求记录实际盘点的数量、金额和盘赢、盘亏比较，以及存货的质量、是否存在品质残次、是否存在积压滞销、是否存在跌价损失。这个文档非常重要，因为它不仅对外部审计师进行事后复核有很重要的作用，302条款也要求所有记录性文档必须是可供复核的。不像我们过去问仓库管货员：每月盘点了吗？他说盘点了，拿本账对对数就行了。事后也没办法认定他是不是每个月都进行盘点。我们的制度要求虽然可能浪费一些成本，但是很必要。每个月有一个盘点表，看到盘点表我就承认你做了盘点，没有盘点表我就不承认你执行了内控责任。所以这个记录文档是非常关键的。我们在制度上要求必须有记录性文档。管理制度上明确了，我们会依据明确的文档格式来认证。这其实就是相关的内部控制措施。

　　监督执行

　　监督制度确立以后，上级怎么执行也必须建立一种有约束的机制。上级要经常监督下级掌握本岗位的工作任务、面对的风险和公司设计的控制措施并执行这个内部制度。所有人员都把自己那块读懂了就足够了。我们把所有的控制责任建立到每个人头上，每个岗位上。这个岗位可能一岗多人，但是只要在这个岗位上工作，就要熟悉这个岗位的业务流程和相关的风险控制。过去很多企业规定每个年度末财务部门要组织进行财产清查，我们的内控制度就不是这样。我们要求分管存货或资产管理的部门应该主动进行盘点，把盘点结果、差异报给财务部门。过去是我们组织他们进行清仓查库，组织盘点，现在要求物管部门有义务定期提供财产清查报告、差异报告。如果存在损失，还要写出说明。过去依赖财务部门去做，不但做不过来，大家还都在应付你。过去新员工上岗，只告诉他坐在哪里，电话多少，大概讲讲怎么做，而没有讲他应该做什么，做到什么程度，有什么责任，将来有什么提升的机会。现在我们要求上级有义务做到这些，然后监督下级。让每个员工熟悉自己，自己约束自己。

　　就像我们一直以来宣传的那样，经营是有风险的，不能指望这个企业没有风险就收益好，关键是怎样驾驭风险，就是把风险详细地揭示出来。让从事这个岗位的人员知道这个岗位有什么风险，去关注它。我们常常出现的情况是，一个文件当中已经讲了，但有些人员根本不知道他应该控制这个风险，领导签个字，然后存档，没有人来具体控制。对此，我们的内部制度要求每一个流程要把风险细化，分解到每个流程及相关环节中，并加一个标识，提示该岗位员工有什么风险，见了这个风险怎么控制，由谁来控制，落实到位。我们建立的岗位职责也是人力资源部门建立的岗位责任制度，是企业完整的架构，统一的标准。内控制度的岗位职责是这个岗位做什么，做到什么标准？比如收入报告应该次月几号提供，要具体量化才能保证实现。以前只是知道做什么，没有明确做到什么程度。

　　我们事实上构成了一个内控制度的整体，明确了每一个流程必须包括的控制要素。这些要素说起来很容易，做起来是非常难的。因为有很多东西是约定俗成的，就这么做。找制度，没有；制度什么时候定的，不知道。师傅教徒弟，就是这么做的。执行制度最难的就是习惯改革。我们规定，建立了这套流程和制度规范，就必须按这个执行。不管现在的效果如何，必须按章办事，这是你的职责。至于评价这个控制活动和具体控制目标的差异，特别是制度设计上的缺陷，有相关部门的相关人员来做。已有的制度不遵守，或自己认为这样做效果更好，自己就给改了，大家都这么做，实际上就把这个制度废掉了。这就是我们国有企业控制方式和境外企业控制方式的不同。境外企业的规定很细，哪怕一点点事项，都有最详细的解释。例如通信业，我们规定用户欠费一个月以上停机，那么次月就不得计费，也就不能确认收入了。但企业出于某种利益驱动，就要出账、报告收入。欠费了，我照样计费；停机了我也照样计收入，结果这个用户存不存在都不知道，计费收入无法保证收回。对此，我们会在内控制度中详细描述用户欠费停机的次月起就要停止计他的月租费，把他具体量化。反过来，假如用户欠费但未停机，根据我们的信用制度，我们要求每一个省级分公司或市级分公司必须把它量化。应该根据每一个消费者交费信用的经历来判断，长期交费信用好的，时间有多长应该有一个评估，在多长时间内交多少钱，有信用额度，建立和维护欠费自动停机控制程序，并且必须有专人来维系这个欠费用户。有些特殊用户临时出国了，没办法交费，这期间他会来电话通知“我暂缓再交费。”这种情况是允许的。特别是有些政府机关本月经费没有下来，这些客户虽然欠费但有信用基础。这种情况下，还需维系这些用户的存在，不能说欠费我就停机。

　　山东分公司的内控制度涉及到400多个流程，用了半年多的时间，可见建设内控制度确实不容易。主要是观念上的差异。我们建立的内控制度也有别于ISO9000.ISO9000只是一个流程图，反映流程关系，不是以控制风险为目标去实现应该达到的控制活动。从企业角度讲，控制目标是降低资产损失、利益流失方面的风险，这是我们关注的重点。下一步公司打算在全国进行推广。首先要进行动员、培训。第一步是进行高层培训，由我们公司的董事长来讲，从企业自我发展的角度认识内控的必要性。各个部门要针对部门所管辖范围内存在的影响经营效率和效果的风险去分析、认识内控的必要性。各个部门的老总也要讲今年准备在内控上做哪些工作，要完成什么样的目标。内控办公室负责讲内控制度设计的规范性和具体要求。我们境外的律师从萨班斯法案404条款及监管要求、出台背景和约束以及执行方面的影响来讲；审计师从管理建议上，针对我们公司存在的管理上的缺陷来讲。通过几个角度进行培训，让领导真正认识和理解404条款的重要性。

　　在全国推广的过程中，山东分公司的内控制度范本可供各省级分公司参考。这个范本适用于省级分公司，但是不能完全照搬，不能代替各省应当建立的符合本单位特征的内控制度。因为生产组织不一样，管理手段也有差异，同样的风险可能在这里存在，在那里更突出一些；可能一个风险在山东仅是一个部门的一个控制点上，在其他地方几个部门都有这个风险。因此，他们必须梳理风险：一个是通过分析评估来揭示，一个是预见。预见风险和现存的风险要进行归纳，同等对待，建立相关控制。国有企业的管理往往习惯于出了问题再说，亡羊补牢。按照这个逻辑就是待问题已经发生了再建立控制措施，预见的风险并没有纳入事先控制的范围，这就很难保证有效地控制风险。

　　完善的内控制度设计虽然是一项重要突破，但关键是如何组织落实。落实当中要把这个制度分解到每个人，把这个制度体系分解成责任体系，这样的内控制度才是完善和有效的。我们有信心争取年底前把内控制度设计完成，以制度来完善现有的作业。明年解决年报所出现的问题，然后用一年的时间进一步完善。我们中国联通的内部控制制度应该说刚刚开始做，距离一些在美国上市公司的做法和成果还有很多缺陷和不足。