摘 要:文章以COSO整体框架理论为基础,分析了国内电信业BOSS系统流程中内部控制中存在的风险,提出了完善BOSS系统内部控制的关键控制点及其控制措施。
关键词:COSO BOSS系统 内部控制
中图分类号:F626 文献标识码:A 文章编号:1674-098X(2012)12(a)-0-01
随着国家改革的深化,国内电信业的市场环境已渐趋合理,竞争日益加剧。电信业的如此态势,对公众电信企业的内部控制运营管理,提出了严峻挑战,要求国内的公众电信运营企业在经营理念、管理模式上能有一个较高层次的飞跃,以求在电信运营业的国际化竞争中立于不败之地。中国移动通信集团公司作为国内最大的移动通信运营企业,近年来,为了在以客户为中心的现代市场环境及日益激烈的市场竞争中处于有利地位,越来越重视企业自身的风险管理,不断完善企业自身的内部控制,已经把建设高效、科学的中国移动BOSS系统作为提高企业核心竞争力的重要措施。不过,目前国内还处在BOSS建设的初级阶段,中国联通也有类似的系统,其他如中国网通、中国电信也将会有类似的系统。
1 该业务流程的重要性
BOSS系统,是电信公司重要的业务支撑系统。该系统的运行状况在极大的程度上影响着中国电信公司的整个业务流程运营的稳定性和公司信息数据的安全性,因此BOSS系统的内部控制在中国电信企业内部控制中占有着十分重要的地位。该系统的运营状况关系到公司其他多个系统运营的稳定性。如公司的计费结算和应收账款管理系统就是以BOSS系统提供的相关数据为基础运行的,并且依靠BOSS系统的安全控制来保证运行的稳定性和可靠性。因此BOSS系统是中国电信企业提高企业核心竞争力的关键环节,在公司内部占有着十分重要的地位。
2 从COSO看BOSS系统流程
新COSO报告中内部控制整体框架包括内部环境、目标设定、事件识别、评估风险、应对风险、控制活动、信息与沟通及监督等八项要素,它们取决于管理层经营企业的方式,并融入管理过程。COSO框架下的内部控制设计,要求根据确认的内控目标,识别公司层面的内外部主要风险,通过业务流程的全面梳理,锁定与确认的内控目标相关的业务流程。与控制要求进行对比分析,提出整改建议,完善和补充各项规章
制度。
BOSS系统所涉及的流程主要包括:用户账号的添加修改及删除控制、用户登录认证,逻辑访问和物理访问的身份识别、用户账号的定期审阅。
3 目前BOSS流程上存在的风险和应达到的目标
虽然中国移动通信集团公司越来越重视BOSS系统的建设,各省移动公司已经初步建成了一个具有实时计费能力和支撑基本业务运营的BOSS系统,积累了不少宝贵经验。但是,由于公司中缺乏可遵循的信息安全管理政策,信息安全管理不规范,存在较为严重的信息安全隐患。该流程上比较严重的信息安全风险主要表现为:(1)对添加、修改、删除用户未经过管理层授权,导致对系统及数据未经授权或不适当访问。企业应建立相关流程规则以合理确保用户添加、修改、删除都经过管理层授权,以及相关操作的准确性和及时性。(2)调动和离职员工账号未及时在系统中删除,导致对系统及数据的不适当访问。应加强对调动和离职员工的管理,以排除非法或不适当的对系统或数据进行访问而带来的风险。(3)缺乏必要的物理访问及逻辑访问管理机制,对系统或数据非法和不适当的访问不能被及时发现,导致对信息资源的未经授权的访问,非法修改系统数据。对此公司信息技术资源的物理访问及逻辑访问应建立起通过用户身份的识别、认证及授权的管理机制,以降低由于对系统及数据的未经授权的访问所带来的风险。(4)系统的权限分配与业务部门授权确定的职责分工要求不符。应确保在关键流程中存在适当的职责分工和相互牵制。
4 依据COSO增强BOSS流程关键控制点的内部控制以防范风险
BOSS流程上目前存在风险的原因,主要在于职责分工和作业授权两个方面。根据COSO框架,加强内部控制应遵循职责分工的相互牵制原则和作业任务的授权控制原则。由此,在中国移动的BOSS系统中应注意加强对以下关键控制点的控制。
4.1 加强对员工的职责分工与授权批准控制
(1)对员工的职责分工,创立新用户角色或对用户组及用户角色定义进行修改时,应遵循相互牵制原则,考虑不相容职责分工,由业务部门主管(或授权人员)对员工角色的权限设定进行审阅并签字确认,以合理确保员工在系统中的权限与其职责相符。(2)对员工的授权审批,对应用系统层超级用户账户的建立应根据用户工作职责,仅限于经授权的系统管理人员。应用系统管理员账号的建立由业务部门主管及信息技术部门主管书面审批;对操作系统级、数据库层超级用户账号的使用应仅限于经授权的系统管理人员,例如,根用户,系统管理员,安全管理员账号,批处理用户账号,数据库管理员等。
4.2 增加职工离职收权控制
在职工工作调动或离职时,人力资源部应及时以邮件、公文、员工离职单等形式正式书面通知信息系统管理部门,然后,由负责应用系统管理员尽快取消其相应的访问权限。
4.3 增加审核结果的核对控制
应将由计费账务部门“每半年以及业务流程发生重大变更时,组织的对BOSS系统普通用户账号的检查结果”与对应的“每月由安全管理员负责对BOSS系统日志进行审核”的结果进行核对,发现存在的差异和双方中一方遗漏的问题,做到及时发现及时处理。并将核对结果签字确认后书面上报管理层,增加管理层监督,增强稳健性。
4.4 增加管理层审核控制
各部门及地市分公司工号管理员负责定期打印本部门或分公司的BOSS系统普通用户清单,并审阅是否存在多余或不恰当的账号,签字确认后将审阅结果报计费账务部门。各部门工号管理员或授权人员应对BOSS系统普通用户的清单每半年进行复核签字确认,如发现多余或不恰当的账号应进行及时调整。每隔半年以及业务流程发生重大变更时,由计费账务部门打印BOSS系统用户的访问权限清单,并交由相关业务部门主管,对用户的权限进行审阅签字,以合理确保用户在系统中的权限与其职责相符。如发现不相容权责,应及时通知所在部门工号管理员,对用户的权限进行调整。总之,针对于目前中国电信业BOSS系统存在的问题,应遵循相互牵制原则和授权控制原则,从职责分工、授权批准入手,对流程的关键控制点制定科学的内部控制管理规则,增强整个BOSS流程的控制管理,降低流程风险、提高运营效率,提升公司的整体竞争力。
参考文献
[1]王立彦.满足SOX404不是内部控制最根本的目标[J].新理财,2007(6).
[2]罗伯特·莫勒尔.布林克现代内部审计学[M].中国时代经济出版社,2005(8).
[3]金彧昉,李若山,徐明磊.COSO报告下的内部控制新发展—从中航油事件看企业风险管理[J].会计研究,2005(2).