全面風險管理視角下的企業內部控制體系研究
——以浙江移動為例

曹 磊

（中國移動通信集團浙江有限公司湖州分公司，浙江 湖州 313000）

1 研究背景及意義

2019 年11 月國務院國資委印發《關于加強中央企業內部控制體系建設與監督工作的實施意見》的通知（國資發監督規〔2019〕101 號），標志著國企改革已進入關鍵時期，防風險、抓改革、促發展，成為國資改革監管的工作重點。黨中央和習總書記多次強調要將防風險擺在突出位置，黨的十九大甚至把防范和化解重大風險列為全面建成小康社會三大“攻堅戰”之首做出戰略部署，著力防范化解重大風險已成為我國國資國企治理工作的重中之重。此次國資委101 號文的出臺有效解決了上述問題，在尊重和堅持原有理論成果的基礎上，結合企業實踐中遇到的問題，創新性地提出“建立健全以風險管理為導向、合規管理監督為重點，嚴格、規范、全面、有效的內控體系，實現強內控、防風險、促合規的管控目標”，以此倡導企業構建三位一體的內部控制體系，而這也是在監管層面對內部控制制度所做出的一次里程碑式的、意義重大的創新和完善。

2 浙江移動風險管理現狀及SOX 內部控制執行成效

2.1 與企業內控目標緊密結合，建立多角度全覆蓋風控體系

《中國移動浙江公司內部控制手冊（移動通信業2019 版）》將內部控制主要分為公司層面整體控制、業務流程層面控制以及信息技術整體控制三個部分，全面覆蓋目前經營過程中的可控風險范疇，將內部控制融入公司日常業務管理中，具體內容如下。

公司層面整體控制：主要是參考COSO 八要素的內容，闡述控制環境、目標管理、風險識別、風險評估、風險應對、控制活動、信息與溝通以及監督等。

業務流程層面控制：主要是闡述相關業務流程應遵循的內控要求。同時，在全面分析公司業務流程的基礎上，根據內部控制和風險管理工作的內在邏輯，設立了采購管理流程、工程項目管理流程、資產管理流程、收入計費管理流程、會計與財務報告流程等多個主要流程。

信息技術整體控制：主要是闡述一般性的系統控制規范，包括對程序和數據的訪問、程序開發、程序變更、系統運行以及系統安全控制等，涉及的系統主要包括BOSS、ERP 等。

2.2 嵌入經營管理，形成全員全過程管控模式

以浙江移動為例，2019 年版SOX 內控矩陣涉及省公司161 個控制點，省市共同控制193 個點，地市單獨控制46 個點，合計400 個控制單元，嵌入15 個業務流程（詳見表1）。單統計其落實到省公司（不包括落地到11 個地市后所對應相關責任人）責任人員合計160 余人，覆蓋省公司所有職能部門，從目前省公司1 位責任人至少對應每地市一個責任人來統計，全省至少有近2 000 余名管理人員直接對接SOX 內控矩陣控制點。

2.3 完善各級IT 系統，從技術層面規范管理流程

目前由省移動統一維護開發的流程管控系統包括了ERP、供應鏈系統、規劃管理系統、市場綜合管理平臺等在內多個省市流程，從合同審核、采購審批、營銷案流程配置、人員入離職、發票報銷等各條線的權限上進行了橫向和縱向的規范，形成了部分領域的規范IT 管控流程。集團公司更是對系統進行整合，將在中國移動集團內部對部分關鍵事項進行全集團的流程規范。

2.4 常規審計融合SOX 飛行測試，提升內控管理效果

浙江移動采用的飛行測試，是一種全新的跟蹤檢查模式，是在事先未通知被檢查部門的條件下實施的現場檢查，其啟動慎重，行動快，因此可以及時掌握真實情況，真正做到心中有數，可以有效避免某些檢查落入形式主義的尷尬境地。浙江移動將日常線上審計與線下飛行相結合，完善了對各分公司／省級部門內部對SOX 控制點執行情況的審計環節，對內控管理起到了很好的監督作用，提高了內控評估的有效性和評估結果的準確性。

表1 浙江移動內控矩陣

3 全面風險管理視角下企業內部控制存在的問題與原因分析

3.1 對風險管理認識不足，導致全面風險管理意識缺失

在復雜多變的內外部環境下，企業面臨嚴峻的經營風險，更需要企業具備長遠的戰略發展規劃，方能在這瞬息萬變的經濟環境中健康地發展。而較多調查顯示，我國仍有很多企業未意識到風險管理的重要性，導致全面風險管理意識淡薄。企業管理者與內部員工在日常經濟活動中普遍疏于對風險的考慮，只有在風險即將來襲或者已經深陷風險之中才緊張起來，疲于應對，在企業風險管理中缺乏系統的全局觀和戰略思維，一旦時過境遷就不再進行追究和探討，對風險的事前和事后控制都比較遲鈍，甚至有的企業錯誤地認為，只有市場競爭失利、企業資本薄弱或是即將衰敗的企業，才需要進行全面風險管理，蒸蒸日上的企業進行全面風險管理是浪費企業資源。

