（世界经济专业论文）电信运营商有价卡风险管理研究.pdf

6 论文原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下，独立进行研究 工作所取得的成果。除文中已经注明引用的内容外，本论文不包含任何其他个人 或集体已经发表或撰写过的作品成果。对本文的研究作出重要贡献的个人和集 体，均已在文中以明确方式标明。本人完全意识到本声明的法律结果由本人承担。 学位论文作者签名： 日期彩洚2 - 月加日 学位论文使用授权声明 本人完全了解中山大学有关保留、使用学位论文的规定，即：学校有权保留 学位论文并向国家主管部门或其指定机构送交论文的电子版和纸质版，有权将学 位论文用于非赢利目的的少量复制并允许论文进入学校图书馆、院系资料室被查 阅，有权将学位论文的内容编入有关数据库进行检索，可以采用复印、缩印或其 他方法保存学位论文。 导师签名： 日期：哆铋胪日 移 磁 日 签 位 者 朗 作 芦 文 切 | | 特 电信运营商有价卡风险管理研究 专业：世界经济 硕士生：诸静 指导老师：扶青副教授 摘要 有价卡是电信运营商特色业务，以各类长途电话卡、充值缴费卡为代表，具 有生产过程简易，流通面值高额的特点，由于其在生产及使用过程中均可以数据 形式存在，管理风险远高于其它以实物形式存在的商品。本文在目前已有的风险 管理及内部控制研究理论的基础上，结合a 省联通对有价卡管理流程内部控制的 实践结果，基于实际调查数据，运用风险评价等数理统计方法，研究内部控制对 有价卡管理流程中各风险因素的改善情况，探讨其取得的有益成效及目前还存在 的不足。通过对有价卡风险管理的实证研究，从而能够为电信运营商及其他同类 产品生产企业，如网络游戏商等提供一些有价值的参考信息，帮助其积累有价卡 管理经验，控制有价卡生产、库存和销售过程存在的潜在风险，避免资产流失， 减少不必要的经济损失。 关键词：内部控制，风险管理，风险评价，有价卡 r e s e a r c ho nr i s km a n a g e m e n to fv a l u e dc a r d so ft e l e c o mo p e r a t o r s m a j o r ：w o r l de c o n o m y n a m e ：z h uj i n g s u p e r v i s o r ：a s s o c i a t ep r o f e s s o rf uq i n g a b s t r a c t t h ev a l u e dc a r di st h ef e a t u r es e r v i c ep r o v i d e db yt h et e l e c o mo p e r a t o r s ， r e p r e s e n t e db yt h e d i f f e r e n tr e m o t ec a l l i n gc a r d sa n dc h a r g ec a r d s ，w h i c hi s c h a r a c t e r i z e db ys i m p l ep r o d u c t i o np r o c e s sa n dh i g hv a l u eo ft h ec i r c u l a t i n g f a c e v a l u e s i n c ei tc a nb ee x i s t e di nt h ef o r mo fd a t ad u r i n gt h ep r o d u c t i o na n d a p p l i c a t i o n , i t sm a n a g e m e n tr i s ki ss i g n i f i c a n t l yh i g h e rt h a nt h em e r c h a n d i s ei nt h e f o r mo fm a t e r i a lo b j e c t s b a s e do l lt h ea v a i l a b l er e s e a r c h e so nt h er i s km a n a g e m e n t a n dt h et h e o r i e so ft h ei n t e r i o rc o n t r o l ，t h ep r a c t i c eo ft h ei n t e r i o rc o n t r o lo ft h ev a l u e d c a r d sm a n a g e m e n tp r o c e d u r eb yu n i c o r ni nap r o v i n c ea n dt h ed a t ao ft h ep r a c t i c a l i n v e s t i g a t i o n , t h i sp a p e ra d o p t e dt h em a t h e m a t i c a ls t a t i s t i c sm