通信企业内部控制与风险管理研究

□文/马 栋

（中国移动通信集团安徽有限公司安庆分公司 安徽·安庆）

［提要］信息化时代，通信企业在移动通信市场高速发展的同时，也面临着5G技术变革带来的激烈竞争、新兴业务快速发展对全业务运营能力带来的冲击、产业链延伸带来的信息安全挑战等现实问题，对企业的内部控制和风险管理也提出更高的要求。在此背景下，通信企业若想实现低成本高效运营和高质量发展，迫切需要建立全面的内部控制与风险管理体系。本文着重在内部控制体系、风险防控机制、监督评价等方面分析通信企业面临的问题和挑战，并提出应对策略。

近年来，国资委以“强内控、防风险、促合规”为目标，多次针对加强企业内部控制体系建设与监督管理工作提出具体的要求，将内部控制体系建设与完善定位到央企实现高质量发展、强基固本、防范重大风险、培养世界一流企业的重要基础。现如今，移动通信市场的电话普及率再创新高，运营商同质竞争也更加激烈，5G等新一代通信技术应用快速落地，DICT等新兴业务蓬勃发展，通信企业所面临的内外部环境呈现出巨大变化，对企业的内部控制和风险管理也提出更高的要求。

一、内部控制与风险管理概述

（一）内部控制和风险管理的定义。内部控制是一个到结果的管理过程，但并不是结果的本身，是指由董事会、管理层和全体员工共同实施的，旨在为达到经营效率和效果、确保财务报告的真实完整性、并遵循适当的外部监管规定等特定控制目标而提供合理保证的一个过程。企业的内部控制管理体系主要包括基本规范和配套指引两部分的内容，在国内上市公司、央企及国有大中型企业均必须强制执行，建设一套高质量的内部控制管理体系，有助于提升企业内部治理水平和风险防控能力。

风险管理也是一个管理过程，是指由企业董事会、管理当局和员工共同实施，应用于战略制定并贯穿于企业之中，目标是分析企业所面临的各种不确定性，旨在识别将发生的可能会影响企业的各种潜在风险，并管理风险以使其被控制在企业可承受的范围内，为企业发展目标的顺利实现提供合理保证。风险管理应当涵盖企业发展战略风险管理、经营业务和项目风险管理、日常业务操作执行风险管理等方面的内容。

（二）内部控制与风险管理的关系

区别：内部控制作用于各个业务系统中，其通过设置控制环节和控制方式，主要是让各个系统及关键环节能够持续且稳定地发挥作用，以提高系统响应的可靠性；而风险管理工作侧重于对实现企业目标可能产生影响的各种不确定性，进行有效的识别、分析和应对。

联系：从企业整体来看，内部控制与风险管理都需要董事会、企业管理层和其他员工的共同参与，是为企业发展目标的实现提供合理保证的过程；内部控制与风险管理均为企业内部管理的一种重要工具，内部控制实际上属于风险管理的范畴，是落实风险应对举措的重要手段之一，企业内部控制管理体系的建设应坚持以风险为导向，内部控制管理的有效落实，也需要借助风险管理的技术和方法，防控风险是内部控制的归宿。在企业的内部管理层面，内部控制和风险管理工作是一个协调统一的整体，总体目标是企业管理层充分运用风险管理的技术和内部控制理念，通过协调风险偏好与战略的关系，强化风险识别与应对决策，减少经营过程中的意外损失，进而提高企业创造价值的能力。从风险管理角度出发来评估内部控制的重要性，则有利于管理层进行内部控制规范的优化，以恰当调集资源来应对风险，进而提升企业价值，推动企业健康可持续发展，最终实现企业价值的最大化。

二、通信企业内部控制与风险管理面临的问题与挑战

（一）内部控制体系建设尚不完善。在信息化高速发展的背景下，企业的管理方式也在持续深化向信息化的转型，复杂变化的内外部控制环境，对通信企业内控与风险管理体系的建设带来更大的挑战。现今国家法律法规进一步健全，尤其是对大中型企业的外部监管更加严格。通信市场上，DICT等新兴业务蓬勃发展，但企业的全业务运营能力依然存在短板。随着产业链的不断延伸，与第三方的合作日趋广泛和深入，信息安全管理的难度日益增加。复杂变化的经济业务事项，使得参与的岗位角色、信息系统和控制环节也越来越多，对业务发生的真实性、合规性进行控制和监督管理的难度也越来越大。然而，部分企业的内部控制建设仍存在问题，如面对复杂多变的业务模式，企业集团尚未能建立统一的内部控制管理体系，信息化管理支撑手段仍不健全，部分企业对于新模式、新业务的发展，未能及时优化内部控制制度和流程规范，致使内控体系不能有效支撑业务的稳定发展。部分企业内部控制制度的设计存有缺陷，或内部控制操作手册和控制点执行要求未能及时刷新，未立足于企业现行管理制度和实务体系，导致内控要求与业务实际经营管理状况不符。部分企业依然存在重业务发展指标、轻风险防控的现象，内部控制责任和风险防范意识淡薄，制约着企业内部治理水平的提升。

