信息系统内部控制案例(广东联通)
风险导向内部控制网 日期:2015-02-07
风险导向内部控制网 日期:2015-02-07
随着信息技术的广泛应用,信息系统已经成为企业经营管理不可缺少的平台。如何加强企业信息系统的内部控制,对于实现企业的战略目标和业务目标,提高企业经营效率,降低信息系统风险及企业经营风险具有重要的现实意义。本文将以中国联通广东省分公司(简称广东联通)为例,从信息系统一般控制和应用控制两方面分析其信息系统内部控制状况,由此得出对加强信息系统内部控制建设的启示。
一、广东联通信息系统结构
广东联通信息系统主要包括三大系统域:运营支撑系统域(OSS)、业务支撑系统域(BSS)和管理支撑系统域(MSS),其中,运营支撑系统域属于生产管理系统,面向服务和资源,为综合运营提供支持,主要包括集成订单管理系统、服务开通管理系统、综合资源管理系统、综合生产调度系统、动力监控系统等;业务支撑系统域属于业务管理系统,为市场营销、客户服务等企业经营活动提供全面支撑,主要包括外部门户系统、CRM(客户关系管理)系统、合作伙伴管理系统、经营分析系统、综合计费账务系统、综合结算系统和综合采集系统等;管理支撑系统域属于管理支持系统,为企业管理活动提供有力的支撑和保障,主要包括内部门户系统、企业决策支持系统、ERP(企业资源计划)系统、OA(办公自动化)系统等。ERP系统又包括会计信息系统、采购管理、库存管理、人力资源管理等子系统。
二、广东联通信息系统内部控制状况分析
信息系统内部控制是广东联通内部控制的重要组成部分,包括信息系统一般控制和信息系统应用控制。在内部控制建设过程中,广东联通对2 200多个风险点(其中信息系统关键控制点349个)进行了详细分析,制定了相应的控制措施。
1.广东联通信息系统一般控制
信息系统的一般控制是指对信息系统的开发和应用环境进行的控制,主要包括信息系统控制环境管理、系统开发管理、系统变更管理、日常运行维护管理、系统安全管理等内容。广东联通强调信息系统全生命周期管理,明确了信息系统各阶段的风险控制点。为了加强信息系统一般控制,中国联通及广东联通还制定了一系列制度,包括《中国联通广东分公司信息系统项目建设规程》、《中国联通信息系统管理规范订立及修改细则》等。
2.广东联通信息系统应用控制
信息系统应用控制是指利用信息系统对业务处理实施的控制。根据业务处理环节划分,信息系统应用控制包括输入控制、处理控制和输出控制等内容。广东联通信息化程度高,公司生产经营完全依赖信息系统的支持。因此,信息系统应用控制与公司的生产经营业务密不可分。广东联通通过梳理业务流程,强化职责分工,实现不相容职务相互分离等手段加强信息系统应用控制。
三、广东联通信息系统内部控制的特点
1.信息系统内部控制风险大
广东联通的信息系统非常庞大,信息系统的数量多达二十几个,涵盖了运营、业务和管理三大领域。公司高度重视信息系统的建设,利用信息系统来支持公司的业务发展。随着新产品的不断推出,需要不断增加新的信息系统,旧的信息系统不断进行升级变更。信息系统的故障将直接影响服务的提供,因此,广东联通信息系统内部控制风险较大。
2.信息系统控制力度大、控制点多
一般执行《萨班斯—奥克斯利法案》的企业,其信息系统控制点只有几十个,而广东联通有三百多个信息系统关键控制点。信息系统控制点多,管理不断细化。
3.实行信息系统生命周期全过程管理
广东联通既强调信息系统一般控制,又重视信息系统应用控制。其信息系统内部控制包括信息系统控制环境管理、系统开发管理、系统变更管理、系统安全管理、系统运行维护管理以及与业务密切联系的信息系统应用管理,涵盖了系统规划、需求分析、系统设计、系统实施、系统运行维护、系统评价等整个信息系统生命周期。
4.提倡系统控制,减少人工控制
系统控制效率高、风险小,而人工控制成本高、风险大。因此,广东联通在信息系统开发过程中,充分利用信息技术优势,优化流程,完善控制点,将业务处理规则嵌入到系统程序中,减少人工控制,增加系统控制,并实现手工处理环境下难以实现的控制功能,以更加高效地预防、发现和纠正错误和舞弊。
5.重视企业全面风险管理
广东联通内部控制的建设不仅仅是为了应对审计,更重要的是为了强化公司管理,加强全面风险管理。公司以全面风险评估为基础,加强了租对机业务管理、费用规范管理、信息系统及电子表格控制管理、会计与业务核对、套餐审批及信用额度管理、工程物资、存货及固定资产管理、财务关账控制、公司层面控制等方面的风险识别和风险分析,评估现有的控制措施设计的完整性和执行的有效性,持续维护和完善内部控制制度,确保涵盖所有重大经营风险。
四、广东联通案例对加强信息系统内部控制建设的启示
1.信息系统相关部门的积极参与是做好信息系统内部控制工作的基础
