聯通信息系統內控構建綜述

導語：聯通信息系統內控構建綜述一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

近年來，國內外一系列公司財務舞弊事件中所暴露出的企業會計信息系統方面存在的缺陷，被認為的一個重要原因是因為企業內部控制的不健全。因此，對于如何建立有效的內部控制制度受到了各國監管機構的高度重視。2002年，美國頒布了SOX法案，2008年6月28日，我國財政部等五部門也《企業內部控制基本規范》，以促進上市公司內部控制的建設與完善。同時對于建立了信息管理系統的企業也要做好信息系統的內部控制制度，以提高信息系統安全性、可靠性、合理性。本文以廣東聯通為研究對象，在介紹其信息系統內部控制建設的基礎上，談談對信息系統內部控制研究的一些體會。

一、廣東聯通信息系統內部控制的建設

1.成立信息化管理部門

廣東聯通屬于電信行業，其生產經營與IT有著密切的聯系。為此，公司設立了信息化管理部門，包括業務支撐系統部和管理信息系統部。其中業務支撐系統部共有員工63人，下設8個科室：計費結算室、營業管理室、報表管理室、系統支持室、產品服務室、渠道銷售室、IT研發室、綜合規劃室。主要負責公司的與信息化有關的具體業務；管理信息系統部下設兩個科室，規劃建設室和運行維護室。主要負責公司管理信息系統的戰略規劃和日常運行維護等工作。

2.信息化管理部主要負責信息系統內部控制的建設

廣東聯通的信息系統內部控制建設工作由信息化管理部門（業務支撐系統部和管理信息系統部統稱為信息化管理部門）組織實施。信息系統內部控制包括信息系統一般控制（或總體控制）和信息系統應用控制。信息系統的一般控制是指對信息系統的開發和應用環境進行的控制。信息系統的應用控制是指利用信息系統對業務處理實施的控制。

3.信息系統內部控制的主要手段

(1)基于BSS的內部控制手段廣東聯通不斷完善和優化業務支撐系統域(BSS),重點加強分析型BSS系統的建設，利用其為客戶提供方便、迅速和高品質的個性化與多元化服務，以達到對具體業務的控制。

(2)基于ERP的內部控制手段ERP系統是廣東聯通信息系統的重要組織部分，也是中國聯通建設的第一個全公司、跨專業、跨部門、跨地區高度統一的管理信息平臺。其主要致力于業務數據與財務數據的集成與共享，完善財務風險、資產管理等方面的控制。

(3)基于MSS的內部控制手段廣東聯通通過管理支撐系統域（MSS）的建設，致力于辦公自動化、企業管理規范、數據在線分析等方面的控制。

二、廣東聯通信息系統內部控制建設的總結

1.提高了企業的管理效率，減少了企業經營風險

(1)有助于提升企業的管理效率公司建立了基于UNI-IT信息系統的管理控制方法，使公司的管理效率得到很大提高，特別是中國聯通這種對于信息系統依賴性較高的企業。信息技術改變了信息的傳輸途徑，增加了信息的傳遞速度，從而縮短了決策時間。同時賦予各相關人員相應的責權，減少人為的干預和差錯，大大提高了公司的管理效率。

(2)規范了企業的管理通過公司信息系統的建設，將公司的具體業務流程嵌入信息系統中，固化了相應的流程，使得公司的各項管理工作制度化，規范了員工和管理者的行為，從而促進了企業基礎管理水平的提升，為業務的發展奠定了堅實的基礎。

(3)員工風險防范意識增強通過信息系統內部控制制度的建立與落實，使公司員工初步掌握了識別風險、防范風險的能力，改變了以往日常管理活動中粗放隨意的習慣，自覺地遵守內部控制制度。同時，也明確了各部門、各環節、各崗位防范控制風險的責任，構建了經營活動中的責任體系，每個員工每個崗位都可以順利按照流程開展工作，大大減少過去工作中存在的相互推諉、相互扯皮的情況。

(4)確保財務數據的準確性與及時性為了確保業務信息能準確、及時從業務管理系統傳遞到財務系統，提高一線員工的工作效率，公司業務支撐系統部組織完成商傭金系統、卡資源管理系統與ERP系統的接口建設和推廣工作，實現商傭金系統、卡資源管理系統與ERP系統的數據交互和流程對接，解決了“一套數據，重復錄入”的問題，確保業務系統與財務系統數據一致。

