电信行业信息技术内部控制实施方法研究
中国电信运营商SOX内部控制实践研究
成本。 这些成本对于核算整个企业的最终润是 比较 明确的, 但如何将成本合理分摊到每一种产品、 每一类用 当中去, 从而确定 电信服务 的产品和客户成本, 则是一个世界电信范围内的难题。 本文结合 中国电信运营企业在执行S X O 法案过程中内部控制建设实践 , 探讨在 目前管理条件下 , 电信运营企业基于S X O 法案内部控制体系优化完善思路 , 国更多企业提供 内部控制建设的借鉴意义 。 为我
会及审核委员会, 一个积极有效的董事会及审核委员会, 能够提供重要的监督功能。 而且 由于管理者通常有能力凌驾内部控制 , 董事会 对于确保进行有效的内部控制具有至关重要的意义 ; 管理哲学 和经营风格 , 管理哲学和经营风格通常对企业有普遍深入的影响。 这些影 响是无形的, 但可以找到一些积极和消极的标志; 组织架构 , 公司的组织结构既不可过于简单 以至于不足以对企业经营进行适 当监控 ,
交易具有普遍深入影响的内部控制。 在公司层面控制的规定方面 , 我国电信运营商均采用c s  ̄控框架的规定 , oo ̄ 一般从控制环境 、 风险 评估 、 控制活动 、 信息及沟通 、 监控五个方面进行规定。 控制环境。 电信运营商在内部控制手册中对控制环境的规定主要包括: 正直守德的 价值取向, 公司管理层必须传递一种信息, 即在正直守德的价值取 向上是不能妥协的, 员工也必须收到并理解这种信息。 管理者必须立 言、 立行以昭示其高水平的道德标准 ; 胜任能力, 公司管理者必须明确每一工作岗位所需的能力水平 , 并将此能力水平具体化为所需知 识和技能。 公司应用正式或非正式的职责描述或其它方式定义某一职位的具体工作 , 并充分分析开展具体工作所需的知识和技能; 董事
电信行业信息技术内部控制实施方法研究
方 法 论 的 必要 性 和 国 际上 通 用 的 信 息技 术 内部 控 制 的 理 论 框 架 , 通 过 结 合 作 者 的 工 作 实践 , 出 了 电信 行 业 实施 信 息技 术 内 并 提
部 控 制 的 方 法 论 。 文 章 最 后 总结 了信 息技 术 内部控 制 实施 过 程 的要 点 , 而 为 电信 行 业 不 断 完善 信 息技 术 内部 控 制体 系提 供 了 从
参考 。
关 键 词 : OX 法 案 , OS C B T S C O, O I
中 图分 类 号 : 3 3 0 TP 9 . 2
文献标识码 : A
1 电信行 业信 息技 术 内部控 制 实施 方法 的必 要性
五 年 前 发 生 的安 然 、 通 等 惊 天 财 务 丑 闻 致 使 美 国 资 本 世 市 场 损 失 了 7万 多 亿 美 元 的 市 值 , 几 乎 彻 底 消 融 了 全 球 投 并
理 结构 。
法 案 ) 明确 要 求 管 理 层 对 公 司 财 务 信 息 披 露 和 内 部控 制 效 力 , 负 有 直 接 责 任 E ] S X 法 案 中 第 4 4 款 要 求 公 司 在 财 务 报 1。 O 0条 告方 面加强 内部控制 , 即管 理 层 必 须 对 内部 控 制 方 面 进 行 自
维普资讯
Mircmp trA pi t  ̄  ̄.3 No 1 2 0 coo ue p l ai sV I2 , . ,0 7 c o
文 章 编 号 :0 7 7 7 2 0 ) 1 0 1 3 1 0 — 5 X(0 7 0 —0 1 —0
研 究 与 设 计
控 制 系 统 并 确 定 如 何 进 行 完 善 。美 国证 券 交 易 委 员 会 ( E S C)
对电信企业内部控制存在问题及对策的分析
级四级的管理 架构 , 其中集 团和省级 的组织一般行使的是管理 职能 , 不从事具体的业务 资产经营 活动 。正是因为企业的经营 地域分 散 、 层级 多 , 了 电信 企业 的管控 分散 , 制难 度较 造成 控 大。再次 , 电信企业的各级管理层和 员工对内部控制的认识有 待提 高。近几年 , 虽然内部控制 工作受到了很大的重视 , 但是还
电信是技术和 资金 密集 型的行业 , 其固定资产的首次投 资 额巨大 , 投资 回收期 较长 , 应该加强 对 自身内部经营 风险的评 估和 控制 。当前电信企业的设备采购以及市场推广等环节 涉及
大量的 资金运 作 , 重大项 目的立项 、 招投标 等的透明 度也有待
行 的 有 效 性 、 行 集 中管 理 和标 准 化 管理 、 立 完善 的 风 险 管 推 建
