内控是以制度的形式存在的，我们前边也提到，集体决策的结果是谁也不负责，所以内部控制先要完善制度：建立反舞弊制度和对所有业务流程的控制制度。更重要的是控制环境。控制环境就是包括管理层在内的公司员工形成一种内控的理念，建立全员风险控制责任。

　　在联通山东分公司的试点

　　2004年11月1日，我们开始在联通山东分公司进行试点。经过近半年的时间，把省级分公司涉及的402个流程进行了所有内控制度文档的设计，而这仅仅是设计阶段。

　　梳理流程，找出风险点

　　在设计阶段首先要做的是梳理流程，定义流程。对每一项经济业务的初始点和终点都做出描述，并将相关环节串起来形成流程关系。然后找出哪些是重要的业务活动。流程中所有的作业环节必须明确作业内容及其目标和标准，而且这个标准应该是可量化的。由于每个流程会涉及到很多环节，涉及到几个部门，所以每个流程中的各个环节都有一个任务描述，即对流程的说明，包括这个岗位是做什么的、应该做到什么程度、什么时候完成、可能发生什么问题、发生时如何处理等。当然这简简单单的说明后面是公司制度和规定的支持。

　　比如审批流程。假设我们要申请购买一个笔记本电脑，需要经过一个审批流程。以前是先看公司有没有现成的授权审批制度。如果没有，则按约定俗成的做法：由使用部门写申请，然后上级领导逐级签字，到财务部门看看有没有预算，再由分管业务的副总裁签字，财务副总裁还得签字，最后再转给老总签字，可以看出审批程序很复杂。这笔业务同意了，在签合同和借款的时候还要经过这样一轮重复审批，回来拿发票报账时又经一轮审批。一件事情同样的程序批了三四次。我们的人工是有成本的，每个员工一天都在跑批这个，领导案头也全是这样的待批文件，哪里还谈得上效率！哪里还谈得上经济效益！因此，公司需要建立一个授权审批流程，这就涉及到必须要建立内部日常的授权审批规则。首先在制度上以我国内部会计控制规范明确的两点，即授权审批和不相容岗位分离为基础，建立授权审批制度，明确哪些事项由谁来审批，包括审批权限和审批程序。这一制度的前提是有严格和规范的预算制度。在发生一项经济活动之前必须履行预算审批。审批通过后，在执行时只要相关业务部门负责人签字就可以，不需再重复审批。其实审批权不一定都集中高层就一定能有效控制，谁签这个字谁就要承担全部责任。而以前我们的做法是把责任模糊了，部门签完字到上一级，上一级签完再到上一级，最后一把手签字。出了问题责任是谁的？一把手最后签的字，但是他对这件事情也许不是很清楚。这种控制严不严？这么多领导签字，应该很严格了吧！但是我们没有真正做到实质性的控制，只是一种权力的游戏！只有把这个权力放到一个恰当的职位做最终审批，赋予他监督的权力，同时也承担相应的责任，才最有效。而他的行为和胜任能力则需通过公司的干部监管部门来考核。

　　再如决策程序。过去决策层对业务的决策随心所欲，没有一个科学的评估程序。比如业务部门设计了一种买100送50的套餐项目，没有经过任何评估，分管领导一批，一夜之间就推出了这个新业务。这个行销方案能获得多少用户？新增用户带来的收入是否可以补偿放弃收入机会的损失？是否会引起用户放弃原来定制的业务？和竞争对手有什么差异？和政府的政策有没有什么违背的地方？有没有不正当竞争？是否政府管制项目？这些问题谁来评估？是否对这些可能产生的风险设计了有效的控制措施？对这些问题首先应该做一个综合的风险评估，制定控制措施和可接受的风险目标，然后再做决策。现在往往是听说哪个地方、哪家公司价格降了，咱们不降不行，你降，我也降。我们的考核机制和决策规则究竟控制了什么？有时为了争取一个用户不惜代价，因为考核指标就是看发展的用户数，并不考虑争取这个用户花了多少钱，能给公司带来多少利润。

　　针对类似的问题，山东分公司的各个业务部门首先揭摆风险，梳理业务流程，再经过专家梳理和总部各个部门一起认定，确定哪些流程列入内控范围，最后一共提出200多个大的风险。然后我们对每一个流程按照三个构成要素建立制度文档：一个是流程图，描述了所有业务的流程关系和所经过的从起点到终点的岗位，并标明哪一个环节有风险点和控制点；一个是流程描述，对所有岗位环节的任务（做什么、怎么做、什么时间完成等）进行描述；还有一个是风险描述及控制文档。

　　继续分解风险

　　在各个部门的具体运行环节中，他们还要根据自己的业务流程可能包含的大的风险继续分解，具体到部门中是什么样的风险。比如我们规定用户信息录入时重要的用户信息必须健全，按照用户登记卡的信息进行登记后，在开通后的第二天必须回复一个电话来确认其联系电话和地址的真实可靠。目的就是控制用户的欠费。我们业务的特点是先服务后付费，欠费风险很大，联通一年欠费有几十个亿，这是影响效益的关键问题。那么我们在程序上就围绕控制用户欠费建立相关责任，在流程中的关键部分控制风险。首先明确这个流程当中有什么风险，把欠费的风险分解到几个部门去，信捷职称论文写作发表网，主要是业务部门。流程中哪个环节存在这个风险就应该描述出来，标在流程中，提醒这个岗位负责防范。

　　再比如公司的价格管理。一项服务项目的设计必须有足够的支撑，因为价格过低可能会导致发展用户群出现亏损。针对这个问题，我们要求在制定价格时必须几个部门一起介入，拿出方案。财务部门拿出成本计算依据，计费部门提出计费技术支持方案，评估在价格上违不违背政府的管制，竞争对手反映如何。从几个方面评估，最后进行决策。这样就避免了盲目制定价格导致经营亏损的情况。针对这个风险我们也建立了相关制度。首先我们要评估现有的制度是否还有效。过去有些规定很原则，没办法量化。要量化就要花很大力量去收集文件，建立标准。如果以前没有这方面的制度，我们就要求公司业务部门把这个制度补上，明确要建立制度，不能用流程代替制度。

　　风险也是针对我们公司面临的问题，大家在一起揭示风险，进行梳理。怎么梳理呢？风险是哪个部门的，就把哪个部门的风险落实到哪个流程上，在哪个流程中就落实到哪个环节。这就把风险控制责任落实到一个个具体环节。有多少个环节就建立多少个控制活动。对控制活动我们在制度上进行描述。一是风险是什么，控制措施是什么，控制责任人是谁。这实际上是归纳，是风险提示，标明这项活动的风险是什么？实施怎样的控制？是接触性的控制还是预见性的控制？比如财务报表的风险，一个问题可能涉及几个风险，有财务报告真实性的风险，有经营效率和效果的风险，有法律法规的风险。在这一张图上都要表示出来：它是什么风险，风险级别程度。我们一定要关注重点风险。在我们设计的制度当中，就像美国911之后发布的安全信号一样，用橙色、绿色、白色区别风险程度。哪些部门、哪些单位是重点，哪个关键流程是重点，我们都把它标示出来，重点监督、关注这些风险。

　　设置记录性文档

　　设计当中还有一个重要环节，就是每一个环节要有一个记录性文档。记录性文档分几种，一种是审批单，它记录审批依据、审批人责任。通过审批单我们就知道这是一个什么报告或什么申请。这种文档是传递性的。还有一种完全是记录性的。我们要求每个月要进行存货盘点，建立盘点表。这个盘点表就是记录文档。这个文档要