蔡潮汛

内部控制体系是现代企业制度的基础，也是提升企业竞争力的基础；而内部控制审计是企业内部控制体系的重要组成部分，它在防范企业风险，提高企业竞争力、促进企业健康发展方面发挥着重要的作用。本文将简述内部控制审计的内涵，回顾电信企业十年内部控制审计历程，阐述内部控制审计在电信企业中的实务应用，总结取得的成效与经验，分析在当前形势下内部控制审计增加组织价值的方向和空间，并对未来内部控制审计工作的发展方向进行展望。

电信企业

内部控制审计 研究与实践

内部控制体系是现代企业制度的基础，也是提升企业竞争力的基础；而内部控制审计是企业内部控制体系的重要组成部分，它在防范企业风险、提高企业竞争力、促进企业健康发展方面发挥着重要的作用。当前电信企业正处于全面深化改革的关键时期，迫切需要企业建立适应移动互联网时代发展要求的新型运营模式、市场化经营机制与开放合作体系，因此更加凸显内部控制的重要性。如何在原来行之有效的工作方法和经验的基础上扬长避短，进一步加强企业内部控制并持续改进，分析在当前形势下内部控制审计增加组织价值的方向和空间，是摆放在管理者和内部审计人员面前的一个重要课题。

内部控制及内部控制审计的内涵

根据COS0报告《内部控制一整合框架》，内部控制是由公司董事会、管理层和其他员工实施的，为实现经营的效果性和效率性、财务报告的可靠性以及适用法律法规的遵循性等目标提供合理保证的一个过程。我国五部委联合印发的《企业内部控制基本规范》则定义内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制审计是通过对被审计单位的内部制度的审查、分析测试、评价，确定其可信程度，从而对内部控制是否有效做出鉴定的一种现代审计方法。内部控制审计是内部控制的再控制，它是企业改善经营管理、提高经济效益的自我需要，目标是检查并评价内部控制的合法性、充分性、有效性及适宜性，检查并评价内部控制能否合理保证资产、资金的安全。

电信企业内部控制审计体系

（1）电信企业内部控制审计的主要种类

1.内部控制自我评价。内部控制自我评价是公司相关机构和人员定期或不定期地对各自负责的内部控制进行自我检查，分析和评价其设计和执行的有效性，发现并不断改进内部控制缺陷。

2.内部控制独立评价。内部控制独立评价是由内部审计机构和人员对内部控制所进行的一种独立客观的审查和评价活动，通过审查测试被评价单位内部控制的设计和执行，对被评价单位内部控制的有效性做出评价。

3.内部控制外部审计。内部控制外部审计是由会计师事务所接受委托，对特定基准日企业内部控制设计与运行有效性进行审计，是一种专业的审计检查。

（2）电信企业内部控制审计的主要内容

内部控制评价包括对内部控制设计有效性和执行有效性的评价。设计有效性是指为实现控制目标所必须的控制措施都存在并且设计恰当。执行有效性是指已有的内部控制按规定程序得到了正确执行。

1.控制环境评价：重点关注企业的诚信和道德价值观、董事会的参与程度、管理层的经营理念和风格、组织结构、权责分配、人力资源控制等要素。

2.风险评估评价：包括对日常经营管理过程中的目标设定、風险识别、风险分析、应对策略等进行认定和评价。

3.控制活动评价：关注政策制定、业务流程设置的合理性，检查与业绩评价、授权与职责分离、信息处理、实物资产控制等相关活动。

4.信息与沟通评价：对信息收集、处理和传递的及时性、反舞弊机制的健全性、信息系统的安全性等进行认定和评价。

5.内部监督评价：重点关注监事会、审计委员会、内部审计机构等是否在内部控制设计和运行中有效发挥监督作用。

（3）电信企业内部控制审计的评价标准及结果判定

内部控制评价的标准包括总体标准和具体标准。总体标准为：内部控制应能为实现控制目标提供合理保证，能够有效防范和发现风险；具体标准为：公司与财务报告相关的内部控制手册及其实施细则，以及相应的制度办法。内部控制缺陷包括一般性内控缺陷、显著缺陷、实质性漏洞。内部控制缺陷的严重程度取决于两个因素：即控制缺陷或控制缺陷的集合造成科目余额或信息披露错漏的可能性、重要性。目前电信企业财务报表错漏重要程度以百分比和绝对值两个定量标准确定。