e t h o d s ，弱r i s kg r a d e e v a l u a t i o n , t os t u d yt h ei m p r o v e m e n to nt h er i s kf a c t o r sd u r i n gt h em a n a g e m e n t p r o c e d u r eo ft h ev a l u e dc a r d sb yt h ei n t e r i o rc o n t r o la n dd i s c u s s t h ea c h i e v e d b e n e f i c i a le f f e c t sa n dt h e e x i s t i n gd e f i c i e n c yp r e s e n t l y t h r o u g ht h ee m p i r i c a l r e s e a r c ho nt h er i s km a n a g e m e n to ft h ev a l u e dc a r d s ，i tc a np r o v i d et h et e l e c o m o p e r a t o r sa n dt h ep r o d u c t i o ne n t e r p r i s e so ft h eo t h e rs i m i l a rp r o d u c t s ，s u c ha st h e o n l i n e g a m em e r c h a n t s ， 丽ls o m ev a l u a b l er e f e r e n c e sa n da s s i s tt h e mi n a c c u m u l a t i n gt h em a n a g e m e n te x p e r i e n c eo f t h ev a l u e dc a r d st oc o n t r o lt h ep o t e n t i a l r i s k sd u r i n gi t sp r o d u c t i o n ，s t o r a g ea n ds a l e ，w h i c hc a l le f f e c t i v e l ya v o i dt h ec a p i t a l l o s sa n dr e d u c et h eu n n e c e s s a r ye c o n o m i cl o s s k e yw o r d s ：i n t e r i o rc o n t r o l ；r i s km a n a g e m e n t ；r i s ka s s e s s m e n t ；v a l u e dc a r d 摘要 目录 a b s t r a c t 目录 i i i i i i 第1 章绪论。 1 1 1 研究背景l 1 2 现实意义2 1 3 理论意义2 1 4 研究方法3 1 5 本文结构4 第2 章内部控制与风险管理相关理论综述。6 2 1 内部控制概述6 2 2 风险管理概述1 2 2 3 小结1 8 第3 章a 省联通有价卡内部控制过程。2 0 3 1 背景介绍2 0 3 2 原业务流程2 l 3 3 内控实施过程2 2 3 4 现行业务流程2 6 第4 章有价卡风险管理实证分析。2 7 4 1 研究方法的确定2 8 4 2 风险的分类识别2 9 4 3 风险权重的量化评估3 l 4 4 风险概率的量化评估3 6 4 5 实证结果3 9 第5 章有价卡风险应对措施 4 1 5 1 风险应对策略4 1 5 2 风险应对改进措施4 2 第6 章结论。 参考文献。 附录 后记。 m 4 8 4 9 5 l 6 1 1 1 研究背景 第1 章绪论 根据美国c o s o 委员会2 0 0 4 年的定义，内部控制是“企业风险管理的有机组 成部分，企业风险管理包含内部控制，并形成一个( 比内部控制) 更为广泛的管理 概念和工具 。美国国会2 0 0 2 年颁布的萨班斯一奥克斯利法案( 又被称作( 2 0 0 2 年公众公司会计改革和投资者保护法案) ，对于非美国本土的上市公司提出具 体严格的内控要求，内控理论与实践的发展随之被推上了一个全新的高度。 近年来，随着国内资本市场的成熟发展，对我国上市企业建立和完善内部控 制制度提出了迫切要求，内部控制在国内日益引起重视。2 0 0 6 年6 月6 日，国 资委出台中央企业全面风险管理指引，要求企业围绕总体经营目标，通过在 企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管 理文化，建立、健全全面风险管理体系。2 0 0 8 年6 月2 8 日，财政部、证监会、 审计署、银监会、保监会联合发布的企业内部控制基本规范，将于2 0 0 9 年 7 月1 日起首先在上市公司范围内旌行，并鼓励非上市的其他大中型企业执行。 