基于COSO的電信業內部控制制度淺析

韓淼

摘 要：文章以COSO整體框架理論為基礎，分析了國內電信業BOSS系統流程中內部控制中存在的風險，提出了完善BOSS系統內部控制的關鍵控制點及其控制措施。

關鍵詞：COSO BOSS系統 內部控制

中圖分類號：F626 文獻標識碼：A 文章編號：1674-098X（2012）12（a）-0-01

隨著國家改革的深化，國內電信業的市場環境已漸趨合理，競爭日益加劇。電信業的如此態勢，對公眾電信企業的內部控制運營管理，提出了嚴峻挑戰，要求國內的公眾電信運營企業在經營理念、管理模式上能有一個較高層次的飛躍，以求在電信運營業的國際化競爭中立于不敗之地。中國移動通信集團公司作為國內最大的移動通信運營企業，近年來，為了在以客戶為中心的現代市場環境及日益激烈的市場競爭中處于有利地位，越來越重視企業自身的風險管理，不斷完善企業自身的內部控制，已經把建設高效、科學的中國移動BOSS系統作為提高企業核心競爭力的重要措施。不過，目前國內還處在BOSS建設的初級階段，中國聯通也有類似的系統，其他如中國網通、中國電信也將會有類似的系統。

1 該業務流程的重要性

BOSS系統，是電信公司重要的業務支撐系統。該系統的運行狀況在極大的程度上影響著中國電信公司的整個業務流程運營的穩定性和公司信息數據的安全性，因此BOSS系統的內部控制在中國電信企業內部控制中占有著十分重要的地位。該系統的運營狀況關系到公司其他多個系統運營的穩定性。如公司的計費結算和應收賬款管理系統就是以BOSS系統提供的相關數據為基礎運行的，并且依靠BOSS系統的安全控制來保證運行的穩定性和可靠性。因此BOSS系統是中國電信企業提高企業核心競爭力的關鍵環節，在公司內部占有著十分重要的地位。

2 從COSO看BOSS系統流程

新COSO報告中內部控制整體框架包括內部環境、目標設定、事件識別、評估風險、應對風險、控制活動、信息與溝通及監督等八項要素，它們取決于管理層經營企業的方式，并融入管理過程。COSO框架下的內部控制設計，要求根據確認的內控目標，識別公司層面的內外部主要風險，通過業務流程的全面梳理，鎖定與確認的內控目標相關的業務流程。與控制要求進行對比分析，提出整改建議，完善和補充各項規章

制度。

BOSS系統所涉及的流程主要包括：用戶賬號的添加修改及刪除控制、用戶登錄認證，邏輯訪問和物理訪問的身份識別、用戶賬號的定期審閱。

3 目前BOSS流程上存在的風險和應達到的目標

雖然中國移動通信集團公司越來越重視BOSS系統的建設，各省移動公司已經初步建成了一個具有實時計費能力和支撐基本業務運營的BOSS系統，積累了不少寶貴經驗。但是，由于公司中缺乏可遵循的信息安全管理政策，信息安全管理不規范，存在較為嚴重的信息安全隱患。該流程上比較嚴重的信息安全風險主要表現為：（1）對添加、修改、刪除用戶未經過管理層授權，導致對系統及數據未經授權或不適當訪問。企業應建立相關流程規則以合理確保用戶添加、修改、刪除都經過管理層授權，以及相關操作的準確性和及時性。（2）調動和離職員工賬號未及時在系統中刪除，導致對系統及數據的不適當訪問。應加強對調動和離職員工的管理，以排除非法或不適當的對系統或數據進行訪問而帶來的風險。（3）缺乏必要的物理訪問及邏輯訪問管理機制，對系統或數據非法和不適當的訪問不能被及時發現，導致對信息資源的未經授權的訪問，非法修改系統數據。對此公司信息技術資源的物理訪問及邏輯訪問應建立起通過用戶身份的識別、認證及授權的管理機制，以降低由于對系統及數據的未經授權的訪問所帶來的風險。（4）系統的權限分配與業務部門授權確定的職責分工要求不符。應確保在關鍵流程中存在適當的職責分工和相互牽制。

4 依據COSO增強BOSS流程關鍵控制點的內部控制以防范風險

BOSS流程上目前存在風險的原因，主要在于職責分工和作業授權兩個方面。根據COSO框架，加強內部控制應遵循職責分工的相互牽制原則和作業任務的授權控制原則。由此，在中國移動的BOSS系統中應注意加強對以下關鍵控制點的控制。

4.1 加強對員工的職責分工與授權批準控制

（1）對員工的職責分工，創立新用戶角色或對用戶組及用戶角色定義進行修改時，應遵循相互牽制原則，考慮不相容職責分工，由業務部門主管（或授權人員）對員工角色的權限設定進行審閱并簽字確認，以合理確保員工在系統中的權限與其職責相符。（2）對員工的授權審批，對應用系統層超級用戶賬戶的建立應根據用戶工作職責，僅限于經授權的系統管理人員。應用系統管理員賬號的建立由業務部門主管及信息技術部門主管書面審批；對操作系統級、數據庫層超級用戶賬號的使用應僅限于經授權的系統管理人員，例如，根用戶，系統管理員，安全管理員賬號，批處理用戶賬號，數據庫管理員等。

4.2 增加職工離職收權控制

在職工工作調動或離職時，人力資源部應及時以郵件、公文、員工離職單等形式正式書面通知信息系統管理部門，然后，由負責應用系統管理員盡快取消其相應的訪問權限。

4.3 增加審核結果的核對控制

應將由計費賬務部門“每半年以及業務流程發生重大變更時，組織的對BOSS系統普通用戶賬號的檢查結果”與對應的“每月由安全管理員負責對BOSS系統日志進行審核”的結果進行核對，發現存在的差異和雙方中一方遺漏的問題，做到及時發現及時處理。并將核對結果簽字確認后書面上報管理層，增加管理層監督，增強穩健性。

4.4 增加管理層審核控制

各部門及地市分公司工號管理員負責定期打印本部門或分公司的BOSS系統普通用戶清單，并審閱是否存在多余或不恰當的賬號，簽字確認后將審閱結果報計費賬務部門。各部門工號管理員或授權人員應對BOSS系統普通用戶的清單每半年進行復核簽字確認，如發現多余或不恰當的賬號應進行及時調整。每隔半年以及業務流程發生重大變更時，由計費賬務部門打印BOSS系統用戶的訪問權限清單，并交由相關業務部門主管，對用戶的權限進行審閱簽字，以合理確保用戶在系統中的權限與其職責相符。如發現不相容權責，應及時通知所在部門工號管理員，對用戶的權限進行調整。總之，針對于目前中國電信業BOSS系統存在的問題，應遵循相互牽制原則和授權控制原則，從職責分工、授權批準入手，對流程的關鍵控制點制定科學的內部控制管理規則，增強整個BOSS流程的控制管理，降低流程風險、提高運營效率，提升公司的整體競爭力。

參考文獻

[1] 王立彥.滿足SOX404不是內部控制最根本的目標[J].新理財，2007（6）.

[2] 羅伯特·莫勒爾.布林克現代內部審計學[M].中國時代經濟出版社，2005（8）.

[3] 金彧昉，李若山，徐明磊.COSO報告下的內部控制新發展—從中航油事件看企業風險管理[J].會計研究，2005（2）.