新形势下电信企业内部审计模式转型策略探讨
中国电信福建公司 郑知知
近年来,全球疫情反复,传统的电信市场日趋饱和,电信行业竞争加剧,传统业务收入增长乏力,新兴业务市场发展面临更多不确定性风险,内部审计作为企业风险管理的重要组成部分,如何实现与企业战略决策结合,提升风险管控能力,推动企业高质量发展,成为新形势下的内部审计发展的关键。
一、新形势下电信行业发展趋势和风险
(一)新形势下电信行业发展趋势
1.竞争激烈化。传统电信业务市场日趋饱和,提速降费、携号转网等政策下,运营商之间竞争加剧,从卖方市场转向买方市场。同时,新兴业务市场发展迅速,除了各大运营商,越来越多的互联网企业、软件企业、设备制造商、系统集成商等蜂拥而至,从服务水平、服务能力、解决方案、价格等全方位展开竞争,竞争形势日趋激烈。
2.需求个性化。市场需求呈现智能化、多样化、场景化,已不能单纯依靠基础产品满足。数字化驱动客户需求不断升级,从话音、短信、流量等标准化需求发展为内容、应用、解决方案等个性化需求,并继续向定制化、场景化需求转变。
3.业务多元化。5G、云、物联网、AI等新兴信息通信技术成为新型信息基础设施的基本组成要素。信息通信技术经历从以 AllIP为代表的互联网时代到现在以 All Cloud为代表的全云时代,正逐步迈向以 All 为代表的全智能时代;从连接个人电脑、连接人与移动应用,走向万物互联、万物感知和万物智能的多元化融合发展方向。
4.产业数字化。伴随新技术的演进和客户需求的激发,催生新的数字化产品与服务,推动全社会的数字化转型。各行各业的数字化发展产生了巨大的产业数字化空间,使传统行业的界限越来越淡化,为各大运营商开启行业协同和产业链合作提供了更大的发展空间。
为适应新形势下行业发展趋势,笔者所在的电信企业提出新的发展战略:积极践行建设网络强国、数字中国和维护网信安全的初心使命,全面实施“云改数转”战略,以客户为中心,强化科技创新核心能力,加快建设云网融合、绿色、安全的新型信息基础设施,夯实绿色发展和网信安全底座,构建数字化平台枢纽,打造合作共赢生态,深化体制机制改革,为客户提供灵活多样、融合便捷、品质体验、绿色安全的综合智能信息服务,满足人民美好信息生活需要,持续推动企业做强做优做大,打造世界一流企业,为股东创造更大价值。
(二)新形势下电信企业面临的风险
1.外部环境风险。国际方面,地缘政治、国际社会的博弈,国际经济秩序和法规变化,全球疫情的反复,境外业务拓展存在高度不确定性风险;国内方面,经济面临需求收缩、供给冲击、预期转弱“三重压力”,市场竞争的加剧,对业务发展和收入增长带来风险和挑战。
2.业务运营风险。随着数字经济的发展,产品服务的更新迭代加快,客户需求更加多元化、个性化、场景化。公司在产品种类、性能、体验上无法快速适应客户的需求,数字化水平与数字经济发展的要求相比仍有差距,自有技术的发展和创新能力不足,存在较大的风险。
3.网络和信息安全风险。随着信息通信网络的加速发展,各种网络攻击爆发式增长,给网络安全运营带来新的挑战,随着《数据安全法》、《个人信息保护法》《关键信息基础设施安全保护条例》《网络安全审查办法》等法律法规的相继出台,对公司的数据安全和个人信息保护提出了更高的要求。
二、COSO新企业风险管理框架为内部审计带来机遇和挑战
(一)内部审计模式的演进与迭代
根据内部审计风险管理成熟度评估,审计模式演变分为控制导向审计、过程导向审计、风险导向审计和企业风险管理导向审计四个阶段。目前大部分企业的内部审计模式处于风险导向审计阶段,这种模式通过对组织风险的深入了解,以风险导向选择业务、确定审计目标和特定的审计程序,它极大的提高审计效率,促进审计目标的实现。随着新形势的发展,企业面临的风险更加错综复杂,内部审计做为企业风险管理的一个重要组成部分,风险导向审计模式也在不断改进和完善。笔者所在电信企业内部审计模式也在不断迭代以适应新形势需要。
(二)COSO新企业风险管理框架对风险管理的重新定义
