【中国电信运营商ＳＯＸ内部控制实践研究】2017内部控制最新案例

　　摘要：本文分析了中国在海外上市的电信运营商内部控制的特点，重点介绍了电信运营商遵循SOX法案的实践情况。研究发现，通过法案的遵循工作，我国电信运营商无论在内部控制体系的建设。以及企业流程再造和管理提升方面都得到了显著的提高。电信运营商遵循SOX法案的成功实践为其他上市公司加强内部控制管理提供了有益参考价值。
　　关键词：内部控制　SOX法案　中国电信运营商
　　
　　一、引言
　　
　　为了遏制上市公司的财务舞弊，重建投资者信心，提高投资者所依赖的财务报告的信息质量，美国国会于2002年颁布了《公众公司会计改革与投资者保护法案》，(PublicCompanyAccountingReformandInvestorProtectionAct)，通常称《萨班斯奥克斯利法案》(arbanes-OxleyAct，以下简称SOX法案)。这是美国自《1933年证券法》以来改革范围最广、力度最大的一项法律，SOX法案在会计行业及证券市场监管、公司治理等许多方面都做了突破性变革。目前我国三大电信运营商均在美国上市，每年均面临SOX法案的严格审核，公司的内部控制执行情况能否顺利通过外部审计的检查。将会对公司发展及在资本市场的表现带来非常重大的影响。同时SOX法案的执行，也使各电信运营企业积极正视自身内部控制建设情况，通过不断完善公司内部控制管理强化企业风险管理能力，提升企业运营管理水平。电信行业是一类特殊的服务性行业，在生产运作、经营管理等方面都不同于其他制造类企业，因此，其内部控制必然会受到自身行业特点的影响，主要表现在以下方面：生产和销售的同时性，要求加强事前、事中控制；全程全网，联合作业。大多数的业务和生产需要涉及集团、省、市各级运营网络，这些网络间的结算业务必须要有统一的规范和要求；资金和技术的密集性，要求高度关注内控体系的风险评估因素。电信企业是资金和技术双密集型企业，电信行业的投资通常数额建设周期长，从建立网络到开展业务需要一个相对漫长的过程；产品成本的不易确定，使成本控制具有独特性。电信运营商是通信服务类企业，建设固定通信网的固定成本，即是网络运营、维护的边际成本。这些成本对于核算整个企业的最终润是比较明确的，但如何将成本合理分摊到每一种产品、每一类用当中去，从而确定电信服务的产品和客户成本，则是一个世界电信范围内的难题。本文结合中国电信运营企业在执行SOX法案过程中内部控制建设实践，探讨在目前管理条件下，电信运营企业基于SOX法案内部控制体系优化完善思路，为我国更多企业提供内部控制建设的借鉴意义。
　　
　　二、中国电信运营商执行SOX法案内部控制实践
　　
　　(一)电信运营商执行SOX法案内控设计实践　电信运营商执行SOX法案内控设计实践的主要内容包括以下方面：
　　(1)电信运营商遵循SOX法案进行内控设计的主要内容。电信运营商在遵循SOX法案工作中主要分为内控设计和内控测试两部分工作。有效的内控设计是开展后续内控测试和持续改进的标准和基础。内控设计阶段的主要工作成果是内部控制手册和内部控制矩阵的建立，内控手册和内控矩阵是后期开展测试和评价工作的标准与依据。电信运营商的内部控制手册主要涵盖了公司层面的控制；流程层面的控制；IT内部控制或信息技术整体控制。本文以某运营商的内部控制手册为主要参考，介绍我国电信运营商在执行SOX法案实践中对内部控制所规定的主要内容。一是公司层面的控制。公司层面的控制是指集中于公司管理、重大决策层面以及对全部或多项流程、交易具有普遍深入影响的内部控制。在公司层面控制的规定方面，我国电信运营商均采用COSO内控框架的规定，一般从控制环境、风险评估、控制活动、信息及沟通、监控五个方面进行规定。控制环境。电信运营商在内部控制手册中对控制环境的规定主要包括：正直守德的价值取向，公司管理层必须传递一种信息，即在正直守德的价值取向上是不能妥协的，员工也必须收到并理解这种信息。