通信企业IT系统内部控制建设现状与优化路径张帅
- 格式:pdf
- 大小:278.16 KB
- 文档页数:2
CHINA COLLECTIVE ECONOMY内部控制制度是企业风险防范的主要免疫机制。
对于通信企业而言,行业及产品特点决定了IT系统内控建设不能仅局限于信息传递载体和管控平台,其数据生产加工对通信企业财务报告及风险防范具有重要影响。
文章在进一步对移动公司IT系统及内控体系进行分析基础上,发现现有IT系统内控体制存在重要性认识不够、IT内控制度建设缺乏统筹管理等缺陷,并在此基础上,对如何基于CO-BIT框架进一步优化公司IT系统内部控制进行了探析,以期为后续完善公司IT 系统内控建设提供有益参考。
一、内部控制制度在通信企业的应用通信行业几经重组,现已形成三雄鼎立的格局,三家运营商均已上市。
随着各家运营商全业务运营的持续推进,运营商之间的市场竞争日趋激烈,市场经营风险有所增加。
与此同时,行业监管力度也日益加强,监管部门和资本市场对企业建立完善的内部控制体系提出了更高的要求。
在此背景下,通信企业基于公司战略目标,根据相关内部控制监管要求,采用COSO内部控制建设框架,在财政部等部委联合发布的《企业内部控制基本规范》等政策指导下,结合公司经营管理和业务流程实况,逐步建立并完善了以内部环境为重要基础、以风险评估为重要环节、以控制活动为重要手段、以信息与沟通为重要条件、以内部监督为重要保证,相互联系、相互促进内部控制框架。
合理有效的内控制度需与企业生产经营特点及管控流程紧密结合,方能充分发挥其风险防范与提升管理的作用。
就通信企业而言,与其他行业不同,通信行业全程全网和产品生产销售同步的特点,决定了IT系统在内部控制建设中的角色不仅仅是管理控制和信息传递的载体与平台,还需高度关注其业务受理、资源管理、数据生产加工功能,高度重视IT系统内部控制在公司整体内控体系建设中的作用,突出IT系统中业务受理环节的合规性与规范性、资源管理环节的安全性与准确性,以及数据生产加工环节的真实准确性,同时还需兼顾系统间信息传递的准确性与一致性。
二、通信企业IT系统建设特点及内部控制运行现状目前通信企业IT系统一般可以分为业务支撑系统、运营支撑系统、管理支撑系统、企业数据应用系统、IT管控系统等。
这些系统涉及到面向市场营销和客户服务的前端支撑,面向资源和网络运营的后端运营支撑,面向人力、财务、OA等的管理支撑,面向企业数据挖掘和共享的应用支撑以及企业信息化应用支撑等生产经营管理的方方面面,共同作用构成了企业经营管理的神经系统。
在建设IT系统内控体系方面,公司以风险导向,采用COSO框架,从系统规划设计、系统应用、系统控制维度,通过流程梳理,识别系统建设与管理中存在的风险,并通过风险评估,明确管控节点,建设IT系统信息安全、系统开发维护、系统运行等内控制度。
随着全业务运营的持续开展,市场竞争日趋激烈,新业务不断推陈出新,业务组织架构也在不断调整和优化,IT系统也紧随新业务和组织架构的不断调整而变化化。
目前IT系统建设主要定位于管理和业务支撑,IT部门主要职责实现前后端需求,在企业生产经营中的处于从属地位,与IT系统在整个经营管理中的地位不相匹配。
随着业务发展以及组织结构的调整,IT系统建设维护与业务部门间存在职责分工交叉与重复,在出现系统数据差错时,系统使用部门与建设维护部门经常发生扯皮现象。
从风险管理和业务支撑角度来看,目前IT系统内部控制制度主要集中于IT系统专业角度,突出访问安全、程序变更及运行维护管理,对业务政策系统固化、业务平台支撑与运用程度关注不够。