构容 易形成 内部人 控制 , 很难形成 企业 的所 有者和经营者之 间 的有效 监督机 制。其次 , 多层级且地域 分散 的组织结构增加 了
内部控制的难度 。电信企业一般都建立了集团 、 省级 、 地市和县
加强对欠费清缴的力度, 对存在不良信用记录的用户进行话费
额度控制等。除此之外 , 电信企业 的产品是一种无形的服 务 , 并 不是一般意 义上的可 见实物 , 也可 以说 , 电信企业 在经营过 程
二、 电信 企 业 在 实 施 内部 控 制 过 程 中 存 在 的 问题 及 原 因分
析 1 内部 控 制 环 境 问题 、
营管理和 组织运作 等方 面都 与其他一般的企业不 同 , 资本和 其 技术密集程度高 , 业务复杂 , 所以 , 电信 企业的 内部控 制意 加强
义重大。
一
、
企
业
经
基于COBIT框架的电信企业信息技术内部控制体系研究
、
、
、
做到更有效地利用信息资源 更有效地 管理 与信息相关 的
,
有效性 缺陷整改 长效推进等 系列活动来建立 与不 断完
一
、
、
风险 从而提升内部控制水平
。
。
善 信息技术内控体系建立 的实施路径如图 2 所示
。
。
企 业 的业 务 目 标 和 治 理 目标 ▲
. ● ●
图 1
C O B IT
控 制 框 架 的 详 细 目标
一
。
,
6 月 在北 京联 合发 布 了 《 企业 内部控制基 本规 范》要 求 国
,
行情况对体系架构进行持续优化 对
。
Байду номын сангаас
一
个庞大的企业 真正
内上 市公司与大型 央企 参考构建 以 内部环 境为重要基础
、 、
、
做到有效管控
2
。
以风 险评估为重要环 节 以 控制活动为重要手段 以信息与
沟通 为重要条件 以 内部监督为重要 保证 相互 联 系 相互
、
一
、
、
、
致性 和可 靠性 为根 本
、 ,
,
以 IrI' 资源 ( 应用程序 信息 基 础架构 人 员 ) 为基础 提 出
、 、
3
信 息 技 术 内控 体 系 建 立 方 法
内部控制体系的建立 是 个长期过程
一
了 计划与组织
“ ”
”
、
“
获得与实施
。
99
、
服务和支持
”
、
“
监控和评
,
根据每年企业
价 4 大控制 目标 如图 l 所示
中国电信内控现状的研究分析
中国电信内控现状的研究分析摘要企业的内部控制,不管是在企业自身发展方面还是在满足资本市场的监管要求中都是企业所面临的需要解决的问题,通过提升企业的内部控制水平来提升企业的市场竞争力至关重要。
基于以上,本文根据中国电信公司为具体实例展开研究,从我国企业内部控制现状入手,探讨了中国电信公司的内部控制环境,研究了企业内部控制的建设和具体执行,并探讨了我国内部控制的改革和创新,旨在发挥内部控制对于提升企业竞争力的重要作用,从而帮助企业应对当前日趋激烈的市场竞争环境,实现可持续发展。
关键词:内部环境内部控制风险经济效益竞争力AbstractEnterprise's internal control, both in terms of their own development and the capital market regulatory requirements, these are all enterprises face more difficulties, the main demand of enterprise survival is internal control. In the face of increasingly fierce market competition, how to improve the competitiveness of the enterprises, and improve the economic benefits of enterprises, become each big enterprise the most concern, therefore has become the enterprise internal control system is the most powerful guarantee. Based on the above, this article launches the research, according to China telecom company for example, from the current situation of internal control, discusses the internal control environment