曹 磊

（中國移動通信集團浙江有限公司湖州分公司，浙江 湖州 313000）

1 研究背景及意義

2019 年11 月國務院國資委印發(fā)《關于加強中央企業(yè)內(nèi)部控制體系建設與監(jiān)督工作的實施意見》的通知（國資發(fā)監(jiān)督規(guī)〔2019〕101 號），標志著國企改革已進入關鍵時期，防風險、抓改革、促發(fā)展，成為國資改革監(jiān)管的工作重點。黨中央和習總書記多次強調(diào)要將防風險擺在突出位置，黨的十九大甚至把防范和化解重大風險列為全面建成小康社會三大“攻堅戰(zhàn)”之首做出戰(zhàn)略部署，著力防范化解重大風險已成為我國國資國企治理工作的重中之重。此次國資委101 號文的出臺有效解決了上述問題，在尊重和堅持原有理論成果的基礎上，結(jié)合企業(yè)實踐中遇到的問題，創(chuàng)新性地提出“建立健全以風險管理為導向、合規(guī)管理監(jiān)督為重點，嚴格、規(guī)范、全面、有效的內(nèi)控體系，實現(xiàn)強內(nèi)控、防風險、促合規(guī)的管控目標”，以此倡導企業(yè)構建三位一體的內(nèi)部控制體系，而這也是在監(jiān)管層面對內(nèi)部控制制度所做出的一次里程碑式的、意義重大的創(chuàng)新和完善。

2 浙江移動風險管理現(xiàn)狀及SOX 內(nèi)部控制執(zhí)行成效

2.1 與企業(yè)內(nèi)控目標緊密結(jié)合，建立多角度全覆蓋風控體系

《中國移動浙江公司內(nèi)部控制手冊（移動通信業(yè)2019 版）》將內(nèi)部控制主要分為公司層面整體控制、業(yè)務流程層面控制以及信息技術整體控制三個部分，全面覆蓋目前經(jīng)營過程中的可控風險范疇，將內(nèi)部控制融入公司日常業(yè)務管理中，具體內(nèi)容如下。

公司層面整體控制：主要是參考COSO 八要素的內(nèi)容，闡述控制環(huán)境、目標管理、風險識別、風險評估、風險應對、控制活動、信息與溝通以及監(jiān)督等。

業(yè)務流程層面控制：主要是闡述相關業(yè)務流程應遵循的內(nèi)控要求。同時，在全面分析公司業(yè)務流程的基礎上，根據(jù)內(nèi)部控制和風險管理工作的內(nèi)在邏輯，設立了采購管理流程、工程項目管理流程、資產(chǎn)管理流程、收入計費管理流程、會計與財務報告流程等多個主要流程。

信息技術整體控制：主要是闡述一般性的系統(tǒng)控制規(guī)范，包括對程序和數(shù)據(jù)的訪問、程序開發(fā)、程序變更、系統(tǒng)運行以及系統(tǒng)安全控制等，涉及的系統(tǒng)主要包括BOSS、ERP 等。

2.2 嵌入經(jīng)營管理，形成全員全過程管控模式

以浙江移動為例，2019 年版SOX 內(nèi)控矩陣涉及省公司161 個控制點，省市共同控制193 個點，地市單獨控制46 個點，合計400 個控制單元，嵌入15 個業(yè)務流程（詳見表1）。單統(tǒng)計其落實到省公司（不包括落地到11 個地市后所對應相關責任人）責任人員合計160 余人，覆蓋省公司所有職能部門，從目前省公司1 位責任人至少對應每地市一個責任人來統(tǒng)計，全省至少有近2 000 余名管理人員直接對接SOX 內(nèi)控矩陣控制點。