信息系统内部控制建设不仅仅是公司信息化管理部门的工作职责,而且需要信息系统应用部门的积极参与和配合。信息系统内部控制建设工作涉及到与信息系统有关的每个岗位、每个人员,信息系统内部控制制度的有效执行,离不开企业的各级管理者和员工的积极参与。广东联通经过大力宣传与贯彻,使内部控制管理理念深入人心,通过编制流程岗位对应表和岗位流程对应表,将每个流程落实到在岗的员工。每位在岗的员工通过切实执行内部控制制度,逐步加强基础管理工作,有力推动了公司的内部控制建设工作。
2.信息系统内部控制工作要与生产经营活动紧密结合
内部控制工作是否有效取决于流程和制度是否得到了有效的执行,而内部控制制度规范是否被有效执行,又取决于流程和制度是否符合生产经营活动的实际情况。因此,只有结合实际工作制定具体风险问题的防范措施,将信息系统内部控制工作从流程设计、制度制定、措施贯彻等各个环节与生产经营紧密结合,才能让企业员工易于理解和接受,才能更好地发挥其作用。
3.从公司战略角度建立信息系统
针对信息系统的开发和变更,以及各子系统之间的整合问题,应该站在战略的角度建立公司的信息系统。根据公司战略发展的需要,构建信息系统大平台,建立相应的信息系统模块与流程,及时更新系统以便适应公司业务流程的变化和各子系统之间的整合。
4.信息系统内部控制工作要建立长效机制、常抓不懈
内部控制工作是一项长期的任务,复杂而艰巨。信息系统的开发和变更、业务处理流程的变化等都会改变风险问题,必须适时修正控制流程和控制措施,完善内部控制制度规范,保证制度规范的健全性。通过建立检查督导制度,巩固已经整改的成果,防止死灰复燃,建立健全长效机制,常抓不懈,避免出现前清后乱、工作反复的弊病。
汇韬科索企业咨询(北京)有限公司(www.gscoso.com)是国内知名企业管理咨询公司之一,咨询团队来自于国内知名企业管理咨询公司、全球四大会计师事务所以及国际知名行业研究机构,服务于跨国公司、中央企业、混合所有制等各类型企业,开展落地、合规的咨询服务和企业内部培训,具有丰富相关经验。欢迎与我们联系沟通,我们将免费提供专业、可行的咨询建议。
风险导向内部控制网(www.china-rmic.com)由汇韬科索联合多家咨询机构、会计师事务所、学术团体共同发起创办,专注于风险管理与内部控制。本网主要为访问者提供线上、线下免费专业资料,内部控制体系与风险管理体系的有效性自我评测,以及无偿专业诊断咨询建议。
【联系方式】
电话:010-68827610
电子邮箱:gsc@gscoso.com
咨询QQ:421183643
地址:北京市石景山区实兴大街科技园3号楼8层
一、广东联通信息系统结构
广东联通信息系统主要包括三大系统域:运营支撑系统域(OSS)、业务支撑系统域(BSS)和管理支撑系统域(MSS),其中,运营支撑系统域属于生产管理系统,面向服务和资源,为综合运营提供支持,主要包括集成订单管理系统、服务开通管理系统、综合资源管理系统、综合生产调度系统、动力监控系统等;业务支撑系统域属于业务管理系统,为市场营销、客户服务等企业经营活动提供全面支撑,主要包括外部门户系统、CRM(客户关系管理)系统、合作伙伴管理系统、经营分析系统、综合计费账务系统、综合结算系统和综合采集系统等;管理支撑系统域属于管理支持系统,为企业管理活动提供有力的支撑和保障,主要包括内部门户系统、企业决策支持系统、ERP(企业资源计划)系统、OA(办公自动化)系统等。ERP系统又包括会计信息系统、采购管理、库存管理、人力资源管理等子系统。
二、广东联通信息系统内部控制状况分析
信息系统内部控制是广东联通内部控制的重要组成部分,包括信息系统一般控制和信息系统应用控制。在内部控制建设过程中,广东联通对2 200多个风险点(其中信息系统关键控制点349个)进行了详细分析,制定了相应的控制措施。
1.广东联通信息系统一般控制
信息系统的一般控制是指对信息系统的开发和应用环境进行的控制,主要包括信息系统控制环境管理、系统开发管理、系统变更管理、日常运行维护管理、系统安全管理等内容。广东联通强调信息系统全生命周期管理,明确了信息系统各阶段的风险控制点。为了加强信息系统一般控制,中国联通及广东联通还制定了一系列制度,包括《中国联通广东分公司信息系统项目建设规程》、《中国联通信息系统管理规范订立及修改细则》等。
2.广东联通信息系统应用控制
信息系统应用控制是指利用信息系统对业务处理实施的控制。根据业务处理环节划分,信息系统应用控制包括输入控制、处理控制和输出控制等内容。广东联通信息化程度高,公司生产经营完全依赖信息系统的支持。因此,信息系统应用控制与公司的生产经营业务密不可分。广东联通通过梳理业务流程,强化职责分工,实现不相容职务相互分离等手段加强信息系统应用控制。
