企业内部控制与风险管理制度总体框架构建——以中国联通公司为例姚晓蓉一、研究背景中国联合网络通信有限公司(以下简称“中国联通’，)于2008年10月15日由原中国联通红筹公司、中国网通红筹公司合并成立。

其前身之一的中国联合通信有限公司是经国务院批准、于1994年7月19日成立的我国唯一一家能够提供全面电信基本业务的综合性电信运营企业，对我国基础电信业务领域引入竞争、促进国内电信事业改革与发展起到了积极的作用。

重组前的中国联通于2000年6月分别在香港、纽约成功上市，进入国际资本市场，并于一年之内成为香港恒生指数股，之后又于2002年10月回归国内A股市场，成为国内唯一的海内外三地上市的电信企业。

作为在美国上市的中国联通，自2006年年报开始必须按《萨班斯一奥克斯利法案》(SOX)的要求，向美国相关机构提交管理层对内部控制体系、控制程序有效性的证明以及内部控制机制评价报告。

同时身为国内A股的中国联通，必须从2009年7月1日起按财政部颁布的《企业内部控制基本规范》要求，建立与实施有效的内部控制。

对于中国联通来说，加强内部控制是公司提高经营管理水平、保持可持续发展的必然选择，也是证券监管机构对上市公司加强监管的客观要求。

中国联通经过十多年的跨越式发展，网络、资产、收入规模都大幅度提升，同时也在美国、香港、上海三地成功上市，成为我国一家大型基础电信运营企业。

但与业务快速发展和企业整体规模迅速扩张不相适应的是，公司原有内部基础管理工作薄弱，重发展，轻管理，风险控制方面还存在一定漏洞。

COSO报告指出，内部控制是一个过程，受企业董事会、管理当局和其他员工影响，旨在保证财务报告的可靠性、经营的效果和效率以及对现行法规的遵循。

它认为内部控制整体架构主要由控制环境、风险评估、控制活动、信息与沟通、监督五项要素构成。

我国于2008年5月发布的《企业内部控制基本规范》中也规范了大中型企业内部控制的基本要素：内部环境、风险评估、控制活动、信息与沟通、内部监督。

中国联通自2003年底开始按照《萨班斯一奥克斯利法案》第404条，围绕经营效果和效率、财务报告真实性、遵从法律法规三个目标，建立了一套渗透所有业务及场所的内部控制制度、管控机制以及控制责任体系。

本文以此为例来论述企业内部控制与风险管理制度总体框架构建的有效途径。

二、中国联通内部控制环境的构建COSO对内部环境的描述是：内部环境包含了一个组织的基调，影响人们对风险的认识，并且是其他所有风险管理组成的基础(为之提供约束和结构)。

内部环境要素包含一个企业的风险管理哲学、风险偏好、董事会的监督、诚信和道德观、员工的能力、分配权责的方式以及如何统计和提高员工的能力。

一个组织的内部环境对企业内部控制的执行和效果有着显著而关键的基础性影响。

我国大多数上市公司，不是没有建立相应的控制系统，而是由于存在于控制环境中的缺陷导致会计控制系统和管理控制系统失效。

对于中国联通而言，控制环境已经比控制过程更为重要。

内部控制设计的重中之重是弥补当前控制环境中存在的缺陷，正如COSO所说，内部控制环境是其他因素构建的基础，如果基础中存在极大的缺陷，其他因素即使构建得再完美，也只是宅中楼阁。

2005年3月25日，中国联通向境内外资本市场披露新疆、江西两个分公司重大会计差错和内部控制缺陷，2002年多计净资产1900万元，2003年多计净利润6600万元，涉及签订虚假设备、仪器、仪表租赁合同采购手机、挤占工程成本和运营成本等情况，导致虚出收入、少提坏账准备金，从而发生财务报表反应不实。