在系统建设过程中存在各业务支撑系统间缺乏统筹管理,有关内部控制环节仅仅基于单系统输入、生产和输出等环节的管控,对各系统间信息的传递和稽核重视不足,实际运行中存在系统间信息不一致、业务系统间信息结构未能打通等情况。
例如,为支撑社会渠道管理及结算需求,公司开发建设了社会渠道管理系统,但在实际运行中,由于社会渠道分散以及结算的多样性,系统未能将所有渠道纳入系统管理,部分结算规则需要手工计算来实现。
个别地方系统数据未能直接与财务核算核算接口,财务报账申请需要手工发起。
从业务发生———系统数据生成———财务核算整个流程来看,较多环节滞留在系统管控之外,数据信息质量容易受人为调整影响。
前段时间行业所出现的案件也主要集中IT系统数据管理以及对外结算环节,即是现有IT系统内控制度存有不足的有力例证。
三、移动公司IT系统内部控制建设优化路径分析为有效解决当前IT系统内部控制建设及运行中存在的不足,可以借鉴CO-BIT框架,指导企业完善IT系统内控制度,充分发挥IT系统业务运营及管理支撑功能,有效防范信息风险。
COBIT是目前国际上通用的信息系统审计的标准,由信息系统审计与控制协会在1996年公布。
这是一个在国际上公认的、权威的安全与信息技术管理和控制的标准,目前已经更新至4.1版。
它在商业风险、控制需要和技术问题之间架起了一座桥梁,以满足管理的多方面需要。
基于COBIT框架的IT内部控制需要以价值和风险为导向,通过规划和确定IT控制的范围、评估IT风险、记录、评估有效性、缺陷整改、长效推进等一系列活动来建立与不断完善。
在浅析通信企业IT系统内部控制建设现状与优化路径■张帅李蕾刘亭立(下转第99页)CHINACOLLECTIVE ECONOMYCOBIT 框架指引下,IT 系统内部控制建设及运行可以分为IT 公司层面控制、IT 应用控制和IT 一般性控制三个层面。
在不同的控制层面,内控体系建设关注点有所不同。
结合公司当前IT 系统内部控制建设及运行中存在的不足,可以从这三个方面分别加以优化,具体而言:第一,在IT 公司控制层面,以CO -BIT 内部控制框架为基础,包含控制环境、信息和沟通、控制活动、风险评估、监控五大部分内容,应侧重IT 系统整体架构规划设计和IT 环境构建,突出其信息传递和管控平台职能,通过对企业现有的经营业务和系统状况进行分析评价,评估企业层面和业务活动层面的信息风险,通过授权、核对、系统配置和预警报告等控制措施,形成日常的控制活动。
在具体实施中,应结合企业当前IT 系统内控建设重要性认识不足、系统信息稽核维护职责划分存在交叉重叠等现状,首先明确IT 系统内控体系建设对公司整体风险防范和确保财务信息质量的重要意义,提高管理层对IT 系统内控体系建设和运行重要性的认识,高度关注与财务报告信息相关的数据在生产、加工及传递中的准确性、真实性和一致性;其次应明确IT 系统建设及运行中各部门间的职责分工,尤其对涉及财务报告信息真实准确性的系统信息,应明确其稽核权限归属,确定信息质量责任主体,避免在出现问题时,各部门在系统配置错误和业务前端需求不明确间相互推诿。
此外,在IT 系统规划及建设中,IT 部门在基于其技术专业支撑角色之外,还应提高风险管理意识,熟悉业务运营及管理相关要求,在公司政策制度合规性框架内,对前后端业务及管控需求时进行梳理和优化,及时识别业务支撑中存在的潜在风险,会同相关部门从系统建设源头加以防范。
第二,在IT 应用控制层面,COBIT 框架突出IT 系统信息的准确性和完整性。