中国联通是国内三大电信运营商之一，同时在上海、香港和纽约三地上市， 自2 0 0 3 年开始公司内部控制制度的构建筹备工作，按照美国c o s o 框架要求，逐 步建立起渗透所有业务和流程的内部控制制度，并对管理层和一些关键岗位的管 理风险进行了制度规范，经过近两年的试点，初步规范了4 0 2 个省级分公司涉及 的流程内控制度文档，从2 0 0 5 年底开始全国推广。 本文笔者作为a 省联通内控项目组成员，经历了从2 0 0 5 年到2 0 0 8 年公司内 部控制制度建设完善的整个过程，并亲自负责了部分业务内控制度和流程的编写 和实施。本文将从概述企业内部控制理论发展历程入手，分析内部控制与风险管 理的关系，结合a 省联通三年多的内控项目实施过程，通过对a 省联通部分业务 环节在内控前后风险控制情况的对比讨论，研究和总结内控项目在电信业的实践 意义。 1 2 现实意义 内部控制是对上市企业的基本要求，也是非上市企业的管理目标。内部控制 贯穿企业管理的全过程，对提高企业管理能力具有非常重要的作用。我国电信业 受行业特性影响，在国内较早建设和应用内控制度，其实施过程和效果分析，不 但对于研究电信运营商对于内部风险的控制管理具有一定意义，对不同行业的企 业也将带来一些启发。 有价卡业务是电信运营商的基本业务，仅以a 省联通发行的各类长途电话卡 为例，2 0 0 3 年至2 0 0 8 年，年均发行面额超过l 亿元，现金流超过3 千万元。有 价卡在由制卡厂家制作出最终纸质或p v c 卡体前，在运营商内部的平均生产周期 为七天，每次生产过程平均涉及的内部员工为四人，存在形式为包含卡号和密码 等数字的数据文本，具有价值高、保密性差的特点。长期以来，有价卡管理一直 是电信运营商内部管理的重点和难点，也是存在风险较多的一个业务流程。2 0 0 5 年a 省联通施行内部控制后，有价卡业务管理始终作为关键流程，全程进行了严 格的内控制度规范和评审，修改了大量流程细节，增加了多个稽核报表和管理制 度，在当前的技术条件下很大程度的提高了风险防御等级。 有价卡不但在电信行业具有普遍性，在新兴的网络行业，也有越来越多的网 络运营商开始发行用于账户充值或装备购买的有价卡，如我们所熟知的由腾讯公 司发行的q 币充值卡等，为网络用户提供了方便简易的充值缴费渠道。因此，本 文以对a 省联通有价卡内部控制的研究作为实证，对如何控制有价卡发行风险， 避免公司损失，防范舞弊行为等应用方面，能够为电信运营商及相关企业提供一 些有价值的参考信息，促使有价卡发行企业科学合理的进行有价卡内部管理，形 成严谨有序的生产过程，最大程度上杜绝生产、储运和销售过程的潜在风险发生； 另一方面也希望能给政府管理机构、外部审计单位带来一些启示，从而能有效了 解生产企业在有价卡管理中存在的各类风险及评价等级，以便于更有针对性的监 管或监督企业行为，维护国家或股东利益，推动相关行业更加健康快速的发展。 1 3 理论意义 我国大部分实施内部控制的企业还处于内部控制制度建立的早期阶段，对内 2 部控制制度的各个构成部分、内在关系、具体实施和评价方法尚不十分清晰明了， 企业对内部控制的评价一般采用综合性的主观判断。鉴于工作中面临的各项内容 较为模糊、标准化程度极低，对内部控制的评价往往由该企业内部控制制度的建 立者或者具体实施者亲自负责，只能下一个定性的笼统的结论，而不能得出精准 的量化分析。正如a 省联通内控管理委员会在2 0 0 9 年3 月份提交的项目总结中 所提到的：“( 不足在于) 未能建立量化的内控制度评价体系。通常只能对评审发 现的问题进行统计，未有方法对评审发生问题的概率和影响程度进行有效评估， 对于分公司内控制度的执行有效性不能进行量化打分。 本文通过对有价卡内部控制实施前后风险评价的实证研究，运用风险管理的 相关量化模型，使用充分、真实的数据论证，研究了单个业务流程的风险评价变 化，同时结合目前现有的相关理论知识，进一步对如何有效实施内部控制提出了 相应的意见和建议。通过本次研究，可以得到如下的结论： 第一、在内部控制实施前，应对c o s o 企业风险管理八要素进行全面评价， 不能只侧重于对具体控制活动的评价，忽视对于控制人员胜任能力、信息沟通、 风险评价、监控监督等“软控制的评价。 第二、风险评价应贯穿内部控制整个过程，从公司战略角度，内控目标的角 度对全业务进行分析，确定重大的风险，制定有效的控制措施，通过必要的手段 和方法，对已确定的风险进行重要性和发生概率的客观量化。唯有量化方法，才 能真实反映内部控制的实际效果。 以上研究结论是基于有价卡内部控制实施前后的真实风险分析，并且结合了 相关的理论研究所得，在目前国内有关内部控制效果研究中是少见的。本文在理 论上除了对风险评价量化模型进行实证研究外，还将风险评价的理论及方法运用 到我国内部控制实践之中，研究成果具有实用性，对国内企业构建内部控制制度， 实施全面风险管理，具有重要的借鉴与参考意义。 1 4 研究方法 如前所述，目前对电信企业内控研究的方向均主要偏重于定性研究，对风险 管理的定量研究讨论不足。因此本文将采用理论研究与实证研究相结合的研究方 法，从风险评价量化方法入手，基于风险管理的相关理论，结合实际案例对风险 因素进行提炼和对比，从定量角度讨论内控对控制企业风险的积极意义。 