通信企业IT系统内部控制建设现状与优化路径张帅

CHINA COLLECTIVE ECONOMY
内部控制制度是企业风险防范的主要免疫机制。

对于通信企业而言，行业及产品特点决定了IT系统内控建设不能仅局限于信息传递载体和管控平台，其数据生产加工对通信企业财务报告及风险防范具有重要影响。

文章在进一步对移动公司IT系统及内控体系进行分析基础上，发现现有IT系统内控体制存在重要性认识不够、IT内控制度建设缺乏统筹管理等缺陷，并在此基础上，对如何基于CO-BIT框架进一步优化公司IT系统内部控制进行了探析，以期为后续完善公司IT 系统内控建设提供有益参考。

一、内部控制制度在通信企业的应用
通信行业几经重组，现已形成三雄鼎立的格局，三家运营商均已上市。

随着各家运营商全业务运营的持续推进，运营商之间的市场竞争日趋激烈，市场经营风险有所增加。

与此同时，行业监管力度也日益加强，监管部门和资本市场对企业建立完善的内部控制体系提出了更高的要求。

在此背景下，通信企业基于公司战略目标，根据相关内部控制监管要求，采用COSO内部控制建设框架，在财政部等部委联合发布的《企业内部控制基本规范》等政策指导下，结合公司经营管理和业务流程实况，逐步建立并完善了以内部环境为重要基础、以风险评估为重要环节、以控制活动为重要手段、以信息与沟通为重要条件、以内部监督为重要保证，相互联系、相互促进内部控制框架。

合理有效的内控制度需与企业生产经营特点及管控流程紧密结合，方能充分发挥其风险防范与提升管理的作用。

就通信企业而言，与其他行业不同，通信行业全程全网和产品生产销售同步的特点，决定了IT系统在内部控制建设中的角色不仅仅是管理控制和信息传递的载体与平台，还需高度关注其业务受理、资源管理、数据生产加工功能，高度重视IT系统内部控制在公司整体内控体系建设中的作
用，突出IT系统中业务受理环节的合规
性与规范性、资源管理环节的安全性与准
确性，以及数据生产加工环节的真实准确
性，同时还需兼顾系统间信息传递的准确
性与一致性。

二、通信企业IT系统建设特点及内
部控制运行现状
目前通信企业IT系统一般可以分为
业务支撑系统、运营支撑系统、管理支撑
系统、企业数据应用系统、IT管控系统
等。

这些系统涉及到面向市场营销和客户
服务的前端支撑，面向资源和网络运营的
后端运营支撑，面向人力、财务、OA等的
管理支撑，面向企业数据挖掘和共享的应
用支撑以及企业信息化应用支撑等生产
经营管理的方方面面，共同作用构成了企
业经营管理的神经系统。

在建设IT系统
内控体系方面，公司以风险导向，采用
COSO框架，从系统规划设计、系统应
用、系统控制维度，通过流程梳理，识别系
统建设与管理中存在的风险，并通过风险
评估，明确管控节点，建设IT系统信息安
全、系统开发维护、系统运行等内控制度。

随着全业务运营的持续开展，市场竞
争日趋激烈，新业务不断推陈出新，业务
组织架构也在不断调整和优化，IT系统
也紧随新业务和组织架构的不断调整而
变化化。

目前IT系统建设主要定位于管
理和业务支撑，IT部门主要职责实现前
后端需求，在企业生产经营中的处于从属
地位，与IT系统在整个经营管理中的地
位不相匹配。

随着业务发展以及组织结构
的调整，IT系统建设维护与业务部门间
存在职责分工交叉与重复，在出现系统数
据差错时，系统使用部门与建设维护部门
经常发生扯皮现象。

从风险管理和业务支
撑角度来看，目前IT系统内部控制制度
主要集中于IT系统专业角度，突出访问
安全、程序变更及运行维护管理，对业务
政策系统固化、业务平台支撑与运用程度
关注不够。

在系统建设过程中存在各业务
支撑系统间缺乏统筹管理，有关内部控制
环节仅仅基于单系统输入、生产和输出等
环节的管控，对各系统间信息的传递和稽
核重视不足，实际运行中存在系统间信息
不一致、业务系统间信息结构未能打通等
情况。