管理者必须立言、立行以昭示其高水平的道德标准；胜任能力，公司管理者必须明确每一工作岗位所需的能力水平，并将此能力水平具体化为所需知识和技能。公司应用正式或非正式的职责描述或其它方式定义某一职位的具体工作，并充分分析开展具体工作所需的知识和技能；董事会及审核委员会，一个积极有效的董事会及审核委员会，能够提供重要的监督功能。而且由于管理者通常有能力凌驾内部控制，董事会对于确保进行有效的内部控制具有至关重要的意义；管理哲学和经营风格，管理哲学和经营风格通常对企业有普遍深入的影响。这些影响是无形的，但可以找到一些积极和消极的标志；组织架构，公司的组织结构既不可过于简单以至于不足以对企业经营进行适当监控，同时也不可过于复杂而阻塞信息流转。高层管理人员应当完全理解其控制责任并具备与其职位相称的必要的经验和知识水平；职权和职责的分配，职责的分配、职权的下放和相关政策的制定为确立权力义务、内部控制以及明确个人的角色分工奠定了基础；人力资源政策和实务，适当的人力资源政策对于企业招聘并留住有能力的员工，以确保企业计划正确执行并达到既定目标，具有决定性的作用；信息技术战略规划，信息技术战略规划是企业为满足业务需要所制定的长期规划，该规划需平衡优化信息技术发展的机会与企业业务需求问的关系，以保证信息技术可以得到实施和完成；教育和培训。二是风险评估。风险评估部分的关注要点主要包括：公司层面目标。测试公司层面目标和公司战略计划、以及当前市场形势的一致性和吻合度；经营活动层面目标。测试经营活动层面目标与公司层面目标和战略的关系，以及与各重要业务流程之间的关系；风险。测试公司确认风险的机制是否适当，风险分析程序的详尽性和相关性，以及对风险的防范措施是否有效得当；管理变化。测试公司是否存在一种机制，可以凭借其预测、确认影响公司层面或经营活动层面目标实现的这类事件和活动，并做出正确反映；新的产品线、新产品、新的经营行为或并购。测试是否能合理地预测经营和财务结果，是否有对应于新产品线、新产品和新的经营行为的信息系统和控制活动等；新技术的出现。测试是否存在一种发挥新技术优势、控制新技术的应用、以及将新技术应用于生产流程或信息系统的机制；经营。测试管理层是否遵守了海外业度、商业和社会文化，以及当国外经营单位的制被扰乱时，是否存在适当的替代程序。三是控制活动。控制活动包括一套全面的政策和相关的执行程序，从而确保管理层的指令得到正确执行。这些政策和程序有助于企业采取适当措施管理风险。从而确保企业目标的实现。四是信息及沟通。对信息和沟通主要关注的方面包括：获取外部信息，并提供给管理者有关企业经营成果是否达到其既定目标的必要的报告；将足够详细的信息在适当的时间内提供给正确的受众，使其能够有效率地并有效果地履行其职责；开发或修改信息系统，加强其与企业集体战略的联系，同时增加信息系统对于企业是否达到其整体和控制活动层面目标这一问题的敏感程度；是否投入适当的资源(人力和财方)。这标志着管理者对开发必须的信息系统的支持程度；员工的义务和控制职责是否得到有效沟通；是否存在一定渠道以便员工反映其发现的可疑情况；管理层对待员工在 生产、质量管理或其他方面合理化建议的态度；组织内部沟通的充分性(如采购和生严活动之间的沟通)、信息的完整性、及时性以及信息是否足够详尽以便员工能够有效地履行其职责；与顾客、供应商和其他外部单位就顾客需求变化问题进行沟通的公开性和有效性；外部单位在多大程度上意识到企业的道德标准；当收到顾客、供应商、监管者和其他外部单位的信息后，管理层采取行动的及时性和合理性。五是监控。持续监控。员工在进行日常工作时在多大程度上能够获悉内部控制系统运行的情况；多大程度上与外部单位沟通而获取的信息能够对内部信息加以验证，或发现内部信息的问题；以及是否重视内部和外部审计师的建议以改善和加强内部控制等。个别评价。个别评价包括自我评估和独立评估。主要测试控制系统个别评价的范围和频率是否恰当，以及个别评价流程的适当性。缺陷汇报。测试是否存在确认和报告内部控制缺陷的机制，以及内部控制缺陷报告方式的适当性和采取进一步措施的适当性。