虽然中国联通已在2004年合并利润表中对上述不当会计记录及会计差错进行了调整，但仍给公司造成了较大影响，资本市场认为这问题反映了企业在财务内部控制方面的重大弱点。

分公司签订虚假设备租赁合同采购手机的行为，暴露了中国联通公司在内部控制环境方面存在如下缺陷：相关人员缺乏职业道德，不讲诚信：授权不当，权力相对集中在少数人手中；未分离不相容职务，缺乏相互牵制；举报机制不健全，问题难以向I二反映；责任追究制度不健全，作弊者没有压力；监督机制小健全，未能及时发现问题等。

中国联通在内部控制环境构建时认真分析了其内部控制环境方面存在的诸如管理者风险管理意识、员工道德规范风险、治理结构风险、政策导向风险、舞弊行为风险、IT系统安伞风险和不当授权风险等七个方面的主要风险，并为防范这些风险提出了相应的应对措施，如完善公司治理结构，调整审计委员会职能，开展独立内部控制评估，建立真正意义上的公司法人治理结构，使权力有所制衡；完善绩效管理与政策导向，建立相对公平完善的激励机制；建立反舞弊制度及约束机制：建立与财务报告数据有关的IT系统总体控制和应用控制；强化管理层的风险管理意识，提高控制风险的能力：加强员工的道德规范和诚信建设，提高伞员职业道德水平；建立和完善各项制度和政策等，最终目的是提高员工职业道德，使之不愿舞弊；增强员工法律意识，使之不敢舞弊；完善各项控制制度，使之小能舞弊。

三、中国联通风险评估与防范机制的构建为确保企业持续、稳定、健康发展，提高企业风险管理水平，增强企业经营风险防范意识和控制能力，国有资产监督管理委员会发布了《关于2009年中央企业开展全面风险管理工作有关事项的通知》，要求各企业全面加强风险管理。

作为要心对《萨班斯一奥克斯利法案》的中国联通，尤其是在重组整合没有完全到位的过渡期，更需要建立一套与其发展战略相适应的伞面风险评估和防范体系。

以现金提取管理为例，可能会出现如卜．三个风险点：未经授权或超出授权范围提取现金，引起现会被挪用或占用，影响资金安全性：现金支票的内容出现错误或与申请单不一致，将会影响资金的准确性、完整性和真实性；现金及支票在交接和提现过程中丢失或交接不清，将间接影响资金的安全性。

中国联通可以从以下方面着手，建立一套风险评估与防范机制，从而防范以上风险：1．制定规范的风险评估与管理制度、流程。

要明确风险管理的部门及职责分工，确定风险评估及管理的流程，制定相关的风险管理措施，还要对各级分公司的风险评估工作定期评估并出具评估报告，评估报告要上报董事会或审计委员会。

2．将信息和沟通贯穿于风险评估始终。

管理层要能够获得真实、可靠的数据，对风险及潜在的风险进行评估：要将已经审批过的风险管理办法向相关人员传达，以确保风险管理措施得到落实；要向公司员工强调建立一个有效的内部控制体系是公司的首要任务，高级管理层终常与部门主管开会沟通对公司主要领域内部控制的要求以及风险评估结果及风险的变化，使他们理解并落实内部控制责任，确保企业经营活动控制在可接受的风险范围内：总部各部门、各省级分(子)公司要定期向公司管理层报告风险管理措施和实施效果。

3．定期监督风险评估工作。

(1)管理层要自我监督。

总部各部门、各省级分(子)公司管理层通过对内部控制系统的日常监督检查与定期自我评估，对反舞弊控制措施和政策落实情况进行监督。

对内部控制系统的FI常监督活动要有完整的文档记录，每年至少进行一次自我评估，并提交书面报告。

(2)内部审计部门要实行定期监督。

公司内部审计部门在各部门日常监督与定期检查的基础上，按照风险重要程度和发生概率，确定评审的范围，每年对公司内部控制系统运行的健全性和有效性进行一次总体评价，并向公司管理层和审计委员会提交评价报告。

