企业内部控制体系的建设与实施贯穿企业发展始终，是保证企业基业长青的有效手段。从监管角度来看，资本市场和政府部门的监管要求日趋严格；从企业内部管理角度来看，随着企业规模的不断扩大，加强内部控制和风险管理是公司发展的必然要求。天津移动的内部控制体系建设已进行了10年，经历了学习消化、体系搭建、常态管理与深入提升等过程，并不断深入完善。本文拟介绍天津移动三个不同阶段的内控体系建设情况，以期为其他企业构建内控体系提供借鉴。

一、基于财务报告相关基础的SOX内控体系阶段

天津移动在该阶段开展内部控制体系建设的总体目标是以风险为导向，提高财务报告的可靠性，保证公司的合法合规运营，促进经营效率和效果的持续提升。其总体设计思路是，借鉴内部控制理论，遵循内部控制法规，结合企业管理实际，以全面性、重要性、制衡性、适应性、成本效益性为原则，初步建立以《萨班斯法案》（SOX）中财务报告相关基础的一套内控体系，主要关注内控组织和制度的建设，完成体系的搭建，保障内外部审计顺利过关，遵循工作总体有效。主要措施如下：

1.搭建内部控制体系组织架构和体系

天津移动内控体系从组织架构上实行两条线管理机制。一方面财务部门作为内控职能管理部门和业务部门（虚拟团队），分别负责公司内控体系的设计和执行，另一方面内审部及外部审计师作为裁判员，负责内控体系的监督和检查。

按照该阶段内部控制建设目标和原则，天津移动通过统一、规范、系统化的与财务报告相关的内部控制体系制度的建设，完善了基本的内部控制设计，业务流程范围覆盖了企业所有业务部门，共形成资本性支出流程、收入和计费业务流程、存货管理流程、营运支出业务流程、货币资金管理流程、固定资产和无形资产管理业务流程、人工成本管理业务流程、会计和财务报告、筹资业务流程、关联交易业务流程、法律法规遵循业务流程、税务管理业务流程及信息技术整体控制等十三大主要内控流程及关键控制点，形成了内部控制手册和矩阵。

2.梳理规范业务操作

天津移动梳理及规范了业务执行层面各类操作，主要包括通过业务访谈及专业判断进行了业务流程的风险评估，通过内控文档的优化更新及内控制度办法的建立完善了制度设计，通过明确落实关键控制点责任部门和责任人保证制度落地，通过内外部内控审计测试及业务自查加强了监督检查力度，通过定期内控体系建设情况报告形式明确了管理要求，实现了风险评估、制度设计、业务执行、监督报告的闭环管理流程。

3.实施内控常态化管理，完善内控建设

天津移动通过部门层面内控常态化管理项目的实施，将公司层面的控制落实到部门层面，同时转换部门角色，将部门由受控主体转变为控制主体，形成部门内控闭环管理体系，实现部门内部控制的建立、执行、测试及跟进闭环管理，将控制真正融入到日常工作中，避免内控管理与生产管理“两张皮”。另外，天津移动建立并完善了内部信息沟通渠道即实施内控月报制度，内控月报涵盖了各部门日常工作中涉及的相关内控工作，实现了与公司内控职能管理部门财务部的有效沟通。

通过部门层面闭环管理实施工作，在公司层面内控管理工作中形成了内控手册和矩阵维护管理办法实施细则、内控月报表制度、内控基础文档（包括内控手册、内控矩阵及内控流程图等内容）为代表的内控管理制度，完善了公司层面内控管理建设。

4.加强内控执行监督

为加强对内控业务执行的监督与提升执行效果，天津移动设置了考核体系和评价体系，采用了将内控业务执行监督纳入各部门关键绩效指标考核体系的方式，以加强业务部门对内控管理工作的重视程度。在日常监督检查方面，公司搭建了部门层面内控闭环管理体系，建立了具有本部门特色的部门内控矩阵，明确各控制点在本部门的责任人，形成部门层面内控测试底稿，开展了日常部门内控矩阵维护、执行、测试、测试结果跟进等活动，有效帮助各部门内控管理员实施内控测试工作，并与内外部审计等检查实行有效衔接，主动发现风险，从而达到关注重点、聚焦实质的目标，将内控风险管理工作和业务管理工作有机结合在一起。

二、以风险为导向、面向业务运营的全面内控体系阶段

随着企业经营管理不断发展，以及风险管理要求不断加强，天津移动内控体系设计理念从基于财务报告相关的内控体系，转变为COSO《企业全面风险管理框架》的以风险管理控制为核心，面向公司全业务流程的内部控制体系。