　　(2)流程层面的控制。流程层面的控制是指运营商根据SOX法案的遵循要求和COS0的管理机制，将与财务报表相关的全部业务和管理过程划分为若干个流程进行具体控制点的规定和控制。具体而言，某运营商的内部控制手册将全部经营过程分解为11个流程，分别是资本性支出业务流程、收入和计费业务流程、存货管理流程、营运支出业务流程、货币资金管理流程、固定资产和无形资产业务管理流程、人工成本管理流程、会计和财务报告、筹资业务流程、关联方业务流程、法律法规遵循业务流程。
　　(3)IT内部控制或信息技术整体控制。SOX法案中内控审计要求的出台，提升了IT控制在企业内部控制中的重要性，也对电信运营商IT设施的安全性提出了更高的要求。某运营商内部控制手册中涉及到与财务报告相关的IT内控系统共有11个，分别为：BOSS系统，MIS财务系统、0A系统、智能网系统、WAP系统、网络和基础设施、MISC系统、经营分析系统、彩铃系统、久其系统、交换机系统。
　　(二)电信运营商执行SOX法案内控测试实践电信运营商执行SOX法案内控测试实践的主要内容包括以下方面：
　　(1)电信运营商开展SOX法案内控测试的目的。SOX法案要求：有限公司管理层需要对与财务报告相关的内部控制设计有效性和执行有效性做出评价，其中内部控制执行有效性的评价是建立在内部控制执行有效性的测试结果之上；执行有效性的测试工作是继流程记录、缺陷修补后的又一项重要工作，其目的是在审计师独立测评前，采用特定的方法，验证与财务报告相关控制点在实际执行中的有效性，即确定各业务流程的处理是否依照《内部控制手册》的规定执行，及时向项目管理委员会报告测试结果和失效控制点的整改建议，监督整改落实情况，为公司出具内控评价报告提供依据。
　　(2)电信运营商开展SOX法案内控测试的主要方法。一是检查式测试。检查式测试主要包括：测试目的。这种测试方法主要应用于上级单位对下级单位SOXen情况的检查。如集团公司对各省公司SOX执行情况测试，各省公司对下属市级公司执行情况的测试。检查式测试的测试结果一般会与下级公司的绩效考核进行挂钩，以促进各级公司对SOX法案遵循工作的重视，确保遵循工作得到有效执行；测试的组织方式。检查式测试的组织方式主要有两种，第一种方式是由集团公司抽调各省内控管理人员组成多个测试组，在省与省之间进行交叉测试。这种方式的优点是测试组成员均为公司内部成员，对公司业务熟悉程度高，容易发现SOX控制点执行中存在的问题，同时通过交叉测试，也锻练了公司内部的测试队伍。这种方式的缺点主要是成本较高，而且由于测试组成员均为公司内部人员，容易存在不能严格把关的问题。第二种方式是由集团公司招标确定外部会计师事务所协助开展测试，具体测试人员由中介机构人员担任。这种方式的优点是较好的保持了测试组的独立性，对测试结果严格把关，确保了测试的真实性和客观性；测试的主要方法(查询，“查询”是在公司内向财务和非财务等有关人员中寻找信息的过程。“查询”广泛地被应用在测试过程中，并且经常作为对执行其它执行有效性测试方法的补充；测试人员评估被查询者的反应是查询过程中的一个组成部分；审阅文件资料，是指测试人员检查与生产经营、财务活动的有关资料和控制点执行的书面证据等。通过“审阅文件资料”，了解控制制度和流程，并证实该控制点已被执行；现场观察，是指测试人员对公司实物资产、有关业务活动的操作过程及其内部控制的执行情况等进行的实地察看，以了解控制的执行情况是否符合有关内部控制规定。是否与书面资料的记载相符；重复验证，指测试人员根据控制点执行程序重新做一遍，并把重做结果与原有结果进行比较、分析数据，从而判明内部控制制度是否有效。