本书讲述了网络依赖型企业在开展业务过程中的金融风险、信用风险等风险现状、敞口大小、危害程度和治理体系的搭建，对风险的特点、性质、引致因素、形成机制及应对方法进行多层次、多纬度的分析，解决电商企业、高新企业等网络依赖型企 业的风险的识别、评价和治理等现实问题，并给出此类企业的风险治理的内控体系的框架体系和具体措施，从中国的国情出发识别新金融业态风险，在促进经济转型和可持续发展的同时，把风险降到最低。

随着互联网的日益普及，在网络生态上干事业、谋发展的企业越来越多。以网络为生存环境的企业也愈加具有不确定性，如果网络系统拥堵或瘫痪，就可能影响其大部分收益，甚至使其出现生存危机。本书探讨了网络依赖型企业在过度依赖网络时，如何控制自身风险的蔓延和后果，如何识别和防范外来输入性风险、内生性风险，将风险控制在可接受水平。
为了探讨网络依赖型企业风险蔓延的现状和表现，可能导致的后果以及企业目前的治理模式是否发挥作用，笔者走访和调研了近100家此类企业，通过问卷的形式进行了一手数据的收集。本书用了大量篇幅对网络依赖型企业的内控体系整体现状、内控体系要素的表现、风险治理体系的现状等进行了分析，形成了比较完整的风险状态画像。
本书的前半部分为企业风险蔓延现状的分析，包括企业性质和经营情况、风险敞口和治理现状、网络依赖程度、公司治理和具体控制措施等。通过对问卷数据的详细分析，找出网络依赖型企业的风险程度，是否及时识别，以及治理效果等存在的问题，并结合COSO（内部控制框架）模型和COBIT（信息及相关技术控制目标）模型，以案例企业为切入点，对企业基于网络生态所衍生的风险进行识别和评价，给出治理此类风险的企业环境设计、职责规划和岗位设计、风险矩阵和控制流程设计、信息沟通和监督设计等方面的建议。
本书的后半部分提出基于人机协同理念的人机治理思路，并创新采用人机关系评价法评估企业对网络依赖的风险程度，确定风险敞口，在风险程度超出管理层设定水平时，就需要启动风险控制系统，让风险水平回归至可接受程度，这是风险管理的核心目标。需要强调的是，传统治理手段无法很好地实现网络环境下的风险防治，需要将系统思路贯彻始终，形成人机协同治理机制，才可以从根本上防范基于网络生态的三类风险的爆发，这是本书的结论，旨在其能对相关企业有所启发，在风险管理实践中发挥指导作用。
人机治理体系是网络依赖型企业管控风险蔓延的创新体系，核心思想是克服传统内部控制体系的技术与企业文化等软要素的割裂的局面，从人机治理环境、风险人机识别、风险人机控制、人机沟通、人机协作监控五个要素构建新型内控治理体系，是基于COSO、COBIT体系基本原理，又针对特殊遇险群体的专门化治理思路，是此类风险管理理论的创新尝试。
本书的出版要感谢课题组成员的大力协作，他们分别是赵金淳、关笑雨、谷雨、赵辰阳、田彬、邱捷。文中部分章节的内容来自团队成员的合作贡献，同时感谢本书所参考的文献和成果的作者，感谢中国财富出版社有限公司及编辑郑晓雯老师的辛勤付出。如果标注有遗漏或谬误，恳请谅解，定在后续更正。
书中的数据和结论难免存在疏漏和谬误，恳请读者批评指正。
本书是北京社会科学基金项目“网络依赖型企业风险蔓延的人机预警机制研究”（编号 19GLB020）的阶段性成果。

王凡林，首都经济贸易大学会计学教授、博士生导师，研究领域为会计信息化、审计信息化、内部控制与风险管理。在核心期刊发表论文70余篇，出版专著和教材10余部，为多家企业提供信息化咨询方案，同时是工信部、财政部财务类重大课题评审专家，国家社科基金、国家自科基金项目评审专家，多家上市公司独立董事。

第一章 引论 ………………………………………………………………… 1 
一、 概念界定 ……………………………………………………………… 5 
二、 网络依赖型企业风险分类 ……………………………………………… 7 
三、 网络依赖型企业风险管理理论依据……………………………………… 9 
四、 网络依赖型企业风险治理成熟度模型 HI-CMM ………………………… 12 
第二章 网络依赖型企业特征分析 ……………………………………… 19 
一、 样本特征分析 ………………………………………………………… 21 
