基于COSO的電信業(yè)內(nèi)部控制制度淺析

韓淼

摘 要：文章以COSO整體框架理論為基礎(chǔ)，分析了國內(nèi)電信業(yè)BOSS系統(tǒng)流程中內(nèi)部控制中存在的風(fēng)險(xiǎn)，提出了完善BOSS系統(tǒng)內(nèi)部控制的關(guān)鍵控制點(diǎn)及其控制措施。

關(guān)鍵詞：COSO BOSS系統(tǒng) 內(nèi)部控制

中圖分類號(hào)：F626 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1674-098X（2012）12（a）-0-01

隨著國家改革的深化，國內(nèi)電信業(yè)的市場(chǎng)環(huán)境已漸趨合理，競(jìng)爭(zhēng)日益加劇。電信業(yè)的如此態(tài)勢(shì)，對(duì)公眾電信企業(yè)的內(nèi)部控制運(yùn)營管理，提出了嚴(yán)峻挑戰(zhàn)，要求國內(nèi)的公眾電信運(yùn)營企業(yè)在經(jīng)營理念、管理模式上能有一個(gè)較高層次的飛躍，以求在電信運(yùn)營業(yè)的國際化競(jìng)爭(zhēng)中立于不敗之地。中國移動(dòng)通信集團(tuán)公司作為國內(nèi)最大的移動(dòng)通信運(yùn)營企業(yè)，近年來，為了在以客戶為中心的現(xiàn)代市場(chǎng)環(huán)境及日益激烈的市場(chǎng)競(jìng)爭(zhēng)中處于有利地位，越來越重視企業(yè)自身的風(fēng)險(xiǎn)管理，不斷完善企業(yè)自身的內(nèi)部控制，已經(jīng)把建設(shè)高效、科學(xué)的中國移動(dòng)BOSS系統(tǒng)作為提高企業(yè)核心競(jìng)爭(zhēng)力的重要措施。不過，目前國內(nèi)還處在BOSS建設(shè)的初級(jí)階段，中國聯(lián)通也有類似的系統(tǒng)，其他如中國網(wǎng)通、中國電信也將會(huì)有類似的系統(tǒng)。

1 該業(yè)務(wù)流程的重要性

BOSS系統(tǒng)，是電信公司重要的業(yè)務(wù)支撐系統(tǒng)。該系統(tǒng)的運(yùn)行狀況在極大的程度上影響著中國電信公司的整個(gè)業(yè)務(wù)流程運(yùn)營的穩(wěn)定性和公司信息數(shù)據(jù)的安全性，因此BOSS系統(tǒng)的內(nèi)部控制在中國電信企業(yè)內(nèi)部控制中占有著十分重要的地位。該系統(tǒng)的運(yùn)營狀況關(guān)系到公司其他多個(gè)系統(tǒng)運(yùn)營的穩(wěn)定性。如公司的計(jì)費(fèi)結(jié)算和應(yīng)收賬款管理系統(tǒng)就是以BOSS系統(tǒng)提供的相關(guān)數(shù)據(jù)為基礎(chǔ)運(yùn)行的，并且依靠BOSS系統(tǒng)的安全控制來保證運(yùn)行的穩(wěn)定性和可靠性。因此BOSS系統(tǒng)是中國電信企業(yè)提高企業(yè)核心競(jìng)爭(zhēng)力的關(guān)鍵環(huán)節(jié)，在公司內(nèi)部占有著十分重要的地位。

2 從COSO看BOSS系統(tǒng)流程

新COSO報(bào)告中內(nèi)部控制整體框架包括內(nèi)部環(huán)境、目標(biāo)設(shè)定、事件識(shí)別、評(píng)估風(fēng)險(xiǎn)、應(yīng)對(duì)風(fēng)險(xiǎn)、控制活動(dòng)、信息與溝通及監(jiān)督等八項(xiàng)要素，它們?nèi)Q于管理層經(jīng)營企業(yè)的方式，并融入管理過程。COSO框架下的內(nèi)部控制設(shè)計(jì)，要求根據(jù)確認(rèn)的內(nèi)控目標(biāo)，識(shí)別公司層面的內(nèi)外部主要風(fēng)險(xiǎn)，通過業(yè)務(wù)流程的全面梳理，鎖定與確認(rèn)的內(nèi)控目標(biāo)相關(guān)的業(yè)務(wù)流程。與控制要求進(jìn)行對(duì)比分析，提出整改建議，完善和補(bǔ)充各項(xiàng)規(guī)章

