，一個行之有效的內部控制制度應該能夠實現財務和管理信息的可靠性、完整性和及時性。按照COSO的觀點，在內部控制的五要素中，控制環境決定了組織的基調，并影響到組織中人員的控制意識，內部控制的其他要素都基于控制環境而建立；風險評估則在于識別并分析與組織目標達成有關的風險，它是決定哪種風險需要控制以及采用哪種控制措施來對付風險的基礎；控制活動則是組織的一系列政策和程序，以確保適時采取必要的行動來降低與組織目標相關的各種風險；信息與交流存在于所有經營管理活動中，使員工得以搜集和交換為開展經營、從事管理和進行控制等活動所需要的信息，包括管理者對員工的工作業績的經常性評價；監督則是經營管理部門對內控的管理監督和內審監察部門對內部控制的再監督與再評價活動的總稱，可以分為持續性的監控和問題性評估；可以由經營管理部門和內審監察部門分別單獨進行，也可以由兩者結合起來進行。總之，一個完整的、有效的、適時的內部控制體系是在組織中人的因素影響下上述五項要素與上述三大廣義目標的有機結合。 二、 滯后于電子商務環境的部分傳統內部控制觀念 今天的電子商務已經作為信息時代社會生產和社會消費之間的一次革命，不再僅僅是簡單的買和賣的關系，而是在互聯網支持下將企業與其消費者、供應商以及合作伙伴緊密結合在一起，實現從原材料的查詢、采購、產品的展示、訂購到出品、儲運以及款項支付等一系列貿易活動在內的完整概念，電子商務使得反映企業價值鏈活動的有關合同、單據、發票等書面記錄被電子載體記錄所替代，從而實現交易無紙化、隱性化、直接化和電子化，這些特性向我們昭示著這樣一個不容爭辯的真理：在電子商務環境下，傳統的會計語言和企業會計文化將發生質的變化，會計語言中的一些核心詞匯，諸如記賬憑證、賬簿、報表等的作用已經在逐漸淡化，代替證、賬、表的將是原始信息、操作信息、分析決策信息。電子商務環境下，經營與管理、會計與財務已經被高度集成。一方面，會計人員不再像過去那樣被淹沒在各種原始單據的故紙堆中，他們可以充分共享企業其他部門所記錄的交易數據（因為電子商務系統整合集成了經營活動和管理活動，比如通過電子商務系統可以實時查詢銷售部門的銷售記錄和發貨記錄、采購部門的采購記錄和進貨記錄、財務部門的收款和付款記錄等等）并借助自動分錄直接生成會計憑證；另一方面，企業各級管理者和投資者也無需等待會計人員歷盡艱辛所提供的滯后的、不全面的賬表信息，他們可以隨時隨地、實時通過網絡調閱財務報告信息、管理報告信息等企業共享性信息。然而，傳統控制觀念中的某些部分卻在不同程度上制約和阻礙著電子商務的推行和演進，成為電子商務環境下已經滯后的控制觀念，主要表現以下一些方面。 １. 傳統內控觀念堅持大量使用紙張載體來記錄、處理和維護歷史信息，認為這種方法最保險、最具鑒證作用。應該承認的是，這種做法可以直接看到處理過程，是符合大多數人的習慣的。但同時，我們更應該看到大量的紙質記錄與ＩＴ特性是格格不入的。我們一方面驚嘆于ＩＴ的神奇信息處理能力，一方面仍在抱著與ＩＴ格格不入的習慣思維工作，其結果勢必加大內控成本、增加交易費用，也必將導致內控的操作性目標以及信息性目標不能如愿實現。 ２. 傳統內控觀念習慣于用一個人的工作去檢查另一個人的工作以此達到規避或控制風險的目的，以為只要業務活動和信息處理都由人來執行，那么這種分離職責和責任的方法就一定是唯一可行的。這種內控理念在電子商務環境下已經落后，因為這種內控觀的根深蒂固，一方面會過分地相信人的因素，而降低對機器的信任程度，也就是說會存在排斥運用機器加強監控、運用ＩＴ改造控制活動的思想動機；另一方面，由于每道監控以及每項控制活動都依賴于人的執行，越復雜的監控和控制活動必然就需要越多的人來執行，如此勢必導致內控成本的不合理增加。