三、广东联通信息系统内部控制的特点
1.信息系统内部控制风险大
广东联通的信息系统非常庞大,信息系统的数量多达二十几个,涵盖了运营、业务和管理三大领域。公司高度重视信息系统的建设,利用信息系统来支持公司的业务发展。随着新产品的不断推出,需要不断增加新的信息系统,旧的信息系统不断进行升级变更。信息系统的故障将直接影响服务的提供,因此,广东联通信息系统内部控制风险较大。
2.信息系统控制力度大、控制点多
一般执行《萨班斯—奥克斯利法案》的企业,其信息系统控制点只有几十个,而广东联通有三百多个信息系统关键控制点。信息系统控制点多,管理不断细化。
3.实行信息系统生命周期全过程管理
广东联通既强调信息系统一般控制,又重视信息系统应用控制。其信息系统内部控制包括信息系统控制环境管理、系统开发管理、系统变更管理、系统安全管理、系统运行维护管理以及与业务密切联系的信息系统应用管理,涵盖了系统规划、需求分析、系统设计、系统实施、系统运行维护、系统评价等整个信息系统生命周期。
4.提倡系统控制,减少人工控制
系统控制效率高、风险小,而人工控制成本高、风险大。因此,广东联通在信息系统开发过程中,充分利用信息技术优势,优化流程,完善控制点,将业务处理规则嵌入到系统程序中,减少人工控制,增加系统控制,并实现手工处理环境下难以实现的控制功能,以更加高效地预防、发现和纠正错误和舞弊。
5.重视企业全面风险管理
广东联通内部控制的建设不仅仅是为了应对审计,更重要的是为了强化公司管理,加强全面风险管理。公司以全面风险评估为基础,加强了租对机业务管理、费用规范管理、信息系统及电子表格控制管理、会计与业务核对、套餐审批及信用额度管理、工程物资、存货及固定资产管理、财务关账控制、公司层面控制等方面的风险识别和风险分析,评估现有的控制措施设计的完整性和执行的有效性,持续维护和完善内部控制制度,确保涵盖所有重大经营风险。
四、广东联通案例对加强信息系统内部控制建设的启示
1.信息系统相关部门的积极参与是做好信息系统内部控制工作的基础
信息系统内部控制建设不仅仅是公司信息化管理部门的工作职责,而且需要信息系统应用部门的积极参与和配合。信息系统内部控制建设工作涉及到与信息系统有关的每个岗位、每个人员,信息系统内部控制制度的有效执行,离不开企业的各级管理者和员工的积极参与。广东联通经过大力宣传与贯彻,使内部控制管理理念深入人心,通过编制流程岗位对应表和岗位流程对应表,将每个流程落实到在岗的员工。每位在岗的员工通过切实执行内部控制制度,逐步加强基础管理工作,有力推动了公司的内部控制建设工作。
2.信息系统内部控制工作要与生产经营活动紧密结合
内部控制工作是否有效取决于流程和制度是否得到了有效的执行,而内部控制制度规范是否被有效执行,又取决于流程和制度是否符合生产经营活动的实际情况。因此,只有结合实际工作制定具体风险问题的防范措施,将信息系统内部控制工作从流程设计、制度制定、措施贯彻等各个环节与生产经营紧密结合,才能让企业员工易于理解和接受,才能更好地发挥其作用。
3.从公司战略角度建立信息系统
针对信息系统的开发和变更,以及各子系统之间的整合问题,应该站在战略的角度建立公司的信息系统。根据公司战略发展的需要,构建信息系统大平台,建立相应的信息系统模块与流程,及时更新系统以便适应公司业务流程的变化和各子系统之间的整合。
4.信息系统内部控制工作要建立长效机制、常抓不懈
内部控制工作是一项长期的任务,复杂而艰巨。信息系统的开发和变更、业务处理流程的变化等都会改变风险问题,必须适时修正控制流程和控制措施,完善内部控制制度规范,保证制度规范的健全性。通过建立检查督导制度,巩固已经整改的成果,防止死灰复燃,建立健全长效机制,常抓不懈,避免出现前清后乱、工作反复的弊病。
汇韬科索企业咨询(北京)有限公司(www.gscoso.com)是国内知名企业管理咨询公司之一,咨询团队来自于国内知名企业管理咨询公司、全球四大会计师事务所以及国际知名行业研究机构,服务于跨国公司、中央企业、混合所有制等各类型企业,开展落地、合规的咨询服务和企业内部培训,具有丰富相关经验。欢迎与我们联系沟通,我们将免费提供专业、可行的咨询建议。
风险导向内部控制网(www.china-rmic.com)由汇韬科索联合多家咨询机构、会计师事务所、学术团体共同发起创办,专注于风险管理与内部控制。本网主要为访问者提供线上、线下免费专业资料,内部控制体系与风险管理体系的有效性自我评测,以及无偿专业诊断咨询建议。
【联系方式】
电话:010-68827610
电子邮箱:gsc@gscoso.com
咨询QQ:421183643
地址:北京市石景山区实兴大街科技园3号楼8层