2.3 完善各級IT 系統(tǒng)，從技術層面規(guī)范管理流程

目前由省移動統(tǒng)一維護開發(fā)的流程管控系統(tǒng)包括了ERP、供應鏈系統(tǒng)、規(guī)劃管理系統(tǒng)、市場綜合管理平臺等在內(nèi)多個省市流程，從合同審核、采購審批、營銷案流程配置、人員入離職、發(fā)票報銷等各條線的權限上進行了橫向和縱向的規(guī)范，形成了部分領域的規(guī)范IT 管控流程。集團公司更是對系統(tǒng)進行整合，將在中國移動集團內(nèi)部對部分關鍵事項進行全集團的流程規(guī)范。

2.4 常規(guī)審計融合SOX 飛行測試，提升內(nèi)控管理效果

浙江移動采用的飛行測試，是一種全新的跟蹤檢查模式，是在事先未通知被檢查部門的條件下實施的現(xiàn)場檢查，其啟動慎重，行動快，因此可以及時掌握真實情況，真正做到心中有數(shù)，可以有效避免某些檢查落入形式主義的尷尬境地。浙江移動將日常線上審計與線下飛行相結(jié)合，完善了對各分公司／省級部門內(nèi)部對SOX 控制點執(zhí)行情況的審計環(huán)節(jié)，對內(nèi)控管理起到了很好的監(jiān)督作用，提高了內(nèi)控評估的有效性和評估結(jié)果的準確性。

表1 浙江移動內(nèi)控矩陣

3 全面風險管理視角下企業(yè)內(nèi)部控制存在的問題與原因分析

3.1 對風險管理認識不足，導致全面風險管理意識缺失

在復雜多變的內(nèi)外部環(huán)境下，企業(yè)面臨嚴峻的經(jīng)營風險，更需要企業(yè)具備長遠的戰(zhàn)略發(fā)展規(guī)劃，方能在這瞬息萬變的經(jīng)濟環(huán)境中健康地發(fā)展。而較多調(diào)查顯示，我國仍有很多企業(yè)未意識到風險管理的重要性，導致全面風險管理意識淡薄。企業(yè)管理者與內(nèi)部員工在日常經(jīng)濟活動中普遍疏于對風險的考慮，只有在風險即將來襲或者已經(jīng)深陷風險之中才緊張起來，疲于應對，在企業(yè)風險管理中缺乏系統(tǒng)的全局觀和戰(zhàn)略思維，一旦時過境遷就不再進行追究和探討，對風險的事前和事后控制都比較遲鈍，甚至有的企業(yè)錯誤地認為，只有市場競爭失利、企業(yè)資本薄弱或是即將衰敗的企業(yè)，才需要進行全面風險管理，蒸蒸日上的企業(yè)進行全面風險管理是浪費企業(yè)資源。

3.2 全面風險管理的技術運用不夠先進

根據(jù)COSO 委員會報告，企業(yè)全面風險管理體系需要一定的專業(yè)技術方法來支撐各個環(huán)節(jié)和步驟的實施。沒有專業(yè)技術方法的支撐，全面風險管理只能是紙上談兵。而國際上許多著名的風險管理典范企業(yè)，無一不是通過聘請專業(yè)的風險管理技術人員及引進較先進的風險管理軟件等方式來實現(xiàn)其風險管理水平的提高。我國由于國內(nèi)風險管理信息化水平良莠不齊，相關從業(yè)人員的技能落后等現(xiàn)實原因，無法滿足企業(yè)全面風險管理技術方法的需求，導致國內(nèi)企業(yè)掌握全面風險管理的技術方法水平落后于世界水平。