of China telecom company, study the construction of the internal control and the specific implementation, and discusses the reform and innovation of internal control in our country, aims to give full play to the enterprise internal control effectively, enhance the competitiveness of enterprises, improve enterprise economic benefits, promote the enterprise in the fierce market competition to achieve sustainable development.Keywords:enterpriseinternal control the executionpracticeinnovation目录一、内控现状的分析——以中国电信为例 (2)(一)内部的控制理论 (2)(二)内部控制存在的局限性 (3)二、我国企业内部控制现状的分析 (4)(一)管理模式粗放 (5)(二)内控体系不完善 (5)(三)内控成本较高 (5)(四)内部控制要求严格 (5)三、我国电信企业内部控制环境 (5)(一)价值取向 (6)(二)组织结构 (6)(三)管理和经营 (6)四、企业内部控制的建设和执行 (7)(一)内部控制体系的设计 (7)(二)内部控制体系的执行 (8)五、内部控制的改革和创新 (12)(一)我国企业内部控制管理的创新 (13)(二)我国企业内部控制执行的创新 (14)注释............................................ 错误!未定义书签。
我国电信企业内部控制研究
三、完善我国电信企业内部控制 的对策建议
1、建立健全企业治理结构
1、建立健全企业治理结构
电信企业应建立健全治理结构,合理分配董事会、监事会、经理层之间的权 责,形成科学有效的职责分工和制衡机制。同时,应设立内部审计机构或建立内 部控制专职机构,负责内部控制的日常监督与检查工作。
2、强化风险管理意识
企业应优化治理结构,明确组织架构和职责分工,形成有效的制衡机制。同 时,加强员工培训,提高员工的内部控制意识,营造良好的内部控制氛围。
2、健全内部控制制度
2、健全内部控制制度
企业应制定完善的规章制度和操作规程,使员工在业务操作过程中有章可循, 减少错误和舞弊行为的发生。同时,定期对内部控制制度进行评估和更新,以适 应企业不断变化的内外部环境。
3、内部控制执行不到位
3、内部控制执行不到位
尽管有些企业已经建立了较为完备的内部控制体系,但由于执行不到位,使 得内部控制体系未能充分发挥作用。例如,部分企业对内部控制的理解不够深入, 执行时存在偏差,甚至有少数员工无视内部控制的规定,依然我行我素,导致内 部控制体系形同虚设。
4、内部控制监督力度不足
二、我国电信企业内部控制存在 的问题及原因分析
1、存在的问题
1、存在的问题
(1)内部环境不佳:部分电信企业存在组织结构不合理、权责不明晰、内部管 理混乱等问题,导致员工的工作效率低下,甚至可能产生舞弊行为。
1、存在的问题
(2)风险管理不足:部分电信企业在风险识别、评估和应对方面存在缺陷,不 能及时有效地防范和处理各类风险。
我国电信企业内部控制研究
目录
01 一、电信企业内部控 制的现状和特点 三、完善我国电信企
03 业内部控制的对策建 议
浅析电信内部控制现状及改进措施
Management经管空间 2019年9月103DOI:10.19699/ki.issn2096-0298.2019.18.103浅析电信内部控制现状及改进措施中国电信股份有限公司山西分公司 张丽媛摘 要:中国移动、中国联通和中国电信作为中国通信行业的三大巨头,在国内通信市场占据着重要的地位。
随着通信技术的飞速发展,现代通信行业市场竞争愈演愈烈,通信企业面临着新的挑战,对通信企业内控管理提出了更高的要求,内部控制的完善程度和内部控制的有效性直接影响了企业的高效运转和管理水平。
本文旨在通过对目前电信内部控制的现状进行分析,找出问题,并对有针对性地提出改进的建议。
关键词:电信 内部控制 措施中图分类号:F626.115 文献标识码:A 文章编号:2096-0298(2019)09(b)-103-021 内部控制概述内部控制是由企业董事会、监事会、经理层和全体员工,共同实施的旨在实现控制目标的过程。