如果处理后的新结果与原处理结果相同，则说明内控制度已发挥了其功能)。二是常态化测试。常态化测试主要包括：测试目的。常态化测试主要应用于各单位开展的自测，如市公司和省公司。通过开展常态化测试，自我评估SOX控制点执行情况，及时发现问题解决问题，确保检查式测试和外部审计时能顺利通过；测试的组织形式。常态化测试的组织形式有两种。第一种是开展流程式自测，公司内部按照内部控制手册划分的控制流程成立跨部门的流程测试组，对每个流程内所有控制点执行情况开展测试。这种测试方式的优点是能够系统性考虑一个流程内控制点彼此之间的关系。同时跨部门流程测试组的测试员由多个部门成员组成，减少了部门与部门之间的协调难度。这种测试方式的缺点是需要公司内部多个部门同时开展自测，组织难度较大。常态化测试的第二种组织方式是开展部门自测，这种最常使用的常态化测试方式。这种测试方式的优点是每个部门自行组织开展部门内负责控制点的自测，方式灵活，发现问题可以及时整改。这种方式的缺点是有一些控制点涉及到多个部门同时负责，单纯一个部门开展测试，可能无法发现同一个控制点在其他部门存在的问题，缺乏测试的整体性和系统性。鉴于以上情况，常态化自测开展一般采取流程式自测和部门式自测结合开展的方式；测试的主要方法。常态化测试的主要方法和检查式测试相同，主要有询问、审阅、现场观察、重复性验证等。三是咨询式测试。咨询式测试主要包括：测试目的。咨询式测试是一种非常规测试方式，主要用于对执行有问题，且整改难度较大的控制点开展专项测试。常规的测试方式主要检查控制点的执行情况，测试方式较为简单，但对于发现问题的后续整改情况缺乏跟进程序。咨询式测试在常规测试方式的基础上，重点对难以解决的“老大难”问题开展后续整改的跟进，促进发现问题的整改解决；测试的组织形式。咨询式测试由测试的牵头部门，对于运营商而言，一般是内审部来组织实施。由于咨询式测试更侧重对执行无效且难于整改的控制点开展，因此咨询式测试的组织方式更多是采用调研、访谈、联席会议、专题分析等形式开展，有别于传统测试方式。咨询式测试横向组织方面主要由内审部、控制点涉及的负责部门共同组成联合攻关小组，纵向组织方面涉及集团、省、市公司相关部门，因为部分控制点存在的执行问题需要横向、纵向各环节一体化运作才能得以解决。咨询式测试是SOX法案遵循测试的高级形式，也是一种衍生出来的风险管理的增 值模式，通过咨询式测试，不仅解决控制点本身执行问题，还能从更深入的角度优化公司内控管理，真正达到SOX法案对内控的要求。
　　(三)电信运营商执行SOX法案内部控制实践效果分析　电信运营商执行SOX法案内部控制的实践效果总结与分析：
　　(1)电信运营商执行SOX法案存在的困难和问题。一是执行成本过高。SOX法案旨在加强公司内部控制，它要求每个上市公司均须将公司任何一个岗位的职务、职责描述得一目了然，而这项工作需要大量材料和文件支持。为了达到SOX法案的要求，上市公司要保证在对交易进行记录的每一个环节都有相应的内部控制制度。此外，公司还要指出内部控制的缺陷所在。显然，要完成这些工作绝非易事，特别是对于组织分散、业务范围复杂的大型公司而言，组织越分散，业务越复杂就意味着要做的工作越繁杂，这促使他们不得不投入更多时间来实施SOX法案条款所要求的内部控制措施。因为电信行业自身的特点，中国的三大运营商除了集团公司之外，在每个省区市都有分公司，下面还分别设有市州分公司和县公司，所以在组织结构上呈现出分散而庞大的特征。这就注定了这些公司内部控制的关键点相比于其他企业来说，数量会更多，管理的成本也会更大。二是管理难度较大。根据美国审计总署(GAO)2006年发布的调查报告，一些被调查的中小型上市公司讲，在执行SOX404的第一年，公司首席财务执行官和财务主管大部分的工作时间用于处理有关遵循萨班斯条款的问题；将近一半的被调查公司为了执行SOX404N推迟或取消了改进公司经营活动方面的活动。