制度。

BOSS系統(tǒng)所涉及的流程主要包括：用戶賬號(hào)的添加修改及刪除控制、用戶登錄認(rèn)證，邏輯訪問和物理訪問的身份識(shí)別、用戶賬號(hào)的定期審閱。

3 目前BOSS流程上存在的風(fēng)險(xiǎn)和應(yīng)達(dá)到的目標(biāo)

雖然中國移動(dòng)通信集團(tuán)公司越來越重視BOSS系統(tǒng)的建設(shè)，各省移動(dòng)公司已經(jīng)初步建成了一個(gè)具有實(shí)時(shí)計(jì)費(fèi)能力和支撐基本業(yè)務(wù)運(yùn)營的BOSS系統(tǒng)，積累了不少寶貴經(jīng)驗(yàn)。但是，由于公司中缺乏可遵循的信息安全管理政策，信息安全管理不規(guī)范，存在較為嚴(yán)重的信息安全隱患。該流程上比較嚴(yán)重的信息安全風(fēng)險(xiǎn)主要表現(xiàn)為：（1）對(duì)添加、修改、刪除用戶未經(jīng)過管理層授權(quán)，導(dǎo)致對(duì)系統(tǒng)及數(shù)據(jù)未經(jīng)授權(quán)或不適當(dāng)訪問。企業(yè)應(yīng)建立相關(guān)流程規(guī)則以合理確保用戶添加、修改、刪除都經(jīng)過管理層授權(quán)，以及相關(guān)操作的準(zhǔn)確性和及時(shí)性。（2）調(diào)動(dòng)和離職員工賬號(hào)未及時(shí)在系統(tǒng)中刪除，導(dǎo)致對(duì)系統(tǒng)及數(shù)據(jù)的不適當(dāng)訪問。應(yīng)加強(qiáng)對(duì)調(diào)動(dòng)和離職員工的管理，以排除非法或不適當(dāng)?shù)膶?duì)系統(tǒng)或數(shù)據(jù)進(jìn)行訪問而帶來的風(fēng)險(xiǎn)。（3）缺乏必要的物理訪問及邏輯訪問管理機(jī)制，對(duì)系統(tǒng)或數(shù)據(jù)非法和不適當(dāng)?shù)脑L問不能被及時(shí)發(fā)現(xiàn)，導(dǎo)致對(duì)信息資源的未經(jīng)授權(quán)的訪問，非法修改系統(tǒng)數(shù)據(jù)。對(duì)此公司信息技術(shù)資源的物理訪問及邏輯訪問應(yīng)建立起通過用戶身份的識(shí)別、認(rèn)證及授權(quán)的管理機(jī)制，以降低由于對(duì)系統(tǒng)及數(shù)據(jù)的未經(jīng)授權(quán)的訪問所帶來的風(fēng)險(xiǎn)。（4）系統(tǒng)的權(quán)限分配與業(yè)務(wù)部門授權(quán)確定的職責(zé)分工要求不符。應(yīng)確保在關(guān)鍵流程中存在適當(dāng)?shù)穆氊?zé)分工和相互牽制。

4 依據(jù)COSO增強(qiáng)BOSS流程關(guān)鍵控制點(diǎn)的內(nèi)部控制以防范風(fēng)險(xiǎn)

BOSS流程上目前存在風(fēng)險(xiǎn)的原因，主要在于職責(zé)分工和作業(yè)授權(quán)兩個(gè)方面。根據(jù)COSO框架，加強(qiáng)內(nèi)部控制應(yīng)遵循職責(zé)分工的相互牽制原則和作業(yè)任務(wù)的授權(quán)控制原則。由此，在中國移動(dòng)的BOSS系統(tǒng)中應(yīng)注意加強(qiáng)對(duì)以下關(guān)鍵控制點(diǎn)的控制。

