導語：聯(lián)通信息系統(tǒng)內控構建綜述一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

近年來，國內外一系列公司財務舞弊事件中所暴露出的企業(yè)會計信息系統(tǒng)方面存在的缺陷，被認為的一個重要原因是因為企業(yè)內部控制的不健全。因此，對于如何建立有效的內部控制制度受到了各國監(jiān)管機構的高度重視。2002年，美國頒布了SOX法案，2008年6月28日，我國財政部等五部門也《企業(yè)內部控制基本規(guī)范》，以促進上市公司內部控制的建設與完善。同時對于建立了信息管理系統(tǒng)的企業(yè)也要做好信息系統(tǒng)的內部控制制度，以提高信息系統(tǒng)安全性、可靠性、合理性。本文以廣東聯(lián)通為研究對象，在介紹其信息系統(tǒng)內部控制建設的基礎上，談談對信息系統(tǒng)內部控制研究的一些體會。

一、廣東聯(lián)通信息系統(tǒng)內部控制的建設

1.成立信息化管理部門

廣東聯(lián)通屬于電信行業(yè)，其生產經(jīng)營與IT有著密切的聯(lián)系。為此，公司設立了信息化管理部門，包括業(yè)務支撐系統(tǒng)部和管理信息系統(tǒng)部。其中業(yè)務支撐系統(tǒng)部共有員工63人，下設8個科室：計費結算室、營業(yè)管理室、報表管理室、系統(tǒng)支持室、產品服務室、渠道銷售室、IT研發(fā)室、綜合規(guī)劃室。主要負責公司的與信息化有關的具體業(yè)務；管理信息系統(tǒng)部下設兩個科室，規(guī)劃建設室和運行維護室。主要負責公司管理信息系統(tǒng)的戰(zhàn)略規(guī)劃和日常運行維護等工作。

2.信息化管理部主要負責信息系統(tǒng)內部控制的建設

廣東聯(lián)通的信息系統(tǒng)內部控制建設工作由信息化管理部門（業(yè)務支撐系統(tǒng)部和管理信息系統(tǒng)部統(tǒng)稱為信息化管理部門）組織實施。信息系統(tǒng)內部控制包括信息系統(tǒng)一般控制（或總體控制）和信息系統(tǒng)應用控制。信息系統(tǒng)的一般控制是指對信息系統(tǒng)的開發(fā)和應用環(huán)境進行的控制。信息系統(tǒng)的應用控制是指利用信息系統(tǒng)對業(yè)務處理實施的控制。

3.信息系統(tǒng)內部控制的主要手段

(1)基于BSS的內部控制手段廣東聯(lián)通不斷完善和優(yōu)化業(yè)務支撐系統(tǒng)域(BSS),重點加強分析型BSS系統(tǒng)的建設，利用其為客戶提供方便、迅速和高品質的個性化與多元化服務，以達到對具體業(yè)務的控制。

(2)基于ERP的內部控制手段ERP系統(tǒng)是廣東聯(lián)通信息系統(tǒng)的重要組織部分，也是中國聯(lián)通建設的第一個全公司、跨專業(yè)、跨部門、跨地區(qū)高度統(tǒng)一的管理信息平臺。其主要致力于業(yè)務數(shù)據(jù)與財務數(shù)據(jù)的集成與共享，完善財務風險、資產管理等方面的控制。

(3)基于MSS的內部控制手段廣東聯(lián)通通過管理支撐系統(tǒng)域（MSS）的建設，致力于辦公自動化、企業(yè)管理規(guī)范、數(shù)據(jù)在線分析等方面的控制。

二、廣東聯(lián)通信息系統(tǒng)內部控制建設的總結

1.提高了企業(yè)的管理效率，減少了企業(yè)經(jīng)營風險

(1)有助于提升企業(yè)的管理效率公司建立了基于UNI-IT信息系統(tǒng)的管理控制方法，使公司的管理效率得到很大提高，特別是中國聯(lián)通這種對于信息系統(tǒng)依賴性較高的企業(yè)。信息技術改變了信息的傳輸途徑，增加了信息的傳遞速度，從而縮短了決策時間。同時賦予各相關人員相應的責權，減少人為的干預和差錯，大大提高了公司的管理效率。

