企业内部控制与风险管理制度总体框架构建——以中国联通公司为例

企业内部控制与风险管理制度总体框架构建——以中国联通公司为例（精选2篇）

企业内部控制与风险管理制度总体框架构建——以中国联通公司为例 篇1

企业内部控制与风险管理制度总体框架构建——以中国联通公司为

例 姚晓蓉

一、研究背景

中国联合网络通信有限公司(以下简称“中国联通’，)于2008年10月15日由原中国联通红筹公司、中国网通红筹公司合并成立。其前身之一的中国联合通信有限公司是经国务院批准、于1994年7月19日成立的我国唯一一家能够提供全面电信基本业务的综合性电信运营企业，对我国基础电信业务领域引入竞争、促进国内电信事业改革与发展起到了积极的作用。重组前的中国联通于2000年6月分别在香港、纽约成功上市，进入国际资本市场，并于一年之内成为香港恒生指数股，之后又于2002年10月回归国内A股市场，成为国内唯一的海内外三地上市的电信企业。

作为在美国上市的中国联通，自2006年年报开始必须按《萨班斯一奥克斯利法案》(SOX)的要求，向美国相关机构提交管理层对内部控制体系、控制程序有效性的证明以及内部控制机制评价报告。同时身为国内A股的中国联通，必须从2009年7月1日起按财政部颁布的《企业内部控制基本规范》要求，建立与实施有效的内部控制。对于中国联通来说，加强内部控制是公司提高经营管理水平、保持可持续发展的必然选择，也是证券监管机构对上市公司加强监管的客观要求。中国联通经过十多年的跨越式发展，网络、资产、收入规模都大幅度提升，同时也在美国、香港、上海三地成功上市，成为我国一家大型基础电信运营企业。但与业务快速发展和企业整体规模迅速扩张不相适应的是，公司原有内部基础管理工作薄弱，重发展，轻管理，风险控制方面还存在一定漏洞。

COSO报告指出，内部控制是一个过程，受企业董事会、管理当局和其他员工影响，旨在保证财务报告的可靠性、经营的效果和效率以及对现行法规的遵循。它认为内部控制整体架构主要由控制环境、风险评估、控制活动、信息与沟通、监督五项要素构成。我国于2008年5月发布的《企业内部控制基本规范》中也规范了大中型企业内部控制的基本要素：内部环境、风险评估、控制活动、信息与沟通、内部监督。

中国联通自2003年底开始按照《萨班斯一奥克斯利法案》第404条，围绕经营效果和效率、财务报告真实性、遵从法律法规三个目标，建立了一套渗透所有业务及场所的内部控制制度、管控机制以及控制责任体系。本文以此为例来论述企业内部控制与风险管理制度总体框架构建的有效途径。

二、中国联通内部控制环境的构建

COSO对内部环境的描述是：内部环境包含了一个组织的基调，影响人们对风险的认识，并且是其他所有风险管理组成的基础(为之提供约束和结构)。内部环境要素包含一个企业的风险管理哲学、风险偏好、董事会的监督、诚信和道德观、员工的能力、分配权责的方式以及如何统计和提高员工的能力。一个组织的内部环境对企业内部控制的执行和效果有着显著而关键的基础性影响。

我国大多数上市公司，不是没有建立相应的控制系统，而是由于存在于控制环境中的缺陷导致会计控制系统和管理控制系统失效。对于中国联通而言，控制环境已经比控制过程更为重要。内部控制设计的重中之重是弥补当前控制环境中存在的缺陷，正如COSO所说，内部控制环境是其他因素构建的基础，如果基础中存在极大的缺陷，其他因素即使构建得再完美，也只是宅中楼阁。

