美国安然、世通、施乐等一批大公司的破产,向世人展示了风险管理存在缺陷对企业带来的巨大危害。最终导致美国国会于2002年7月25日通过了《2002年公众公司会计改革和投资者保护法案》(即《2002年萨班斯一一奥克斯利法案》,以下简称《SOX法案》)。《SOX法案》经美国总统布什签署后,正式成为法律并生效。国际上许多先进的大公司都在重视风险管理,重视内部控制系统建设。甘肃移动是中国移动通信有限公司的全资子公司。中国移动通信有限公司股票分别在香港证券交易所与纽约证交所挂牌交易。甘肃移动需要按照《SOX法案》要求提交财务报告。并且国务院国有资产监督管理委员会于2006年6月出台了《中央企业全面风险管理指引》,要求中央企业建立健全内部控制系统。本文以甘肃移动为研究对象,首先,对内部控制理论进行了系统的梳理,在综述国内外内部控制理论发展的基础上,考察了内部控制框架构建过程的控制目标和各个要素。进而,以内部控制基本理论为指导,对甘肃移动现行内控制度现状进行了分析,认为甘肃移动内部控制效果不佳。从表面上来看,是由于内部控制制度不完善、内部控制执行不严导致内部控制存在缺陷；但是,从问题的根源上看,是公司的内部控制环境薄弱、风险意识淡薄、内部信息沟通不畅、内部控制执行缺乏监督、绩效考评指标不完善。对甘肃移动内部控制体系构建提出了自己的设想,包括(1)确定内部控制构建的基本原则；(2)按照coso内部控制框架,从控制环境、风险评估、控制活动、信息和沟通、监控五个方面加强公司层面的控制；(3)加强信息技术整体控制；(4)强化业务流程控制。最后,提出内部控制系统应加强穿行测试与有效性测试,确保内部控制被有效执行,并根据环境变化对内部控制系统进行持续改进与优化。