中国电信运营企业内部控制与全面风险管理研究

来源:用户上传      作者: 沈锋

　　【摘要】2002年7月30日《萨班斯――奥克斯利法案》（SOX）颁布后，中国几大电信运营企业按照COSO框架建立和实践了内部控制管理，取得了较为显著的成效，但也在内控建设实践中暴露出一些的问题，需要寻求优化与持续改进的路径。此外，国资委正式发布了《中央企业全面风险管理指引》的通知，要求中央企业主动地建立企业全面风险管理体系。本文将通过对中国电信运营企业内控体系建设、风险管理现状的分析，对如何运用全面风险管理体系持续完善、优化内部控制提出一系列的建议与措施。
　　【关键词】内部控制；全面风险管理；新机制；电信运营企业
　　一、中国电信运营企业内控体系建设的现状及进行全面风险管理必要性
　　为了满足美国《萨班斯――奥克斯利法案》和PCAOB的监管要求，加强公司内部控制管理，防范企业经营风险，在美上市的中国四大电信运营商自2003年下半年起就先后开展了“与财务报告相关的内部控制体系”建设工作。中国四大电信运营商经过几年的内控建设，内控工作从无到有，取得了很大成效，但同时也存在一定的问题，主要表现为，中国电信运营企业在进行内控制度建设、执行和评估中，对具体业务层面的风险考虑较多，缺乏对企业面临整体风险的系统考量和相应的从内控角度的整体对策研究，缺乏企业整体的、系统的、全面的风险评估体系，控制措施的制定、执行和评估需要进一步把握风险、成本与效益的平衡等，这些问题的解决需要从全面风险管理的角度进行切入。
　　此外，国务院国资委作为中央企业的出资人，高度重视中央企业的全面风险管理工作，下发了《中央企业全面风险管理指引》，要求中央企业在3年内建设符合企业自身特点的全面风险管理体系，并将风险管理工作纳入国资委绩效考核范畴，李荣融主任特别强调：“企业最大的本事就是化解风险”。这标志着中央企业全面风险管理时代的来临，作为中央企业的中国电信运营商必须要逐步建立全面风险管理体系。由于目前中国电信运营企业目前所进行的内控工作主要关注的是与财务报告相关的风险，工作方法及思路与国资委要求的全面风险管理并不完全相同，需要中国电信运营企业从全面风险管理的高度对内部控制制度建设进行优化与持续改进，推动内部控制体系建设走向全面风险管理。
　　二、中国电信运营企业风险管理的现状分析
　　中国电信运营企业虽然在内控建设过程中风险管理有所涉及，但是风险管理不够全面、系统。
　　1．从总体上看，中国电信运营企业风险管理水平较低，风险管理理念不强。（1）风险管理作为一种管理职能还基本上没有被融于我国企业管理中，企业经营基本上还是财务型控制被动经营，企业发展的总体决策在相当程度上缺乏风险管理理念。（2）企业风险管理技术水平低，风险评估缺乏有效的评定标准，风险控制方式相当有限，在风险控制过程中，以事后控制为主要控制方法，对风险的事前控制重视不够。
　　2．较为注重显性风险管理，对隐性风险管理重视不够。目前，中国电信运营企业在企业业务考核导向上，注重规模和速度，强调业务增长量，忽视企业发展的质。在某些方面还存在着企业决策和经营中的短期行为，对企业发展战略长远性研究不够；在公众对企业的信任度方面，未能充分重视恶性竞争欺骗对社会公众产生不良影响；在制度法律建设方面，也存在着对企业发展的制度环境和法律基础建设重视不够的问题。
　　3．未能建立起有效的风险管理信息系统，风险管理决策缺乏依据。各类风险数据、损失数据是企业经营管理的基础数据，在相当程度上也可以说，中国电信运营企业可以通过扩充丰富这类资源，提高企业的经营水平和业务范围。风险管理的技术和经验，对有关的风险管理模型的构建能力均比较缺乏。
　　4．风险管理人才不足。由于企业风险管理既包括风险投资、经营管理，又包括公共关系、提供法律咨询；既包括企业内部的风险管理，又包括同行业间的风险管理；既包括显性风险的管理，又包括隐性风险的管理。长期依赖，风险管理理念薄弱、管理实践经验匮乏，导致在风险管理上的人才比较缺乏。