2.存在的局限性

(1)需要較大的投入建立企業信息系統管理控制模式，不但需要大量的硬件設備投入，相關適宜的設備存放空間，還需要不斷更新投入各種軟件。這筆費用對于一般的企業是很大的投入，也將直接制約著企業信息系統和內部控制水平的建設。

(2)信息系統的自動化程度不高由于公司業務流程的不斷更新，市場環境、市場需求以及公司管理控制環境的變化，所帶來公司內部控制環境的優化，最終將促使公司信息系統的變更、升級，從而產生的一系列問題，需要投入巨大的工作量才能使得信息系統適應具體經營管理活動。而這對于本來就有大量日常運營和維護工作要做的業務支撐系統部來說，是很難維持系統的及時變更和升級的。

(3)公司的一般信息管理系統與應用信息系統之間的有效銜接廣東聯通的UNI-IT信息系統主要包括三個子系統：負責電信業務支撐和客戶支持服務的UNI-CRM系統、負責企業資源管理和計劃財務管理的UNI-ERP系統和作為ERP和CRM的承載體，為各級管理人員直接提供決策支持與日常管理服務的U-NI-MSS系統。由于這三者涉及到企業內部各種人員，為不同部門服務，會造成部門之間的各自為政而影響到信息系統的運行效率，特別是信息系統的各子系統之間存在“信息孤島”時更為嚴重。因此應加強各子系統之間的銜接，盡可能地消除各系統之間的切換壁壘。

(4)信息技術對內部控制的影響在普華永道對廣東聯通進行信息系統內部控制評價時，按照COBIT要求，在系統上線前需要進行加固，以防止信息的泄漏和系統的被入侵。但加固后又會限制系統運行速度和系統功能，因此就只能是有條件的加固。這就違背了信息系統內部控制的相應條款。所以在進行信息技術下的內部控制評價時，還要考慮到信息技術本身的特點。

(5)勝任的內部控制評審人員不足每年的內部控制評審涉及到的風險點多，時間緊迫，要確保評審工作能按時保質完成，對測評人員的任職要求較高，既要熟悉各類經濟業務和信息系統各子系統之間的數據構成，了解抽樣方法和手段，又要掌握底稿和報告編制的程序和規則，并且具備良好的分析和溝通能力。但在全省范圍內，專職的內審人員不多，且其他符合上述任職要求的人員也不多，因而在評審過程中，各分公司存在的例外問題未能全部被發現，底稿和報告的質量未能得到有效的保障。

三、得到的啟示

1.企業方面

(1)高層管理者的高度重視是做好內部控制建設工作的前提企業高層管理者的高度重視是內部控制工作取得階段性成果的前提條件。因為內部控制的建設規范了企業的管理行為和員工的工作行為，但增加了相應的工作程序和工作量，會遭到一部分執行者的抵觸，因此，高層管理者的態度就很重要。廣東聯通公司充分認識到內部控制建設的重要性和緊迫性，將企業經營管理的指導方針確定為“增產節支、精細管理、內強素質”，將內部控制工作提到公司戰略的高度上加以重視。公司高層不定期組織內部控制工作會議，主持參與流程的審定，直接組織各部門各分公司的問題整改工作，大大推動了廣東聯通公司的內部控制建設。

(2)信息系統相關部門的積極參與是做好信息系統內部控制工作的基礎信息系統內部控制建設不僅僅是公司信息化管理部門的工作職責，而且需要信息系統應用部門的積極參與和配合。信息系統內部控制建設工作涉及到與信息系統有關的每個崗位、每個人員，信息系統內部控制制度的有效執行，離不開企業的各級管理者和員工的積極參與。廣東聯通經過大力宣傳與貫徹，使內部控制管理理念深入人心，通過編制流程崗位對應表和崗位流程對應表，將每個流程落實到在崗的員工。每位在崗的員工通過切實執行內部控制制度，逐步加強基礎管理工作，有力推動了公司的內部控制建設工作。

(3)信息系統內部控制工作要與生產經營活動緊密結合信息系統內部控制工作是在各業務流程的基礎上開展的，因此業務流程的推廣質量直接影響到信息系統內部控制工作，信息系統內部控制工作是否有效將取決于流程和制度是否得到了有效的執行，而內部控制制度規范是否被有效執行，又取決于流程和制度是否符合生產經營活動的實際情況。因此，只有結合實際工作制定具體風險問題的防范措施，將信息系統內部控制工作從流程設計、制度制定、措施貫徹等各個環節與生產經營緊密結合，才能讓企業員工易于理解和接受，才能更好地發揮其作用。同時需要確定相應流程的重要會計科目，以便確定影響重要會計科目的關鍵系統，若重要會計科目的范圍太寬泛，就會導致關鍵系統和關鍵控制點難以明確。