2004年,美国COSO委员会在《内部控制整体框架》的基础上,结合《萨班斯——奥克斯法案》的要求,颁布了《企业风险管理框架(ERM)》,该框架成为各国企业风险管理统一概念体系的全面应用指南。2017年COSO委员会对全面风险管理的定义进行了更新,推出了新的企业风险管理框架(以下简称“新框架”),认为“风险是事项发生并影响战略和业务目标实现的可能性”,而“风险管理是组织在创造、保持、实现价值的过程中,赖以进行管理风险的,与战略制定和执行相结合的文化、能力和实践。”区别于旧版的COSO企业风险管理框架,新框架与内部控制框架做了明显的区隔,将风险管理从“一个流程或程序”提升到了“一种文化、能力和实践”。同时,强调风险的正面和负面的双向作用,将风险管理转变为进攻与防御并重,为组织战略服务,为组织创造、保持和实现价值。
图1 2017版COSO企业风险管理框架
(三)新框架带来的机遇和挑战
新框架的修订为内部审计带来机遇和挑战。一方面,新框架的产生,意味着新环境、新技术的不断演变,新的风险层出不穷,企业高管需要重视风险管理对企业战略的影响,加强风险管理意识和风险管理力度,以适应日益复杂的时代环境,因此,内部审计将更能获得来自企业高层的支持共享经济模式企业的财务风险研究现状,促成审计模式向企业风险管理导向审计模式的演进,增强内部审计的地位和作用;另一方面,新框架的更新,也给内部审计提供更加系统性的指导,对内部审计的迭代升级提出了更高的要求。
三、基于新框架,构建企业风险管理(ERM)导向的内部审计模式的探索与实践
(一)建立战略导向规划,做企业战略的护航者
战略关乎企业生死存亡,战略风险也是企业风险管理中最大的风险。新框架认同企业战略是企业成功的关键,因此,内部审计应该更多地关注企业战略,做企业战略的护航者。一是建立与企业战略相一致的审计战略规划,审查战略执行与既定战略目标是否一致,审计计划是否关注企业战略风险。二是延伸审计的职能范畴,更多的参与到企业战略转型中,为企业可能面临的风险提供专业化的建议,以适应战略发展的需要。
笔者所在电信企业高层提出,审计不能满足于做好常规审计、满足监管要求,要更加紧密地融入企业改革发展大局,积极主动作为,不能当企业改革的旁观者。近几年,笔者所在企业紧密围绕集团战略、重大决策部署,坚持与企业战略规划一致的目标导向、问题导向的方针,制定审计发展规划,围绕企业改革发展大局,关注企业改革措施的推动落实情况和制约企业发展的体制、机制、制度性障碍,规划了数字化转型、体制机制建设、强化协同、深化成果运用、队伍能力建设的改进路径,积极从合规性、事后型、项目型、单打型、经验型的审计模式向战略性、数字化、常态化、协同型、学习型审计模式转变。
(二)推动风险文化建设,做风险文化的传播者
新框架将风险管理的定义,第一个体现在文化上,可见打造具有风险意识的文化对于企业风险管理的重要性。文化是企业高层主导推动建立的,影响着企业每个人的价值观和行为方式,内部审计要做风险文化的传播者,通过内部审计活动,将积极的风险文化理念融入企业每个人的思想意识中。以IIA新三线模型(详见图2)为出发点,各个业务运营部门做为第一线,承担最主要的风险管理职责;以法务、财务、合规等部门为代表的第二线,承担着为风险事务提供专业知识、支持、监督并提出合理质疑的职责;第一二线负责实现组织目标和风险管理;内部审计做为第三线,独立开展评估和提供风险管理建议,并向组织治理机构负责。新框架下,风险文化要求“三线”不再局限于保守被动的风险防御,更倾向于积极进取的风险管理,内部审计要有意识的推动积极进取的风险文化建设,让“三线”人员对风险文化形成统一的认识。
图2 IIA新三线模型
去年,笔者所在电信企业创新的采用以内审部门牵头,专业部门、业务部门协同调查的方式开展审计,以发现问题、解决问题为目的,让“三线”成员参与审计活动,不仅有利于对企业风险文化形成统一的认识,也有利于发现问题加速整改,提升整改的意愿和成效。
(三)开展增值型审计活动,做企业价值的创造者