　　三、中国电信运营企业如何运用全面风险管理体系持续完善、优化内部控制
　　中国电信运营企业应该运用全面风险管理手段，对企业面临整体风险进行系统的考量，努力构建体现全面风险管理的内部控制新机制，不断提升内部控制的活力与执行力。
　　1．构建全新的内部控制组织体系原则。一是全面风险管理原则。实施全面风险管理的关键在于构建完善的内部控制系统，但目前，电信运营企业内控体系与全面风险的要求还存在较大的差距。内部控制要遵循全面风险管理的原则，即：一是全员管理原则、全过程管理原则、全方位风险管理原则。二是分层管理原则。即将风险管理的决策、管理、操作职能分别赋予不同层次的机构，形成金字塔型的组织架构。三是风险管理关口前移原则。将风险的日常监控职能直接设置到业务经营部门内，使风险管理更贴近市场，有利于及时发现风险、控制风险，体现风险管理与业务管理平行作业的特征。四是协调与效率原则。要保证部门之间权责划分明确、清晰，便于操作；保证部门之间的信息沟通方便、快捷，准确无误，保证企业经营管理系统的高效运作。
　　
　　图1某省电信运营企业全面风险管理的“三道防线”组织架构
　　2．做好风险监测与识别。风险监测和识别包括通过跟踪国家宏观政策、行业状况、电信市场以及监管法规等有关情况识别市场风险和操作风险。对风险的识别是准确度量风险的前提，电信运营企业必须通过监测系统保持对内外部事件的敏锐性，首先做出事件“是否是风险，是什么类型的风险”的判断，才能对风险程度和大小进行分析，并在此基础上进行风险预警和处置。电信运营企业风险监测与识别举例：市场风险包括所有市场前端在运营中的风险，如资费风险、客户忠诚度风险、业务开展风险等；财务风险包括所有产生于各种具有财务性质的交易之中的风险，如资金安全性和流动性风险、市场利率风险、外汇汇率风险、预算和计划风险、投资决策风险、关联交易风险、财务报告信息真实性风险等。运营风险包括产生于网络运营过程中的各种风险。如自然灾害风险和人为破坏风险等。法律风险包括因企业行为违法或者不符合法律法规的要求而承担法律后果的各种风险。如劳动用工方面的风险、知识产权、业务协议、新业务拓展经营过程中出现的法律风险。
　　3．做好风险评估。对风险信息、各项业务管理及重要业务流程进行风险辨识、风险分析和风险评价，掌握风险的分布情况和影响程度，从定性和定量两个方面建立一体化的风险管理体系，通过绩效考核导向进行风险评估及应对的落地。
　　
　　图2某电信运营企业风险评估的定性与定量体系（节选）
　　4．构建具有本企业特色创新风险管理理念与风险管理手段。电信运营企业应该将将全面风险管理作为企业文化的一部分，进行宣贯、培育，同时要多学习和借鉴其他企业风险管理的技术和经验，根据电信运营企业的具体业务特征与风险点，积极探索适合本企业的内部控制管理新方法。只有这样，全面风险管理的理念才能真正溶入到实际工作中，创造一种优良的风险管理文化，改善内部环境，采取切合实际的风险管理技术与模型，全面风险管理体系才能得到发展。
　　5．构建切合实际的内部控制评价机制。中国电信运营企业应根据自身的实际情况，通过确定风险控制环节，落实各部门的岗位管理职责，并对各部门的控制状况进行定期检查、评价和考核，强化风险管理责任，提高全员风险防范的意识和能力，从而有效地推进全面风险管理，实现从风险部门的防范转向全企业、全员防范，将内部控制管理由个人行为提升到企业的整体行为，使企业的内控管理水平不断提高，从而全面有效地控制经营风险。
　　综上所述，风险防范既是企业管理的必要部分，也是内部控制机制建立的内在动力。中国电信运营企业应该从全面风险管理的高度建立、优化内部控制系统，降低风险对企业的影响程度，从而实现企业整体目标。
　　
　　参考文献
　　[1]保罗・萨班斯，迈克・奥克斯莱．2002年萨班斯奥克斯莱法案．中注协翻译．2004
　　[2]宋建波．企业内部控制．中国人民大学出版社，2004

转载注明来源:https://www.xzbu.com/2/view-607397.htm