(2)規(guī)范了企業(yè)的管理通過公司信息系統(tǒng)的建設，將公司的具體業(yè)務流程嵌入信息系統(tǒng)中，固化了相應的流程，使得公司的各項管理工作制度化，規(guī)范了員工和管理者的行為，從而促進了企業(yè)基礎管理水平的提升，為業(yè)務的發(fā)展奠定了堅實的基礎。

(3)員工風險防范意識增強通過信息系統(tǒng)內部控制制度的建立與落實，使公司員工初步掌握了識別風險、防范風險的能力，改變了以往日常管理活動中粗放隨意的習慣，自覺地遵守內部控制制度。同時，也明確了各部門、各環(huán)節(jié)、各崗位防范控制風險的責任，構建了經(jīng)營活動中的責任體系，每個員工每個崗位都可以順利按照流程開展工作，大大減少過去工作中存在的相互推諉、相互扯皮的情況。

(4)確保財務數(shù)據(jù)的準確性與及時性為了確保業(yè)務信息能準確、及時從業(yè)務管理系統(tǒng)傳遞到財務系統(tǒng)，提高一線員工的工作效率，公司業(yè)務支撐系統(tǒng)部組織完成商傭金系統(tǒng)、卡資源管理系統(tǒng)與ERP系統(tǒng)的接口建設和推廣工作，實現(xiàn)商傭金系統(tǒng)、卡資源管理系統(tǒng)與ERP系統(tǒng)的數(shù)據(jù)交互和流程對接，解決了“一套數(shù)據(jù)，重復錄入”的問題，確保業(yè)務系統(tǒng)與財務系統(tǒng)數(shù)據(jù)一致。

2.存在的局限性

(1)需要較大的投入建立企業(yè)信息系統(tǒng)管理控制模式，不但需要大量的硬件設備投入，相關適宜的設備存放空間，還需要不斷更新投入各種軟件。這筆費用對于一般的企業(yè)是很大的投入，也將直接制約著企業(yè)信息系統(tǒng)和內部控制水平的建設。

(2)信息系統(tǒng)的自動化程度不高由于公司業(yè)務流程的不斷更新，市場環(huán)境、市場需求以及公司管理控制環(huán)境的變化，所帶來公司內部控制環(huán)境的優(yōu)化，最終將促使公司信息系統(tǒng)的變更、升級，從而產生的一系列問題，需要投入巨大的工作量才能使得信息系統(tǒng)適應具體經(jīng)營管理活動。而這對于本來就有大量日常運營和維護工作要做的業(yè)務支撐系統(tǒng)部來說，是很難維持系統(tǒng)的及時變更和升級的。

(3)公司的一般信息管理系統(tǒng)與應用信息系統(tǒng)之間的有效銜接廣東聯(lián)通的UNI-IT信息系統(tǒng)主要包括三個子系統(tǒng)：負責電信業(yè)務支撐和客戶支持服務的UNI-CRM系統(tǒng)、負責企業(yè)資源管理和計劃財務管理的UNI-ERP系統(tǒng)和作為ERP和CRM的承載體，為各級管理人員直接提供決策支持與日常管理服務的U-NI-MSS系統(tǒng)。由于這三者涉及到企業(yè)內部各種人員，為不同部門服務，會造成部門之間的各自為政而影響到信息系統(tǒng)的運行效率，特別是信息系統(tǒng)的各子系統(tǒng)之間存在“信息孤島”時更為嚴重。因此應加強各子系統(tǒng)之間的銜接，盡可能地消除各系統(tǒng)之間的切換壁壘。

(4)信息技術對內部控制的影響在普華永道對廣東聯(lián)通進行信息系統(tǒng)內部控制評價時，按照COBIT要求，在系統(tǒng)上線前需要進行加固，以防止信息的泄漏和系統(tǒng)的被入侵。但加固后又會限制系統(tǒng)運行速度和系統(tǒng)功能，因此就只能是有條件的加固。這就違背了信息系統(tǒng)內部控制的相應條款。所以在進行信息技術下的內部控制評價時，還要考慮到信息技術本身的特點。

(5)勝任的內部控制評審人員不足每年的內部控制評審涉及到的風險點多，時間緊迫，要確保評審工作能按時保質完成，對測評人員的任職要求較高，既要熟悉各類經(jīng)濟業(yè)務和信息系統(tǒng)各子系統(tǒng)之間的數(shù)據(jù)構成，了解抽樣方法和手段，又要掌握底稿和報告編制的程序和規(guī)則，并且具備良好的分析和溝通能力。但在全省范圍內，專職的內審人員不多，且其他符合上述任職要求的人員也不多，因而在評審過程中，各分公司存在的例外問題未能全部被發(fā)現(xiàn)，底稿和報告的質量未能得到有效的保障。