l 、文献研究法：通过研究国内外内部控制发展状况以及内部控制管理方面的 理论，针对我国电信运营商有价卡业务内部控制的现状，找出内部控制实施后对 企业风险管理改进的理论支持。 2 、访谈和问卷调查法：通过调查内控实施人员和执行人员，确定有价卡业务 风险因素，掌握电信运营行业的内部控制的过程、效果和存在问题，找出完善内 部控制的对策。 3 、数理统计方法：通过以上方法统计出有价卡业务流程的主要风险因素后， 对内控实施前后各风险因素进行量化评级。运用风险管理理论中对风险评价的相 关数理统计方法，建立量化模型，通过矩阵计算得出不同时期的风险值，从而研 究内部控制制度实施前后有价卡管理风险的改变情况，对尚未达到合理风险区间 的风险点提出改善建议。 总之，本文希望在充分的数据基础上进行合理、恰当的分析，力求使研究结 果更加科学、更具说服力。 1 5 本文结构 本文的思路结构如图中所示，本文的研究内容共分六章，论文写作结构作如 下安排： 4 图1 - 1 本文结构 第一章是本文的绪论部分。 第二章是理论综述，分别就内部控制理论和风险管理理论展开回顾，指出了 两者之间的异同。 第三章是回顾a 省联通有价卡内控实施过程，对内控前后的业务流程及主要 控制点进行了阐述。 第四章运用层次分析法、模糊评价法等多种风险管理方法，将有价卡业务流 程风险因素进行了量化处理，用数值对比内控前后的整体风险评价值。 第五章结合有价卡风险因素评价矩阵，提出了提高有价卡内控实施效果的建 议：如何避免信息系统风险，转移运输风险等。 第六章是结论，总结全文的主要研究成果。 5 第2 章内部控制与风险管理相关理论综述 在确定了研究课题后，必然要进行相关的文献研究，希望能够利用前人的研 究成果，建立坚实的再研究理论基础。本章从两大方面对本研究有用的文献进行 回顾，一方面是国内外对企业内部控制的相关理论；另一方面是风险管理理论和 方法的发展状况，并就两者之间的关系做了初步探析。 2 1 内部控制概述 2 1 1 内部控制概念的产生及演变 内部控制是十八世纪产业革命以后，企业规范化和资本社会化的结果。特别 是股份公司这种企业组织形式的出现，使所有权和经营权分离，产生了信息不对 称的状态，为了保护股东利益，防止经营者发生错误和舞弊，逐步形成了一些制 约企业经营管理活动的方法，进而形成内部控制制度。最早提出内部控制概念的 是法国管理学家法约尔，1 9 0 8 年在他所著的工业管理和一般管理中明确提出 了“企业内部控制 的概念。 现代意义的内部控制，自二十世纪初最先在市场经济发达的美国发展起来， 大致经历了四个发展阶段：内部牵制阶段，内部控制阶段，内部控制结构阶段和 内部控制整体框架阶段： l 、内部牵制阶段一二十世纪四十年代以前 内部牵制是以不相容职务分离为主要内容的流程设计，是内部控制的最初形 态和基本形式。内部牵制的历史源远流长，早在我国西周时期的庄园管理就有内 部牵制的思想，它以钱、帐、物等会计事项为主要控制对象，利用其勾稽关系， 交叉核对，相互牵制。内部牵制在现代内部控制中仍占据重要地位，包括实物牵 制、记录牵制、流程和制度牵制三类。 2 、内部控制阶段一二十世纪四十年代末至八十年代初 6 随着经济的的不断发展，企业规模不断扩大，内部牵制仅限于会计和财务的 局限性日益突出。为此，美国政府、注册会计师协会、审计程序委员会等机构陆 续发布法案或公告，对内部控制提出了权威性的定义，公开要求上市公司建立足 以达到控制目标的内部控制制度。 3 、内部控制结构阶段一二十世纪八十年代末至九十年代初 1 9 8 8 年，美国注册会计师协会发布审计准则公告第5 5 号，首次将控制环 境纳入内部控制结构，不再区分会计控制和管理控制，形成了一个包括了控制环 境、会计系统和控制程序三个要素的结构体系。 4 、内部控制整体框架阶段一二十世纪九十年代以后 1 9 9 2 年，美国“反对虚假财务报告委员会( t r e a d w a yc o m m i s s i o n ) 下属的 c o s o 委员会发布内部控制一整体框架，在完善内部控制定义的同时，提出内 部控制是由控制环境、风险评价、控制活动、信息与沟通、监督等五个相互联系 的部分组成的整体框架。2 0 0 4 年，该委员会又提出企业风险管理一整体框架， 在1 9 9 2 年的报告基础上建立企业风险管理框架，将企业管理的重心由内部控制转 向以风险管理为中心。增加了一个观念、一个目标、两个概念和三个要素：“风险 组合观 、“战略目标 、“风险偏好 和“风险容忍度 的概念以及“目标制定、 “事项识别和“风险反应 要素。对应风险管理的需要，新框架还要求企业设 立一个新的部门一风险管理部。新的风险管理框架比起内部控制框架，无论在内 容还是范围上都有所扩大和提高。 2 1 2 企业风险管理框架下的内部控制 自1 9 9 2 年美国c o s o 委员会发布内部控制框架以来，该内部控制框架已 经被世界上许多企业所采用，但理论界和实务界纷纷对内部控制框架提出一些改 进建议，强调内部控制框架的建立应与企业的风险管理相结合新的企业风险管 理框架( e r m ) 就是在1 9 9 2 年的研究成果内部控制框架报告的基础上， 结合萨班斯一奥克斯法案( s a r b a n e s - - o x l e ya c t ) 在报告方面的要求，进行扩 展研究得到的。