4.1 加強(qiáng)對(duì)員工的職責(zé)分工與授權(quán)批準(zhǔn)控制

（1）對(duì)員工的職責(zé)分工，創(chuàng)立新用戶角色或?qū)τ脩艚M及用戶角色定義進(jìn)行修改時(shí)，應(yīng)遵循相互牽制原則，考慮不相容職責(zé)分工，由業(yè)務(wù)部門主管（或授權(quán)人員）對(duì)員工角色的權(quán)限設(shè)定進(jìn)行審閱并簽字確認(rèn)，以合理確保員工在系統(tǒng)中的權(quán)限與其職責(zé)相符。（2）對(duì)員工的授權(quán)審批，對(duì)應(yīng)用系統(tǒng)層超級(jí)用戶賬戶的建立應(yīng)根據(jù)用戶工作職責(zé)，僅限于經(jīng)授權(quán)的系統(tǒng)管理人員。應(yīng)用系統(tǒng)管理員賬號(hào)的建立由業(yè)務(wù)部門主管及信息技術(shù)部門主管書面審批；對(duì)操作系統(tǒng)級(jí)、數(shù)據(jù)庫層超級(jí)用戶賬號(hào)的使用應(yīng)僅限于經(jīng)授權(quán)的系統(tǒng)管理人員，例如，根用戶，系統(tǒng)管理員，安全管理員賬號(hào)，批處理用戶賬號(hào)，數(shù)據(jù)庫管理員等。

4.2 增加職工離職收權(quán)控制

在職工工作調(diào)動(dòng)或離職時(shí)，人力資源部應(yīng)及時(shí)以郵件、公文、員工離職單等形式正式書面通知信息系統(tǒng)管理部門，然后，由負(fù)責(zé)應(yīng)用系統(tǒng)管理員盡快取消其相應(yīng)的訪問權(quán)限。

4.3 增加審核結(jié)果的核對(duì)控制

應(yīng)將由計(jì)費(fèi)賬務(wù)部門“每半年以及業(yè)務(wù)流程發(fā)生重大變更時(shí)，組織的對(duì)BOSS系統(tǒng)普通用戶賬號(hào)的檢查結(jié)果”與對(duì)應(yīng)的“每月由安全管理員負(fù)責(zé)對(duì)BOSS系統(tǒng)日志進(jìn)行審核”的結(jié)果進(jìn)行核對(duì)，發(fā)現(xiàn)存在的差異和雙方中一方遺漏的問題，做到及時(shí)發(fā)現(xiàn)及時(shí)處理。并將核對(duì)結(jié)果簽字確認(rèn)后書面上報(bào)管理層，增加管理層監(jiān)督，增強(qiáng)穩(wěn)健性。

4.4 增加管理層審核控制

各部門及地市分公司工號(hào)管理員負(fù)責(zé)定期打印本部門或分公司的BOSS系統(tǒng)普通用戶清單，并審閱是否存在多余或不恰當(dāng)?shù)馁~號(hào)，簽字確認(rèn)后將審閱結(jié)果報(bào)計(jì)費(fèi)賬務(wù)部門。各部門工號(hào)管理員或授權(quán)人員應(yīng)對(duì)BOSS系統(tǒng)普通用戶的清單每半年進(jìn)行復(fù)核簽字確認(rèn)，如發(fā)現(xiàn)多余或不恰當(dāng)?shù)馁~號(hào)應(yīng)進(jìn)行及時(shí)調(diào)整。每隔半年以及業(yè)務(wù)流程發(fā)生重大變更時(shí)，由計(jì)費(fèi)賬務(wù)部門打印BOSS系統(tǒng)用戶的訪問權(quán)限清單，并交由相關(guān)業(yè)務(wù)部門主管，對(duì)用戶的權(quán)限進(jìn)行審閱簽字，以合理確保用戶在系統(tǒng)中的權(quán)限與其職責(zé)相符。如發(fā)現(xiàn)不相容權(quán)責(zé)，應(yīng)及時(shí)通知所在部門工號(hào)管理員，對(duì)用戶的權(quán)限進(jìn)行調(diào)整。總之，針對(duì)于目前中國電信業(yè)BOSS系統(tǒng)存在的問題，應(yīng)遵循相互牽制原則和授權(quán)控制原則，從職責(zé)分工、授權(quán)批準(zhǔn)入手，對(duì)流程的關(guān)鍵控制點(diǎn)制定科學(xué)的內(nèi)部控制管理規(guī)則，增強(qiáng)整個(gè)BOSS流程的控制管理，降低流程風(fēng)險(xiǎn)、提高運(yùn)營效率，提升公司的整體競(jìng)爭(zhēng)力。

參考文獻(xiàn)

[1] 王立彥.滿足SOX404不是內(nèi)部控制最根本的目標(biāo)[J].新理財(cái)，2007（6）.

[2] 羅伯特·莫勒爾.布林克現(xiàn)代內(nèi)部審計(jì)學(xué)[M].中國時(shí)代經(jīng)濟(jì)出版社，2005（8）.

[3] 金彧昉，李若山，徐明磊.COSO報(bào)告下的內(nèi)部控制新發(fā)展—從中航油事件看企業(yè)風(fēng)險(xiǎn)管理[J].會(huì)計(jì)研究，2005（2）.