3.3 內(nèi)部審計機構缺乏獨立性，導致監(jiān)督缺失

內(nèi)部審計的獨立性決定了其地位的特殊性，它是企業(yè)內(nèi)部監(jiān)督的重要形式，同時也作為內(nèi)部控制的一種形式而存在。它最大的作用是來評價企業(yè)的內(nèi)部管理活動以及企業(yè)進行的經(jīng)濟活動是不是合理合規(guī)，并且對企業(yè)的行為進行有效性的判斷。從另一個層面上來看，企業(yè)內(nèi)部審計機構凌駕于企業(yè)內(nèi)部控制之上，是對內(nèi)部控制進行二次控制的機構。同時它也是衡量企業(yè)所有工作人員工作業(yè)績的一項十分重要的管理控制機構。雖然在我們國家很多企業(yè)都相繼成立了與內(nèi)部審計相關的監(jiān)督機構，也按照要求制定了相應的內(nèi)部審計監(jiān)管制度，但是這些建立的內(nèi)部審計機制都不是十分的健全，缺乏它們應該具備的獨立性，這就致使在內(nèi)部審計制度的整個執(zhí)行過程中出現(xiàn)了很多不容小視的系列問題。因為我國內(nèi)部審計的普遍形式是直接受企業(yè)的總經(jīng)理或者分管企業(yè)的財務副總經(jīng)理的領導，并不能夠作為直接監(jiān)督它的上級甚至是同級部門，工作質(zhì)量直接受單位領導的制約。因此，企業(yè)內(nèi)部審計無法在地位上實現(xiàn)獨立，也不能很好地發(fā)揮其監(jiān)督作用，對高層管理人員更是無能為力。另外一個重要的原因，企業(yè)內(nèi)審人員在人事歸屬上是隸屬于本單位，其切身利益受所在單位控制，這樣的約束進一步地制約和影響了企業(yè)內(nèi)部審計機構的獨立性。所以，內(nèi)部審計機構也就不可能完全發(fā)揮它應該具備的約束力和監(jiān)管力。

3.4 經(jīng)濟業(yè)務復雜多變，使企業(yè)風險管理面臨諸多挑戰(zhàn)

新業(yè)務、新領域的發(fā)展，為企業(yè)帶來新的發(fā)展契機。然而，在帶來發(fā)展契機的同時也將風險帶入企業(yè)，給風險管理帶來巨大壓力，企業(yè)很容易遭遇各類新風險和困境，為了促使企業(yè)可以更加積極地面對內(nèi)外部環(huán)境中的各種風險，在企業(yè)的內(nèi)部控制中實施全面風險管理是非常必要的。

4 全面風險管理視角下企業(yè)構建內(nèi)部控制體系的基本思路

4.1 培育風險管理文化，樹立全面風險意識

中國移動作為大型央企及信息化旗艦公司，在SOX 法案中國化過程做出了很多有益嘗試。倡導全員參與的理念，提倡內(nèi)部控制“全員、全過程、全時段”的管理理念，增強內(nèi)控牽頭部門的管理責任和帶動作用，發(fā)揮各業(yè)務部門在內(nèi)控體系中的建設性作用，公司上下齊心合力，從企業(yè)整體運營的角度出發(fā)，持續(xù)優(yōu)化業(yè)務流程，更好地將控制要求嵌入到公司運營管理中，切實提高工作效率和控制執(zhí)行力，有效提升內(nèi)控管理價值和風險管理水平。通過自上而下地不斷宣傳、培訓，特別是經(jīng)過內(nèi)、外審多輪次的測評檢驗，并通過大量的溝通交流與實踐后，公司上下對SOX 法案在推動企業(yè)內(nèi)部管理提升方面有了更深的體會。確保內(nèi)控工作重要性為領導層接納，在具體執(zhí)行及管控上走出財務系統(tǒng)嵌入一線業(yè)務人員，使得各項內(nèi)控舉措或制度安排內(nèi)化為各級員工行為習慣、員工擁護和全員參與。

