蒙 莹

现代企业管理中内部控制制度已成为不可或缺的重要组成，是防范经营风险、提升经营管理效率的必然要求，完善的企业内部控制已经成为企业增强竞争力、促进发展的重要保证。庞大的中国电信组织运作体系，也要求必须加强内部控制设计，实现企业管理高效运作，加快企业发展。

一、加强电信企业内部控制的基本要素

（一）控制环境是企业内控的基本要求

控制环境是企业的人以及它所处的环境，它是任何企业的核心，是推动企业的引擎，也是其他要素发挥作用的基础。同时，控制环境也是一种氛围，它影响企业内部各成员实施控制的自觉性，主要通过适当的企业文化、行为准则和道德规范等引领员工确立并坚守正确的价值取向。

（二）风险评估是企业实行防控的基础

风险评估程序要考虑外部和内部影响目标实现的因素。中国电信风险梳理的依据来源于《中央企业全面风险管理指引》，该指引统一各类风险的名称和颗粒度，中国电信风险管理协调小组以此为依据，梳理出中国电信风险分类表，确定了战略风险、财务风险、市场风险、运营风险和法律风险等5大类风险和22类二级风险；按照风险发生的可能性和影响程度建立了二维风险坐标图，并在坐标图上划定了风险承受水平；制定了具体的风险评估标准（表1），按照风险发生的可能性及影响程度，采用定性与定量相结合的方法，使用风险图谱对识别的风险进行了分析和排序（图1）；最后，根据风险初步评估的结果，考虑应对风险措施，对风险进行二次评估 （剩余风险评估）,并将剩余风险超出风险承受水平的风险确认为重大风险。

表1 风险发生可能性指标评估标准

图1风险图谱

针对评估中辨识出的主要风险，风险管理工作协调小组要提出对应的防范控制措施。

（三）执行控制活动是实施企业内控的具体体现

控制活动是对风险评估结果所指定防范的政策及程序予以执行。中国电信对公司所有与财务报告相关的内部控制业务流程都进行了详细规定，并制定了流程标准规范，它是电信企业实施内部控制的具体体现。

（四）信息与沟通是加强企业内控的有效载体

信息与沟通使企业内的人员能取得他们在执行、管理和控制企业营运时必须的资讯，并交换这些资讯。企业信息系统负责确认、收集、处理和报告信息，在加强企业内控中，信息的处理和沟通是必要的环节。

（五）实施监督是完善企业内控的有效保障

企业内控监督主要是内部监督，包括持续监控、个别评价和汇总内部控制缺陷。持续监控发生在平常的经营过程中，包括日常管理和督导行为，和其他员工履行其评价内部控制系统运行质量的职责的行为；个别评价则是定期或不定期的以全新的角度审视内部控制系统，判断其运营的有效性；汇总内部控制缺陷阶段是对发现的缺陷及舞弊进行汇报、调查、审批以及责任追究。

二、目前电信企业内部控制执行方法

加强电信的内部控制设计，必须要制定有效的内部控制方法。目前中国电信内部控制执行的方法主要有：不相容职务管理制度、职责和职权的分配管理制度、会计管理制度、预算管理和绩效考核制度、资金资产管理制度、内部报告控制、信息技术管理制度等。

中国电信玉林分公司按照电信内部控制执行管理的有关规定，在公司内部各部门和岗位上进行严格内控：比如运用不相容职务管理制度，电信企业IT内控通过不同工作岗位对于系统资源访问的限制来达到不相容职责分工的目的，操作系统管理员/数据库管理员和应用系统管理员、系统开发人员与系统维护人员、系统安全日志审核人员与系统管理员等岗位职责相分离。

对职责和职权的分配管理制度，电信建立了各类事项审批的权限列表，并持续优化内控审批权限，对于重大的业务和事项，实行集体决策审批或者联签制度。省公司内控工作团队每年开展内控审批权限执行情况评价，在此基础上，结合省公司相关文件规定及管控重点，兼顾风险防范和效率提升，进行内控权限列表的修订工作。

对会计管理制度，电信执行《中国电信会计核算办法》和“会计和财务报告业务流程”，以保证会计报表编制及时，满足公司内、外各方会计信息使用者的需要；保证合并范围准确；保证所编制的会计报表的真实性、完整性、准确性与适当披露；保证所编制的会计报表符合国家规定及上市地监管机构的要求。

对预算管理和绩效考核制度，中国电信“预算管理和财务分析业务流程”设置了全面预算管理的组织机构——预算管理委员会，分级指定年度经营计划指引和预算目标，明确了省公司、市分公司全面预算的制定、控制、调整，业绩指标的制定、下发、调整及考核的流程，以确保预算的申请和审批经过适当的授权和审批；及时进行跟踪分析，对预算执行情况和财务数据异常情况进行分析，有助于控制错报和漏报的风险，并合理分析变动原因，提出解决方案；对经营业绩进行合理评估；为当年的年中预算调整及下一期预算的编制提供有效的信息和依据；保证业绩考核指标的合理性，提高公司的经营效果和效率。