风险是一个比内部控制更为广泛的概念，因此，新框架中的许多 讨论比1 9 9 2 年报告的讨论要更为全面、更为深刻。此外，c o s o 在其风险管理框 架讨论稿中也说明，风险管理框架建立在内部控制框架的基础上，内部控制则是 企业风险管理必不可少的一部分。风险管理框架的范围比内部控制框架的范围更 7 为广泛，是对内部控制框架的扩展，是一个主要针对风险的更为明确的概念。 全面风险管理框架把风险管理定义为：风险管理由企业的董事会、管理 层以及其它人员共同实施的，应用于战略制定有企业各个层次的活动，旨在识别 影响企业的各种潜在事件，并按照企业的风险偏好管理风险，为企业目标的实现 提供合理保证的过程。风险管理的目标有四个：报告类目标、经营类目标、遵循 类目标、战略目标。风险管理的组成要素有八个：内部环境、目的设定、事件识 别、风险评价、风险对策、控制活动、信息与沟通和监控。全面风险管理框架 的维度有三个，第一个维度是企业的目标，第二个维度是全面风险管理要素，第 三个维度是企业的各个层级。三个维度的关系是：风险管理的八个要素是为企业 的四个目标服务的，企业的各个层级都要坚持同样的四个目标，每个层级都必须 从以上八个方面进行风险管理。同内部控制整体框架相比，全面风险管理框 架在包括了内部控制整体框架主体内容的同时，提出了一个新观念，扩展 了三个要素，增加了一个目标，并且更新了一些观念。 这些属于报告可靠性。他们包括内外部报告，可能包括财务和非财务信息。 ( 4 ) 依从目标 这些属于坚持相关法律规则。他们依赖外部因素，有时整个实体有时一个产 业目标趋同。 2 、e r m 的构成要素 ( 1 ) 内部环境 体现了整个组织的特征，影响到企业员工的风险意识，是其他风险管理构成 要素的基础，为企业风险管理提供了一个规则和概括。内部环境包括企业风险管 理哲学、风险偏好和风险文化、董事会的缺陷、企业员工的忠诚度、价值取向、 管理哲学和运营模式、权责划分、人力资源政策等。 ( 2 ) 目标制定 每个企业都要面临来自企业内部和外部的各种风险，设定目标是企业进行有 效地事项识别、风险评价和风险对策的前提。设定目标应当区分不同的管理层次 和内部结构，目标应当建立在战略的高度，为企业的运营目标、财务报告目标和 遵循目标建立一个基础。设定目标还应当与企业风险偏好保持一致。 ( 3 ) 事项识别 企业管理层应当识别影响企业战略实施成功和企业目标实现的潜在事项，对 企业带来消极影响的事项被称为风险，要求管理层进行评估和采取措施企业管理 层在识别潜在事项时，应当从整个企业组织的角度进行考虑 ( 4 ) 风险评估 风险评估与影响企业目标实现的潜在事项有关，通过风险识别，企业最终准 确判断自己所属的风险在性质上是何种具体形态之后，随之需要进一步把握这些 风险在量上可能达到何种程度，以便决定是否加以控制，如何加强控制。管理层 应当从可能性和影响两个方面来评估事项。通常采用定量和定性的方法，潜在事 项正面和负面的影响可以被逐个测试到。对潜在的负面事项的评估包括固有风险 评估和剩余风险评估。 ( 5 ) 风险反应 风险评价结束之后，管理层应当决定该如何应对风险。在制定应对策略时， 管理层应考虑成本效益原则，在风险容忍度和预期范围内选择应对策略。风险应 对策略主要有避免风险、控制风险、分散与中和风险、承担风险、转移风险、集 中风险。 o ( 6 ) 控制活动 控制活动有助于确保管理层对风险对策执行而采取的政策和程序，它贯穿于 整个组织、各个层次和不同的功能部门，具体包括支持、授权、证实、确认、业 绩评价、资产保全和责任明确。控制活动通常包括两个要素：确定应该做什么和 一个政策，影响该政策的一系列过程。控制活动包括高层复核、直接的职责或活 动管理、信息处理、实物控制、业绩指标、职责分离。 ( 7 ) 信息与沟通 每个企业都需要识别和记录那些有关企业管理的外部事项和内部事项的信息 一财务信息和非财务信息，并将这些信息以适应的方式在规定的期限内传达给企 业员工来实施企业风险管理和其他任务。通过在组织内上、下级之间信息传递， 能够产生有效的沟通。企业全体人员都应从管理层处清楚地获得必须在企业风险 管理中承担的责任。企业必须建立一种向上反馈重要信息的沟通方式，并且在对 外方面也要建立一个有效的沟通。 ( 8 ) 监督 e r m 活动应当建立监督机制，这种监督是对企业风险管理现状和各组成部分 绩效进行评价的过程。通过持续监督和个别评价或者两者的结合来实现监督，因 而e r m 管理中的缺陷可由下而上传递，使重要的问题传递到管理层和董事会。