联通信息系统内控构建综述

近年来，国内外一系列公司财务舞弊事件中所暴露出的企业会计信息系统方面存在的缺陷，被认为的一个重要原因是因为企业内部控制的不健全。因此，对于如何建立有效的内部控制制度受到了各国监管机构的高度重视。2002年，美国颁布了SOX法案，2008年6月28日，我国财政部等五部门也《企业内部控制基本规范》，以促进上市公司内部控制的建设与完善。同时对于建立了信息管理系统的企业也要做好信息系统的内部控制制度，以提高信息系统安全性、可靠性、合理性。本文以广东联通为研究对象，在介绍其信息系统内部控制建设的基础上，谈谈对信息系统内部控制研究的一些体会。

一、广东联通信息系统内部控制的建设

1.成立信息化管理部门

广东联通属于电信行业，其生产经营与IT有着密切的联系。为此，公司设立了信息化管理部门，包括业务支撑系统部和管理信息系统部。其中业务支撑系统部共有员工63人，下设8个科室：计费结算室、营业管理室、报表管理室、系统支持室、产品服务室、渠道销售室、IT研发室、综合规划室。主要负责公司的与信息化有关的具体业务；管理信息系统部下设两个科室，规划建设室和运行维护室。主要负责公司管理信息系统的战略规划和日常运行维护等工作。

2.信息化管理部主要负责信息系统内部控制的建设

广东联通的信息系统内部控制建设工作由信息化管理部门（业务支撑系统部和管理信息系统部统称为信息化管理部门）组织实施。信息系统内部控制包括信息系统一般控制（或总体控制）和信息系统应用控制。信息系统的一般控制是指对信息系统的开发和应用环境进行的控制。信息系统的应用控制是指利用信息系统对业务处理实施的控制。

3.信息系统内部控制的主要手段

(1)基于BSS的内部控制手段广东联通不断完善和优化业务支撑系统域(BSS),重点加强分析型BSS系统的建设，利用其为客户提供方便、迅速和高品质的个性化与多元化服务，以达到对具体业务的控制。

(2)基于ERP的内部控制手段ERP系统是广东联通信息系统的重要组织部分，也是中国联通建设的第一个全公司、跨专业、跨部门、跨地区高度统一的管理信息平台。其主要致力于业务数据与财务数据的集成与共享，完善财务风险、资产管理等方面的控制。

(3)基于MSS的内部控制手段广东联通通过管理支撑系统域（MSS）的建设，致力于办公自动化、企业管理规范、数据在线分析等方面的控制。

二、广东联通信息系统内部控制建设的总结

1.提高了企业的管理效率，减少了企业经营风险

(1)有助于提升企业的管理效率公司建立了基于UNI-IT信息系统的管理控制方法，使公司的管理效率得到很大提高，特别是中国联通这种对于信息系统依赖性较高的企业。信息技术改变了信息的传输途径，增加了信息的传递速度，从而缩短了决策时间。同时赋予各相关人员相应的责权，减少人为的干预和差错，大大提高了公司的管理效率。

(2)规范了企业的管理通过公司信息系统的建设，将公司的具体业务流程嵌入信息系统中，固化了相应的流程，使得公司的各项管理工作制度化，规范了员工和管理者的行为，从而促进了企业基础管理水平的提升，为业务的发展奠定了坚实的基础。

(3)员工风险防范意识增强通过信息系统内部控制制度的建立与落实，使公司员工初步掌握了识别风险、防范风险的能力，改变了以往日常管理活动中粗放随意的习惯，自觉地遵守内部控制制度。同时，也明确了各部门、各环节、各岗位防范控制风险的责任，构建了经营活动中的责任体系，每个员工每个岗位都可以顺利按照流程开展工作，大大减少过去工作中存在的相互推诿、相互扯皮的情况。

(4)确保财务数据的准确性与及时性为了确保业务信息能准确、及时从业务管理系统传递到财务系统，提高一线员工的工作效率，公司业务支撑系统部组织完成商佣金系统、卡资源管理系统与ERP系统的接口建设和推广工作，实现商佣金系统、卡资源管理系统与ERP系统的数据交互和流程对接，解决了“一套数据，重复录入”的问题，确保业务系统与财务系统数据一致。