三、得到的啟示

1.企業(yè)方面

(1)高層管理者的高度重視是做好內部控制建設工作的前提企業(yè)高層管理者的高度重視是內部控制工作取得階段性成果的前提條件。因為內部控制的建設規(guī)范了企業(yè)的管理行為和員工的工作行為，但增加了相應的工作程序和工作量，會遭到一部分執(zhí)行者的抵觸，因此，高層管理者的態(tài)度就很重要。廣東聯(lián)通公司充分認識到內部控制建設的重要性和緊迫性，將企業(yè)經(jīng)營管理的指導方針確定為“增產節(jié)支、精細管理、內強素質”，將內部控制工作提到公司戰(zhàn)略的高度上加以重視。公司高層不定期組織內部控制工作會議，主持參與流程的審定，直接組織各部門各分公司的問題整改工作，大大推動了廣東聯(lián)通公司的內部控制建設。

(2)信息系統(tǒng)相關部門的積極參與是做好信息系統(tǒng)內部控制工作的基礎信息系統(tǒng)內部控制建設不僅僅是公司信息化管理部門的工作職責，而且需要信息系統(tǒng)應用部門的積極參與和配合。信息系統(tǒng)內部控制建設工作涉及到與信息系統(tǒng)有關的每個崗位、每個人員，信息系統(tǒng)內部控制制度的有效執(zhí)行，離不開企業(yè)的各級管理者和員工的積極參與。廣東聯(lián)通經(jīng)過大力宣傳與貫徹，使內部控制管理理念深入人心，通過編制流程崗位對應表和崗位流程對應表，將每個流程落實到在崗的員工。每位在崗的員工通過切實執(zhí)行內部控制制度，逐步加強基礎管理工作，有力推動了公司的內部控制建設工作。

(3)信息系統(tǒng)內部控制工作要與生產經(jīng)營活動緊密結合信息系統(tǒng)內部控制工作是在各業(yè)務流程的基礎上開展的，因此業(yè)務流程的推廣質量直接影響到信息系統(tǒng)內部控制工作，信息系統(tǒng)內部控制工作是否有效將取決于流程和制度是否得到了有效的執(zhí)行，而內部控制制度規(guī)范是否被有效執(zhí)行，又取決于流程和制度是否符合生產經(jīng)營活動的實際情況。因此，只有結合實際工作制定具體風險問題的防范措施，將信息系統(tǒng)內部控制工作從流程設計、制度制定、措施貫徹等各個環(huán)節(jié)與生產經(jīng)營緊密結合，才能讓企業(yè)員工易于理解和接受，才能更好地發(fā)揮其作用。同時需要確定相應流程的重要會計科目，以便確定影響重要會計科目的關鍵系統(tǒng)，若重要會計科目的范圍太寬泛，就會導致關鍵系統(tǒng)和關鍵控制點難以明確。

(4)從公司戰(zhàn)略角度構建信息系統(tǒng)內部控制框架針對信息系統(tǒng)的開發(fā)和變更，以及各子系統(tǒng)之間的整合問題，應該站在戰(zhàn)略的角度建立公司的信息系統(tǒng)。根據(jù)公司戰(zhàn)略發(fā)展的需要，構建信息系統(tǒng)大平臺，建立相應的信息系統(tǒng)模塊與流程，確定關鍵風險點和關鍵控制點，從而可以及時更新系統(tǒng)以適應公司業(yè)務流程的變化和各子系統(tǒng)之間的整合。

(5)加強員工的培訓和內部控制建設的同步進行在確定好公司戰(zhàn)略基礎上的信息系統(tǒng)內部控制框架后，確定各業(yè)務流程的關鍵風險點和關鍵控制點既需要投入大量的工作量又需要相關人員的專業(yè)判斷，同時要對公司整個信息系統(tǒng)內部控制框架非常熟悉。所以就需要對相關技術人員進行內部控制建設方面知識的培訓，內部控制人員的信息系統(tǒng)技術知識的培訓。并且要做好信息系統(tǒng)內部控制建設的計劃步驟，嚴格完成各環(huán)節(jié)。

