一、中国移动甘肃公司公司内部控制建设的过程和成果

（一）内部控制建设过程

中国移动甘肃公司的内部控制建设是以集团领导下开展实行的。

中国移动自成立以来，始终致力于公司治理、内部控制和风险管理的不断完善，坚持规范运作和高效管理，不断增强全员的风险管理意识，促进企业健康持续发展，努力提升企业价值。

2006年，为了满足《萨班斯法案》的要求，公司采用美国COSO《企业内部控制——整合框架》作为基础理论框架，对与财务报告相关的内部控制流程进行了梳理和完善，并编制了《中国移动内部控制手册》，作为评价公司与财务报告相关的内部控制有效性的依据。

此后，为持续提升风险管控水平，公司每年均开展内控流程和控制点的优化更新工作，并修订完善《中国移动内部控制手册》。2011年，公司采用美国COSO《企业风险管理——整合框架》作为基础框架，结合国资委《中央企业全面风险管理指引》和财政部《企业内部控制基本规范》和《企业内部控制配套指引》等外部监管要求，调整了内控流程框架结构，以风险为导向，加强了重点风险领域的风险管控，修订形成了《中国移动内部控制手册》和《中国移动内部控制矩阵》，共涵盖14个流程，关键控制点总数为401个。

《中国移动内部控制手册》阐明了公司开展内部控制和风险管理工作的原则和要求，使公司更好的遵循相关监管规定，合理保证财务报告的真实性和完整性，提升公司的经营效率和效果，完善长效务实的全面风险管理机制。

（二）目前的内部控制制度

1.内部控制制度的结构和主要内容。以《中国移动内部控制手册》和《中国移动内部控制矩阵》为核心，主要包括公司层面整体控制、业务流程层面控制以及信息技术整体控制三个部分。具体如下：

（1）公司层面整体控制：主要是参考COSO八要素的内容，阐述控制环境、目标管理、风险识别、风险评估、风险应对、控制活动、信息与沟通以及监督等。（2）业务流程层面控制：主要是阐述相关业务流程应遵循的内控要求。同时，在全面分析公司业务流程的基础上，根据内部控制和风险管理工作的内在逻辑，设立了采购管理、工程项目管理、资产管理、生产运维管理、收入计费、营销管理、预算管理、会计与财务报告管理、资金管理、人工成本管理、关联方交易管理、税务管理、法律法规遵循与合同管理等13个主要流程。（3）信息技术整体控制： 主要是阐述一般性的系统控制规范，包括对程序和数据的访问、程序开发、程序变更、系统运行以及系统安全控制等。涉及的系统主要包括BOSS、ERP等。

2.适用范围。《中国移动内部控制手册》是公司开展内部控制与风险管理工作的标准化手册，也是公司管理层、内部审计人员和外部审计师评价公司与财务报告相关的内部控制有效性的重要依据之一。《中国移动内部控制手册》所阐述的内部控制和风险管理的主要原则、管理要求和控制措施等均适用于中国移动有限公司及其子公司。总部和各省公司的所属单位或控股公司等均可参考《中国移动内部控制手册》开展内控管理工作。

3.适用期间。适用期间为：2012年1月1日至2012年12月31日，每年应根据公司经营情况变化及管理需要进行修订。

4.维护流程。《中国移动内部控制手册》及矩阵由总部财务部牵头、各部门共同参与进行维护和管理，并经公司管理层审批后颁布。

根据《中国移动内控手册和矩阵维护管理办法》，各公司应参照总部颁布的标准化内部控制手册和矩阵，结合本公司的实际情况，自行维护本公司的内部控制手册和矩阵（“第一部分：公司层面整体控制”除外），并报送总部备案。

二、内部控制建设的重点和难点

结合我公司内部控制建设工作，对企业内部控制建设谈谈自己的看法。

（一）动因

两方面：外部监管日趋加强（对于我公司，包括国资委、财政部、证监会、沪交所、香港联交所等）和内部驱动逐渐显现（公司内部经营管理的需要，进一步发挥内部审计的监督与服务作用，有效化解公司潜在风险和危机）