2.存在的局限性

(1)需要较大的投入建立企业信息系统管理控制模式，不但需要大量的硬件设备投入，相关适宜的设备存放空间，还需要不断更新投入各种软件。这笔费用对于一般的企业是很大的投入，也将直接制约着企业信息系统和内部控制水平的建设。

(2)信息系统的自动化程度不高由于公司业务流程的不断更新，市场环境、市场需求以及公司管理控制环境的变化，所带来公司内部控制环境的优化，最终将促使公司信息系统的变更、升级，从而产生的一系列问题，需要投入巨大的工作量才能使得信息系统适应具体经营管理活动。而这对于本来就有大量日常运营和维护工作要做的业务支撑系统部来说，是很难维持系统的及时变更和升级的。

(3)公司的一般信息管理系统与应用信息系统之间的有效衔接广东联通的UNI-IT信息系统主要包括三个子系统：负责电信业务支撑和客户支持服务的UNI-CRM系统、负责企业资源管理和计划财务管理的UNI-ERP系统和作为ERP和CRM的承载体，为各级管理人员直接提供决策支持与日常管理服务的U-NI-MSS系统。由于这三者涉及到企业内部各种人员，为不同部门服务，会造成部门之间的各自为政而影响到信息系统的运行效率，特别是信息系统的各子系统之间存在“信息孤岛”时更为严重。因此应加强各子系统之间的衔接，尽可能地消除各系统之间的切换壁垒。

(4)信息技术对内部控制的影响在普华永道对广东联通进行信息系统内部控制评价时，按照COBIT要求，在系统上线前需要进行加固，以防止信息的泄漏和系统的被入侵。但加固后又会限制系统运行速度和系统功能，因此就只能是有条件的加固。这就违背了信息系统内部控制的相应条款。所以在进行信息技术下的内部控制评价时，还要考虑到信息技术本身的特点。

(5)胜任的内部控制评审人员不足每年的内部控制评审涉及到的风险点多，时间紧迫，要确保评审工作能按时保质完成，对测评人员的任职要求较高，既要熟悉各类经济业务和信息系统各子系统之间的数据构成，了解抽样方法和手段，又要掌握底稿和报告编制的程序和规则，并且具备良好的分析和沟通能力。但在全省范围内，专职的内审人员不多，且其他符合上述任职要求的人员也不多，因而在评审过程中，各分公司存在的例外问题未能全部被发现，底稿和报告的质量未能得到有效的保障。

三、得到的启示

1.企业方面

(1)高层管理者的高度重视是做好内部控制建设工作的前提企业高层管理者的高度重视是内部控制工作取得阶段性成果的前提条件。因为内部控制的建设规范了企业的管理行为和员工的工作行为，但增加了相应的工作程序和工作量，会遭到一部分执行者的抵触，因此，高层管理者的态度就很重要。广东联通公司充分认识到内部控制建设的重要性和紧迫性，将企业经营管理的指导方针确定为“增产节支、精细管理、内强素质”，将内部控制工作提到公司战略的高度上加以重视。公司高层不定期组织内部控制工作会议，主持参与流程的审定，直接组织各部门各分公司的问题整改工作，大大推动了广东联通公司的内部控制建设。

(2)信息系统相关部门的积极参与是做好信息系统内部控制工作的基础信息系统内部控制建设不仅仅是公司信息化管理部门的工作职责，而且需要信息系统应用部门的积极参与和配合。信息系统内部控制建设工作涉及到与信息系统有关的每个岗位、每个人员，信息系统内部控制制度的有效执行，离不开企业的各级管理者和员工的积极参与。广东联通经过大力宣传与贯彻，使内部控制管理理念深入人心，通过编制流程岗位对应表和岗位流程对应表，将每个流程落实到在岗的员工。每位在岗的员工通过切实执行内部控制制度，逐步加强基础管理工作，有力推动了公司的内部控制建设工作。

(3)信息系统内部控制工作要与生产经营活动紧密结合信息系统内部控制工作是在各业务流程的基础上开展的，因此业务流程的推广质量直接影响到信息系统内部控制工作，信息系统内部控制工作是否有效将取决于流程和制度是否得到了有效的执行，而内部控制制度规范是否被有效执行，又取决于流程和制度是否符合生产经营活动的实际情况。因此，只有结合实际工作制定具体风险问题的防范措施，将信息系统内部控制工作从流程设计、制度制定、措施贯彻等各个环节与生产经营紧密结合，才能让企业员工易于理解和接受，才能更好地发挥其作用。同时需要确定相应流程的重要会计科目，以便确定影响重要会计科目的关键系统，若重要会计科目的范围太宽泛，就会导致关键系统和关键控制点难以明确。