事實上，在有些已經開始實施電子商務發展戰略的行業已經開始注意到了這種內控觀點的不合理性，比如在銀行實行的“柜員機”制度和在超市實行的ＰＯＳ系統就體現了這種變化①。當然，我們不否認職責分離特別是不相兼容的職責分離原則仍應是內部控制的核心原則，但職責分離不應僅僅表現為人與人之間的職責分離，而是還應該表現在人與機器之間的職責分離。在電子商務環境下，能夠用現代ＩＴ進行處理和控制的業務流程中的職責沒有必要進行劃分，而對于不能用現代ＩＴ進行處理和控制的業務流程，以及電子商務系統的研制開發、運行維護和日常操作等活動，還應該采用職責分離的控制措施。 ３. 在傳統會計信息系統中，我們試圖通過崗位分工來達到對業務記錄和財務記錄的復核性控制目的。殊不知，這樣做的結果使得會計信息系統中充滿了重復性數據。同時對會計數據的重復記錄和重復數據的大量調整工作無形中加大了信息處理成本，也加大了復核性檢查工作的難度和成本。體現在會計信息系統中的這種內控理念也與電子商務環境不太協調。實際上，企業通過實施電子商務戰略應該在財務與會計運作上達到3種境界：唯一、實時和共享。所謂唯一是指數據來源要唯一，整個公司經營運作的數據來源只有銷售訂單和采購訂單，訂單上的原始數據成為公司信息流、物流和資金流的源頭；所謂實時就是指數據生成和傳輸是基于單個業務動作而不是針對成批業務處理，采購、生產、銷售以及庫存等環節的業務數據可自動生成會計憑證，實時轉換成應收款和應付款等數據；所謂共享就是指通過在企業內部及其價值聯盟體內，對業務流程予以規范和協調一致，實現經營管理的各項數據能夠真正形成信息流，企業內部各部門、聯盟體內各成員既是信息流上的一個環節，又是信息流的授權共享者，只要擁有權限就能“通透”共享電子商務環境下的信息。 ４. 傳統內控觀念一直強調會計師的角色的獨立性、反映性和檢查性，而對主動性和預防性認識不足，這與電子商務環境要求將內部控制重點放在預防商業性風險以及重點關注前饋控制和實時控制是不相一致的。商業風險是戰略風險、決策風險、業務運行風險、信息風險以及財務風險的統稱，商業風險中的任何一種風險都會給組織帶來破壞。在電子商務環境下，會計師以及電子商務系統設計者尤其要注意識別業務運行風險和信息風險并能夠有針對性地提出相應的風險控制措施，這實際上涉及對電子商務環境的風險評估問題。一方面，就消費者而言，這一全新的購物環境會帶來與以前所不同的業務運行風險和信息風險，前者主要表現為電子商務具有隱性化特點，企業與消費者之間是完全陌生的，消費者很難確定電子商務企業會真正處理其訂單并且提供其所需要的商品或服務，更難以確定企業對退貨的處理程序及對售后服務保證的履行狀況，退一步說，即使消費者對此不存在疑慮，他仍然希望確認企業具有能有效地確保交易完整性的交易控制程序以便能正確且完整地處理交易。因此，在電子商務環境下，對電子商務進行認證以及引入特殊的交易控制程序則有助于降低此種風險；后者主要表現為在電子商務交易中經由網絡發送出去的私人資料是否安全，如信用卡資料可能被截取或盜用，儲存在企業數據庫中的客戶個人機密資料可能被網絡黑客入侵竊取等等。因此，當互聯網正快速地取代以往需大量文件處理或人員參與的交易形態，消費者對交易資料安全的擔心卻成了推動這一新型交易方式的最大障礙。降低信息保護風險的主要控制措施就是盡可能采用保障隱私權工具，比如ＴＲＵＳＴｅ、ＢＢＢＯｎｌｉｎｅ Ｐｒｉｖａｃｙ Ｓｅａｌ和Ｐｒｉｖａｃｙ Ｐｒｅｆｅｒｅｎｃｅｓ Ｐｒｏｊｅｃｔ等。另一方面，站在電子商務企業立場來看，原先幾乎不作為內部審計重要內容的會計信息與數據安全性問題卻成了制約電子商務應用的最大障礙，也因此成了內部審計的最重要問題之一。除此之外，電子商務內部審計還包括：網絡訪問控制審計、電子商務數據加密審計、電子商務披露事項的審計以及客戶信息隱私保護審計等。