内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。
这一定义将内部控制当作一种动态的过程,公司员工不仅应按制度做事,还应当主动地在各项管理响动、经营活动中努力实现内部控制目标,体现了现代意义上的适时和全程的控制观念。
2 内部控制研究意义内部控制是一套将控制环境、风险评估、控制活动、信息与沟通、监控贯穿于整个经营活动全过程的自律系统,是现代企业管理的重要组成部分,是确保企业稳健发展不可或缺的“稳定器”,强化企业抗风险能力,也是使企业实现目标的有效工具。
具体地来说,研究内部控制主要有以下两方面的意义。
2.1 加强企业内部控制是成熟管理制度的需要对于电信来说,不能仅只依靠员工个人的热情、能力、责任心来维持企业的正常运作。
内部控制是企业内部管理的一部分,内部控制明确划分了各职能部门和人员的职责范围,使各部门、职员能够相互制约、忠于职守。
内部控制所规定的相互联系、相互协调、相互制约的关系,使部门、人员相互监督制约,要求其他部门必须有效地执行任务。
我国电信企业内部控制研究
我国电信企业内部控制研究一、本文概述随着信息技术的飞速发展和全球化进程的推进,电信行业作为国家信息化建设的重要支柱,其地位和作用日益凸显。
然而,伴随着电信行业的快速扩张,企业内部控制问题也逐渐暴露出来,成为制约电信企业持续健康发展的关键因素。
本文旨在深入研究我国电信企业内部控制的现状、问题及对策,以期为电信企业提升内部控制水平、增强风险防范能力提供理论支持和实践指导。
本文将对电信企业内部控制的基本概念进行界定,明确内部控制在电信企业管理中的重要性。
在此基础上,通过对国内外电信企业内部控制理论和实践的梳理和评价,分析我国电信企业内部控制的现状及存在的问题。
这些问题包括但不限于:内部控制体系不完善、风险控制机制不健全、内部审计职能弱化、信息沟通与协作不畅等。
针对这些问题,本文将提出相应的解决策略和建议。
这些策略和建议将围绕完善内部控制体系、强化风险控制机制、优化内部审计职能、提升信息沟通与协作效率等方面展开。
本文还将结合具体案例,对电信企业内部控制的实践进行深入剖析,以期为我国电信企业加强内部控制提供有益的借鉴和参考。
本文将对电信企业内部控制的未来发展趋势进行展望,探讨新技术、新模式对电信企业内部控制的影响和挑战。
通过本文的研究,旨在为我国电信企业构建更加科学、有效的内部控制体系提供理论支持和实践指导,推动电信行业实现高质量、可持续发展。
二、电信企业内部控制现状分析近年来,随着我国电信行业的快速发展和市场竞争的日益激烈,电信企业对于内部控制的需求和重视程度也在逐渐提升。
然而,在实际操作中,电信企业内部控制仍然存在一些问题,主要表现在以下几个方面。
电信企业内部控制环境有待完善。
一些电信企业在治理结构、权责分配和内部监督等方面存在不足,导致内部控制环境不够健全。
例如,董事会和监事会的职能未能充分发挥,内部审计机构的独立性和权威性不足,以及关键岗位人员的权力过大且缺乏有效制衡等。
电信企业内部控制活动执行不到位。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
文章编号:1007-757X (2007)01-0011-03电信行业信息技术内部控制实施方法研究赵海燕,①邱晨旭,②潘文宇③摘 要:本文结合电信行业的特点研究了信息技术内部控制实施的方法。
文章介绍了建立电信行业信息技术内部控制实施方法论的必要性和国际上通用的信息技术内部控制的理论框架,并通过结合作者的工作实践,提出了电信行业实施信息技术内部控制的方法论。
文章最后总结了信息技术内部控制实施过程的要点,从而为电信行业不断完善信息技术内部控制体系提供了参考。
关键词:SOX 法案,CO SO ,COB IT中图分类号:T P 393.02 文献标识码:A1 电信行业信息技术内部控制实施方法的必要性五年前发生的安然、世通等惊天财务丑闻致使美国资本市场损失了7万多亿美元的市值,并几乎彻底消融了全球投资者对美国资本市场的热情。
为了重塑投资者的信心,美国国会于2002年7月正式通过了Sarbanes -O xley 法案(简称SOX法案),明确要求管理层对公司财务信息披露和内部控制效力负有直接责任[1]。
SOX 法案中第404条款要求公司在财务报告方面加强内部控制,即管理层必须对内部控制方面进行自我评估和独立评估,并由第三方审计公司对进行最终的审计。