2005年3月25日，中国联通向境内外资本市场披露新疆、江西两个分公司重大会计差错和内部控制缺陷，2002年多计净资产1900万元，2003年多计净利润6600万元，涉及签订虚假设备、仪器、仪表租赁合同采购手机、挤占工程成本和运营成本等情况，导致虚出收入、少提坏账准备金，从而发生财务报表反应不实。虽然中国联通已在2004年合并利润表中对上述不当会计记录及会计差错进行了调整，但仍给公司造成了较大影响，资本市场认为这问题反映了企业在财务内部控制方面的重大弱点。分公司签订虚假设备租赁合同采购手机的行为，暴露了中国联通公司在内部控制环境方面存在如下缺陷：相关人员缺乏职业道德，不讲诚信：授权不当，权力相对集中在少数人手中；未分离不相容职务，缺乏相互牵制；举报机制不健全，问题难以向I二反映；责任追究制度不健全，作弊者没有压力；监督机制小健全，未能及时发现问题等。中国联通在内部控制环境构建时认真分析了其内部控制环境方面存在的诸如管理者风险管理意识、员工道德规范风险、治理结构风险、政策导向风险、舞弊行为风险、IT系统安伞风险和不当授权风险等七个方面的主要风险，并为防范这些风险提出了相应的应对措施，如完善公司治理结构，调整审计委员会职能，开展独立内部控制评估，建立真正意义上的公司法人治理结构，使权力有所制衡；完善绩效管理与政策导向，建立相对公平完善的激励机制；建立反舞弊制度及约束机制：建立与财务报告数据有关的IT系统总体控制和应用控制；强化管理层的风险管理意识，提高控制风险的能力：加强员工的道德规范和诚信建设，提高伞员职业道德水平；建立和完善各项制度和政策等，最终目的是提高员工职业道德，使之不愿舞弊；增强员工法律意识，使之不敢舞弊；完善各项控制制度，使之小能舞弊。

三、中国联通风险评估与防范机制的构建

为确保企业持续、稳定、健康发展，提高企业风险管理水平，增强企业经营风险防范意识和控制能力，国有资产监督管理委员会发布了《关于2009年中央企业开展全面风险管理工作有关事项的通知》，要求各企业全面加强风险管理。作为要心对《萨班斯一奥克斯利法案》的中国联通，尤其是在重组整合没有完全到位的过渡期，更需要建立一套与其发展战略相适应的伞面风险评估和防范体系。

以现金提取管理为例，可能会出现如卜．三个风险点：未经授权或超出授权范围提取现金，引起现会被挪用或占用，影响资金安全性：现金支票的内容出现错误或与申请单不一致，将会影响资金的准确性、完整性和真实性；现金及支票在交接和提现过程中丢失或交接不清，将间接影响资金的安全性。

中国联通可以从以下方面着手，建立一套风险评估与防范机制，从而防范以上风险：

1．制定规范的风险评估与管理制度、流程。要明确风险管理的部门及职责分工，确定风险评估及管理的流程，制定相关的风险管理措施，还要对各级分公司的风险评估工作定期评估并出具评估报告，评估报告要上报董事会或审计委员会。

2．将信息和沟通贯穿于风险评估始终。管理层要能够获得真实、可靠的数据，对风险及潜在的风险进行评估：要将已经审批过的风险管理办法向相关人员传达，以确保风险管理措施得到落实；要向公司员工强调建立一个有效的内部控制体系是公司的首要任务，高级管理层终常与部门主管开会沟通对公司主要领域内部控制的要求以及风险评估结果及风险的变化，使他们理解并落实内部控制责任，确保企业经营活动控制在可接受的风险范围内：总部各部门、各省级分(子)公司要定期向公司管理层报告风险管理措施和实施效果。

3．定期监督风险评估工作。

(1)管理层要自我监督。总部各部门、各省级分(子)公司管理层通过对内部控制系统的日常监督检查与定期自我评估，对反舞弊控制措施和政策落实情况进行监督。对内部控制系统的FI常监督活动要有完整的文档记录，每年至少进行一次自我评估，并提交书面报告。(2)内部审计部门要实行定期监督。公司内部审计部门在各部门日常监督与定期检查的基础上，按照风险重要程度和发生概率，确定评审的范围，每年对公司内部控制系统运行的健全性和有效性进行一次总体评价，并向公司管理层和审计委员会提交评价报告。内部审计部门对公司风险管理过程的充分性和有效性进行检查、评估、报告，并对风险管理过程中存在的缺陷提出改进意见。

(3)审计委员会进行监督。审计委员会对公司风险管理过程的充分性和有效性进行监督。

(4)整改。总部各部门、各分(子)公司对日常豁督检查中发现的内部控制缺陷、外部审计师和外部监管部门揭示的内部控制缺陷、顾客和设备厂家的投诉报告以及内部审计部门定期评估中发现的内部控制缺陷，进行汇总和分析，根据重要性及影响程度进行分级管理，落实责任部门，采取有效的整改措施，以避免或减少损失，并建立整改效果跟踪机制。

