(2)目标管理
公司层面目标。湖南移动通信公司公司于2000年末提出了 “争创世界一流通信企业”的这一长期战略目标,并于2005年提出公司新的战略目标定位与“争创世界一流通信企业”相延续并超越成为“做世界一流企业,实现从优秀到卓越的新跨越”.2010年提出实施可持续发展战略的战略目标“铸就国际领先,以高于全球领先电信运营商的平均增长速度实现可持续发展”.制定公司目标。湖南移动通信公司根据公司的实际情况,结合市场需求,把“成为卓越品质的创造者”设立为公司的长期经营目标,及“做世界一流企业,实现从优秀到卓越的新跨越”设立为公司的长期战略目标。为了实现“新跨越战略”,公司明确了实施“新跨越战略”的主要途径和重要举措,与公司目标相联系。
公司管理层根据战略措施的落实以及完成情况,对公司短期战略目标的实现进行持续监控。
(3)风险偏好和应对
风险的偏好。湖南移动通信公司的各级管理层严格监控公司所涉经营业务、财务、法律等相关部门,对其可能发生的风险进行防范,一旦确认风险,则要向公司管理层及时汇报,同时采取相应的措施,把风险发生的可能性降到最低。公司管理层在风险容忍度的范围内幵展业务活动,以确保公司以及各业务单元没有超过预设的风险容忍度,同时,也可以让管理层更加明确公司或各业务单元是否可以实现设定的业务目标。
湖南移动通信公司规定,业务部门在日常工作管理中要注意风险容易发生的工作环节,员工在工作中一旦意识到风险,必须立即向上级管理层汇报情况并引起公司管理层面的关注。公司每月都会在全省范围内召开生产经营分析会,各部门领导通过此会议向公司领导层汇报工作中遇到的风险,并进行分析及提出整改意见。管理层确认风险后,会召开总经理办公会,经过研宄将整改措施下发相关业务部门,并要求相关部门跟进风险控制工作。
(4)控制活动
控制活动是帮助保证风险应对方案得到正确执行的相关政策和程序。控制活动存在于企业的各部分、各个层面和各个部门,它动贯穿于企业的每一个角落,从员工到领导,从业务到管理无处不在。企业风险管理策略能否得到有效的贯彻落实,能否实现预定的风险防范目标,关键在于风险的控制。控制活全面的控制活动包括企业的政策和执行过程,这些政策的制定是以企业有效的风险管理及经营目标实现为前提。
湖南移动通信公司各部门围绕公司的风险管理策略目标,针对公司战略、规划、产品研发、投融资、市场运营、财务、内部审计、法律事务、人力资源、采购、销售、质量、安全生产、环境保护等各项业务管理和重要的业务流程制定并执行各项规章制度、程序和措施,确保建立有效的内部控制系统。
湖南移动通信公司的控制活动主要表现在公司根据自身的经营范围、经营目标、业务流程的具体操作过程,及公司内部主要控制点制定相关政策和制度。根据实际操作情况,及时对政策和制度进行调整,以保证公司可以控制风险。各部门也要根据在具体工作中遇到的潜在风险进行调整规章制度,并在年末将最新版本的政策和制度整理汇编,报送公司档案室,归档保存。
各岗位员工对自己的职责要结合内部控制制度进行开展工作,管理层也要各部门执行内部控制的情况进行抽查和跟踪,以确保内部控制制度在公司内部有效幵展。
(5)信息与沟通
为保证公司的经营目标可顺利实现,湖南移动通信公司按月度召开生产经营会,会议主要由各部门的主管领导参加,各部门领导根据员工汇报的生产经营情况,形成部门综合意见,以专题的形式向管理层汇报。公司领导层也是通过生产经营会对公司的各项经营指标的完成情况进行了解和分析,及时作出有利于公司发展的决策。
各部门领导获得的数据信息,都来源于公司搭建的经营分析系统。此系统根据各部门的需求进行数据归集和计算,最终形成分析数据。数据是需要由业务部门领导审批后提交给业务支撑中心(业务支撑中心为公司业务的后台支撑部门),并由其设置计算公式,形成需要的分析数据。经营分析系统是将BOSS系统、财务的ERP系统及网络管理中心的数据进行抽取和计算,转换成每个部门需要的数据信息。业务支撑中心也可以根据部门的不同需求,为其量身制定相关数据方案、湖南移动通信公司为在编的全部员工建立统一的岗位说明书,在说明书里详细描述了每个岗位的工作内容、职责及权限等内容,对于岗位说明书的内容必须要经过公司管理层的审批。管理层审批后,按部门下发,员工根据岗位说明书的说明,与部门领导沟通,作为日后工作的参照。
湖南移动通信公司内部的沟通方式很多,如生产经营分析会、部门及公司范围的职工大会、部门每月初的例会等都是以面对面的方式来沟通。除此之外,像合同签订、文件精神的传递、OA系统、内网的电子邮件等,都以系统的形式来进行有效的沟通。这两种沟通方式的结合,确保了公司信息沟通的及时性和准确性。
(6)监控
湖南移动通信公司建立了风险管理闭环中的关键环节一监控体系,对风险识别、风险评估、风险应对等风险管理活动进行过程监控,同时亦从不同层面对风险管理的有效性进行测试穿行。
湖南移动通信公司的各级管理层通过日常工作监控业务流程的运行情况,并通过获取经营数据取得内部控制正常运行的证据。各级管理层可对运营数据中与其期望不符或可疑的事项提出质疑。
内审部门对公司的风险管理有效的进行监督。公司通过不同的风险评估方式对其内部控制进行监督,如SOX内部控制流程穿越测试、专项审计等,都有利于及时发现内部控制风险的存在,并对其进行整改。
公司内部审计工作主要包括财务审计、内部控制审计、经济责任审计、建设项目审计、风险评价、审计调查、审计咨询服务。
2.2.2业务流程层面控制
湖南移动通信公司根据相关业务流程应遵循的内控要求,并在全面分析公司业务流程的基础上,根据内部控制和风险管理工作的内在逻辑,设立了多个风险防范流程。包括涉及生产线条、市场线条和管理线条等的釆购管理、工程项目管理、资产管理、销售管理、预算管理、会计与财务报告管理、资金管理、关联方交易管理、税务管理、合同管理、业务外包管理、信息系统管理等流程。
按照《中国移动内部控制手册》的内容,结合《SOX法案》,湖南移动通信公司根据各业务流程制定了相关控制点,并按照重要等级进行了分类。如表2.1【2】
2.2.3信息技术整体控制
湖南移动通信公司制定了有效的信息系统控制制度,包括对程序和数据的访问、程序变更管理、程序幵发管理、系统运行管理、系统安全管理等。涉及的信息系统主要包括与业务支撑相关的重要系统,包括BOSS(如OCS、营收稽核等)、CRM(如渠道管理、集团客户管理、有价卡管理等)和经营分析系统;与财务核算相关的重要系统,包括ERP系统、银企互联系统;与网络管理相关的重要系统,包括智能网系统(VC平台)、彩铃系统、产生话单的交换机系统。【3】