由于信息技术广泛应用在业务、财务流程中,很多业务流程有关的控制点的缺失或多或少跟IT 系统及信息技术都有间接关系。
因此,信息技术是SOX 整体要求的不可缺少的一部分。
SOX 404第二审计准则也提出了对信息技术的要求,如审计准则#40“…需要测试的控制包括其它控制所依赖的信息技术一般性控制…”;审计准则#50“…程序开发,程序变更,计算机运行,程序和数据访问等方面的控制保证了业务处理的有效进行…”等等。
中国电信在2006年初启动了与财务报告相关的IT 内控咨询项目,在总部和20个上市省公司进行了IT 内控咨询,并针对诊断出的差异或缺陷进行了大量的整改工作,以充分应对2006年底的SOX 外部审计。
但是,信息技术内部控制的实施是一个长期的过程,不是一次性的工程或者项目。
一方面,从外部驱动来看,由于企业的组织、流程、系统是一个不断变化的过程,因此,信息技术内部控制也需要不断的调整和改进以满足SOX 合规审计的要求;另一方面,从内部驱动来看,目前各行各业都在进行IT 治理相关的工作,而IT 治理是一种高层次的理念,比较理论化,而信息技术内部控制则是一种改善IT 治理和判断IT 治理成效的一种有效方法,因此,不断的进行信息技术内部控制的调整和改进,对IT 治理的理论发展和实践很有借鉴意义。
因此,作为一项长期的工作,有必要结合中国电信已经开展的信息技术内部控制工作的实践,提炼总结电信行业信息技术内控实施方法,以不断的完善公司IT 治理结构。
2 信息技术内部控制的理论框架目前,CO SO 和COB IT 主流信息技术内部控制框架,已广泛的被企业所接受。
CO SO 是指美国"发起人组织委员会(Comm itteeofSponso ringO rganizati ons ,简称CO SO )"1992年发布的《内部控制-整体框架》公告[2]。
CO SO 报告的主要目的是建立一个通用的、可以为不同单位、不同人员服务的内部控制的定义,并提供一个标准,据此组织可以评估它们的内部控制系统并确定如何进行完善。
美国证券交易委员会(SEC )推荐CO SO 作为《萨班斯-奥克斯利法案》的内部控制框架。
图1 CO SO 内部控制框架CO SO 第一维是目标。
内部控制是为了给达成以下目标提供合理保障而设计的:财务报告的可靠性、运营的有效性与效率、符合相关法律和条例的规定;CO SO 要求的第二维为公司级聚焦和流程级聚焦应当从公司级和流程级两个层面对①②③潘文宇,上海市电信有限公司研究院信息集成部,上海 200122邱晨旭,上海市电信有限公司研究院信息集成部,上海 200122作者简介:赵海燕,上海市电信有限公司研究院信息集成部,高级研发工程师,上海 200122内部控制进行评估;CO SO要求的第三维包括了内部控制的五个组成部分:控制环境-决定了一个企业内部的氛围,影响控制意识。
控制环境是其他内部控制组成部分的基础,提供纪律和结构;风险评估-这个部分是企业对与完成目标相关的风险进行确认和分析,为决定怎样管理风险提供基础;控制活动-包括确保实现管理层指示的政策和程序;信息和沟通-由支持确认,捕捉和信息交换的流程和系统组成,以一种形式和时间段内使员工能够完成职责;监控-由评估内部控制质量表现的流程组成。
但是美国证券交易委员会(SEC)所推荐的《萨班斯-奥克斯利法案》的内部控制框架CO SO没有明确规定IT内部控制的目标和相应控制活动的需求。
同样PCAOB第二审计准则也没有特别指出哪些IT内部控制目标和控制活动是必需包括的内容。
这些决策留给了企业管理层。
美国IT治理协会(ITGovernance Institute)在1996年颁布的COB IT,是国际上最具权威的和最通用的有关IT控制和治理框架[3]。
2004年该协会颁布了COB IT中与《萨班斯-奥克斯利法案》第404条款相关的IT控制目标。
许多在美国上市的公司都使用这些IT控制目标作为遵循《萨班斯-奥克斯利法案》第404条款的IT内部控制框架。
因此,可以这样理解:CO SO强调内部控制是一个程序,突出了保证财务报告可靠性这一目标,而COB IT将内部控制视为一个包括政策、程序、实务和组织结构的支持企业完成目标的程序。
因此,通过有效地应用COB IT的框架可帮助企业来达到CO SO的监控要求COB IT的主要框架如图2所示,主要由三个纬度:IT信息准则、IT资源、IT流程。
其中:#IT信息准则包括:质量、信用、安全#IT资源包括:人员、应用系统、设施、技术、数据#IT流程包括:领域、流程、活动COB IT给出了在不同的IT生命周期的流程中(包括信息系统计划、开发、运行维护全生命周期),对不同的IT资源的关键的控制点和需要达到的信息准则目标。