(4)從公司戰略角度構建信息系統內部控制框架針對信息系統的開發和變更，以及各子系統之間的整合問題，應該站在戰略的角度建立公司的信息系統。根據公司戰略發展的需要，構建信息系統大平臺，建立相應的信息系統模塊與流程，確定關鍵風險點和關鍵控制點，從而可以及時更新系統以適應公司業務流程的變化和各子系統之間的整合。

(5)加強員工的培訓和內部控制建設的同步進行在確定好公司戰略基礎上的信息系統內部控制框架后，確定各業務流程的關鍵風險點和關鍵控制點既需要投入大量的工作量又需要相關人員的專業判斷，同時要對公司整個信息系統內部控制框架非常熟悉。所以就需要對相關技術人員進行內部控制建設方面知識的培訓，內部控制人員的信息系統技術知識的培訓。并且要做好信息系統內部控制建設的計劃步驟，嚴格完成各環節。

(6)大力培養既懂審計業務又熟悉信息技術的內部控制管理人員信息系統內部控制建成后，其有效性就取決于相關工作人員的執行力度，所以應加強內部控制的監督和內部審計。因此，內部審計人員除了應具備審計專業知識外，還要掌握各業務系統之間的數據生成流程和相應的信息技術知識。只有這樣才能發現整個信息系統的風險所在和內部控制的執行效果，以便提出切實可行的防范措施。

(7)信息系統內部控制工作要建立長效機制、長抓不懈內部控制工作是一項長期的任務，復雜而艱巨。信息系統的開發和變更、業務處理流程的變化等都會改變風險問題，因此，必須適時修正控制流程和控制措施，完善內部控制制度規范，保證制度規范的健全性。通過建立檢查督導制度，鞏固已經整改的成果，防止死灰復燃，建立健全長效機制，長抓不懈，避免出現前清后亂、工作反復的弊病。

(8)提倡系統控制，減少人工控制信息系統是廣東聯通經營和管理的基礎，廣東聯通認識到通過信息系統控制效率高、風險小，而人工控制成本高、風險大。因此，廣東聯通在信息系統開發過程中，充分利用信息技術優勢，優化流程，完善控制點，將處理規則嵌入到系統程序中，減少人工控制，增加系統控制，并實現手工處理環境下難以實現的控制功能，這樣可以更加高效地預防、發現和糾正錯誤和舞弊。

2.監管方面

(1)制定信息系統內部控制應用指引時，應注意企業信息系統建設的差異信息系統的內部控制指引是為引導企業充分利用信息系統達到企業的戰略目標和業務目標，提高信息系統的效率與效益，增強信息系統的安全性、可靠性和合理性及信息的保密性、完整性和可用性而制定的，它的作用對象具有普遍性。而不同類型的企業其信息系統的完善程度是有差異的，比如像聯通公司的信息系統作用與一般企業的信息系統是不一樣的，因為聯通公司的業務支撐與運營支撐都完全建立在信息系統的基礎上，這種差異將決定著企業對信息系統的投入，從而也影響到信息系統的內部控制狀況。所以，在制定具體指引時，要考慮企業信息系統的差異，抓住一般性。

(2)注重信息系統內部控制環境的建設在分析廣東聯通的信息系統內部控制建設與執行過程中，感覺到內部控制環境的建設對整個信息系統內部控制的建立起著較大作用。信息系統建設的戰略性與長期規劃、信息系統管理的組織架構與人力資源管理政策、高層管理者的理念與支持等對信息系統內部控制起著決定性地影響。因此，在制定信息系統內部控制指引時，應加強信息系統內部控制環境方面的內容。

(3)加強信息系統的數據生成源頭的監控企業引入信息系統以及具體的應用信息系統體系，將大大提高企業的管理效率，減少數據在傳遞過程中的失誤，主要是因為信息系統將一些日常重復性工作流程予以固化，同時具有數據自動生成機制。因此，要保證信息的準確性和可用性的主要環節在于如何保證源頭信息的準確性。所以，在制定信息系統內部控制指引時，應加強信息生成源頭的控制內容。