(4)从公司战略角度构建信息系统内部控制框架针对信息系统的开发和变更，以及各子系统之间的整合问题，应该站在战略的角度建立公司的信息系统。根据公司战略发展的需要，构建信息系统大平台，建立相应的信息系统模块与流程，确定关键风险点和关键控制点，从而可以及时更新系统以适应公司业务流程的变化和各子系统之间的整合。

(5)加强员工的培训和内部控制建设的同步进行在确定好公司战略基础上的信息系统内部控制框架后，确定各业务流程的关键风险点和关键控制点既需要投入大量的工作量又需要相关人员的专业判断，同时要对公司整个信息系统内部控制框架非常熟悉。所以就需要对相关技术人员进行内部控制建设方面知识的培训，内部控制人员的信息系统技术知识的培训。并且要做好信息系统内部控制建设的计划步骤，严格完成各环节。

(6)大力培养既懂审计业务又熟悉信息技术的内部控制管理人员信息系统内部控制建成后，其有效性就取决于相关工作人员的执行力度，所以应加强内部控制的监督和内部审计。因此，内部审计人员除了应具备审计专业知识外，还要掌握各业务系统之间的数据生成流程和相应的信息技术知识。只有这样才能发现整个信息系统的风险所在和内部控制的执行效果，以便提出切实可行的防范措施。

(7)信息系统内部控制工作要建立长效机制、长抓不懈内部控制工作是一项长期的任务，复杂而艰巨。信息系统的开发和变更、业务处理流程的变化等都会改变风险问题，因此，必须适时修正控制流程和控制措施，完善内部控制制度规范，保证制度规范的健全性。通过建立检查督导制度，巩固已经整改的成果，防止死灰复燃，建立健全长效机制，长抓不懈，避免出现前清后乱、工作反复的弊病。

(8)提倡系统控制，减少人工控制信息系统是广东联通经营和管理的基础，广东联通认识到通过信息系统控制效率高、风险小，而人工控制成本高、风险大。因此，广东联通在信息系统开发过程中，充分利用信息技术优势，优化流程，完善控制点，将处理规则嵌入到系统程序中，减少人工控制，增加系统控制，并实现手工处理环境下难以实现的控制功能，这样可以更加高效地预防、发现和纠正错误和舞弊。

2.监管方面

(1)制定信息系统内部控制应用指引时，应注意企业信息系统建设的差异信息系统的内部控制指引是为引导企业充分利用信息系统达到企业的战略目标和业务目标，提高信息系统的效率与效益，增强信息系统的安全性、可靠性和合理性及信息的保密性、完整性和可用性而制定的，它的作用对象具有普遍性。而不同类型的企业其信息系统的完善程度是有差异的，比如像联通公司的信息系统作用与一般企业的信息系统是不一样的，因为联通公司的业务支撑与运营支撑都完全建立在信息系统的基础上，这种差异将决定着企业对信息系统的投入，从而也影响到信息系统的内部控制状况。所以，在制定具体指引时，要考虑企业信息系统的差异，抓住一般性。

(2)注重信息系统内部控制环境的建设在分析广东联通的信息系统内部控制建设与执行过程中，感觉到内部控制环境的建设对整个信息系统内部控制的建立起着较大作用。信息系统建设的战略性与长期规划、信息系统管理的组织架构与人力资源管理政策、高层管理者的理念与支持等对信息系统内部控制起着决定性地影响。因此，在制定信息系统内部控制指引时，应加强信息系统内部控制环境方面的内容。

(3)加强信息系统的数据生成源头的监控企业引入信息系统以及具体的应用信息系统体系，将大大提高企业的管理效率，减少数据在传递过程中的失误，主要是因为信息系统将一些日常重复性工作流程予以固化，同时具有数据自动生成机制。因此，要保证信息的准确性和可用性的主要环节在于如何保证源头信息的准确性。所以，在制定信息系统内部控制指引时，应加强信息生成源头的控制内容。