這些內部審計的全新內容正是會計師面對電子商務新環境所應作出的角色轉變的內在要求。 ５. 傳統內控觀念習慣于接受來自組織上層領導的控制指令而忽視對事先制定好的政策、規則以及法律、法規的遵守，如此導致內控制度有時候形同虛設，也導致不能事先將有些合理的控制程序嵌入到電子商務系統之中以實現對業務活動和信息活動的實時監控，更為糟糕的是，會計可以借口企業會計處理涉及商業秘密而拒絕接受最大范圍內的會計信息使用者的同步合理性監督。 ６. 傳統內控觀念過分重視原始憑證形式上的有效性，而忽視了實質上的有效性。這種控制觀念使得許多人認為，只要所出具的原始憑證在形式上是有效的就非常可能被會計人員認定為合格的原始憑證，這種控制觀念為會計造假以及貪污腐敗行為提供了舞弊的機會。在電子商務環境下，我們更應理性地對待原始憑證特別是原始電子憑證（也就是原始信息），將形式和實質做到高度的統一。值得慶幸的是ＩＴ為這種統一提供了技術上的可行性。

以上筆者簡要分析了與電子商務環境不相適應的部分傳統內控觀念，那么在電子商務環境下，內控觀念應該具備哪些特質？或者換句話說，電子商務環境下內部控制理念應該從哪些方面加以創新？筆者將在下面的部分對此做詳細分析。 三、 電子商務環境下內部控制創新理念 １. 創新理念之一：會計師應首先注重預防商業風險，然后才是檢查、糾正錯誤和舞弊。前面已經提及，商業風險主要包括戰略風險、決策風險、業務運行風險、信息風險以及財務風險等，這些風險都有可能給企業組織帶來損害甚至是巨大的破壞。電子商務環境下，企業所面臨的外部環境的不確定性在增加，商業風險也在加大，特別是業務運行風險和信息風險幾乎成為制約電子商務推廣應用的重大障礙，企業會計師在建立電子商務環境下的內部控制制度時，需要打破原先那種獨立的、反映式的和檢查性的控制模式，在更廣泛的環境中來看待業務，強調預防、業務操作和對規章制度的遵守情況，適時引入電子商務內部審計。 ２. 創新理念之二：通過評估風險以及設計應對風險的控制程序等工作，使用ＩＴ來記錄、維護和輸出信息，借此保證信息交流與溝通的準確性、完整性和及時性。內控的真正目標和價值在于能夠幫助組織降低其所承受的風險。要做到這點，首先需要熟悉業務并識別隱藏在業務之中的風險，然后再為相應的業務處理過程以及信息過程制定相對正確有效的規則。這種理念與傳統的理念是有很大區別的，后者是先識別出內部控制的目標，然后根據目標再提出一系列與傳統的會計制度相適應的控制政策和程序。比如在手工處理中，職責（保管、記錄和授權）的分離是非常有用的，其目的主要在于防止雇員在正常工作中發生錯誤和舞弊并將其隱藏起來，識別到這個控制目標，自然而然就會想到采用職責分離的特定控制程序，將組織活動劃分成一定的結構并分派給不同的人來執行。隨著適當應用了先進的信息技術之后，這種職責分離的控制程序的重要性程度在降低，在ＩＴ應用的許多場合，自動控制處理代替了分離人的做法，消除了一個人執行兩項不相容的活動的原有風險。 ３. 創新理念之三：應該正確把握ＩＴ的作用及其潛在的風險，并注意在實際工作中適當運用ＩＴ以便更加有效地實現所有的控制目標。ＩＴ的作用在于如果運用得當可以起到改善業務過程和信息過程以及支持企業決策的作用，這一點，似乎大家更容易認識到，而對于ＩＴ潛在的風險，許多會計和審計專業人員的認識是不到位的。