在中国电信运营商执行SOX法案过程中，同样存在着管理难度大、耗时耗人的问题。某运营商副总裁曾经在一次SOXN全国电视电话会议上提到：SOX法案遵循工作的开展，一定是沿着先僵化、后优化的道路进行的。在SOX法案遵循工作初期，为了达到外审测试的有效结论，各运营商在短时间内调整了大量的业务运作流程和执行细节，增加了很多管理环节和表格，如授权记录、审批记录、复核记录等等。这些为了执行SOX法案要求而临时增加的工作环节，在一定程度上增加了管理难度，降低了局部工作效率。三是IT整改工作量较大。由于电信运营商的信息化水平比较高，业务对IT的依赖程度也比较高，因此依照SOX法案要求，完善与财务报告有关的内部控制时，电信运营商的内部控制几乎离不开IT，即使业务控制也是在IT支持环境下的控制。因此，电信运营商完善内部控制几乎可以说是完善IT内部控制，这其中包括IT一般控制和rr应用控制。但是电信运营商的IT内控的现状不容乐观，因此，SOX执行过程中，IT整改工作量很大。这个工作量主要体现在与I略系统相关的工作流程的整改，如各系统密码管理、超级用户管理、安全审计制度管理、人员调离、辞职后在各系统的帐号管理等。由于内控文化的差异，各运营商IT系统原有的内部控制与SOX法案要求相距甚远，因此，在略系统整改工作中，工作量是一个难点，同时，如何在符合SOX法案的要求下，真正提高IT人的内控意识，搭建适合于中国电信运营商实际管理需要的内控体系也是一个难点。
　　(2)电信运营商执行SOX法案带来的优化和提升。首先，提高了电信运营商内控建设的科学性和系统性。在SOX法案实施前，我国电信运营商的内控管理主要基于对会计和财务报表的管理，且管理多处于自发性，内控管理更多的是担任救火队员的角色。根据SOX法案的要求，我国三大电信运营商均须严格按照法案相关条款开展内控遵循工作。在执行SOX法案的过程中，电信运营商逐步提高了内控建设的科学性和系统性。在公司运营的多个风险管理领域参照SOX法案对内控设计及测试的要求和模式，建立类似的内控管理体系，提高了内控管理水平。其次，推进了电信运营商流程再造和管理优化的改革。为了提高企业的核心竞争力和管理效率，各大电信运营商都相继引入了BPR(业务流程重组)、BPM(业务流程管理)等相关系统，但在进行BPR的过程中遇到了一些阻力，如管理层的决心、员工思维和观念的转变、组织的变革、利益的再分配等。SOX法案的实施使内部流程改造，特别是财务流程和相关内控流程的改造，从“可做可不做”转变为“必须做”。管理层的决心、执行的力度、员工的支持程度都有根本的转变，这势必会大大推动企业内部流程再造的进度。只要企业在内部流程再造方面取得了突破，看到了成绩，积累了相关经验，必定会对企业整个流程再造起到相当大的推动作用。再次，提高了电信运营商内控建设中数据管理的及时性和准确性。目前电信运营商普遍存在数据统计口径不一、数据要求和数据接口不一、许多关键的经营及财务数据无法取得或无法及时取得的情况，很难满足SOX法案的要求。这就需要企业从整体角度对数据进行统一规划和规范管理、统一数据模型、统一数据编码、统一数据接口，以实现数据的一致性、准确性和及时性。数据管理水平的提高对增强企业的内控管理水平将奠定良好的基础。最后，增强了电信运营商内控管理的意识。SOX法案的执行涉及到运营商管理的方方面面，从公司运营环境的管理，到固定资产管理流程、存货管理流程、收入计费管理流程、运营支出管理流程、财务报告管理流程等。由于SOX法案的执行遍及企业运营的每个角落，在法案的执行过程中，企业内部从上到下全体人员均感受到内控执行的重要性和紧迫性，提高了全员内控管理的意识，为今后提升企业风险管理水平打下了思想基础。
　　
　　三、中国电信运营商执行SOX法案内控建设的启示和借鉴意义