持 表2 - 1内部控制整合框架与企业风险管理框架差异表 项目内部控制整合框架( i c - i f )企业风险管理框架( e r m ) 满足管理层为了达到一定目标进 满足管理层为了达到一定目标进行风险 核心基调 行内部控制需要 管理需要 l 、经营目标 l 、战略目标( 新增) 目标种类 2 、财务报告目标 2 、报告目标( 范围更广) 3 、合规性目标 从一定角度评价和管理妨碍完成从企业总体和部门的层面运用风险组合 风险观 目标的风险 观 管理层和员工进行内部控制的纪 管理层和员工进行风险管理的纪律和结 环境构，新增3 个主要方面：风险管理哲学， 律和结构 风险偏好、风险容忍度。 l 、控制环境 包括左侧5 点，另外新增3 点： 2 、风险评价 过程要素3 、控制活动 l 、目标制定 4 、信息与沟通 2 、事项识别 3 、风险反应 5 、监督 2 1 3 内部控制在我国的发展历程 内部控制作为企事业单位内部的自我约束机制，正在受到我国政府和企业界 的广泛关注。在企业内部，建立和完善内部控制，一是可以提高组织的效率和效 果，确保经营目标的实现。而是可以降低经营风险与财务风险，将风险控制在合 理的范围之内。三是可以防止发生错误与舞弊，避免因错误或舞弊而导致的严重 损失，甚至破产和倒闭。四是可以确保会计信息的真实性，防止企业造假。 2 0 0 2 年7 月2 5 日，美国国会通过了( 2 0 0 2 年萨班斯一奥克斯利法案( ( 2 0 0 2 年公众公司会计改革和投资者保护法案，以下简称法案) 。2 0 0 2 年1 0 日， 该法案经美国总统布什签署后，正式成为法律并生效。该法案的针对美国有 史以来最大的能源交易商一安然公司会计造假事件，以及其后发生的施乐、世通 等大公司会计造假案而制定的。根据安然事件反映出来的问题以及经济发展水平 和社会环境的巨大变化，法案不仅对证券法、证券交易法这两部证券监 管的重要法律做了修改和补充，而且还对行业的监督、审计独立性、财务信息披 露、公司责任、证券分析师行为、证券委员会的权利和责任等诸多方面做了新的 规定。在这些新规定当中，以要求上市公司管理层需建立和维持充分的与财务报 告相关的内部控制，并评估与财务报告相关的内部控制有效性，并且要求外部审 计师证实管理层评估报告准确性最为引人注目。 l l 对照美国的会计造假丑闻，我国国内企业的状况更不乐观。目前我国不少企 业风险观念淡薄，风险管理意识不足，权力过于集中，监督机制不健全，缺乏有 效的追究机制，高层管理漠视。内部控制及程序不健全，假公济私，以权谋私， 假造信息，胡乱投资，贪污舞弊，凡事只讲人事关系，不讲原则，破坏监控。典 型的和有重大影响的就是2 0 0 4 年的“中航油事件 以及近年来的多起银行人员卷 款潜逃等舞弊案，给企业和国家造成了巨额的资产损失，教训惨重。 上述中外“事件的发生无不与公司内部控制缺失或形同虚设有直接关系。 因此，中外资本市场纷纷加强了以确保财务报告真实性、诚信经营为主的有关内 部控制的监管要求，中国监管机构，包括财政部、国资委、证监会等都加强了对 国有企业，特别是上市公司以及证券公司、会计师事务中介机构的财务信息真实 可靠，防范风险，内部控制机制等方面的要求，出台了相关的法规和制度，如财 政部发起成立了企业内部控制标准委员会，上海证券交易所发布了上市公司内 控指引等。 2 0 0 8 年6 月2 8 日，财政部、证监会、审计署、银监会、保监会联合发布的 企业内部控制基本规范，将于2 0 0 9 年7 月1 日起首先在上市公司范围内施行， 并鼓励非上市的其他大中型企业执行。 2 2 风险管理概述 2 2 1 风险定义 所谓风险，在风险管理界普遍采用的定义是：风险是指引起损失产生的不确 定性。这种定义包含了损失和不确定性两种因素，正是由于人们难以确定何处、 何时、何种程度的潜在损失，使之构成一种风险。 从风险的来源划分，我们可以将风险划分为外部风险和内部风险。 外部风险是指公司由于所处外部环境所导致的风险。包括： 1 经济风险：如宏观经济环境、行业环境、产业政策、税收政策、招标配额 和许可证制度、产品市场价格、竞争、利率和汇率、合并收购等风险； 2 自然风险：如矿产资源的稀缺性、环境污染、能源、自然灾害等风险； 3 政治风险：如政治环境变化、立法、公共政策、管制等风险； 1 2 4 社会文化风险：如人口、多元文化、隐私、恐怖主义等风险； 5 技术风险：如电子商务、外部数据、新兴技术等风险。 内部风险是指公司在内部经营运作中可能遇到的风险。包括： 1 战略风险：如战略研究、战略规划、战略执行等过程中出现的风险； 2 财务风险：如资本运营、融资、财务核算、财务收帐等财务活动中出现的 风险； 3 投资风险：如投资规划、项目评估、投资决策和项目实施中出现的风险； 4 人力资源风险：如员工能力、激励机制、绩效考核中出现的风险。 5 操作风险：由于不足的内部控制、系统或控制失败以及不可控制的事件所 引起的收人或者现金流的波动。( l a y c o c k ，1 9 9 8 ) 2 2 2 风险管理过程 企业自产生以来，就成为一个承担风险的机构。风险管理是指在遵循相关法 律法规的前提下、为了确保财务报告可靠性、提高企业经营效益和效率，用来管 理、监督和控制风险的一整套制度和程序。风险管理不仅影响着企业的经营业绩， 更决定着企业的生存与发展。 