二、 结论与建议 …………………………………………………………… 35 
第三章 企业属性特征分析 ……………………………………………… 37 
一、 总体分析……………………………………………………………… 39 
二、 交叉分析……………………………………………………………… 53 
第四章 网络依赖度多维分析 …………………………………………… 61 
一、 企业互联网依赖程度分析……………………………………………… 63 
二、 网络维护人员薪资分析 ……………………………………………… 72 
三、 企业受疫情影响程度分析……………………………………………… 78 
四、 网络维护费用投入分析 ……………………………………………… 83 
五、 结论与建议 …………………………………………………………… 85 
第五章 风险管理主体行为分析 ………………………………………… 87 
一、 样本企业网络风险损失分析 …………………………………………… 90 
二、 样本企业网络风险管理制度分析 ……………………………………… 92 
三、 样本企业网络风险管理人员分析 ……………………………………… 96 
四、 样本企业网络风险管理培训分析 ……………………………………… 99 
五、 分析结论与应对措施 ………………………………………………… 101 
第六章 网络风险表现分析 ……………………………………………… 105 
一、 上网安全措施分析 …………………………………………………… 107 
二、 风险识别和评估方法分析 …………………………………………… 110 
三、 网络依赖关键风险分析 ……………………………………………… 114 
四、 外部网络输入风险分析 ……………………………………………… 117 
第七章 网络输入风险应对措施分析 …………………………………… 125 
一、 样本分析 …………………………………………………………… 127 
二、 结论与建议 ………………………………………………………… 141 
第八章 风险治理行为分析 ……………………………………………… 143 
一、 样本特征分析 ……………………………………………………… 145 
二、 结论与建议 ………………………………………………………… 162 
第九章 人机因素风险治理分析 ………………………………………… 165 
一、 企业控制环境相关情况分析 ………………………………………… 167 
二、 企业内控体系建立和运行效果分析 …………………………………… 180 
三、 结论与建议 ………………………………………………………… 183 
第十章 网络风险治理案例 ……………………………………………… 187 
一、 风险管理体系 ……………………………………………………… 189 
二、 风险管理内容 ……………………………………………………… 190 
三、 风险分解及概率分布 ………………………………………………… 192 
四、 风险处理组合 ……………………………………………………… 194 
五、 网络风险监控 ……………………………………………………… 195 
六、 风险岗位和流程……………………………………………………… 196 
七、 流程风险 …………………………………………………………… 204 
八、 控制矩阵 …………………………………………………………… 205 
第十一章 人机协同与人机关系 ………………………………………… 207 
一、 人机协同与治理变革 ………………………………………………… 209 
二、 人机关系评价法……………………………………………………… 210 
附录 京津冀地区网络依赖型企业风险现状及治理 
效果调查问卷 ……………………………………………………… 217 