　　
　　(一)在内控体系建设方面的启示与借鉴意义　首先，借鉴COSO框架，完善内控制度。中国电信运营商按照COSO框架的要求完善内控制度，顺利通过SOX法案的考验。内控框架的构成要素包括控制环境、风险评估、控制活动、信息和沟通、监督方面。COSO认为内控是由企业董事会、经理层和其他员工共同实施的，为达到营运的效率效果、财务报告的可靠性及相关法令的遵循性等目标提供合理保证的过程。我国上市公司可以按COSO建立内控框架，通过引入COSO内控要素，形成一个相互联系、综合作用的控制整体，使单纯的控制活动与企业环境、管理目标及控制风险相结合，形成一套不断改进、自我完善的内控机制。其次，应用信息技术，实施风险管理。通过将现代信息技术应用于企业内部控制中，建立涵盖风险管理基本流程和内部控制系统各环节的风险管理信息系统，从而促进企业实现战略目标、提升营运效率、提高信息质量、保证公司资产安全。企业ERP信息系统是一个综合信息管理体系，覆盖公司经营全过程，实现公司运营数据收集、存储、处理、报告和信息披露的自动化；使所有交易都在系统中进行、所有资源都在系统中受控，所有信息都在系统中得到反映。以信息技术手段实施内部控制，减少或消除人为操纵因素，增强控制程序，确保内部控制的有效实施。在企业ERP信息系统的信息报告基础上，从业务过程风险监控和预警角度出发，建立涵盖全面风险管理流程的风险预警分析系统。风险管理信息系统，可以及时传输企业运营风险状况，为风险管理全过程提供准确的N,g。市场变化日益加速，企业间的竞争日益加剧，都要求各级管理者能及时提供有效、准确的信息，风险管理信息系统的建立，可进行情境分析、量化风险，从而提高风险管理效率及可靠性。最后，做好宣传推广，建设内控管理文化。电信运营商在执行SOX法案过程中，通过多种形式加强对法案和内控建设的宣传推广。建立良好的内控管理文化是遵循SOX法案的前提和基础，也是搭建优秀的内控体系的必要条件。各上市公司在内控体系建设方面，不能忽略思想和文化建设，只有在公司内部形成统一的认识，建立一致的风险认同和内控管理偏好，才能真正建立有效的内控体系，并为内控的实施和执行奠定良好的基础。
　　(二)在内控体系实施方面的启示和借鉴意义首先，公司领导重视，系统推进内控体系。管理层不仅应将内控建设视为完成外部监管的要求，更要将内控建设作为增强企业自身管理能力，形成强化企业核心竞争力的有效手段。在内控实施过程中，公司领导应协调内控工作，在人财物力上给予倾斜，全力支持内控工作团队的工作；着力理顺机构职责、调整岗位设置、完善系统功能、强化跨部门协作、加大激励约束力度，实施系列配套调整措施。其次，组建专业团队，选用内控管理人才。中国上市公司需要认识到内控制度的落实、风险的防范和化解，关键是人。没有好的内控团队，再好的内控制度也无济于事。为了强化内控职能，杜绝会计舞弊的发生，则必须重视对内部控制管理人员的选用和培训，通过科学缜密的管理，提高他们的素质，定期进行考核评估。同时要加强对他们的继续教育，以提高其工作能力，避免因人员素质不高，致使在业务操作中存有风险，如因政治思想素质不高造成的道德风险；因专业知识和业务素质不高造成的操作风险。最后，注重IT系统支撑，保证内控执行力。电信运营商在执行SOX法案过程中，非常重视IT系统的改造和运用，充分利用MIS财务系统、OA办公系统、建设项目管理系统、物资管理系统等IT系统固化关键控制点的审批流程，尽量减少人为审批的过程。现代企业的运作越来越依赖lT系统支撑，特别是自身规模庞大、不断创新求变的上市公司，IT系统已遍布企业运营的方方面面。在内控体系的实施方面，应将内控思想固化到系统设计中，通过系统来保证内控制度的实施。如通过系统进行业务稽核和报表的审批，能有效的保证数据的准确性和稽核结果的有效性，比^工操作既提高了工作效率也提高了内控执行的力度。
　　
　　编辑　聂慧丽