（二）管理层重视，由上而下全面推进

1.公司管理层高度重视。自2005年起，董事会和审核委员均听取遵循工作情况汇报，并审批相关事项；总裁办公会亦多次听取汇报，并做出重要指示；公司副总裁亲自参加试点省公司和各批次公司的启动会等，进行项目动员；将内控管理纳入公司的年度工作报告中，提升到战略重点之一。

2.组织保障。项目管理委员会和工作组成立以王建宙总裁为主任的项目管理委员会，各部门总经理均参与其中。并成立了以财务部总经理为组长的项目工作组，各部门业务骨干共同参加；成立专门机构，在财务部设立内控管理处，内审部设立内控风险管理处推进404工作的遵循和内控工作的常态化；设立内控管理岗位，各省公司内控管理牵头部门均设置专职的内控管理岗位，并在各业务部门设置兼职的内控管理岗位。

3.全员风险意识提升。公司管理层亲自参加动员会；聘请专家对各级公司管理层进行培训宣贯；开展多形式、多层次的培训。

4.将内控管理纳入考核。自2006年起，均将“风险及内部控制管理”纳入年度经营业绩考核体系，作为扣分事项，与全体员工的薪酬挂钩，强化内控遵循的执行力度。

内部测试和外部审计的结果均纳入考核；中期和年度的执行情况均纳入考核；执行无效的控制点以及其它例外情况，无论其是否影响财务报告的金额，均纳入考核。

5.常态化管理。常态化是将临时性的工作转化为日常工作，主要通过组织机构、规则制度的建立和完善，推动相关工作的正常运转、达到管理的目标。

6.必要的手段。

（1）固化控制点 ：用自动控制代替手工控制；（2）定期开展不同层次的测试检查，有效传递压力，包括内审和外审；（3）人员换岗时，确保内控管理工作的有效交接；（4）建设SOX支撑系统辅助内控工作开展。

目前已上线内部控制管理平台



（三）内控建设的难点

1.工作量大，特别是建设初期员工有抵触心理。



解决方案：一是利用各种机会，不断地培训宣贯，统一认识，明确内控体系建设的重要性和必要性，明确风险管理是未来的发展趋势。二是合理布局，兼顾效率，采用更有效的控制措施或技术方法，减轻工作量，突出控制效果，使其由被动接受逐渐转为主动承担。三是定期开展不同层次的测试检查，有效传递压力。

2.成本和效益的平衡问题。投入成本过低，内控制度设计过于简单达不到内部控制的目的，投入成本过高会造成企业直接效益下降，而且内控制度设计过于繁琐会降低企业效率，造成间接效益下降。

例如：合同的签订，流程过长导致一系列问题。发标-招标-议标-定标-拟定合同-法律部会签-财务部及相关各部门会签-公司领导会签，合同签订流程过长导致急需的采购只能先发货使用，后走流程签合同，而ERP系统采购订单必须根据合同录入，结果导致形成存货实际进销存与ERP不同步的情况，导致账实不符、资产负债不实、成本费用延迟入账等一系列问题。

3.执行难度大。内部控制工作与国内企业一些传统的、固化的、习惯性的思维矛盾，很难在短期改进。如：SOX法案及相关审计规定，要求在业务运行过程中，需要保留详尽的文档，并需要责任人签字确认，这需要改进原有的工作习惯和工作方法。经分析内审测试结果，其列入测试发现的控制点中，有80%是因为有制度不执行造成的，真正没有制度的所占比重很小。

4.内控设计、评判标准难以掌握。内部控制属于新生事物，无论是政府监管机构还是外部中介的相关经验不足，对内控的理解不一，其审计方式、审计力度与最终的评价都没有详尽的标准。

5.责任明确有一定难度。SOX法案404条款要求进行评价的内部控制包括针对与会计报表中所有重要科目和信息披露相关的所有会计认定均实施内部控制，涉及公司各项业务流程和各个部门，对于关键控制点涉及两个部门以上，很难确定一个主要部门或主要负责人。

6.信息系统改造难度大。高度依赖基于信息技术的控制措施需改造；采用不一致的信息系统之间的接口需改造；信息系统开发周期长、修补难度大，恢复性测试、日志管理、密码策略、职责分工。

以上是我公司内部控制制度建设的情况及我个人的一些看法，错误及不足在所难免，希望各位多提宝贵建议和意见。