电信企业十年内部控制审计历程回顾与经验总结

自2005年中国电信在国内率先开展内部控制有效性评价，至今十余年来构建了扎实、健全的内部控制基础，取得了很好的效果。截至2017年，中国电信福建公司共开展内控审计306项，这些内控审计项目为企业改革发展、风险防范发挥了重要作用，获得外部审计和各项工作检查的高度评价。

（1）初期启动阶段（2005年-2007年），保证审计覆盖面、提升审计队伍能力。

一是加强内控自我评估理念的全员宣贯，采用各种培训方式，进行员工能力的积累，认真学习《萨班斯法案》和《内部控制评估办法》等内部控制有关知识。二是开展“试评估”锻炼队伍，通过“以审代训”的方式，尽快让审计人员掌握内控审计的知识和技能。三是保证内控审计覆盖面，省公司本部及对全省财务报告有重大影响的所属单位均纳入内控审计范围。

（2）价值提升阶段（2008年-2012年），加强内部控制审计质量、注重内部控制审计价值提升。

一是建立内控自我评估工作IT支撑体系。在IT支撑系统中将流程、控制点、评估程序、评估办法、支撑表格、调查问卷等固化，提高内控自我评估工作效率与效果。二是建立“内控审计风险库”，为有重点的开展风险防范和内控审计工作提供支撑。“内控审计风险库”包括收入、成本、资金、资产等十三大领域、54个类别、228个风险控制要点。

（3）关注结果应用阶段（2013年-2017年），以解决问题为导向，重视内控审计成果运用。

一是坚持以风险为导向开展内部控制审计，突出重点，加大对关键风险点和关键环节的审计，对可能出现重大内控问题的领域进行重点关注。二是对于内控审计中发现的共性问题进行通报，要求其他单位举一反三开展自查，以内控审计为平台，有效促进公司经营管理水平提高。三是开展上一年度内控审计发现缺陷整改情况后续审计，对未按要求完成整改工作的单位进行考核，发现缺陷未整改的应限期整改外，确保内控审计整改落到实处。

中国电信福建公司内部控制审计的创新与对策

（1）关注新兴业务领域，开展新业务单元内部控制审计。

当前全国上下正在全面推进深化改革，笔者所在企业集团也在加快市场化运作、开放合作、新兴业务领域改革发展等步伐。新兴业务单元有商业模式多、灵活性较强、无财务机构等特点，在收入成本、资金资产、合同采购等方面比传统业务领域存在更大管控风险。因此应进一步创新理念方法，研究审计支撑公司深化改革的方式和路径，结合传统业务与新兴业务在公司体制、运营机制、业务内容、资源配置、考核激励等方面的不同特点，差异化开展审计监督和服务。中国电信福建公司将关注新业务单元内控制度建设和执行规范性作为近年内部控制审计工作重点，以实际行动支撑服务公司深化改革，重点推动其完善公司治理结构，健全内部制衡机制，促进董事会、监事会有效履职，推动新业务单元依据市场化机制合理决策、配置资源和有效激励。

（2）内部控制审计与审计风险系统相结合，为企业增加价值。

1.审计风险框架暨风险库是审计风险体系的基础。具体包含：风险全景视图和风险列表、重要及活跃程度标识、方法指引、判断标准、检查方法、问题归类、影响程度、统计分析、成果利用等。

2.风险识别与管控即风险扫描与预警。在建立审计数据集市的基础上，利用信息化手段实时监控风险指标变动情况，对超过阀值的指标及时告警并跟踪消除情况；风险扫描亦可作为内部控制审计及其他类型审计的支撑，通过预警、扫描、项目现场检查达到统计分析前N大风险点、高风险区域、高风险领域、个性化风险分析结果等。

3.风险处置即风险应对。制定并实施控制风险的计划，确定降低风险发生的可能性并减少其不良影响进行风险处置。对告警及异常波动的事项进行派单询问，进行风险处置；并建立风险处置跟踪台帐实施动态跟踪。