3.2 全面風險管理的技術運用不夠先進

根據COSO 委員會報告，企業全面風險管理體系需要一定的專業技術方法來支撐各個環節和步驟的實施。沒有專業技術方法的支撐，全面風險管理只能是紙上談兵。而國際上許多著名的風險管理典范企業，無一不是通過聘請專業的風險管理技術人員及引進較先進的風險管理軟件等方式來實現其風險管理水平的提高。我國由于國內風險管理信息化水平良莠不齊，相關從業人員的技能落后等現實原因，無法滿足企業全面風險管理技術方法的需求，導致國內企業掌握全面風險管理的技術方法水平落后于世界水平。

3.3 內部審計機構缺乏獨立性，導致監督缺失

內部審計的獨立性決定了其地位的特殊性，它是企業內部監督的重要形式，同時也作為內部控制的一種形式而存在。它最大的作用是來評價企業的內部管理活動以及企業進行的經濟活動是不是合理合規，并且對企業的行為進行有效性的判斷。從另一個層面上來看，企業內部審計機構凌駕于企業內部控制之上，是對內部控制進行二次控制的機構。同時它也是衡量企業所有工作人員工作業績的一項十分重要的管理控制機構。雖然在我們國家很多企業都相繼成立了與內部審計相關的監督機構，也按照要求制定了相應的內部審計監管制度，但是這些建立的內部審計機制都不是十分的健全，缺乏它們應該具備的獨立性，這就致使在內部審計制度的整個執行過程中出現了很多不容小視的系列問題。因為我國內部審計的普遍形式是直接受企業的總經理或者分管企業的財務副總經理的領導，并不能夠作為直接監督它的上級甚至是同級部門，工作質量直接受單位領導的制約。因此，企業內部審計無法在地位上實現獨立，也不能很好地發揮其監督作用，對高層管理人員更是無能為力。另外一個重要的原因，企業內審人員在人事歸屬上是隸屬于本單位，其切身利益受所在單位控制，這樣的約束進一步地制約和影響了企業內部審計機構的獨立性。所以，內部審計機構也就不可能完全發揮它應該具備的約束力和監管力。

3.4 經濟業務復雜多變，使企業風險管理面臨諸多挑戰

新業務、新領域的發展，為企業帶來新的發展契機。然而，在帶來發展契機的同時也將風險帶入企業，給風險管理帶來巨大壓力，企業很容易遭遇各類新風險和困境，為了促使企業可以更加積極地面對內外部環境中的各種風險，在企業的內部控制中實施全面風險管理是非常必要的。

4 全面風險管理視角下企業構建內部控制體系的基本思路

4.1 培育風險管理文化，樹立全面風險意識

中國移動作為大型央企及信息化旗艦公司，在SOX 法案中國化過程做出了很多有益嘗試。倡導全員參與的理念，提倡內部控制“全員、全過程、全時段”的管理理念，增強內控牽頭部門的管理責任和帶動作用，發揮各業務部門在內控體系中的建設性作用，公司上下齊心合力，從企業整體運營的角度出發，持續優化業務流程，更好地將控制要求嵌入到公司運營管理中，切實提高工作效率和控制執行力，有效提升內控管理價值和風險管理水平。通過自上而下地不斷宣傳、培訓，特別是經過內、外審多輪次的測評檢驗，并通過大量的溝通交流與實踐后，公司上下對SOX 法案在推動企業內部管理提升方面有了更深的體會。確保內控工作重要性為領導層接納，在具體執行及管控上走出財務系統嵌入一線業務人員，使得各項內控舉措或制度安排內化為各級員工行為習慣、員工擁護和全員參與。

4.2 倡導業財融合，推動內控管理對公司治理的躍升

積極推動業財融合工作，從市場、網絡、綜合等專業條線分別推進該項工作落地執行，將與財報信息質量有關的各項重要內控措施內化到融合內容。例如，通過閑置資產定期盤查及利舊工作，及時收集資產減值及報廢信息；通過集團信息化項目效益評估管控工作，提升信息化收入真實性信息質量；通過開展低使用頻度資產如零流量專線、寬帶定期監控工作，實現網絡維護費降本增效；通過物業、電費、酬金系統建設工作，設置異常費用波動提醒功能，發現背后存在的管理或業務漏洞，實現對費用開支合理性的事前及過程管控。