图2 COB IT内部控制框架3 电信行业信息技术内部控制实施方法以CO SO和COB IT框架为指导,结合电信行业特点与实际情况,我们建立了电信行业信息技术内部控制实施的方法。
图3 信息技术内部控制实施的7个阶段如图3所示,信息技术内部控制的实施通常由7个阶段构成:1、项目组织和计划;2、内控业务流程分析;3、识别和设计IT控制点;4、评估IT内控设计的有效性5、评估IT内控执行的有效性;6、缺陷识别和改进建议;7、持续改进。
其中,步骤2和步骤3是实施内部控制的重要环节。
通过步骤2和步骤3的分析设计过程,可以确定企业内部控制的范围,依据该范围再去评估企业整个内部控制的设计有效性和执行有效性。
并且,针对于不同的行业,步骤2和步骤3也是体现行业差异的地方。
因此,我们对步骤2和步骤3进行了重点的研究。
需要说明的是信息技术内部控制包括公司层面的控制,IT应用控制和IT一般性控制,并且IT应用控制分收入流程控制(指电信行业业务方面的控制)和非收入流程的控制(人财物方面的控制),在此,我们在此将重点探讨IT收入流程方面的应用控制的方法。
图4 IT应用控制的范围图4给出了IT应用控制的范围。
从业务流程的范围来看,对于电信行业来看,因为目前SOX主要关注于财务报告的准确性,因此,内部控制关注的流程主要是产生收入的前端流程,对于后端网络的开通、网络的维护由于与财务报告不直接相关等不需要纳入范围。
目前,电信行业前端与财务报告相关的业务流程主要包括:业务开通、计费帐务和结算,其中结算是个广义的概念包括与运营商的结算,与SP CP的结算、与代理商结算、内部结算。
另外,需要关注的是两个边界:一个边界是数据的入口,一端是数据的出口。
其中,数据的入口主要有三大类的源头:客户、网元、数据的纵横向传递。
其中,客户主要的接触面是可以通过电信企业的各种渠道下订单、缴费、充值等等,从而触发电信相关的业务流程;网元的接触面主要是通话数据CDR 的采集,通过这些CDR,会触发电信内部的计费帐务流程或者结算流程;另个数据入口的源头是数据的纵、横向传递,如省公司的平台下发给地市公司的计费数据,或者说一些代收费单位传送给电信的计费数据等等。
数据的出口主要指的是报表的生成,各交易数据最终会通过各类的报表系统生成收入报表,最终传递给财务部门。
根据业务流程的范围,我们通过确认信息系统是否支撑业务流程及其关键控制点来确定纳入范围的信息系统。
目前,电信行业纳入的系统范围主要包括:网元类系统、营业类系统、计费帐务类系统、结算类系统、收入报表类系统。
在确定了纳入范围的流程和系统的范围后,需要进一步确定如何确定关键的IT控制点,我们认为,IT控制点的设计可从两个方面来考虑,一是从控制的对象来看,另一个从时间的纬度来看。
从对象来看:#系统之间:关注于接口类型的控制点,如接口是否有告警机制,是否针对于异常有处理并保留处理记录#系统内部:★分财务报表层次控制点和交易层次控制点★其中,报表层次的控制点主要是针对于报表类系统而言,主要关注于报表的准确性和完整性,具体可分为报表的管理层审阅、报表的基准测试(即对报表程序准确性的测试)等★交易层次控制点主要针对于操作层面系统:如承载网、智能网类、营业类系统、计费类系统、结算类系统,具体可分为系统功能、授权与批准、职责分工、稽核等;从阶段性来看,由于信息技术内控是个长期的过程,并且不可能短时间一步到位,因此,我们认为信息技术的内控考虑轻重缓急,设立不同的阶段目标,并根据阶段目标来设计相关的控制点:#第一阶段(2006年):★控制点的目标方面:从企业如何符合SOX的合规要求,这些控制点主要的目的还是满足财务报表的准确性和完整性,对于这些控制点的实施可能会增加了企业的成本★控制点类型方面:控制点主要关注于程序性的控制,主要控制某个环节是否有控制,对于控制的效果并没有明确的要求。
如控制点A:对于营业系统和计费系统之间的数据不一致要有分析,并有处理记录。
但到底这种不一致要控制到什么程度才算符合要求,如何与KP I挂钩,目前在第一阶段考虑到实施的成本,可暂不考虑#第二阶段(2007年-):★控制点的目标方面:从为企业创造价值、增加收入和降低成本的的角度出发,控制点的目的除了满足财务报表的准确性和完整性外,还要重点考虑收益性。
★控制点类型方面:关注于内部控制实施效果的控制,并通过量化的手段对内部控制实施的效果进行评定。
如前面的例子,将会明确出营业系统和计费系统之间每个月的数据不一致要维持在什么样的指标值4 信息技术内部控制的实施过程要点自2002年7月SOX法案出台之后,IT的SOX合规审计成为2005年全球C I O最关注的事情。