（3）创新审计组织方式，融合开展内部控制审计

1.将内控自评与专业部门的日常检查相结合。在全省范围内推行“五个共同”，与业务部门共同确定自评选题、共同细化评价方案、共同开展监督检查、共同讨论整改措施、共同促进缺陷整改，将自评工作融人专业部门的检查工作中，有效调动专业部门的积极性，让传统模式下的“我审你”变成能被业务部门接受的“我帮你”，增强审计部门与业务部门的联动，将内控自评工作落到实处。

2.将内控独评与其他审计项目相结合。如省公司及市分公司尝试结合经济责任审计、专项审计等项目融合开展内控独评，提升内控评价与其他审计项目结合度，实现“从内控中来，到内控中去”。既要把各类审计项目发现问题向内控环节延伸，查找问题根源；又及时评估内控自评、独评发现缺陷的影响程度，锁定企业重点风险领域和区域，为其他审计项目提供风险指引。

（4）规范内控审计工作标准与程序，构建质量保障机制

通过制定内控审计标准化建设来规范内控审计工作，提高审计工作的质量和效率，比如2015年将组织审计骨干开展内控审计标准化建设，统一内控审计文书模板和审计方案，制定内控审计标准化操作手冊，进一步提高内控审计工作效率和质量，降低审计风险。

中国电信福建公司内部控制审计的未来展望

（1）构建以风险管控为导向的内部控制审计评价体系。

笔者所在企业集团目前已着手构建审计风险体系。我们可以在审计风险体系的基础上，通过风险库建立、风险识别与管理、风险处置等三个模块，构建以风险管控为导向的内部控制审计评价体系，为内部控制审计及其他类型审计流程标准化和实施内容规范化的实现提供支撑。通过该体系对审计作业流程、步骤、审计覆盖面、审计范围、审计方法、审计质量、审计文书等进行标准化和规范化，并实施审计信息化。该体系涵盖自审计立项、方案制定、审前调查、非现场审计、审前辅导、现场实施、审计报告至后续整改跟踪、全面评价等环节，实施全过程闭环管理。

（2）积极探索信息系统审计，有效管理企业信息化风险。

信息系统审计是对以计算机为核心的信息系统进行综合的检查与评价，向被审计单位的最高管理当局，提出问题与建议的一系列活动。信息系统审计综合运用IT技术与审计理论和方法为信息系统的使用者提供合理的保证。当前信息系统审计在我国尚处于探索阶段，如何规范化、程序化开展信息系统审计，需要审计人员在实际工作中不断地思考总结，摸索出规律，但是我们可以预言未来审计技术发展的动力来自于信息系统审计的发展，这种趋势将导致更多增值服务的出现，信息系统审计将为内部审计人员提供十分广阔的职业发展空间。

综上所述，电信企业内部控制审计应直面挑战，应对企业内外环境的变化，通过拓展内部控制审计领域、创新组织方式、完善方式方法、强化成果应用，构建以风险管控为导向的内部控制审计评价体系、逐步探索与开展信息系统审计、培养复合型审计人才等，为企业健康有序运营保驾护航，为企业增加价值。

[1]王晓霞，2007：《企业风险审计》[M]，中国时代经济出版社。

[2]胡为民，2009：《内部控制与企业风险管理一实务操作指南》，电子工业出版社。

[3]高雅青、李三喜，2007：《3C框架一全面风险管理标准》，中国市场出版社。

[4]董月超，2009：《从COSO框架报告看内部控制与风险管理的异同》，《审计研究》2009年第4期

[5]宋媛，2007：《<萨班斯奥克斯利法案》对我国企业内部控制的影响及启示》，西南财经大学。

[6]沈征，2012：《内部审计为组织增加价值一基于量化标准的研究》[M]，经济科学出版社。

[7]张庆龙，2006：《内部审计价值》（第2版）[M]，中国时代经济出版社。

[8]贝利、格拉姆林、拉姆蒂（美）著，王光远等译，2006：《内部审计思想》[M]，中国时代经济出版社。