四、中国联通内部控制活动及控制文档的构建

控制活动与控制文档是内部控制框架中的核心内容。COSO报告认为，控制活动是确保管理层的指令得以实现的政策和程序，旨在帮助企业保证其针对“使企业目标不能达成的风险”采取必要的行动。我国《企业内部控制规范》中这样描述：“企业应当结合风险评估结果，通过手工控制与自动控制、预防性控制与发现性控制相结合的方法，运用相应的控制措施，将风险控制在可承受的范围之内。控制措施。一般包括不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。”

在重组之前，为应对《萨班斯一奥克斯利法案》，原中国联通和中国网通均已建立了比较全面的控制活动流程和控制文档。如江苏联通在2006年就按资本性支出、收入、成本费用、资金及资产管理、财务报告和其他人大类梳理出425个流程，但内部控制体系合并后，大量公司层面和业务层面的流程将会发生变化，需要重新对相关的内部控制流程和控制文档进行修订和补充。

中国联通经过分析研究，列出以下控制活动的关键措施，同时加强了控制文档的建设：

首先，建立完善的会计政策和程序并加以贯彻执行，确保财务报告符合国家法律法规；

其次，建立完善的财务报告制度和标准的期末财务报告程序，确保期末财务报告的披露符合相关标准；

再次，明确责任分工和岗位职责，确保交易及资产处置有适当的授权和审批；

第四，建立完善的经营业绩分析体系，科学评价各分(子)公司的经营业绩；

第五，建立全面预算管理体系，科学预测各分(子)公司的牛产经营和财务状况。

以有价卡管理为例，电信企业移动业务有价卡一般分为充值卡和手机识别卡两人类，并视为现金管理，有价卡的控制日标为各种卡类业务的进、销、存等全部通过系统管理控制：系统保证支撑卡类业务资费变动的需求，准确按现金流报告收入；实物与财务定期核对，做到账实相符。围绕以上控制目标，制定如下规范管理措施：有价卡进、销、存必须由系统管理，达到销售时点与系统激活时点同步：手机识别卡如不能实现销售和激活同步，必须存销售时由营业前台根据收款金额实时充值，严禁在销售前预置话费；有价砖要区分激活和未激活状态分库、分账管理；激活卡要视同现金单独库存管理，不能与其他卡混淆，并由财务部重点监控；严禁赊销，所有售卡一律实行买断制，确保资金到账后付卡；每月组织有价卡的全面盘点，及时处理过期卡：每月及时对账，核对激活卡入库面值、系统数据、出库金额和销售金额；建立和规范执行会计业务确认办法，明确预收账款、应收账款、收入确认等会计核算以及各类全国漫游卡、省内漫游卡结算规则，确保漫游结算及时和会计核算准确；对与生成会计信息相关的业务信息的内容、格式、信息产生频率、信息提供流程等进行统一规范；完善计费系统支撑各类优惠业务准确报告收入的功能：要求各项新业务推出前，应及时与计费部门沟通，确保计费系统支撑后再开通；计费部门按收入确认原则实现系统自动生成出账收入报告；明确会计业务核对内容与流程，建立会计与部门每月必须定期对账的稽核控制制度；全国实施集中管理公司各类业务数据。对应以卜各类控制过程和措施，还要有以下控制文档的记录：《有价卡业务管理规范》、《有价卡盘点表》、暂有价卡进销存报表》、触期卡处理报表》等。