筆者以為，ＩＴ的潛在的風險主要表現在以下4個方面： （１）大量的會計信息是以電子數據壓縮的形式存儲在電磁介質上，而這種介質具有易復制、易被修改且不易被發覺的特點，因此，勢必增加會計信息被竊取、刪改甚至破壞的風險； （２）如果不對集中存儲的會計數據庫在訪問權限上加以限制，則極易導致濫用企業的會計信息從而給企業帶來不必要的風險； （３）聯網的方式使得對會計信息的共享突破了時空的限制，但同時為異地財務犯罪提供了作案的可能； （４）ＩＴ處理可以將事先規定好的控制程序嵌入到信息系統中，從而實現運用自動控制來代替人員職責分離的控制做法，但同時也意味著這樣的信息系統在控制環境和控制活動等控制要素方面變動的彈性也更小了，一旦企業的實際控制環境和控制活動發生很大變動的時候，往往意味著要修改或者置換信息系統，否則原來的信息系統會失效。 認識了ＩＴ上述各種潛在風險之后，我們應該在電子商務系統及其關聯系統中針對這些可能發生的風險設計適當的控制程序以充分保證這些系統能夠安全可靠運行。換句話說，信息技術的確會給組織帶來新的風險，但伴隨新風險的產生，新的工具也產生了，只要我們使用得當，將非常有效地降低這種風險對組織可能造成的損害直至最終合理保證內部控制的目標。會計人員應該清醒地認識到，要想在設計、使用和評價企業信息系統時有所作為，就一定要充分了解現代信息技術的能力和潛在的風險，并能夠熟練地識別、提出、實施和評估組織中的控制。 ４. 創新理念之四：一體化程度高的復雜系統較之有些廣泛使用紙張輸出和紙張輸入并保留中間處理過程的可見記錄的所謂簡單系統，其風險并不見得就高。如果高度集成的系統結構適當，并且內置了正確的控制程序，其風險可能會更低。適當地合理運用ＩＴ將極大地簡化組織的業務過程和信息過程，同時還可以降低組織風險。 ５. 創新理念之五：電子審計線索和紙質審計線索一樣，甚至有時比后者更為有效。如果我們在信息系統中更加重視審計線索的提供的話，就會發現這種電子審計線索將會比紙質審計線索在追溯起來顯得更為方便，我們可以從報表查到相應的賬簿，再從賬簿追查到會計分錄，然后從分錄追溯到原始憑證。這也提醒我們，試圖建立一個便于審計鑒證作用發揮的信息系統，僅從記賬憑證處理開始是遠遠不夠的。我們應該將數據收集的觸角延伸到原始業務發生的場所，但這勢必加大系統的數據采集工作量，因此僅依靠財會部門獨立完成是根本不可能的，也是沒有必要的。電子商務提供了解決這一問題的根本途徑。 ６. 創新理念之六：會計和審計人員應該適時介入信息系統設計和開發階段工作，以便在新系統中將保護和增強組織的運行規則和程序在系統的設計和開發階段就嵌入到系統中。要想實現ＩＴ對組織的增值作用，始終必須堅持組織予以“實時”控制的思想，把必要的控制措施嵌入到信息系統中去，這樣就可以在每項業務活動之中實時控制活動。通過將控制程序嵌入到信息系統中，可以使企業擁有強有力的內部控制制度，并通過ＩＴ來監控業務過程和信息過程。這一點對于小型企業來說，就顯得更為重要。傳統的職責分離理論認為，小型企業由于人力和資源所限，很難建立有效的內部控制制度。然而在電子商務環境下，小型企業可以擺脫內控上的尷尬局面，前提是必須持有積極的、實時的控制觀點，努力促進ＩＴ在企業經營管理中的滲透，只要適當地使用ＩＴ，即使對于小型企業，也可以用很小的代價來大大改善內部控制制度的執行效果。 貫穿上述六大理念的核心指導思想應該是：堅持將ＩＴ滲透到底，即實現現代信息技術與內部控制理念的完美融合。我們要善于把握電子商務的能力并且規避其潛在的風險，樂于運用信息技術工具幫助企業強化其內控制度，并通過運用信息技術來監控業務過程和信息過程，通過實施電子商務技術，最終實現既可以持續改善業務過程和信息過程，又有助于組織更積極地預防、檢查和糾正錯誤和舞弊。

總之，在電子商務環境下，會計和審計專業人員要持有積極的、實時的控制觀點，要善于運用現代信息技術來構建強健有力、控制有效及時的內部控制系統，應著重強調增強組織的有效性，將現代ＩＴ與控制理念完美融合起來并滲透到組織決策過程、業務開展過程、信息處理過程以及預防風險、檢查錯誤和舞弊等各項組織活動中。 主要