例如，为支撑社会渠道管理及结算
需求，公司开发建设了社会渠道管理系统
，但在实际运行中，由于社会渠道分散以及
结算的多样性，系统未能将所有渠道纳入
系统管理，部分结算规则需要手工计算来
实现。

个别地方系统数据未能直接与财务
核算核算接口，财务报账申请需要手工发
起。

从业务发生——
—系统数据生成——
—财
务核算整个流程来看，较多环节滞留在系
统管控之外，数据信息质量容易受人为调
整影响。

前段时间行业所出现的案件也主
要集中IT系统数据管理以及对外结算环
节，即是现有IT系统内控制度存有不足
的有力例证。

三、移动公司IT系统内部控制建设
优化路径分析
为有效解决当前IT系统内部控制建
设及运行中存在的不足，可以借鉴CO-
BIT框架，指导企业完善IT系统内控制
度，充分发挥IT系统业务运营及管理支
撑功能，有效防范信息风险。

COBIT是目前国际上通用的信息系
统审计的标准，由信息系统审计与控制协
会在1996年公布。

这是一个在国际上公
认的、权威的安全与信息技术管理和控制
的标准，目前已经更新至4.1版。

它在商
业风险、控制需要和技术问题之间架起了
一座桥梁，以满足管理的多方面需要。

基
于COBIT框架的IT内部控制需要以价
值和风险为导向，通过规划和确定IT控
制的范围、评估IT风险、记录、评估有效
性、缺陷整改、长效推进等一系列活动来
建立与不断完善。

在
浅析通信企业IT系统内部控制
建设现状与优化路径
■张帅李蕾刘亭立
（下转第99页）
CHINA
COLLECTIVE ECONOMY
COBIT 框架指引下，
IT 系统内部控制建设及运行可以分为IT 公司层面控制、IT 应用控制和IT 一般性
控制三个层面。

在不同的控制层面，内控体系建设关注点有所不同。

结合公司当前IT 系统内部控制建设及运行中存在的不
足，可以从这三个方面分别加以优化，具体而言：
第一，在IT 公司控制层面，以CO -
BIT 内部控制框架为基础，包含控制环
境、信息和沟通、控制活动、风险评估、监控五大部分内容，应侧重IT 系统整体架构规划设计和IT 环境构建，突出其信息传递和管控平台职能，通过对企业现有的经营业务和系统状况进行分析评价，评估企业层面和业务活动层面的信息风险，通过授权、核对、系统配置和预警报告等控制措施，形成日常的控制活动。

在具体实施中，应结合企业当前IT 系统内控建设重要性认识不足、系统信息稽核维护职责划分存在交叉重叠等现状，首先明确IT 系统内控体系建设对公司整体风险防范和确保财务信息质量的重要意义，提高管理层对IT 系统内控体系建设和运行重要性的认识，高度关注与财务报告信息相关的数据在生产、加工及传递中的准确性、真实性和一致性；其次应明确IT 系统建设及运行中各部门间的职责分工，尤其对涉及财务报告信息真实准确性的系统信
息，应明确其稽核权限归属，确定信息质量责任主体，避免在出现问题时，各部门在系统配置错误和业务前端需求不明确间相互推诿。

此外，在IT 系统规划及建设中，IT 部门在基于其技术专业支撑角色之外，还应提高风险管理意识，熟悉业务运营及管理相关要求，在公司政策制度合规性框架内，对前后端业务及管控需求时进行梳理和优化，及时识别业务支撑中存在的潜在风险，会同相关部门从系统建设源头加以防范。

第二，在IT 应用控制层面，COBIT 框架突出IT 系统信息的准确性和完整性。

IT 应用控制与企业运营流程紧密相关，建立IT 应用控制应从流程的角度出发进行考虑，首先要明确业务流程范围，依据系统数据和流程是否会对财务报告造成影响，重点涵盖与财务报告相关的所有业务流程，然后对这些与财务报告有关的信息系统的行为设置相应的控制措施，确保信息数据的可靠性、准确性和完整性，具体包括授权及批准、系统功能配置、账项映射关系、系统异常情况报告和预警报告、系统数据调整权限等，突出系统中业务规则准确固化和系统间信息传递和稽核管理，从业务规则配置及核对、系统间信息传递和稽核、系统内调账、数据差异报告及处理等维度，优化当前IT 系统建设。

第三，在IT 一般性控制层面，基于CO -
BIT 的IT 一般性控制包括对程序和数据
的访问控制、程序变更、程序开发、系统运行以及最终用户计算等5个方面的控制。