五、中国联通内部控制信息及沟通机制的构建

控制活动是依据信息系统提供的信息来执行的。构建一个能够提供内部控制所需信息的信息系统足保证内部控制有效性的前提。

信息系统的构建过程是在先进管理理念指导下，应用先进的计算机网络技术将企业的人、财、物等资源整合起来，确定信息的收集、传送、处理、存储和输出的过程。沟通是指信息在企业内部各层次、各部门以及在企业与客户、供应商、监管青等外部环境之间的流动。信息系统不仅可以提供信息，还可以传递信息，信息系统产生的信息要通过沟通才能到达企业外部关系者、企业内部各级管理者和每个员工，使各相关人员清楚自己的责任，了解彼此之间的需要，避免意外事件发生或从容应对已发生的意外事件，发挥整体合作的力量，实现企业的经营同标。对于各级管理层和员工，相关的政策、制度、指令是否传达到位、是否落实、是否能执行，目前的生产经营有何异常，基层存在什么问题，在网用户和潜在用户有何需求，竞争对手情况如何，IT系统能否支撑业务发展，是否存在各级管理者和员工之间信息不畅、消息不灵或情况不明等情况，这就需要建立一套有效的畅通的信息及沟通机制。中国联通通过建立全方位、顺畅、清晰、有效的信息沟通流程与渠道，提高IT系统的支撑能力，确保制度、政策、指令传达到位，及时了解生产经营和员工中存在的问题，获取用户、竞争对手、竞争环境的信息通道。在2008年重组前，中国联通部分分公司(如山东、浙江和广东分公司)已使用企业资源计划(Enterprise Resonrce Planning，ERP)系统，改善了管理流程，降低了企业成本，节约了资金，提高了工作效率，企业各类信息得以及时集中并共享。中国联通大部分省级分公司都有比较完善的办公自动化系统，所有合同审批、文件传阅都通过办公自动化系统，既保证了上传下达渠道畅通，又确保有效信息流向路径正确。中国联通存加强信息渠道建设的同时，也加强了IT支撑系统的管理控制，通过对信息技术控制环境、开发管理、变更管理、安全管理和操作管理五个方面制定出整套符合《萨班斯一奥克斯利法案》第404条的IT内部控制文档体系和管理规范，在系统中通过一定的控制机制，确保影响数据的信息和记录在处理过程中完整、准确和有效。

六，中国联通监督与控制机制的构建

监控是组织对其内部控制的健全性、合理性和有效性进行监督检查和评估，形成书面报告并作出相应处理的过程，是实施内部控制的重要保证。《萨班斯一奥克斯利法案》第404条对此提出了严格而明确的要求，即公司管理层要对本公司内部控制制度的有效性作出自我评审，向资本市场签署内部控制有效性声明；而管理层对内部控制的评价，担任公司年报审计的会计公司应当对其进行测试并提出独立评审意见，覆盖范围包括内部控制设计及执行的有效性。内部控制随着时间的推移会不断发生变化，尤其是电信企业的重组使得实施控制的方式会不断完善，以前的程序将不再有效也不再实施，这就需要监控保证内部控制的持续有效，避免企业内部控制中出现制度虚设、人浮于事等问题。中国联通在构建监督机制时，认真分析了其内部控制监督方面存在的诸如监督不到位、监督不及时、监督手段滞后、缺乏日常监督、缺少自我评估、相互牵制乏力等几个方面的主要风险，按照事前事中监督、广泛监督、制度保障、自我评估为主、借助外部力量、加强考核等原则，建立了监督机制框架：一是建立独立、有效的内部审计组织架构和运行体系，对公司经营管理和内部控制进行监督与评价，确保审计的效果和质量。二是建立有效的内部监督评价机制，确保内部控制系统的有效运行。三是建立信息披露委员会，审核相关财务信息，确保其准确和完整。

中国联通不仅建立了完善的监督机制，而且非常重视内部评审工作，在2006年初根据公司的业务特点，制定了内部控制评审工作计划，明确了各个层面以及各个部门的职责。在确定评审范围时，重点关注重要会计科目、重要经营场所、重要业务流程、流程风险评估、关键控制及相互之间的匹配关系，还制定了统一的记录、测试和报告标准及对应的测试方法。中国联通将评审分为总部直接评审和各省级分公司组织评审、委托评审三种方式。

如中围联通控制环境建设中要求建立完善的反舞弊责任体系，确保有效预防公司内部舞弊行为，保证正常的经营秩序，实现可持续发展目标。围绕这一控制目标，内部控制环境建设需要有相应的措施，内部控制监督也有相应的检查方法，关于建立反舞弊责任体系，中国联通的检查办法中要求检查公司《反舞弊规定》是否明确了反舞弊的政策、程序和机制，检查省级分(子)公司是否制定相应的反舞弊实施细则，是否按规定建立反舞弊责任制，是否明确发现和纠正舞弊行为的具体岗位和责任人；相关责任人是否明确自身在反舞弊中的职责，是否制定舞弊责任追究制度。

七、结语

经过六年的努力，中国联通的内部控制建设取得显著成效，按照《萨班斯一奥克斯利法案》的要求，2008年中国联通年报对内部控制制度的建立健全情况披露如下：2008年，公司内部控制以合理保证经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略为目标，通过持续开展内部控制评审，进一步推动内部控制制度的执行及内部控制长效机制责任体系的建立。通过开展上述工作，公司建立了有效的内部控制环境，增强了各级人员的风险管理意识；规范了市场经营及公司基础管理，及时防范和控制了经营风险；强化了IT系统管理控制和对业务的支撑能力，提升了公司信息化管理水平；完善了财务报告及信息披露程序，提高了信息披露质量。希望其他企业能从中国联通的内部控制建设中得到启示，并结合自身实际，建立自己的内部控制制度体系。

