1、浅析通信企业 IT 系统内部控制建设现状与优化路径内部控制制度是企业风险防范的主要免疫机制。对于通信企业而言,行业及产品特点决定了 IT 系统内控建设不能仅局限于信息传递载体和管控平台,其数据生产加工对通信企业财务报告及风险防范具有重要影响。文章在进一步对移动公司 IT 系统及内控体系进行分析基础上,发现现有IT 系统内控体制存在重要性认识不够、IT 内控制度建设缺乏统筹管理等缺陷,并在此基础上,对如何基于 COBIT 框架进一步优化公司 IT 系统内部控制进行了探析,以期为后续完善公司 IT 系统内控建设提供有益参考。一、内部控制制度在通信企业的应用 通信行业几经重组,现已形成三雄鼎立的格局
2、,三家运营商均已上市。随着各家运营商全业务运营的持续推进,运营商之间的市场竞争日趋激烈,市场经营风险有所增加。与此同时,行业监管力度也日益加强,监管部门和资本市场对企业建立完善的内部控制体系提出了更高的要求。在此背景下,通信企业基于公司战略目标,根据相关内部控制监管要求,采用 COSO 内部控制建设框架,在财政部等部委联合发布的企业内部控制基本规范等政策指导下,结合公司经营管理和业务流程实况,逐步建立并完善了以内部环境为重要基础、以风险评估为重要环节、以控制活动为重要手段、以信息与沟通为重要条件、以内部监督为重要保证,相互联系、相互促进内部控制框架。 合理有效的内控制度需与企业生产经营特点及管
3、控流程紧密结合,方能充分发挥其风险防范与提升管理的作用。就通信企业而言,与其他行业不同,通信行业全程全网和产品生产销售同步的特点,决定了 IT 系统在内部控制建设中的角色不仅仅是管理控制和信息传递的载体与平台,还需高度关注其业务受理、资源管理、数据生产加工功能,高度重视 IT系统内部控制在公司整体内控体系建设中的作用,突出 IT 系统中业务受理环节的合规性与规范性、资源管理环节的安全性与准确性,以及数据生产加工环节的真实准确性,同时还需兼顾系统间信息传递的准确性与一致性。 二、通信企业 IT 系统建设特点及内部控制运行现状 目前通信企业 IT 系统一般可以分为业务支撑系统、运营支撑系统、管理支
4、撑系统、企业数据应用系统、IT 管控系统等。这些系统涉及到面向市场营销和客户服务的前端支撑,面向资源和网络运营的后端运营支撑,面向人力、财务、OA 等的管理支撑,面向企业数据挖掘和共享的应用支撑以及企业信息化应用支撑等生产经营管理的方方面面,共同作用构成了企业经营管理的神经系统。在建设 IT 系统内控体系方面,公司以风险导向,采用 COSO 框架,从系统规划设计、系统应用、系统控制维度,通过流程梳理,识别系统建设与管理中存在的风险,并通过风险评估,明确管控节点,建设 IT 系统信息安全、系统开发维护、系统运行等内控制度。 随着全业务运营的持续开展,市场竞争日趋激烈,新业务不断推陈出新,业务组织
5、架构也在不断调整和优化,IT 系统也紧随新业务和组织架构的不断调整而变化化。目前 IT 系统建设主要定位于管理和业务支撑,IT 部门主要职责实现前后端需求,在企业生产经营中的处于从属地位,与 IT 系统在整个经营管理中的地位不相匹配。随着业务发展以及组织结构的调整,IT 系统建设维护与业务部门间存在职责分工交叉与重复,在出现系统数据差错时,系统使用部门与建设维护部门经常发生扯皮现象。从风险管理和业务支撑角度来看,目前 IT 系统内部控制制度主要集中于IT 系统专业角度,突出访问安全、程序变更及运行维护管理,对业务政策系统固化、业务平台支撑与运用程度关注不够。在系统建设过程中存在各业务支撑系统间
6、缺乏统筹管理,有关内部控制环节仅仅基于单系统输入、生产和输出等环节的管控,对各系统间信息的传递和稽核重视不足,实际运行中存在系统间信息不一致、业务系统间信息结构未能打通等情况。例如,为支撑社会渠道管理及结算需求,公司开发建设了社会渠道管理系统,但在实际运行中,由于社会渠道分散以及结算的多样性,系统未能将所有渠道纳入系统管理,部分结算规则需要手工计算来实现。个别地方系统数据未能直接与财务核算核算接口,财务报账申请需要手工发起。从业务发生系统数据生成财务核算整个流程来看,较多环节滞留在系统管控之外,数据信息质量容易受人为调整影响。前段时间行业所出现的案件也主要集中 IT 系统数据管理以及对外结算环