4.3 探索和創新全面風險管理的方法

強調企業要通過梳理整合、外規內化、融合嵌入等措施進一步完善管理制度。具體來說，企業應當全面梳理整合內控、風險和合規管理相關制度，及時將法律法規等外部監管要求轉化為企業內部規章制度。在具體業務制度的制定、審核和修訂中嵌入統一的內控體系管控要求，明確重要業務領域和關鍵環節的控制要求和風險應對措施。統籌推進內控、風險和合規管理的監督評價工作，將風險、合規管理制度建設及實施情況納入內控體系監督評價范疇，制定定性與定量相結合的內控缺陷認定標準、風險評估標準和合規評價標準，不斷規范監督評價工作程序、標準和方式方法，形成全面、全員、全過程、全體系的風險防控機制，切實全面提升內控體系有效性，加快實現高質量發展。

4.4 建立通信企業內控風險事件動態庫

企業管理的過程，就是風險管理的過程，通信企業建立內控風險事件動態庫，就是由各級財務部門、審計部門會同業務部門通過對當前影響公司業務發展的主要問題及潛在風險進行梳理、分析、整理并匯編，形成“內控風險庫”，從“案例”的角度提示企業應關注經營過程中的主要風險，為各級公司從內控和審計的角度系統地了解和把握當前企業主要業務風險，有重點地開展風險防范和評估檢查工作提供了依據。并根據集團公司全面風險管理的需要，適時組織“內控風險庫”的維護和更新，并召集各部門風險管理人員組成風險評估工作項目組，采取流程分析、訪談、規章制度審閱等方式，對相關風險問題逐一進行評估，量化風險等級；針對評估結果完成風險評估報告，提出管控建議與措施；對風險事件進行全面跟蹤和監測，監督改進情況，為風險管理評價與考核提供依據。

4.5 發揮協同效應，全面風險管理與內控工作相結合

對新興業務與傳統業務應采取不同的風險態度和控制措施；對新增業務及新增管理事項，應及時明確相關內控點、內控責任人等相關內控制度，做到制度先行，控制到位；為適應企業經營環境的快速變化，增加部分應急簡化流程。對于關鍵控制點可以通過IT 系統進行固化和強化，以突出重點，提高工作效率。通信企業應從戰略高度擴展風險內控管理的視角，不斷創新風險管理的方法和工具，系統化地充實風險管理的內控措施，進一步完善內部控制，深化合規性風險管理，促進內部控制系統向全面風險管理系統的進化和升級。

4.6 內控管理模式動態化，支撐業務轉型與發展

2006 年SOX 矩陣部署后，中國移動歷經3G、4G、5G 牌照的發放，公司已經由初期的通信網絡運營商轉變為全業務經營的移動信息專家，針對業務形態日趨多樣化的形式，采取開放姿態建設內控矩陣，確保控制抓手緊隨業務發展動向。在這一過程新業務如家庭寬帶、集團信息化項目、合約機等新業務層出不窮；營銷資源載體涌現出二維碼等形式；業態上出現網絡商城，各省移動在天貓普遍開有網店；在建設上客戶委托代建等模式成為新需求，這一過程都需要我們“移動人”去開展流程梳理及控制節點部署。

4.7 建立以風險為導向的內部審計體系

目前通信企業在信息系統審計方面還不夠深入，企業應貫徹“總體分析、把握重點、精確延伸”的理念，積極實踐大數據等新興計算機技術與審計工作的有機結合，有效推進審計領域向企業核心業務系統的延伸，及時識別與發現企業在信息系統控制和應用方面存在的問題和風險。如系統用戶授權情況、賬號管理情況、系統數據管理情況、各業務系統間的銜接情況等，并結合企業具體業務審核數據源錄入情況、套餐計費出賬規則配置情況、營銷政策實際執行的有效性情況、用戶信用管理情況等，提出整改意見與建議，提高企業系統的安全性以及數據的真實性、準確性，確保用戶權限與其崗位職責相符，保障核心業務系統的安全、穩定，防范系統管控以及數據應用風險；督促企業加強系統規則和營銷套餐、營銷政策數據的匹配性，督促加強營銷關鍵環節管理，進一步提升經營效果。

5 總結與展望

綜上所述，在競爭激烈的市場經濟條件下，由于各方面的原因，企業風險是不可避免的，其成因的復雜性、效用的雙重性要求我們熟練掌握風險控制的途徑和手段，全面風險管理視角下企業內部控制體系是以整合企業全面風險管理為出發點，以完善企業內部控制體系，實現企業良性經營管理為落腳點，積極構建整體、分項等多維視角風險控制體系，重視風險的防范工作，準確預測，細化管理，有效防范和化解各層級關注的企業風險，最終提升企業盈利能力和抗風險能力。通信企業將繼續積極貫徹全面風險管理的各項要求，健全、完善風險管理系統，管理風險、利用風險、駕馭風險、創造價值，實現企業的持續快速健康發展和國有資本的保值增值。