电信企业在内部控制方面存在的问题及对策

　　【摘 要】 本文依据COSO框架，从改善企业内部控制实效的角度出发，对目前电信企业内部控制存在的问题进行分析，并就电信企业如何通过完善内控建设提升执行效力与内控效果提出若干对策。
　　【关键词】 电信企业； 内部控制； 问题及对策
　　
　　根据《萨班斯-奥克斯利法案》（COSO），中国电信作为在美国上市的公司按照其要求构建了内控体系、IT内控及评估系统。笔者10多年来在电信企业工作，对其内控存在的问题有较深刻的了解，在此谈一点内控建设方面的浅见。
　　
　　一、中国电信企业内控建设的整体现状
　　
　　中国电信在COSO框架下建立内部控制制度——《中国电信股份有限公司与财务报告相关的内部控制手册》，按照控制环境、风险评估、控制活动、信息和沟通、监控五个方面进行设计、执行及评价。各级电信企业按照公司层面、流程层面、IT层面进行内控实施细节规定，对内部管理、业务流程、IT信息控制进行内控设计，配合相应管理办法，规范企业与员工的行为，建立起一系列行之有效的内控体系。日常运作中建立内控虚拟团队，指定各业务流程责任人进行职责分工，并发挥内审机构作用，通过组织内控自我评估和独立评估，实现对内控设计及执行的有效性评价，促进逐步完善。
　　
　　二、电信企业在内部控制方面存在的问题
　　
　　（一）存在不同程度的观念误区
　　第一，认为内部控制是为了通过《萨班斯法案》监管要求。这几年各级管理层与员工不断接触与内控相关的工作，但多数员工还停留在“上级要我做”的阶段，未真正理解内控对企业的意义。一部分人则以为仅是为了资本市场监管要求而做，不知道内控的真正意义在于降低公司经营风险、实现公司整体管理目标。
　　第二，认为内部控制是管理层和会计、内审部门的管控，非全员参与的“过程”。电信企业内控建设由财务部门牵头组织设计和实施，内控自我评估和独立评估由内审部门组织开展。因此存在一种错觉，认为普通员工参与内控工作是“为财务、内审部门做事”，表现消极应付，出现“搞形式”、“走过场”现象。
　　第三，认为执行内控就是按流程控制点规定“补齐”相应的手续。在开展内控自我评估时，有些责任人事后补齐相关材料，得出“执行有效”结论，虽然从评估资料看是有效执行，但这只是表面“有效”而非实质的过程控制，未真正达到控制目的，存在很大的控制风险。
　　第四，认为内部控制可以解决企业所有的管理问题。以为只要内控设计完善、执行无缺陷就没有任何问题，不明白内控存在固有的局限性，可能因为内外部环境发生变化和串通舞弊等而失效，因此内部控制需要动态修正，并与反舞弊机制联合运作，才能达到理想的效果。
　　第五，认为只要内控设计理想、完美可以不计成本。内控并非管理办法越多越细越有效，一要受成本限制；二要看是否有利于公司治理。各种管理办法越来越多，越来越细，让人眼花缭乱，其实是浪费资源，对公司治理与经营管理无实际作用。
　　
　　（二）公司内部组织机构与内控管理体系存在矛盾
　　电信企业以管理部门进行职能分工，但业务流程按生产与管理程序进行设计，流程责任人负责管控其所属各控点，而各控点责任人却属其他部门管辖。业务流程管理与部门人事管理出现交叉，容易产生一些矛盾，在内控实际执行与自我评估时出现“踢皮球”的现象。
　　
　　（三）内控设计比较完善，但实际执行存在偏差
　　电信企业内控手册、实施细则设计基本完善、详尽，但实际执行却存在偏差。主要原因是：内控培训对象主要是流程责任人；个别职能部门管理不到位；部分流程设计不符合实际，难以执行。
　　（四）尚未建立起一整套系统、全面的风险管理体系
　　电信企业的管理风险主要在合同管理、工程施工管理方面；财务风险主要在营业款、固定资产与无形资产、收入确认等方面；运营风险主要是转型业务的决策等。目前风险管理尚在风险收集与分析阶段，逐步尝试风险的评估与应对，未形成一整套系统、全面的风险管理体系，急需成立风险管理部门，全面防范企业风险，对重大风险进行预警，为企业降低风险高效运营提供支撑。
　　
　　三、提高电信企业内控执行力与效果的对策
　　
　　（一）重视内控环境建设，加强内控意识培养，形成内控共识
　　各级管理层要树立依法、诚信经营理念，高度重视内部控制，加强企业风险防范，处理好内控与发展、效率和风险等方面的关系，在管理工作中以身作则遵守内控制度。要强化员工内控观念，加强职业道德、内控意识的培养，规范员工行为，使其深刻认识内控的目的、意义、途径和方法，明确各单位的内控职责，变被动执行为主动推进，达到事半功倍的效果。
　　
　　（二）梳理内部管理机制与内控实施环节的关系，使每一管理层级工作职责与内控环节趋于一致
　　内控建设不应与生产经营管理活动相分离，内控监管不能与业务流程相脱节。有效的方法是通过梳理内部管理机制与内控实施环节的关系，由相关管理单位负责人兼任各业务流程责任人，使每一管理层级工作职责与内控环节趋于一致，并把流程执行结果与责任人的岗位考核、晋升直接挂钩。只有中层领导重视并积极推动，内控执行才能真正落到实处，达到控制的目标。
　　
　　（三）强化内控执行，把流程关键控制点内容纳入岗位职责
　　如果执行不力，内控则形同虚设。必须加强执行力建设，落实内控责任制，将内控执行责任最终落实到每个责任岗位和责任人，实现全过程控制。目前电信企业对每一员工都进行了岗位职责设置并进行绩效考核，根据考核结果进行绩效分配，调动了员工的工作积极性与主动性。对业务流程中关键控制点的内控执行责任明确纳入每一岗位职责进行考核，引起每一责任人的充分重视并自觉执行，实现内控日常化、规范化的管理和监控，将收到控制的良好效果。
　　
　　（四）关注过程控制，逐步建立健全全面风险管理体系
　　电信企业的生产过程就是销售过程，经营管理活动中任何环节出现重大内控风险与漏洞都将直接影响经营成果和财务报告的质量，并在资本市场上直接影响到公司价值。因此，内控管理要强调过程控制，逐步建立健全全面风险管理体系进行风险的收集、分析、评估和应对。●
　　
　　【参考文献】
　　[1] 邱晨旭.中国电信股份有限公司上海研究院.借力“萨班斯”提升企业信息化水平.
　　[2] 鹿存坡，刘波.内控建设助电信企业价值提升.