内部审计部门对公司风险管理过程的充分性和有效性进行检查、评估、报告，并对风险管理过程中存在的缺陷提出改进意见。

(3)审计委员会进行监督。

审计委员会对公司风险管理过程的充分性和有效性进行监督。

(4)整改。

总部各部门、各分(子)公司对日常豁督检查中发现的内部控制缺陷、外部审计师和外部监管部门揭示的内部控制缺陷、顾客和设备厂家的投诉报告以及内部审计部门定期评估中发现的内部控制缺陷，进行汇总和分析，根据重要性及影响程度进行分级管理，落实责任部门，采取有效的整改措施，以避免或减少损失，并建立整改效果跟踪机制。

四、中国联通内部控制活动及控制文档的构建控制活动与控制文档是内部控制框架中的核心内容。

COSO报告认为，控制活动是确保管理层的指令得以实现的政策和程序，旨在帮助企业保证其针对“使企业目标不能达成的风险”采取必要的行动。

我国《企业内部控制规范》中这样描述：“企业应当结合风险评估结果，通过手工控制与自动控制、预防性控制与发现性控制相结合的方法，运用相应的控制措施，将风险控制在可承受的范围之内。

控制措施。

一般包括不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。

”在重组之前，为应对《萨班斯一奥克斯利法案》，原中国联通和中国网通均已建立了比较全面的控制活动流程和控制文档。

如江苏联通在2006年就按资本性支出、收入、成本费用、资金及资产管理、财务报告和其他人大类梳理出425个流程，但内部控制体系合并后，大量公司层面和业务层面的流程将会发生变化，需要重新对相关的内部控制流程和控制文档进行修订和补充。

中国联通经过分析研究，列出以下控制活动的关键措施，同时加强了控制文档的建设：首先，建立完善的会计政策和程序并加以贯彻执行，确保财务报告符合国家法律法规；其次，建立完善的财务报告制度和标准的期末财务报告程序，确保期末财务报告的披露符合相关标准；再次，明确责任分工和岗位职责，确保交易及资产处置有适当的授权和审批；第四，建立完善的经营业绩分析体系，科学评价各分(子)公司的经营业绩；第五，建立全面预算管理体系，科学预测各分(子)公司的牛产经营和财务状况。

以有价卡管理为例，电信企业移动业务有价卡一般分为充值卡和手机识别卡两人类，并视为现金管理，有价卡的控制日标为各种卡类业务的进、销、存等全部通过系统管理控制：系统保证支撑卡类业务资费变动的需求，准确按现金流报告收入；实物与财务定期核对，做到账实相符。

围绕以上控制目标，制定如下规范管理措施：有价卡进、销、存必须由系统管理，达到销售时点与系统激活时点同步：手机识别卡如不能实现销售和激活同步，必须存销售时由营业前台根据收款金额实时充值，严禁在销售前预置话费；有价砖要区分激活和未激活状态分库、分账管理；激活卡要视同现金单独库存管理，不能与其他卡混淆，并由财务部重点监控；严禁赊销，所有售卡一律实行买断制，确保资金到账后付卡；每月组织有价卡的全面盘点，及时处理过期卡：每月及时对账，核对激活卡入库面值、系统数据、出库金额和销售金额；建立和规范执行会计业务确认办法，明确预收账款、应收账款、收入确认等会计核算以及各类全国漫游卡、省内漫游卡结算规则，确保漫游结算及时和会计核算准确；对与生成会计信息相关的业务信息的内容、格式、信息产生频率、信息提供流程等进行统一规范；完善计费系统支撑各类优惠业务准确报告收入的功能：要求各项新业务推出前，应及时与计费部门沟通，确保计费系统支撑后再开通；计费部门按收入确认原则实现系统自动生成出账收入报告；明确会计业务核对内容与流程，建立会计与部门每月必须定期对账的稽核控制制度；全国实施集中管理公司各类业务数据。