企业内部控制与风险管理制度总体框架构建——以中国联通公司为例 篇2

陕西省电力公司是关系到陕西省国民经济命脉、关系到国家能源安全、关系社会稳定, 在国民经济发展中发挥重要作用的特大型国有企业, 是电力行业中落实国家能源政策、联系发电企业和用户的电网经营企业, 是建设和运营国家电力市场、实现全国范围资源优化配置的骨干企业。同时还是为社会经济发展和人民生活提供普遍服务的公用性企业。

由于公司的经营涉及到能源安全和社会稳定, 因而公司电网的运营安全是管理层所首先要考虑的。根据陕西电力的业务特点, 可以将经营活动分成十个模块, 即货币资金、固定资产、工程建设、物资采购、投资、筹资、电力营销、购电、三项费用、工资福利。选取陕西电力在“十一五”计划中工作量很大的, 同时与电网安全运营有着必然联系的工程建设模块进行示范研究。在内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监控等八个要素中, 内部环境、信息和沟通、监控更加侧重企业整体层面。而目标制定、事项识别、风险评估、风险反应、控制活动等五个要素是可以根据业务模块来设计的。它们之间的相互关系如下图所示。

二、陕西电力公司内部控制体系的建立

工程建设是陕西电力公司乃至整个国家电网公司重要的业务模块之一。该模块根据业务特点还可分成基本建设项目 (输变电项目) 、技改项目、小型基建项目、业扩项目和用户工程, 以及一些城农网改造项目。根据工程建设项目的作业性质又可以分成土建和电气安装两种类型, 其中线路施工在各类型项目中普遍存在。作为基本建设项目的基建部管理、技改项目由生产技术部管理, 业扩项目和用户工程由市场营销部管理, 小型基建由综合计划处管理。陕西电力公司对于工程建设业务的内部控制非常重视, 已经根据业务环节建立了完整的内部控制体系。如表1所示。

三、陕西电力公司基于内部控制的风险管理

根据五要素原则对于该模块的风险管理框架进行尝试性设计。

要素一:目标制定

工程建设模块风险管理的目标可以定为:投资计划合理, 如期优质完成计划要求工作量, 满足电网发展需求, 资金利用效率高。

要素二:事件识别

风险事件的识别需要大量周密的调研工作, 并且需要积极征求专家的意见和管理层的意见。可以根据需要将风险事件用列表法分类表示, 如表2所示。

要素三:风险评估

在本研究中, 对于风险的评估是根据各个业务环节来进行的, 即分别根据:工程规划和立项管理、设计和概预算管理、招投标管理、施工管理、设计变更、竣工验收和结算、竣工决算这七个业务环节来评估其风险。并在风险评估过程中, 将风险的大小用“风险因素发生的可能性”和“风险的重要性”两个变量来进行测度。依据大量的现场调研工作, 并在征求专家和决策者的意见之后, 对某个具体工程项目的风险评估结果如表3, 当然, 具体的数据是虚拟的, 只为了示范说明的目的。

要素四:风险应对

如前所述, 风险应对有四种主要策略:风险回避、风险减轻、风险分担和风险自留, 那么是在具体何种情况下应该决定采取哪种策略呢?通常高可能性、高重要性的要进行风险规避;高可能性、低重要性的要进行风险减少;低可能性、高重要性的要进行风险共担;低可能性、低重要性的要进行风险接受。

根据以上的评估结果, 可以对该具体工程项目作出相应的风险应对方案。

要素五:风险控制

风险控制就是在风险事件发生时实施风险应对计划中预定的风险应对措施。比如对于规划立项环节中发生的可能性小, 但是损失可能会非常重大的风险进行保险。而对于施工环节中发生的可能性很大, 重要性很高的风险必须采取规避措施。例如, 如果经过反复论证, 该工程项目的施工环节中可能发生的风险会带来重大损失, 并且发生的概率极大, 那么放弃该项目可能是合理的选择。

摘要：随着世界经济的迅猛发展, 企业面临风险的机率日益增加。基于内部控制的企业风险管理可以有效规避风险。在进行了初步调研的基础上, 尝试为国家电网公司下属企业——陕西电力公司搭建一个企业风险管理的框架体系, 该体系力争作到适应中国国情, 符合国有企业、电子行业的具体情况, 对企业的经营管理有现实意义。

关键词：内部控制,电力企业,风险管理

参考文献