党的十九大以来, 在 “互联网 + ” 和 “双创” 等新发展战略的引领下，以网络为主要支撑手段的新型企业得到迅猛发展。 据 IDC (国际数据公司) 统计, 自 2012 年至 2021 年来的9年间, 此类企业年递增39%, 超过120余万家。 与一般企业相比, 该类企业对网络技术和环境的依赖度极高, 其主营业务收入的 60% 以上与网络技术、 工具或载体有直接关系, 为了研究的方便, 本书将其称为 “网络依赖型企业” (以下简称为网络企业、 网络型企业、网络组织或新型企业等)。 在该类企业享有网络带来的便利和效率的同时, 伴随网络而蔓延的各类风险也时刻威胁着其生存和发展, 尤其是在信息超载、 竞争环境瞬息万变的互联互通时代, 一个火星式的风险点即可产生燎原之势, 对于风险必须及早识别、 尽快控制、 尽量消除。 
本书所研究的企业信息化风险是指企业因实施信息化工作而给自身带来直接或间接损失的可能性, 包括直接风险和间接风险。 企业信息化是一个包括信息化规划、 实施、 运行和维护等过程的系统工程。 按照诺兰模型(Nolan Model) 的阶段性理论来看, 信息技术在企业管理领域的应用是一个不断引入、 延展、 深化和自我完善的进化过程, 目的是为企业的各级管理活动提供辅助信息和参考方案。 本书所涉及的信息化实施领域, 重点讨论企业运营的管理过程, 包括管理过程的预测、 决策、 计划、 预算、 控制、 执行、 检查、 考核、 评价、 分析、 激励、 约束、 反馈等管理循环的每个环节所需要的信息技术和信息资源。 
具体来讲, 网络依赖型企业是指企业核心业务中有 50% 以上产值 (有文献认为是 60% 以上) 依赖互联网才能完成的一类企业。 网络企业的互联性和共生性, 导致不少网络企业的内部风险借助网络而迅速传播, 使内生的、 局部的风险迅速传播蔓延, 演变为威胁整个网络生态系统的全局性风险, 给网络企业的生存和发展带来灾难。 本书立足于京津冀、 长三角等互联网发达地区网络化程度较高的特点, 结合网络依赖型企业独特的运行环境和技术特征, 利用定性和定量手段, 构建反映网络依赖型企业的风险传播速度、 规模和危害程度的指数模型及求解思路, 并针对网络依赖型企业的特点而提出风险识别、 评价和预警机制。 
据 IDC (中国) 机构统计, 京津冀、 长三角等经济发达区域的网络依赖型企业占企业总数的 27% 左右, 这些企业近 3 年的风险敞口爆发率每年递增 130% 左右, 企业因 “网络黑客” “账户木马” “钓鱼网站” 等而遭受的损失规模数以千亿计。 随着国家 “互联网 + ” 战略的进一步落地, 网络依赖型企业必然呈 “井喷之势” 快速发展, 不可避免的是各类风险也会随之快速传播, 最终可能导致整个网络系统风险的全面爆发。 因此, 如何控制住网络企业中的关键少数———网络依赖型企业的风险传播速度, 切断传播路径、 控制蔓延风险, 是新时代网络经济环境下学界和实务界亟待解决的现实问题。 本书以网络依赖型企业作为切入点和新视角, 根据此类企业的 “网络依赖性强” “风险密集度高且传播性强” “资源开放且组织边界模糊” “内控体系外部化” 等特点, 依据利用调查问卷、 现场访谈、 实务测试等方法得到的一手数据, 深入剖析问题的根源和影响, 提出全新的信息化管理风险评价方法: 人机关系评价法和人机预警机制。 
从麦肯锡咨询及毕马威会计师事务所的调查统计结论来看, 截至 2020年年末, 企业实施信息化的成功率仍难以达到预期, 且信息化方案提供方与企业用户的认识也不一致: 前者认为信息化成功率在 70% 左右; 而后者认为实施以企业资源计划 (ERP) 为代表的信息化工作, 能达到设计预期效果的不足 50% 甚至更低①。 这就是现实。 甚至某些企业负责人发出了“不信息化是等死, 而信息化是找死” 的感慨, 业内称其为 “信息化悖论”或 “信息化投资黑洞”。 上述问题无不说明企业实行信息化并不必然带来管理质量的改进和管理效率的提升, 尤其是网络依赖程度较高的企业, 在信息化过程中可能夹杂着诸多风险或隐患。 信息化对管理和控制的提升作用还要依赖于信息化前期的顶层设计、 详细调研、 需求梳理、 流程再造和管理优化等。 同时, 在整个信息化过程中还要不断修正实施方案, 科学设计和合理实施信息化风险管理体系, 处理好人与系统的关系, 这样才能避免或减少信息化风险。