IT 应用控制与企业运营流程紧密相关,建立IT 应用控制应从流程的角度出发进行考虑,首先要明确业务流程范围,依据系统数据和流程是否会对财务报告造成影响,重点涵盖与财务报告相关的所有业务流程,然后对这些与财务报告有关的信息系统的行为设置相应的控制措施,确保信息数据的可靠性、准确性和完整性,具体包括授权及批准、系统功能配置、账项映射关系、系统异常情况报告和预警报告、系统数据调整权限等,突出系统中业务规则准确固化和系统间信息传递和稽核管理,从业务规则配置及核对、系统间信息传递和稽核、系统内调账、数据差异报告及处理等维度,优化当前IT 系统建设。
第三,在IT 一般性控制层面,基于CO -BIT 的IT 一般性控制包括对程序和数据的访问控制、程序变更、程序开发、系统运行以及最终用户计算等5个方面的控制。
在具体实施中,应加强对系统程序和数据的访问控制,要求系统和数据的访问都经过适当的授权,具体内容包括信息安全的管理、用户账号的管理、对信息系统逻辑访问和物理访问管理以及职责分工;加强对程序变更控制,强化程序变更的需求管理、程序变更测试、程序变更的访问控制、系统配置变更管理、紧急变更管理等。
在结合业务运营及管理需求,开发上线新业务系统时,应做好上线使用之前的控制,包括信息系统开发采购审批、信息系统开发方法、开发测试管理和数据移植管理。
在系统运行阶段,则应做好系统监控、数据备份和异常处理等工作,包括运行及作业计划、系统备份控制、系统恢复性测试、应用程序和备份介质的授权以及问题管理。
最终用户计算是针对部分不通过系统产生但却对财务报表较大影响的电子表格以及应用程序,具体内容包括对重要收入报表的访问控制、测试变更控制以及备份等。
(作者单位:张帅,中国联合网络通信有限公司河南省分公司物资采购与管理部;李蕾,中国移动通信集团河南有限公司信息与业务支撑部;刘亭立,北京工业大学经济与管理学院)(上接第77页)!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!损失务必确实发生过,不然若发生申报扣除即将补判定为偷税。
企业计提活动中的各项资产的“减值准备”,为会计工作者们凭职业判定所给出的估计结果,其损失并未真实发生过,会计对此类风险所进行的估测,税法不予扣除的原因,主要是因为国家税收无法为“纳税人”承担其自身的经营风险,税法重点强调的是于企业的相关资产中“真实发生”的具有实质性的“永久损害”时方可获得即时处理。
如此规定,即益于税务管理,增进片管效益同时,亦杜绝了减值准备比率此硬性规定的不可确定性。
于财务会计里,“实质重于形式与谨慎性”两项原则为会计要素“计量与确认”的关键的修正性原则。
可于税务会计里,却为最不被认可、最不受欢迎的原则。
税法不认可谨慎性原则,一口将其否定。
其关键在于针对收入与费用上谨慎性原则处理不对称,当会计事宜存有无法确定期性因素时,谨慎性原则即要求多计费用而少计收入,若税法认可谨慎性原则,那么对企业应缴税款将会降低及滞后,此导致税务单位要替企业担当风险。
三、对税务会计原则和财务会计原则差异的分析以上论述,“税、财”务会计原则两者存有诸多不同,有的是单一的“内容、名称”的不同,而有的是“内容不同而名称相同”。
目标取决于“导向”,原则取决于“目标”又体现于“目标”。
在目标上“税法和财务会计”不一致,故此两者在原则上亦不相同,存有差异是必然的,与两者根本目标不相违背状况下,怎样令两者之间的差异持有合理程度,为我们所需要思考的关键。
国家正置于经济转型的特殊时期,两类原则差异呈现出扩大趋势,怎样协调、如何构建两类原则之间的和谐,进而降低企业税收成本、体制转换成本与纳税风险等,为实际需解决的问题。