风险管理一般包括风险识别、风险分析、风险应对、风险监控这几个过程， 它们之间的关系可见下图： 图2 - 2 风险管理过程 l 、风险识别 风险识别是指用感知、判断、归类等方法，对企业自身业务及所处环境存在 的现实的和潜在的风险进行鉴别。风险识别是风险管理的第一步，也是风险管理 的基础。由于风险具有可变性，因而风险识别是一项持续和系统的工作。风险识 别的方法具体包括实施现场调查、绘制流程图、填列风险清单、编织事故树、分 析财务报表、进行统计分析等。 2 、风险分析 风险分析的目的是确定每个风险的影响大小，一般是对已经识别出来的风险 进行量化估计，包括以下三个概念： 1 3 ( 1 ) 风险影响：它是指一旦风险发生可能造成的影响大小。如果损失的大小 不容易直接估计，可以将损失分解为更小部分再评估它们。 ( 2 ) 风险概率：它是风险发生可能性的百分比表示，是一种主观判断。 ( 3 ) 风险值：它是评估风险的重要参数。“风险值 = “风险概率 x “风 险影响 。 3 、风险应对 根据风险性质和项目对风险的承受能力制定相应的防范计划，即风险应对。 制定风险应对策略主要考虑以下四个方面的因素：可规避性、可转移性、可缓解 性、可接受性。确定风险的应对策略后，就可编制风险应对计划，它主要包括： 已识别的风险及其描述、风险发生的概率、风险应对的责任人、风险对应策略及 行动计划、应急计划等等。 4 、风险监控 风险时刻变化，制定了风险防范计划后，风险并非不存在，在项目推进过程 中还可能会增大或者衰退。因此，在项目执行过程中，需要时刻监督风险的发展 与变化情况，并确定随着某些风险的消失而带来的新的风险。 风险监控包括两个层面的工作：其一是跟踪已识别风险的发展变化情况，包 括风险产生的条件和导致的后果变化，衡量风险减缓计划需求。其二是根据风险 的变化情况及时调整风险应对计划，并对已发生的风险及其产生的遗留风险和新 增风险及时识别、分析，并采取适当的应对措施。对于已发生过和已解决的风险 也应及时从风险监控列表调整出去。 2 2 3 内部控制与风险管理的区别与联系 内部控制与风险管理的关系，是指内部控制这一事物与风险管理这一事物之 间的关系。结合国际上对内部控制与风险管理的权威定义，对内部控制与风险管 理的关系，代表性观点有三种： 第一种观点，认为风险管理包含内部控制。例如，企业风险管理一整合框架 中明确指出风险管理包含内部控制：内部控制是企业风险管理不可分割的一部分。 内部控制是风险管理的一种方式，企业风险管理比内部控制范围广得多。 第二种观点，认为内部控制包含风险管理。按照施控主体的不同，可将控制 分为内部控制和外部控制。内部控制一整体框架中将风险评价作为企业内部控 1 4 制的一个组成要素，实际上就是将风险管理包含在内部控制的范围之内。 第三种观点，认为内部控制就是风险管理。风险管理与内部控制仅是人为的 分离，而在现实的商业行为它们是一体化的。 通过对内部控制与风险管理关系主要观点的概念剖析可以发现，人们在内部 控制与风险管理关系的认识上存在争议的根源在于人们对内部控制与风险管理认 识的不统一，导致在讨论内部控制与风险管理关系时，虽然使用了“内部控制 与“风险管理 的词语，但表达的却是不同的概念。通过对c o s o 委员会在1 9 9 2 年和2 0 0 4 年颁布的内部控制一整体框架和企业风险管理一整合框架进行 细致比较，本文界定内部控制和风险管理的关系如下： ( 1 ) 内部控制与全面风险管理存在较大的差异 一是两者的职能定位不一致。内部控制仅是管理的一项职能，主要是通过事 后和过程的控制来实现其自身的目标：而风险管理则贯穿于管理过程的各个方面， 控制的手段不仅体现在事中和事后的控制，更重要的是在事前制定目标时就充分 考虑了风险的存在。而且，在两者所要达到的目标上，全面风险管理多于内部控 制。 二是两者的活动范围不一致。风险管理的一系列具体活动并不都是内部控制 要做的。两者最明显的差异在于内部控制不负责企业经营目标的具体设立，而只是 对目标的制定过程进行评价，特别是对目标和战略计划制定当中的风险进行评估。 ( 2 ) 内部控制与风险管理存在必然联系 首先内部控制与风险管理的本质目标是一致的，c o s o 委员会将内部控制和风 险管理都定义为“由一个组织的董事会、管理当局及其他员工实旆的一个过程 ， 其本质都是为了增加组织的价值而服务的。 其次内部控制是全面风险管理的必要环节，内部控制的动力来自企业对风险 的认识和管理。 最后全面风险管理涵盖了内部控制。在企业风险管理一整合框架中，风 险管理除包括内部控制的三个目标之外，还增加了战略目标：风险管理的八个要素 除了包括内部控制的五个要素之外，还增加了目标设定、事件识别和风险对策三 个要素。显然风险管理概念的外延更广。 1 5 2 2 4 风险管理方法在内部控制中的应用 将风险管理引入企业内部控制体系的构建过程当中，使用风险管理的方法， 对企业内部控制体系进行风险识别，评估业务流程的风险降低程度，并结合企业 的风险偏好，制定相应的风险应对策略，从而指导企业内部控制体系的构建，可 以有效的发挥内部控制体系的作用，防止舞弊欺诈行为的发生，确保会计信息的 真实可靠、资产的安全完整和业务活动的有序进行，从而实现企业的经营管理目 标。 