4.2 倡導業(yè)財融合，推動內(nèi)控管理對公司治理的躍升

積極推動業(yè)財融合工作，從市場、網(wǎng)絡、綜合等專業(yè)條線分別推進該項工作落地執(zhí)行，將與財報信息質(zhì)量有關的各項重要內(nèi)控措施內(nèi)化到融合內(nèi)容。例如，通過閑置資產(chǎn)定期盤查及利舊工作，及時收集資產(chǎn)減值及報廢信息；通過集團信息化項目效益評估管控工作，提升信息化收入真實性信息質(zhì)量；通過開展低使用頻度資產(chǎn)如零流量專線、寬帶定期監(jiān)控工作，實現(xiàn)網(wǎng)絡維護費降本增效；通過物業(yè)、電費、酬金系統(tǒng)建設工作，設置異常費用波動提醒功能，發(fā)現(xiàn)背后存在的管理或業(yè)務漏洞，實現(xiàn)對費用開支合理性的事前及過程管控。

4.3 探索和創(chuàng)新全面風險管理的方法

強調(diào)企業(yè)要通過梳理整合、外規(guī)內(nèi)化、融合嵌入等措施進一步完善管理制度。具體來說，企業(yè)應當全面梳理整合內(nèi)控、風險和合規(guī)管理相關制度，及時將法律法規(guī)等外部監(jiān)管要求轉(zhuǎn)化為企業(yè)內(nèi)部規(guī)章制度。在具體業(yè)務制度的制定、審核和修訂中嵌入統(tǒng)一的內(nèi)控體系管控要求，明確重要業(yè)務領域和關鍵環(huán)節(jié)的控制要求和風險應對措施。統(tǒng)籌推進內(nèi)控、風險和合規(guī)管理的監(jiān)督評價工作，將風險、合規(guī)管理制度建設及實施情況納入內(nèi)控體系監(jiān)督評價范疇，制定定性與定量相結(jié)合的內(nèi)控缺陷認定標準、風險評估標準和合規(guī)評價標準，不斷規(guī)范監(jiān)督評價工作程序、標準和方式方法，形成全面、全員、全過程、全體系的風險防控機制，切實全面提升內(nèi)控體系有效性，加快實現(xiàn)高質(zhì)量發(fā)展。

4.4 建立通信企業(yè)內(nèi)控風險事件動態(tài)庫

企業(yè)管理的過程，就是風險管理的過程，通信企業(yè)建立內(nèi)控風險事件動態(tài)庫，就是由各級財務部門、審計部門會同業(yè)務部門通過對當前影響公司業(yè)務發(fā)展的主要問題及潛在風險進行梳理、分析、整理并匯編，形成“內(nèi)控風險庫”，從“案例”的角度提示企業(yè)應關注經(jīng)營過程中的主要風險，為各級公司從內(nèi)控和審計的角度系統(tǒng)地了解和把握當前企業(yè)主要業(yè)務風險，有重點地開展風險防范和評估檢查工作提供了依據(jù)。并根據(jù)集團公司全面風險管理的需要，適時組織“內(nèi)控風險庫”的維護和更新，并召集各部門風險管理人員組成風險評估工作項目組，采取流程分析、訪談、規(guī)章制度審閱等方式，對相關風險問題逐一進行評估，量化風險等級；針對評估結(jié)果完成風險評估報告，提出管控建議與措施；對風險事件進行全面跟蹤和監(jiān)測，監(jiān)督改進情況，為風險管理評價與考核提供依據(jù)。

4.5 發(fā)揮協(xié)同效應，全面風險管理與內(nèi)控工作相結(jié)合

對新興業(yè)務與傳統(tǒng)業(yè)務應采取不同的風險態(tài)度和控制措施；對新增業(yè)務及新增管理事項，應及時明確相關內(nèi)控點、內(nèi)控責任人等相關內(nèi)控制度，做到制度先行，控制到位；為適應企業(yè)經(jīng)營環(huán)境的快速變化，增加部分應急簡化流程。對于關鍵控制點可以通過IT 系統(tǒng)進行固化和強化，以突出重點，提高工作效率。通信企業(yè)應從戰(zhàn)略高度擴展風險內(nèi)控管理的視角，不斷創(chuàng)新風險管理的方法和工具，系統(tǒng)化地充實風險管理的內(nèi)控措施，進一步完善內(nèi)部控制，深化合規(guī)性風險管理，促進內(nèi)部控制系統(tǒng)向全面風險管理系統(tǒng)的進化和升級。

