全面风险管理视角下的企业内部控制体系研究
——以浙江移动为例

曹 磊

（中国移动通信集团浙江有限公司湖州分公司，浙江 湖州 313000）

1 研究背景及意义

2019 年11 月国务院国资委印发《关于加强中央企业内部控制体系建设与监督工作的实施意见》的通知（国资发监督规〔2019〕101 号），标志着国企改革已进入关键时期，防风险、抓改革、促发展，成为国资改革监管的工作重点。党中央和习总书记多次强调要将防风险摆在突出位置，党的十九大甚至把防范和化解重大风险列为全面建成小康社会三大“攻坚战”之首做出战略部署，着力防范化解重大风险已成为我国国资国企治理工作的重中之重。此次国资委101 号文的出台有效解决了上述问题，在尊重和坚持原有理论成果的基础上，结合企业实践中遇到的问题，创新性地提出“建立健全以风险管理为导向、合规管理监督为重点，严格、规范、全面、有效的内控体系，实现强内控、防风险、促合规的管控目标”，以此倡导企业构建三位一体的内部控制体系，而这也是在监管层面对内部控制制度所做出的一次里程碑式的、意义重大的创新和完善。

2 浙江移动风险管理现状及SOX 内部控制执行成效

2.1 与企业内控目标紧密结合，建立多角度全覆盖风控体系

《中国移动浙江公司内部控制手册（移动通信业2019 版）》将内部控制主要分为公司层面整体控制、业务流程层面控制以及信息技术整体控制三个部分，全面覆盖目前经营过程中的可控风险范畴，将内部控制融入公司日常业务管理中，具体内容如下。

公司层面整体控制：主要是参考COSO 八要素的内容，阐述控制环境、目标管理、风险识别、风险评估、风险应对、控制活动、信息与沟通以及监督等。

业务流程层面控制：主要是阐述相关业务流程应遵循的内控要求。同时，在全面分析公司业务流程的基础上，根据内部控制和风险管理工作的内在逻辑，设立了采购管理流程、工程项目管理流程、资产管理流程、收入计费管理流程、会计与财务报告流程等多个主要流程。

信息技术整体控制：主要是阐述一般性的系统控制规范，包括对程序和数据的访问、程序开发、程序变更、系统运行以及系统安全控制等，涉及的系统主要包括BOSS、ERP 等。

2.2 嵌入经营管理，形成全员全过程管控模式

以浙江移动为例，2019 年版SOX 内控矩阵涉及省公司161 个控制点，省市共同控制193 个点，地市单独控制46 个点，合计400 个控制单元，嵌入15 个业务流程（详见表1）。单统计其落实到省公司（不包括落地到11 个地市后所对应相关责任人）责任人员合计160 余人，覆盖省公司所有职能部门，从目前省公司1 位责任人至少对应每地市一个责任人来统计，全省至少有近2 000 余名管理人员直接对接SOX 内控矩阵控制点。

2.3 完善各级IT 系统，从技术层面规范管理流程

目前由省移动统一维护开发的流程管控系统包括了ERP、供应链系统、规划管理系统、市场综合管理平台等在内多个省市流程，从合同审核、采购审批、营销案流程配置、人员入离职、发票报销等各条线的权限上进行了横向和纵向的规范，形成了部分领域的规范IT 管控流程。集团公司更是对系统进行整合，将在中国移动集团内部对部分关键事项进行全集团的流程规范。

2.4 常规审计融合SOX 飞行测试，提升内控管理效果

浙江移动采用的飞行测试，是一种全新的跟踪检查模式，是在事先未通知被检查部门的条件下实施的现场检查，其启动慎重，行动快，因此可以及时掌握真实情况，真正做到心中有数，可以有效避免某些检查落入形式主义的尴尬境地。浙江移动将日常线上审计与线下飞行相结合，完善了对各分公司／省级部门内部对SOX 控制点执行情况的审计环节，对内控管理起到了很好的监督作用，提高了内控评估的有效性和评估结果的准确性。

表1 浙江移动内控矩阵

3 全面风险管理视角下企业内部控制存在的问题与原因分析

3.1 对风险管理认识不足，导致全面风险管理意识缺失

在复杂多变的内外部环境下，企业面临严峻的经营风险，更需要企业具备长远的战略发展规划，方能在这瞬息万变的经济环境中健康地发展。而较多调查显示，我国仍有很多企业未意识到风险管理的重要性，导致全面风险管理意识淡薄。企业管理者与内部员工在日常经济活动中普遍疏于对风险的考虑，只有在风险即将来袭或者已经深陷风险之中才紧张起来，疲于应对，在企业风险管理中缺乏系统的全局观和战略思维，一旦时过境迁就不再进行追究和探讨，对风险的事前和事后控制都比较迟钝，甚至有的企业错误地认为，只有市场竞争失利、企业资本薄弱或是即将衰败的企业，才需要进行全面风险管理，蒸蒸日上的企业进行全面风险管理是浪费企业资源。