对资金资产管理制度，中国电信“固定资产及无形资产管理业务流程”涉及固定资产及无形资产管理的各个环节，从建立固定资产、投资性房地产和无形资产卡片到固定资产的盘点清查和统计上报，固定资产盘盈、盘亏，固定资产租赁、报废、出售，闲置固定资产管理，固定资产局内调拨、局间调拨，固定资产捐赠等。目标是确保资产安全、完整；及时、完整记录固定资产及无形资产信息，及时准确地计提折旧和摊销，公允地反映固定资产及无形资产价值；资产得到有效使用；完好地保存所有资产的原始凭证和产权证书，确保拥有资产的所有权。

对信息技术管理制度，电信企业建立了“IT信息技术一般性控制流程”，对于与财务报告相关的信息制定了相关的信息安全管理政策并使员工意识到公司对信息安全重要性的重视；对公司信息技术资源的物理访问及逻辑访问已建立起通过用户身份的识别，认证及授权的管理机制，以降低由于对系统及数据的未经授权的访问所带来的风险；建立相关流程以确保用户添加、修改、删除都经过管理层授权，及相关操作的准确性和及时性；确保定期对系统中用户的访问权限进行审阅，以减少未经授权或不适当的对系统或数据进行访问而带来的风险；确保在关键流程中存在适当的职权分离。

此外，电信企业目前常用的内部控制措施还有内部报告控制、复核控制、人员素质控制等。

三、电信企业内部控制当前存在的问题及原因

以玉林分公司为例，目前电信企业在充分发挥内部控制作用方面存在有以下问题：

（一）企业内控风险意识不足

风险意识淡薄、风险评估不够，普遍存在着对内控熟悉不到位的现象，认为内控机制就是各种规章制度的汇总、装订等整章建制方面的工作，忽视了内控机制是一种业务运作过程中环环相扣、监督制约的动态机制，导致内部制度局部形同虚设。也有些管理者认为内部控制只是稽核审计部门的职责，忽略了对其他管理部门的内部控制管理。比如个别单位在客户单位长期欠费的情况下，还继续投入设备资源，造成企业损失。

（二）人为因素造成内控失效

1.电信企业领导者关心经营成果比关心内部控制兴趣更大，这可能为损害企业长期利益的行为提供成长空间，增加企业的经营风险。从中国电信过去的内部审计案例来看，不乏为了完成单位的业绩目标，罔顾企业的内控制度和管理办法，通过大收大支的方式虚增收入的现象。

2.一把手负责制的经营管理模式虽然有利于经营管理水平的提高，但由于权力缺乏规范有效的监督，导致个别负责人越权行事、滥用职权、行贿受贿等不良现象发生，严重影响企业的稳健发展。例如，近几年查处的中国移动贪腐案件，当事人多为省级公司一把手。

3.个别管理者或基层员工缺乏自我约束能力，滥用手中权力，按自己的意图随意行事，破坏内部控制制度的执行效果，给企业造成损失。

（三）内控过程存在着形式主义

在电信企业实务中，无论是企业管理人员还是审计人员，对是否符合企业内部控制要求，往往存在一个误区，只要某项经营活动经过了适当的授权审批程序，便认定该活动是合理、合规的。企业内部控制流于形式的最重要表现就是忽视审批过程合理性、过分关注审批的完整性。殊不知，企业审批的经济事项应符合企业经营效益的目标，不能因为人为的追求速度而忽视效率的评估。例如，某电信分公司将开展网络建设活动，经办人仅仅提供网络建设目标，而没有对网络建设方案、网络布局、技术方案等等方面作出说明，对此审批流转的相关部门是无法提出优化建议的，仅能根据项目的重要性进行判断，因此，该项目即使已全部完成审批，在内控的合规性来看，是不存在瑕疵的，但就效益性而言，则是没有达到最大化或最优的企业运作目的。

（四）内控制度相对滞后

电信企业内控制度滞后表现为两个方面：一是未充分认识到内部控制和风险管理的内涵，导致业务开拓与内控制度建设缺乏同步性，特别是新业务的开展缺乏必要的制度保障，风险隐患较大；二是业务形态发生变化时，制度未随之变化。例如，中国移动四川音乐基地作为最早试点单项数据业务的基地模式，控制全国所有跟音乐相关的资源合作、收入支取等事务，而中国移动集团当时对基地的约束和监管极为松散，只是定期(按季度或半年)去基地查一次账，当时因其业绩骄人而树为样板，并大力放权。最终，李向东潜逃之前让下属把SP的年终分成资金划转入其私人账户，并未受到任何质疑和举报，就轻易地携款潜逃。