(6)大力培養(yǎng)既懂審計業(yè)務又熟悉信息技術的內部控制管理人員信息系統(tǒng)內部控制建成后，其有效性就取決于相關工作人員的執(zhí)行力度，所以應加強內部控制的監(jiān)督和內部審計。因此，內部審計人員除了應具備審計專業(yè)知識外，還要掌握各業(yè)務系統(tǒng)之間的數(shù)據(jù)生成流程和相應的信息技術知識。只有這樣才能發(fā)現(xiàn)整個信息系統(tǒng)的風險所在和內部控制的執(zhí)行效果，以便提出切實可行的防范措施。

(7)信息系統(tǒng)內部控制工作要建立長效機制、長抓不懈內部控制工作是一項長期的任務，復雜而艱巨。信息系統(tǒng)的開發(fā)和變更、業(yè)務處理流程的變化等都會改變風險問題，因此，必須適時修正控制流程和控制措施，完善內部控制制度規(guī)范，保證制度規(guī)范的健全性。通過建立檢查督導制度，鞏固已經(jīng)整改的成果，防止死灰復燃，建立健全長效機制，長抓不懈，避免出現(xiàn)前清后亂、工作反復的弊病。

(8)提倡系統(tǒng)控制，減少人工控制信息系統(tǒng)是廣東聯(lián)通經(jīng)營和管理的基礎，廣東聯(lián)通認識到通過信息系統(tǒng)控制效率高、風險小，而人工控制成本高、風險大。因此，廣東聯(lián)通在信息系統(tǒng)開發(fā)過程中，充分利用信息技術優(yōu)勢，優(yōu)化流程，完善控制點，將處理規(guī)則嵌入到系統(tǒng)程序中，減少人工控制，增加系統(tǒng)控制，并實現(xiàn)手工處理環(huán)境下難以實現(xiàn)的控制功能，這樣可以更加高效地預防、發(fā)現(xiàn)和糾正錯誤和舞弊。

2.監(jiān)管方面

(1)制定信息系統(tǒng)內部控制應用指引時，應注意企業(yè)信息系統(tǒng)建設的差異信息系統(tǒng)的內部控制指引是為引導企業(yè)充分利用信息系統(tǒng)達到企業(yè)的戰(zhàn)略目標和業(yè)務目標，提高信息系統(tǒng)的效率與效益，增強信息系統(tǒng)的安全性、可靠性和合理性及信息的保密性、完整性和可用性而制定的，它的作用對象具有普遍性。而不同類型的企業(yè)其信息系統(tǒng)的完善程度是有差異的，比如像聯(lián)通公司的信息系統(tǒng)作用與一般企業(yè)的信息系統(tǒng)是不一樣的，因為聯(lián)通公司的業(yè)務支撐與運營支撐都完全建立在信息系統(tǒng)的基礎上，這種差異將決定著企業(yè)對信息系統(tǒng)的投入，從而也影響到信息系統(tǒng)的內部控制狀況。所以，在制定具體指引時，要考慮企業(yè)信息系統(tǒng)的差異，抓住一般性。

(2)注重信息系統(tǒng)內部控制環(huán)境的建設在分析廣東聯(lián)通的信息系統(tǒng)內部控制建設與執(zhí)行過程中，感覺到內部控制環(huán)境的建設對整個信息系統(tǒng)內部控制的建立起著較大作用。信息系統(tǒng)建設的戰(zhàn)略性與長期規(guī)劃、信息系統(tǒng)管理的組織架構與人力資源管理政策、高層管理者的理念與支持等對信息系統(tǒng)內部控制起著決定性地影響。因此，在制定信息系統(tǒng)內部控制指引時，應加強信息系統(tǒng)內部控制環(huán)境方面的內容。

(3)加強信息系統(tǒng)的數(shù)據(jù)生成源頭的監(jiān)控企業(yè)引入信息系統(tǒng)以及具體的應用信息系統(tǒng)體系，將大大提高企業(yè)的管理效率，減少數(shù)據(jù)在傳遞過程中的失誤，主要是因為信息系統(tǒng)將一些日常重復性工作流程予以固化，同時具有數(shù)據(jù)自動生成機制。因此，要保證信息的準確性和可用性的主要環(huán)節(jié)在于如何保證源頭信息的準確性。所以，在制定信息系統(tǒng)內部控制指引時，應加強信息生成源頭的控制內容。