3.2 全面风险管理的技术运用不够先进

根据COSO 委员会报告，企业全面风险管理体系需要一定的专业技术方法来支撑各个环节和步骤的实施。没有专业技术方法的支撑，全面风险管理只能是纸上谈兵。而国际上许多著名的风险管理典范企业，无一不是通过聘请专业的风险管理技术人员及引进较先进的风险管理软件等方式来实现其风险管理水平的提高。我国由于国内风险管理信息化水平良莠不齐，相关从业人员的技能落后等现实原因，无法满足企业全面风险管理技术方法的需求，导致国内企业掌握全面风险管理的技术方法水平落后于世界水平。

3.3 内部审计机构缺乏独立性，导致监督缺失

内部审计的独立性决定了其地位的特殊性，它是企业内部监督的重要形式，同时也作为内部控制的一种形式而存在。它最大的作用是来评价企业的内部管理活动以及企业进行的经济活动是不是合理合规，并且对企业的行为进行有效性的判断。从另一个层面上来看，企业内部审计机构凌驾于企业内部控制之上，是对内部控制进行二次控制的机构。同时它也是衡量企业所有工作人员工作业绩的一项十分重要的管理控制机构。虽然在我们国家很多企业都相继成立了与内部审计相关的监督机构，也按照要求制定了相应的内部审计监管制度，但是这些建立的内部审计机制都不是十分的健全，缺乏它们应该具备的独立性，这就致使在内部审计制度的整个执行过程中出现了很多不容小视的系列问题。因为我国内部审计的普遍形式是直接受企业的总经理或者分管企业的财务副总经理的领导，并不能够作为直接监督它的上级甚至是同级部门，工作质量直接受单位领导的制约。因此，企业内部审计无法在地位上实现独立，也不能很好地发挥其监督作用，对高层管理人员更是无能为力。另外一个重要的原因，企业内审人员在人事归属上是隶属于本单位，其切身利益受所在单位控制，这样的约束进一步地制约和影响了企业内部审计机构的独立性。所以，内部审计机构也就不可能完全发挥它应该具备的约束力和监管力。

3.4 经济业务复杂多变，使企业风险管理面临诸多挑战

新业务、新领域的发展，为企业带来新的发展契机。然而，在带来发展契机的同时也将风险带入企业，给风险管理带来巨大压力，企业很容易遭遇各类新风险和困境，为了促使企业可以更加积极地面对内外部环境中的各种风险，在企业的内部控制中实施全面风险管理是非常必要的。

4 全面风险管理视角下企业构建内部控制体系的基本思路

4.1 培育风险管理文化，树立全面风险意识

中国移动作为大型央企及信息化旗舰公司，在SOX 法案中国化过程做出了很多有益尝试。倡导全员参与的理念，提倡内部控制“全员、全过程、全时段”的管理理念，增强内控牵头部门的管理责任和带动作用，发挥各业务部门在内控体系中的建设性作用，公司上下齐心合力，从企业整体运营的角度出发，持续优化业务流程，更好地将控制要求嵌入到公司运营管理中，切实提高工作效率和控制执行力，有效提升内控管理价值和风险管理水平。通过自上而下地不断宣传、培训，特别是经过内、外审多轮次的测评检验，并通过大量的沟通交流与实践后，公司上下对SOX 法案在推动企业内部管理提升方面有了更深的体会。确保内控工作重要性为领导层接纳，在具体执行及管控上走出财务系统嵌入一线业务人员，使得各项内控举措或制度安排内化为各级员工行为习惯、员工拥护和全员参与。

4.2 倡导业财融合，推动内控管理对公司治理的跃升

积极推动业财融合工作，从市场、网络、综合等专业条线分别推进该项工作落地执行，将与财报信息质量有关的各项重要内控措施内化到融合内容。例如，通过闲置资产定期盘查及利旧工作，及时收集资产减值及报废信息；通过集团信息化项目效益评估管控工作，提升信息化收入真实性信息质量；通过开展低使用频度资产如零流量专线、宽带定期监控工作，实现网络维护费降本增效；通过物业、电费、酬金系统建设工作，设置异常费用波动提醒功能，发现背后存在的管理或业务漏洞，实现对费用开支合理性的事前及过程管控。