4.6 內(nèi)控管理模式動態(tài)化，支撐業(yè)務轉(zhuǎn)型與發(fā)展

2006 年SOX 矩陣部署后，中國移動歷經(jīng)3G、4G、5G 牌照的發(fā)放，公司已經(jīng)由初期的通信網(wǎng)絡運營商轉(zhuǎn)變?yōu)槿珮I(yè)務經(jīng)營的移動信息專家，針對業(yè)務形態(tài)日趨多樣化的形式，采取開放姿態(tài)建設內(nèi)控矩陣，確?？刂谱ナ志o隨業(yè)務發(fā)展動向。在這一過程新業(yè)務如家庭寬帶、集團信息化項目、合約機等新業(yè)務層出不窮；營銷資源載體涌現(xiàn)出二維碼等形式；業(yè)態(tài)上出現(xiàn)網(wǎng)絡商城，各省移動在天貓普遍開有網(wǎng)店；在建設上客戶委托代建等模式成為新需求，這一過程都需要我們“移動人”去開展流程梳理及控制節(jié)點部署。

4.7 建立以風險為導向的內(nèi)部審計體系

目前通信企業(yè)在信息系統(tǒng)審計方面還不夠深入，企業(yè)應貫徹“總體分析、把握重點、精確延伸”的理念，積極實踐大數(shù)據(jù)等新興計算機技術與審計工作的有機結(jié)合，有效推進審計領域向企業(yè)核心業(yè)務系統(tǒng)的延伸，及時識別與發(fā)現(xiàn)企業(yè)在信息系統(tǒng)控制和應用方面存在的問題和風險。如系統(tǒng)用戶授權情況、賬號管理情況、系統(tǒng)數(shù)據(jù)管理情況、各業(yè)務系統(tǒng)間的銜接情況等，并結(jié)合企業(yè)具體業(yè)務審核數(shù)據(jù)源錄入情況、套餐計費出賬規(guī)則配置情況、營銷政策實際執(zhí)行的有效性情況、用戶信用管理情況等，提出整改意見與建議，提高企業(yè)系統(tǒng)的安全性以及數(shù)據(jù)的真實性、準確性，確保用戶權限與其崗位職責相符，保障核心業(yè)務系統(tǒng)的安全、穩(wěn)定，防范系統(tǒng)管控以及數(shù)據(jù)應用風險；督促企業(yè)加強系統(tǒng)規(guī)則和營銷套餐、營銷政策數(shù)據(jù)的匹配性，督促加強營銷關鍵環(huán)節(jié)管理，進一步提升經(jīng)營效果。

5 總結(jié)與展望

綜上所述，在競爭激烈的市場經(jīng)濟條件下，由于各方面的原因，企業(yè)風險是不可避免的，其成因的復雜性、效用的雙重性要求我們熟練掌握風險控制的途徑和手段，全面風險管理視角下企業(yè)內(nèi)部控制體系是以整合企業(yè)全面風險管理為出發(fā)點，以完善企業(yè)內(nèi)部控制體系，實現(xiàn)企業(yè)良性經(jīng)營管理為落腳點，積極構建整體、分項等多維視角風險控制體系，重視風險的防范工作，準確預測，細化管理，有效防范和化解各層級關注的企業(yè)風險，最終提升企業(yè)盈利能力和抗風險能力。通信企業(yè)將繼續(xù)積極貫徹全面風險管理的各項要求，健全、完善風險管理系統(tǒng)，管理風險、利用風險、駕馭風險、創(chuàng)造價值，實現(xiàn)企業(yè)的持續(xù)快速健康發(fā)展和國有資本的保值增值。