（二）重点领域和关键环节风险防控执行不到位。企业治理水平的不断提升，离不开高质量的内部管理体系，特别是在一些重点业务领域和关键业务环节，其基础管理和风险应对能力关系到企业的市场竞争力，直接影响到企业能否保持健康稳定的发展。目前，通信企业内部管理模式呈现高度集中化和信息化，虽统一了管理标准、提高了管理效率，但部分企业在重点领域和关键环节通常也可能隐藏了一些潜在的风险防控执行问题，如：部分企业在基础网络建设、新业务落地与发展等方面，对重大投资、重大项目、与供应商或第三方单位合作等涉及的决策事项未开展风险评估或风险评估不到位，重大风险防控机制缺失、重点业务制度约束力不强。部分企业合同管理存在未签合同先实施、先签合同后审批等不规范现象，合同基础管理水平不足。部分企业资金管控基础工作薄弱，存有出纳同时兼任会计相关岗位职责的情况，未能严格落实资金不相容岗位相分离的原则，存在资金安全管理风险。

（三）内控风险管理缺乏有效的监督评价。对企业内部控制体系和风险管理机制的设计有效性和执行有效性及时开展监督和评价，可以合理保证企业顺利地实现既定目标。然而，部分企业存在评估考核机制不健全，或尚未建立有效的重大风险责任追究机制，不利于管理层及时运用监督评价结果；部分企业的风险管控标准相对粗放，责任落实相对不明确，内部监督检查也不到位，致使企业不能合理规避相关业务风险；部分企业在监督评价过程中所发现的问题，未被基层业务单元认真剖析或未能彻底整改落实，就会出现内部控制缺陷和业务管理风险点屡查屡犯的现象，致使企业经营管理现状得不到有效改善。

三、通信企业内部控制与风险管理应对策略

（一）完善全面内控管理体系，增强风险防控意识。通信企业结合自身发展所面临的内外部环境和挑战，应当建立以风险为导向，覆盖市场、生产、运维、职能管理等各业务领域和各流程的全面内控管理体系。一是需要自上而下确立一套统一的内部控制管理基本规范框架，能为企业内控操作执行手册的细化、通信市场业务快速的发展变化和风险应对提供指引。二是结合现有的信息化系统，进一步提升内控风险管理的信息化支撑能力，进一步规范内控点设计的维护职责和流程，强化业财管理协同，集中和整合业财系统数据，实现业务流程、业务角色和控制责任的系统化管理，同时推动业务前端参与内控要求设计，将内控管理要求同步嵌入到业务前端系统，实现系统自动控制，逐步减少人工控制所存在的管理短板。三是进一步完善内部控制基本规范的配套执行手册，其既是业务部门具体执行的主要标准，也是内外部审计的主要依据，要结合企业经营业务发展中的热点和难点及岗位职责的变动情况，及时进行刷新、优化，并能对新模式、新业务和新系统的上线结合实际情况及时制定相应的流程规范，确保各业务流程和各管理环节均有据可依。四是内部控制体系的执行关键要落实到人，更需要企业各级人员的参与和配合，要以明确部门职责、落实主体责任为主线，强化员工风险防范意识和内控责任意识，使得企业管理层和全体员工对于内控风险管理的理解不断加深，推动各单元自主进行内控风险的自我管理和监督，加快企业形成内部控制文化，促进公司内控管理能力不断提升。

（二）健全重大风险防控机制，强化重点领域内控执行。企业要进一步完善风险防控机制，可以组织各层级、各部门参与到企业风险信息识别、风险应对措施制定的过程中去，聚焦高风险领域和管理热点，搭建“全员、全过程、全体系”的风险管理防控机制，促进风险管理的各层防线能有效落地。在各基层业务单元执行层面，可以通过明确业务目标和执行要求，在业务开展时即有效预防风险。在以财务为主的风险管理委员会层面，要充分发挥大监督的作用，对各业务单元风险和控制体系设计有效性和执行有效性进行定期管理及风险评估。在内外部审计层面，要适时对企业内部控制和风险管理的合规性与有效性进行独立审计。企业要特别将风险防控的理念融入重点业务流程和关键控制环节，并强化关键岗位和流程的授权管理与权力制衡，定期开展重点领域内控管理的执行分析，如联合前端业务单元共同梳理评估新业务领域风险，以合理设计风险防控要求，推动内部控制要点融入到业务制度和操作规范，通过采用业务视角和业务语言，阐明控制流程和执行要求，逐步实现风险防控与业务发展的动态融合，确保内部控制制度和风险管理机制执行有效。

（三）优化内控风险分析模型，加强监督评价闭环管理。通信企业要充分发挥本行业的IT技术优势，利用企业现有的信息化系统，整合业务端和财务端的信息数据，进一步推进内控风险管理信息平台的建设，建立基于大数据的风险分析和预警模型，提升风险分析和防控效果。要定期全面实施企业自评，强化上级单位监督评价和内外部审计监督，要覆盖公司层控制、业务流程执行层控制、信息化技术整体流程控制等，既要保证内部控制监督评价覆盖的全面性，也要对高风险及管理难点、热点问题进行重点审计和跟踪，确保客观、真实地反映企业管理中所存在的内控缺陷和风险问题。内控风险的监督评价还需强化闭环管理，要将评价结果及时反馈于内控设计和执行部门，倒推内部控制流程和执行内容持续优化，倒推相关业务管理制度持续完善；并将评价结果及时运用到责任追究和经营业绩考核中，从而强化制度执行力，促进企业提升内部控制的管理能力，持续防范企业的管理风险。

四、结语

全面内控与风险管理体系建设是循序渐进和逐步完善的，持续提升内部控制和风险管理的能力，能够推动企业实现高质量和可持续发展。不断健全以风险为导向的全面内控与风险管理体系，可以更好地促进企业规范运营和高效管理，促使企业更好地遵循相关监管规定，合理保证财务报告的真实性和完整性，对于提升企业内部治理水平和风险防控能力，持续提升企业价值具有积极的作用。