1 、风险识别 图2 - 3 风险识别流程 ( 1 ) 实施现场调查：深入各个业务部门、分支机构，查阅相关业务资料，观 察实际业务流程，询问业务处理方式，获取第一手资料。 ( 2 ) 绘制流程图：根据现场调查结果，将企业业务流程中的信息流和实物流， 用图形形式表现出来。 ( 3 ) 填列风险清单：将复杂问题分解为子问题，逐个列出风险因素、收益及 损失，填列在风险清单上。 ( 4 ) 编制事故树：事故树和风险清单是反映企业内部控制风险点的两种不同 的手段。是指用树形图的方式，将由可能引起内部控制失效的时间形象、直观的 反映出来，并指出各个时间发生的频率或发生的可能性。 1 6 ( 5 ) 分析财务报表：是风险识别的补充方法，从企业财务数据入手，通过对 重要财务经营指标的分析，和对不同会计期间数据的对比分析，从而风险企业的 内部风险。 ( 6 ) 统计分析：指运用数理统计原理，对企业收集、积累的内部控制相关数 据进行整理和分析，从中发现数字变化的异常情况。 2 、风险评估 风险评估是指对风险识别环节中发现的内部控制风险，结合企业特定条件， 将识别出的风险就其可能性、损失额、发生频率等性质进行鉴别，判断风险程度， 并将可能造成的损失进行量化评估。 风险评估通常从以下四个方面进行： ( 1 ) 确认风险性质：企业风险来源可具体划分为来自于控制环境风险、目标 设定风险、组织结构风险、业务流程风险、制度缺失风险、信息沟通风险和监督 控制风险等。 ( 2 ) 预测风险发生概率：风险发生的概率的预测是指依据内部控制风险性质， 结合积累的历史数据或试验数据，以概率形式反映风险发生的可能性。 ( 3 ) 判断风险发生频率：风险频率依据试验数据或经验数据，通过统计分析 的计算方式得出，当实验次数越多，频率的计算结果就越趋于真实。 ( 4 ) 分析风险的可能影响：风险既有可能带来损失，也有可能带来机遇。对 风险可能影响的计算，正是在充分考虑企业风险偏好的前提下，将这些可能的影 响量化为具体的金额或数量。 ( 5 ) 绘制风险控制矩阵：风险控制矩阵可汇总企业风险点，识别出构建控制 点，明确相关控制目标。 ( 6 ) 风险综合评价：对内部控制风险性质、风险发生概率和频率，以及可能 产生的影响，进行综合分析。风险综合评价通常使用风险矩阵为评价根据。 3 、风险应对 风险应对是指对通过风险识别、风险评估确认的内部控制风险，根据特定风 险的性质、作用方式、重要性程度，结合企业的实际内部控制环境和整体目标， 分别制定相应的风险应对策略。 影响风险应对策略选择的决定性因素是决策者的风险偏好，而风险应对策略 的选择又决定了企业将建立怎样的内部控制制度。风险应对策略具体分以下几种： 1 7 ( 1 ) 风险规避。风险规避是指以放弃、停止或拒绝等不作为的方式，回避可 能发生的内部控制相关损失，适用于发生概率大、造成损失程度高的风险。 ( 2 ) 风险限制。风险限制是指对于企业不愿放弃也不愿转移的风险，通过查 找风险因素和控制风险事故的源头，降低损失发生可能性，减少损失发生频率。 ( 3 ) 风险转移。风险转移是指企业通过组织控制、应用控制、鉴证控制、安 全控制等内部控制形式将可能发生的损失和责任转嫁给他人，达到降低风险发生 频率，缩小影响幅度的目的。 ( 4 ) 风险保留。风险保留又叫风险接受，指当某些内部控制风险不能避免， 或在预期收益大于可能损失情况下，风险需要被保留。 ( 5 ) 风险利用。风险利用指把内部控制风险转化为发展机遇，利益风险，发 掘差距，制订相应的风险应对策略，从而达成企业的战略目标。 匪亚垂画圜 ， 二丽赢口 图2 - 4 风险导向内部控制体系的构建图 资料来源：于颖，郑圆风险管理方法在内部控制体系中的应用中国注册会计师，2 0 0 8 ， 7 ：7 6 2 3 小结 综观国内外的相关研究理论和对内控效果评估方面的研究，本文认为主要存 在以下两方面的不足之处。第一，对风险评估方法在内部控制过程中的研究较少； 第二，对内部控制效果的研究仅停留在评估方法、评价标准和衡量指标，以定性 研究为主，较少运用风险评价方法进行实证分析，从而缺乏数据支撑。因此本文 1 8 通过对a 省联通内控实施后有价卡风险管理的实证研究，在理论基础上，充分运 用风险管理的量化评估方法论证了有价卡业务流程的风险估值变化情况，同时结 合目前现有的相关理论知识，对如何进一步控制有价卡业务流程风险提出了相应 的风险应对建议。 1 9 第3 章a 省联通有价卡内部控制过程 3 1 背景介绍 电信行业通常所指的有价卡，是指由电信运营商发行的具有一定通信消费面 额的卡式凭证。用户购卡后在卡面所备注的有效期内，可获得享有电信运营商提 供的通信服务的权利，无需特定通信终端识别卡号码，无需通过充值、缴费等过 程，如我们所熟悉的i p 电话卡、1 9 3 电话卡等。以a 省联通为例，有价卡按卡产 品包括1 7 9 1 0 卡、1 7 9 11 卡、1 9 3 3 0 0 卡、1 9 3 卡、1 6 5 卡等，按卡使用地域分为环 球漫游卡、全国漫游卡、省内漫游卡、本地卡等。 有价卡从生产到使用可分为五个环节，概括如下： ( 1 ) 生产：包括从发起订单到制成实体卡的全部过程，