新框架与旧版框架相比,更需要发挥审计人员的主观能动性,从企业治理角度实现审计价值的提升。在新形势下,各公司间的竞争已转变为如何有效整合现有资源提升企业核心竞争力。企业创造价值可以通过日常运营资源的合理利用,也可以借助新框架为保持与创造价值提供新的指导方向。为进一步发挥增值功能,内部审计需适时转变审计重点,丰富审计业务内容。以战略为导向,在实施经济责任审计、内控审计、工程审计以及其他专项审计时,拓展增值型审计活动,发挥内部审计的价值主观创造性。
近几年,笔者所在电信企业主动扩展增值型审计业务,持续加强对影响企业提质增效的重点领域审计,如电费、渠道效能等重点资源使用效能的监督,分析和揭示影响企业效益提升的关键问题和深层次问题,提出解决建议,推动企业完善机制、落实责任、提升价值,促进企业高质量发展。
(四)建设复合型团队,做企业治理的咨询者
新框架对企业治理水平提出了更高的要求,要更好的发挥内部审计的作用,内部审计要做企业治理的咨询者。这对内部审计人才队伍建设提出了很高的要求,内部审计必须建设一流的高素质复合型人才队伍,适应新形势下企业的转型发展。一是根据审计发展方向,制定队伍建设方案和人才培养计划,优化审计队伍人才结构,吸纳不同专业的优秀人才,培养一专多能的复合型人才,提升内部审计的专业化素质。二是以继续教育和项目实践相结合,同步提升审计队伍的理论和实践能力,学以致用,用以促学,学用相长,提升人员的胜任能力。三是建立激励机制,鼓励创新型审计,发挥人才潜能,提升审计成效。
在建设团队方面,笔者所在电信企业一是通过集约化管理,优化审计队伍结构,提升不同专业人员占比,充实审计力量;二是以常态化的分专业、分层次培训,业务竞赛、论文评选、项目复盘等手段,持续提升审计人员专业技能;三是探索建立与其他业务部门差异化的内部审计考核体系,突出业绩导向,推动绩效考核与薪酬兑现、职业晋升、任职交流等挂钩,激发审计人员的主动性。
(五)加快数字化转型,做企业战略的先行者
新框架提出企业要利用自身的信息技术系统来支持风险管理。数字化转型是电信企业的战略之一,内部审计应当做企业战略的先行者。为实现内部审计为企业增值的目标,需要加快内部审计的数字化转型和信息化建设共享经济模式企业的财务风险研究现状,根据新框架,结合审计战略规划,建立数字化转型的管理架构和标准。一是推进数据上云,通过对不同内部系统的云化改造,结合外部系统数据,为数据的归集、分析、检索、共享和运用创造条件,实现数据信息的互通共享,为审计数字化转型提供基础数据;二是建设常用模型,根据审计常用场景和常见的风险点,建设专项应用模型,协助审计人员提升审计效率;三是借助大数据分析手段,实现审计分析预测能力、风险判断能力、系统决策能力,提高审计质量。
笔者所在电信企业从顶层设计出发,落实集团云改数转战略,研究审计数字化转型工作目标,梳理现状,对标差距,制定审计信息化三年规划、行动方案和阶段性目标,通过为审计业务流程注智、拓展远程审计的范围和深度、构建常态化风险在线监控能力等举措加快审计信息化建设步伐,积极赋能业务,加快审计信息化的建设。
四、基于新框架的电信企业内部审计展望
世界百年未有之大变局加速演进,新形势下内部审计的转型不是一蹴而就的,需要结合企业战略不断地探索和完善。一是聚焦新形势下的电信企业战略,制定内部审计战略规划。例如,可以通过分析内外部环境,对标企业战略,确立内部审计的愿景、定位、目标,明确审计战略规划阶段、各阶段实施要点,审计的重点领域,实施策略和实施路径。二是基于当下新形势的易变、复杂、模糊、不确定性,电信企业内部审计应建立与组织战略和绩效相适应的风险评估体系,适时调整风险的评估策略,防御和进攻并举,权衡利弊,将风险控制在企业可容许的范围内,实现更大的价值。三是拓展增值型审计业务,充分发挥主观能动性,适时开展更有价值的战略审计,为企业高层出谋划策。四是电信内部审计需要注重人才梯队的培养,通过数字化转型等信息化手段武装自身,实现内部审计地位和作用双提升。