四、加强电信企业内部控制设计与执行的对策建议

（一）加强风险评估，构筑严密的内部控制体系

首先要进一步强化风险意识和内控意识，自觉接受内控机制的约束，要坚持按章办事，严格执行各项制度和操作流程，克服管理和操作上的随意性；扩大内部控制工作的覆盖面，要使内部控制工作覆盖到企业的每一个单位、每一个部门、每一位员工。其次要建立合理的人事、教育、考核制度，规定领导人员任期制度、任期考核、结果运用等，引导企业领导人员关注企业价值成长和长远发展，摈弃短期行为；要加强各级员工的素质教育，使员工具备良好的品格和胜任工作的能力；用薪酬与业绩目标挂钩的方式激励管理人员，但避免使管理人员面临达到不现实目标的压力（特别是短期业绩）。最后要持续修订完善内部控制制度。一是考虑企业治理机制、组织结构的变化；二是考虑经营重点和业务方式的变化；三是根据内外部审计评估发现的控制缺陷。

（二）开展检查评估，建立多层级的内部监督制度

内部监督是内控机制中不可缺少又无法替代的一个重要环节，较为完整的内部监督制度应该包含以下层级：第一层是执行部门的自我评价；第二层是专业部门的监督检查；第三层是内审机构的审计监督。一方面，各级管理人员要注重自身素质的提高，加强业务制度学习，提高管理协调沟通能力和掌控全局能力，解决风险防范问题要有力，明确在内控管理上应该做什么，不该做什么，并严格执行，把内控管理的第一道防线筑牢。另一方面，专业部门和内审机构要具备超前性，变以补救为主的事后检查为以预防为主的事前防范，把问题消灭在萌芽状态；要积极创新监督手段和方法，努力提高监督工作质量和效率，在监督检查方法上，做到三个结合，即非现场检查与现场检查相结合、在线检查与现场检查相结合、专项检查与全面检查相结合，加大现场检查的频率和力度，不定期地按月对基层单位进行突击检查和专项检查；要尽可能地创造条件，采取各种形式加强监管人员的岗位培训，增强监督检查人员业务检查分析能力，使之适应电信业务不断发展的现实需要，为有效提高监督检查工作质量打好基础。

（三）优化内控流程，达到效率和风险的相对平衡

电信关注企业运营的风险，对全业务流程进行梳理，制定内部控制细则，并严格执行，是本着谨慎的态度，实施稳健的经营；但全方位、全视角的控制，不可避免的带来控制成本过高，最终导致运营效率低下的问题。如何优化组织架构？各岗位职责的如何确定？授权是否恰当？业务流程的流向及关键控制点是否清晰？最终目的都是要确保企业运作风险可控，运转高效。首先，要重视关键人员职责界定的充分性，并努力确保其对职责的准确理解，并具备足够的知识及经验以履行职责，规范部门的职责界面，注重与职责相匹配的权利的赋予，责任和权利相统一。针对每个岗位，均要编写岗位说明书，方便员工特别是新进员工的学习与工作实施。其次，需要对企业的全流程进行准确的判断，根据企业所处的行业特点和市场环境，经过严谨的职业判断，找出可能会影响全局的重要业务事项和高风险领域，采取严密监控措施；避免部分控制点实施成本过高，但实际上不足以对整体利益带来很大影响的控制行为实施，统筹考虑投入成本和产出效益，重要性和成本效益的原则。最后，应从制度上明确要求审批发起人对发起审批事项的真实性、完整性、准确性负责，支撑审批决策人的审批合理性，做出效益性的判断。

（四）强化IT支撑，形成良好的沟通信息系统

IT固化是成功的流程管理的一个重要手段，它让流程标准化、规范化、用统一的术语说清事情，规范运作，形成最佳实践，把过程的能力变成整个企业的能力。随着企业管理幅度与深度的不断加深，有必要将内部控制与流程管理紧密结合在一起，将业务流程固化在信息系统，用固化的电子流程取代以往的手工流程，形成企业的信息和沟通系统，使企业及时掌握营运状况，提供全面、及时、正确的信息，并在有关部门和人员之间沟通，减少人为因素对内部控制效果的影响。

与此同时，要完善IT系统安全运行，防范外部网络风险；通过开发系统控制软件，将各项业务内部控制的每个环节，由IT系统进行刚性控制，避免人为越权处理业务和各类风险隐患；建立审计信息系统，随时全面掌握企业的经营动态和会计信息，实现事前的预防和事中的监控。

有效的内部控制体系可以合理保证企业的正常运行，在一定程度上消除潜在风险的不利影响，将风险控制在企业可承受范围内。电信企业只有实行可控的风险管理，才能实现企业的可持续发展和创造长久价值。

[1]牛成喆.COSO框架下的内部控制[M].北京：经济科学出版社，2005.

[2]张宜霞.企业内部控制：内涵与框架体系[J].东北财经大学学报，2004，（1）.

[3]徐政旦，朱荣恩，徐建新.内部控制论[M].沈阳：辽宁人民出版社，1992.

[4]刘宗柳，陈汉文.企业内部控制制度：理论、实务与案例[M].北京：中国财政经济出版社，2000.