1.搭建业务框架

天津移动该阶段的内控体系框架搭建不再以存货、资金等会计视角为主线，而是以市场营销、采购等公司具体业务视角为主线。同时，从全生命周期出发，在各关键环节设置数据稽核的控制要求，区分实物管理和数据管理采集稽核样本，从而加强全流程的风险管理控制，提升数据真实性。如公司新增了有价卡管理流程，通过评估有价卡全生命周期管理流程，梳理形成有价卡数据审批与数据生成、生成数据与系统加载数据稽核、库存出库与销售日报稽核、充值系统同步及有价卡处置等关键环节，明确关键环节控制要求，加强对有价卡管理的风险管理控制。

2.增设关键控制，注重前后评估

天津移动一方面对多渠道整合营销及联合促销等合作模式的资金、资产安全提出了更高的控制要求，如对于代销商与营业厅合作业务，公司对代管存货明确了控制措施与控制要求；另一方面结合原则性控制要求，对具体业务方式进一步细化了控制要求，提高了关键环节控制力度，如对于采购业务，鉴于采购方式及业务流程不同，区分了招标采购、非招标采购与集中采购三类模式，细化控制要求。

此外，公司通过梳理业务流程发现，部分业务流程未明确事前评估及事后监控的闭环要求。为此在业务流程评估的基础上，对部分业务流程增加了前后评估环节，提升了控制效率和效果。

3.合并同质控制

公司之前将同类业务放在不同的流程中进行控制，导致不同业务部门认识不统一，管理方式不一致。为此，公司相关部门通过业务流程的删繁就简，归并整理、提炼汇总了同类型业务控制。如将网内结算、网间结算、SP（服务提供商）结算、漫游结算等结算业务流程控制点合并成为一个结算流程，从整体上把握风险，同时也统一了网络部门、数据部门、业务支撑部门与财务部门的流程控制要求。

4.梳理标准规范

考虑到系统维护量增加，效率降低，以及未来的可扩展性，天津移动兼顾控制基线要求，适当强化部分控制，为不断增多的系统提供统一、标准的控制规范，统一了各信息系统的整体控制要求。此外，公司通过梳理与财务报告相关性系统，考虑其是否产生计费话单或生成财务数据，是否传输或存储财务数据，对与财务报告无直接关联的系统不再纳入内控手册矩阵关键控制系统范畴，而是纳入日常管理流程。

5.实施内控系统固化

公司主要是通过信息化手段将内控管理制度落实到实际执行中，将内部控制矩阵中的关键控制点在业务系统中予以固化，以建立常态化的内控执行体系。同时，随着公司IT系统固化工作的深入开展，各业务流程和管理流程与信息系统的结合更加密切，能够进一步推动内控管理工作的优化和更新。

三、以全面风险管理为导向的内控体系阶段

天津移动在前两个阶段内控管理的基础上，对照COSO的全面风险管控体系和国资委《中央企业全面风险管理指引》要求，组织开展了重大风险管控项目评估，促进风险管理工作与业务的深度融合，以风险评估和风险应对为主要关注点，不断完善其风险体系和内控体系建设，构建了全面风险管理视角的内控体系。

1.深化风控文化

天津移动将风险管理文化建设纳入企业文化标杆管理体系，从制度层面保障风险管理文化的建设，并将风险管理与绩效考核相结合，对于不符合风险管理要求、违反商业道德和诚信原则的行为进行处罚，促进风险责任的落实。公司管理层和风险管理专职人员作为传播企业风险管理文化的两种基本力量，分别通过自上而下和由点及面的推动方式，传播公司的风险管理文化。同时通过风险管理文化建设与培训，风险管理意识日趋深入人心。

2.构建风控体系，提升管理水平

天津移动以国资委发布的《中央企业全面风险管理指引》中确定的风险分类为参考，结合企业行业特点及其实际业务情况，将主要风险划分为战略风险、财务风险、市场风险、运营风险、法律风险和信息技术风险等六类，并从这六类风险角度出发，营造企业自身文化。同时，公司通过梳理各业务和内外部环节存在的风险，健全风险防范制度，构建风险防范体系，实现了风险评估、制度设计、执行、监督检查及报告的闭环管理的新提升。此外，公司通过风险量化分析工具及效益评价开展风险评估，建立风险评估标准，完善了制度设计，通过专项风险管理、建立风险信息数据库方式增强了监督检查重点，通过定期编制全面风险管理报告提升了风险管理水平。

3.关注重点风险，内控业务对标

随着天津移动管理日益精细化，相关内控要求与业务制度也在持续优化更新。在生产经营过程中，公司运用正向、逆向思维，梳理内部控制制度和业务管理制度，查找设计不合规或两者不一致的内容，进而保持内控要求与业务制度匹配。目前，公司已实现全部内控业务流程近400个控制点的对标，并将此项工作纳入内控常态化管理工作范围。

责任编辑 陈利花