在具体实施中，应加强对系统程序和数据的访问控制，要求系统和数据的访问都经过适当的授权，具体内容包括信息安全的管理、用户账号的管理、对信息系统逻辑访问和物理访问管理以及职责分工；加强对程序变更控制，强化程序变更的需求管理、程序变更测试、程序变更的访问控制、系统配置变更管理、紧急变更管理等。

在结合业务运营及管理需求，开发上线新业务系统时，应做好上线使用之前的控制，包括信息系统开发采购审批、信息系统开发方法、开发测试管理和数据移植管理。

在系统运行阶段，则应做好系统监控、数据备份和异常处理等工作，包括运行及作业计划、系统备份控制、系统恢复性测试、应用程序和备份介质的授权以及问题管理。

最终用户计算是针对部分不通过系统产生但却对财务报表较大影响的电子表格以及应用程序，具体内容包括对重要收入报表的访问控制、测试变更控制以及备份等。

（作者单位：张帅，中国联合网络通信有限公司河南省分公司物资采购与管理部；李蕾，中国移动通信集团河南有限公司信息与业务支撑部；刘亭立，北京工业大学经济与管理学院）
（上接第77页）
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
损失务必确实发生过，不然若发生申报扣除即将补判定为偷税。

企业计提活动中的各项资产的“减值准备”，为会计工作者们凭职业判定所给出的估计结果，其损失并未真实发生过，会计对此类风险所进行的估测，税法不予扣除的原因，主要是因为国家税收无法为“纳税人”承担其自身的经营风险，税法重点强调的是于企业的相关资产中“真实发生”的具有实质性的“永久损害”时方可获得即时处理。

如此规定，即益于税务管理，增进片管效益同时，亦杜绝了减值准备比率此硬性规定的不可确定性。

于财务会计里，“实质重于形式与谨慎性”两项原则为会计要素“计量与确认”的关键的修正性原则。

可于税务会计里，却为最不被认可、最不受欢迎的原则。

税法不认可谨慎性原则，一口将其否定。

其关键在于针对收入与费用上谨慎性原则处理不对称，当会计事宜存有无法确定期性因素时，谨慎性原则即要求多计费用而少计收入，若税法认可谨慎性原则，那么对企业应缴税款将会降低及滞后，此导
致税务单位要替企业担当风险。

三、对税务会计原则和财务会计原则差异的分析
以上论述，“税、财”务会计原则两者存有诸多不同，有的是单一的“内容、名称”的不同，而有的是“内容不同而名称相同”。

目标取决于“导向”，原则取决于“目标”又体现于“目标”。

在目标上“税法和财务会计”不一致，故此两者在原则上亦不相同，存有差异是必然的，与两者根本目标不相违背状况下，怎样令两者之间的差异持有合理程度，为我们所需要思考的关键。

国家正置于经济转型的特殊时期，两类原则差异呈现出扩大趋势，怎样协调、如何构建两类原则之间的和谐，进而降低企业税收成本、体制转换成本与纳税风险等，为实际需解决的问题。

由税收“原则、主导”呈现出我国“税收核算原则”过分站在征管角度上考虑，呈现的并非是纳税者便利为基础、而是本着征收便利为原则，并非确保纳税者的税益、而是保障政府的收入，对纳税者的利益问题上则思虑的较少。

当下，“法定主义标准”在我国税收活动中远未达成，和会计的“体制、准则”差异太大亦不规范，提升了纳税者的不可预期性。

故此，亦不益于生成对比完整、明确、系统的“税务会计原则”，可“财务会计原则”已然是公认的较成熟的原则。

新税制革新里，需最大化的吸纳财务会计原则，压缩差异。

若想我国税务会计和财务会计两者的混合模式优点得以充分体现，那么两原则差异一定不能大。

若当下的差异加大趋势无法迅速遏制，越来越多的纳税调整事项将给会计活动造成无尽的烦恼，将压缩财务“会计信息”质量。

参考文献：
1.盖地.试论税务会计的理论结构上市公司会计与财务的最新发展[M].中国人民大学出版社,2004.
2.董树奎等.税收制度与企业会计制度差异分析及协调[M].中国财政经济出版社,2009.
（作者单位：江苏省睢宁县睢城镇人民政府审计所）。