4.3 探索和创新全面风险管理的方法

强调企业要通过梳理整合、外规内化、融合嵌入等措施进一步完善管理制度。具体来说，企业应当全面梳理整合内控、风险和合规管理相关制度，及时将法律法规等外部监管要求转化为企业内部规章制度。在具体业务制度的制定、审核和修订中嵌入统一的内控体系管控要求，明确重要业务领域和关键环节的控制要求和风险应对措施。统筹推进内控、风险和合规管理的监督评价工作，将风险、合规管理制度建设及实施情况纳入内控体系监督评价范畴，制定定性与定量相结合的内控缺陷认定标准、风险评估标准和合规评价标准，不断规范监督评价工作程序、标准和方式方法，形成全面、全员、全过程、全体系的风险防控机制，切实全面提升内控体系有效性，加快实现高质量发展。

4.4 建立通信企业内控风险事件动态库

企业管理的过程，就是风险管理的过程，通信企业建立内控风险事件动态库，就是由各级财务部门、审计部门会同业务部门通过对当前影响公司业务发展的主要问题及潜在风险进行梳理、分析、整理并汇编，形成“内控风险库”，从“案例”的角度提示企业应关注经营过程中的主要风险，为各级公司从内控和审计的角度系统地了解和把握当前企业主要业务风险，有重点地开展风险防范和评估检查工作提供了依据。并根据集团公司全面风险管理的需要，适时组织“内控风险库”的维护和更新，并召集各部门风险管理人员组成风险评估工作项目组，采取流程分析、访谈、规章制度审阅等方式，对相关风险问题逐一进行评估，量化风险等级；针对评估结果完成风险评估报告，提出管控建议与措施；对风险事件进行全面跟踪和监测，监督改进情况，为风险管理评价与考核提供依据。

4.5 发挥协同效应，全面风险管理与内控工作相结合

对新兴业务与传统业务应采取不同的风险态度和控制措施；对新增业务及新增管理事项，应及时明确相关内控点、内控责任人等相关内控制度，做到制度先行，控制到位；为适应企业经营环境的快速变化，增加部分应急简化流程。对于关键控制点可以通过IT 系统进行固化和强化，以突出重点，提高工作效率。通信企业应从战略高度扩展风险内控管理的视角，不断创新风险管理的方法和工具，系统化地充实风险管理的内控措施，进一步完善内部控制，深化合规性风险管理，促进内部控制系统向全面风险管理系统的进化和升级。

4.6 内控管理模式动态化，支撑业务转型与发展

2006 年SOX 矩阵部署后，中国移动历经3G、4G、5G 牌照的发放，公司已经由初期的通信网络运营商转变为全业务经营的移动信息专家，针对业务形态日趋多样化的形式，采取开放姿态建设内控矩阵，确保控制抓手紧随业务发展动向。在这一过程新业务如家庭宽带、集团信息化项目、合约机等新业务层出不穷；营销资源载体涌现出二维码等形式；业态上出现网络商城，各省移动在天猫普遍开有网店；在建设上客户委托代建等模式成为新需求，这一过程都需要我们“移动人”去开展流程梳理及控制节点部署。

4.7 建立以风险为导向的内部审计体系

目前通信企业在信息系统审计方面还不够深入，企业应贯彻“总体分析、把握重点、精确延伸”的理念，积极实践大数据等新兴计算机技术与审计工作的有机结合，有效推进审计领域向企业核心业务系统的延伸，及时识别与发现企业在信息系统控制和应用方面存在的问题和风险。如系统用户授权情况、账号管理情况、系统数据管理情况、各业务系统间的衔接情况等，并结合企业具体业务审核数据源录入情况、套餐计费出账规则配置情况、营销政策实际执行的有效性情况、用户信用管理情况等，提出整改意见与建议，提高企业系统的安全性以及数据的真实性、准确性，确保用户权限与其岗位职责相符，保障核心业务系统的安全、稳定，防范系统管控以及数据应用风险；督促企业加强系统规则和营销套餐、营销政策数据的匹配性，督促加强营销关键环节管理，进一步提升经营效果。

5 总结与展望

综上所述，在竞争激烈的市场经济条件下，由于各方面的原因，企业风险是不可避免的，其成因的复杂性、效用的双重性要求我们熟练掌握风险控制的途径和手段，全面风险管理视角下企业内部控制体系是以整合企业全面风险管理为出发点，以完善企业内部控制体系，实现企业良性经营管理为落脚点，积极构建整体、分项等多维视角风险控制体系，重视风险的防范工作，准确预测，细化管理，有效防范和化解各层级关注的企业风险，最终提升企业盈利能力和抗风险能力。通信企业将继续积极贯彻全面风险管理的各项要求，健全、完善风险管理系统，管理风险、利用风险、驾驭风险、创造价值，实现企业的持续快速健康发展和国有资本的保值增值。