浅谈通信企业IT系统内部控制建设现状和优化路径.docVIP

浅谈通信企业IT系统内部控制建设现状和优化路径 　　内部控制制度是企业风险防范的主要免疫机制。对于通信企业而言，行业及产品特点决定了IT系统内控建设不能仅局限于信息传递载体和管控平台，其数据生产加工对通信企业财务报告及风险防范具有重要影响。文章在进一步对移动公司IT系统及内控体系进行分析基础上，发现现有IT系统内控体制存在重要性认识不够、IT内控制度建设缺乏统筹管理等缺陷，并在此基础上，对如何基于COBIT框架进一步优化公司IT系统内部控制进行了探析，以期为后续完善公司IT系统内控建设提供有益参考。 一、内部控制制度在通信企业的应用 通信行业几经重组，现已形成三雄鼎立的格局，三家运营商均已上市。随着各家运营商全业务运营的持续推进，运营商之间的市场竞争日趋激烈，市场经营风险有所增加。与此同时，行业监管力度也日益加强，监管部门和资本市场对企业建立完善的内部控制体系提出了更高的要求。在此背景下，通信企业基于公司战略目标，根据相关内部控制监管要求，采用COSO内部控制建设框架，在财政部等部委联合发布的《企业内部控制基本规范》等政策指导下，结合公司经营管理和业务流程实况，逐步建立并完善了以内部环境为重要基础、以风险评估为重要环节、以控制活动为重要手段、以信息与沟通为重要条件、以内部监督为重要保证，相互联系、相互促进内部控制框架。 合理有效的内控制度需与企业生产经营特点及管控流程紧密结合，方能充分发挥其风险防范与提升管理的作用。就通信企业而言，与其他行业不同，通信行业全程全网和产品生产销售同步的特点，决定了IT系统在内部控制建设中的角色不仅仅是管理控制和信息传递的载体与平台，还需高度关注其业务受理、资源管理、数据生产加工功能，高度重视IT系统内部控制在公司整体内控体系建设中的作用，突出IT系统中业务受理环节的合规性与规范性、资源管理环节的安全性与准确性，以及数据生产加工环节的真实准确性，同时还需兼顾系统间信息传递的准确性与一致性。 二、通信企业IT系统建设特点及内部控制运行现状 目前通信企业IT系统一般可以分为业务支撑系统、运营支撑系统、管理支撑系统、企业数据应用系统、IT管控系统等。这些系统涉及到面向市场营销和客户服务的前端支撑，面向资源和网络运营的后端运营支撑，面向人力、财务、OA等的管理支撑，面向企业数据挖掘和共享的应用支撑以及企业信息化应用支撑等生产经营管理的方方面面，共同作用构成了企业经营管理的神经系统。在建设IT系统内控体系方面，公司以风险导向，采用COSO框架，从系统规划设计、系统应用、系统控制维度，通过流程梳理，识别系统建设与管理中存在的风险，并通过风险评估，明确管控节点，建设IT系统信息安全、系统开发维护、系统运行等内控制度。 随着全业务运营的持续开展，市场竞争日趋激烈，新业务不断推陈出新，业务组织架构也在不断调整和优化，IT系统也紧随新业务和组织架构的不断调整而变化化。目前IT系统建设主要定位于管理和业务支撑，IT部门主要职责实现前后端需求，在企业生产经营中的处于从属地位，与IT系统在整个经营管理中的地位不相匹配。随着业务发展以及组织结构的调整，IT系统建设维护与业务部门间存在职责分工交叉与重复，在出现系统数据差错时，系统使用部门与建设维护部门经常发生扯皮现象。从风险管理和业务支撑角度来看，目前IT系统内部控制制度主要集中于IT系统专业角度，突出访问安全、程序变更及运行维护管理，对业务政策系统固化、业务平台支撑与运用程度关注不够。在系统建设过程中存在各业务支撑系统间缺乏统筹管理，有关内部控制环节仅仅基于单系统输入、生产和输出等环节的管控，对各系统间信息的传递和稽核重视不足，实际运行中存在系统间信息不一致、业务系统间信息结构未能打通等情况。例如，为支撑社会渠道管理及结算需求，公司开发建设了社会渠道管理系统，但在实际运行中，由于社会渠道分散以及结算的多样性，系统未能将所有渠道纳入系统管理，部分结算规则需要手工计算来实现。个别地方系统数据未能直接与财务核算核算接口，财务报账申请需要手工发起。从业务发生――系统数据生成――财务核算整个流程来看，较多环节滞留在系统管控之外，数据信息质量容易受人为调整影响。前段时间行业所出现的案件也主要集中IT系统数据管理以及对外结算环节，即是现有IT系统内控制度存有不足的有力例证。 三、移动公司IT系统内部控制建设优化路径分析 为有效解决当前IT系统内部控制建设及运行中存在的不足，可以借鉴COBIT框架，指导企业完善IT系统内控制度，充分发挥IT系统业务运营及管理支撑功能，有效防范信息风险。 COBIT是目前国际上通用的信息系统审计的标准，由信息系统审计与控制协会在1996年公布。这是一个在国际上公认的、权威的安全与信息技术管理和控制的标准，