7、节,即是现有 IT 系统内控制度存有不足的有力例证。 三、移动公司 IT 系统内部控制建设优化路径分析 为有效解决当前 IT 系统内部控制建设及运行中存在的不足,可以借鉴 COBIT 框架,指导企业完善 IT 系统内控制度,充分发挥 IT 系统业务运营及管理支撑功能,有效防范信息风险。 COBIT 是目前国际上通用的信息系统审计的标准,由信息系统审计与控制协会在 1996 年公布。这是一个在国际上公认的、权威的安全与信息技术管理和控制的标准,目前已经更新至 4.1 版。它在商业风险、控制需要和技术问题之间架起了一座桥梁,以满足管理的多方面需要。基于COBIT 框架的 IT 内部控制需要以价值和
8、风险为导向,通过规划和确定 IT控制的范围、评估 IT 风险、记录、评估有效性、缺陷整改、长效推进等一系列活动来建立与不断完善。在 COBIT 框架指引下,IT 系统内部控制建设及运行可以分为 IT 公司层面控制、IT 应用控制和 IT 一般性控制三个层面。在不同的控制层面,内控体系建设关注点有所不同。结合公司当前 IT 系统内部控制建设及运行中存在的不足,可以从这三个方面分别加以优化,具体而言: 第一,在 IT 公司控制层面,以 COBIT 内部控制框架为基础,包含控制环境、信息和沟通、控制活动、风险评估、监控五大部分内容,应侧重 IT 系统整体架构规划设计和 IT 环境构建,突出其信息传递
9、和管控平台职能,通过对企业现有的经营业务和系统状况进行分析评价,评估企业层面和业务活动层面的信息风险,通过授权、核对、系统配置和预警报告等控制措施,形成日常的控制活动。在具体实施中,应结合企业当前 IT 系统内控建设重要性认识不足、系统信息稽核维护职责划分存在交叉重叠等现状,首先明确 IT 系统内控体系建设对公司整体风险防范和确保财务信息质量的重要意义,提高管理层对 IT 系统内控体系建设和运行重要性的认识,高度关注与财务报告信息相关的数据在生产、加工及传递中的准确性、真实性和一致性;其次应明确 IT 系统建设及运行中各部门间的职责分工,尤其对涉及财务报告信息真实准确性的系统信息,应明确其稽核
10、权限归属,确定信息质量责任主体,避免在出现问题时,各部门在系统配置错误和业务前端需求不明确间相互推诿。此外,在 IT 系统规划及建设中,IT 部门在基于其技术专业支撑角色之外,还应提高风险管理意识,熟悉业务运营及管理相关要求,在公司政策制度合规性框架内,对前后端业务及管控需求时进行梳理和优化,及时识别业务支撑中存在的潜在风险,会同相关部门从系统建设源头加以防范。 第二,在 IT 应用控制层面,COBIT 框架突出 IT 系统信息的准确性和完整性。IT 应用控制与企业运营流程紧密相关,建立 IT 应用控制应从流程的角度出发进行考虑,首先要明确业务流程范围,依据系统数据和流程是否会对财务报告造成影
11、响,重点涵盖与财务报告相关的所有业务流程,然后对这些与财务报告有关的信息系统的行为设置相应的控制措施,确保信息数据的可靠性、准确性和完整性,具体包括授权及批准、系统功能配置、账项映射关系、系统异常情况报告和预警报告、系统数据调整权限等,突出系统中业务规则准确固化和系统间信息传递和稽核管理,从业务规则配置及核对、系统间信息传递和稽核、系统内调账、数据差异报告及处理等维度,优化当前 IT 系统建设。 第三,在 IT 一般性控制层面,基于 COBIT 的 IT 一般性控制包括对程序和数据的访问控制、程序变更、程序开发、系统运行以及最终用户计算等 5 个方面的控制。在具体实施中,应加强对系统程序和数据
12、的访问控制,要求系统和数据的访问都经过适当的授权,具体内容包括信息安全的管理、用户账号的管理、对信息系统逻辑访问和物理访问管理以及职责分工;加强对程序变更控制,强化程序变更的需求管理、程序变更测试、程序变更的访问控制、系统配置变更管理、紧急变更管理等。在结合业务运营及管理需求,开发上线新业务系统时,应做好上线使用之前的控制,包括信息系统开发采购审批、信息系统开发方法、开发测试管理和数据移植管理。在系统运行阶段,则应做好系统监控、数据备份和异常处理等工作,包括运行及作业计划、系统备份控制、系统恢复性测试、应用程序和备份介质的授权以及问题管理。最终用户计算是针对部分不通过系统产生但却对财务报表较大影响的电子表格以及应用程序,具体内容包括对重要收入报表的访问控制、测试变更控制以及备份等。
