直播:第四届中国电信业信息化论坛
女士们、先生们下午上,我演讲题目是落实萨班斯法案,构建IT全面风险管理体系。企业信息化工作分两个部分,一个是信息系统的建设,第二部分是信息系统的管控。今年5月31号,网通公司率先成为通过美国SOX法案的国际运营商,我们河北省网通公司是在网通公司内控模板的实施单位,为SOX法案达标作出了贡献。今天演讲题目一个是2006年IT内控开展的工作,第二个是IT全面风险管理体系构建思路。
对财务数据来源控制途径,我们认为财务报告分三个部分的数据来源。从外部环境来看,网通公司承担内控条款400多条,涉及专业包括安全、变更、操作、信息系统采购、开发等内容,涉及八个部门,另外电子表格涉及公司每个专业工作,在时间要求上,网通河北省分公司必须在2006年达到SOX404要求。从内部环境来看,2006年以前,网通河北省分公司企业信息系统建设相对通信专业起步晚,信息化管理基础薄弱。
网通公司IT内控涉及领域,一个是一般性信息系统基本控制,包括信息系统安全,信息系统操作,变更管理等。还有专署性信息系统控制,在一般性系统基本控制内容包括详细的17个流程。2006年网通河北公司开展了八项工作,第一个是制度建设,河北省网通公司在制度方面做了锭子表格实施细则的编写,信息系统建设编码七项规范等。第二部分贯彻风险管理方式,开展针对性培训。培训是建立内控素质提高的阶段,内控涉及两方面,一个是信息系统功能要求,二是对信息化管理控制流程的要求,这部分工作量非常大,涉及相关工作人员的管理意识的转变。为使涉及IT内控各单位人员,改变原有工作方式,树立信息化风险管理意识,省公司企业信息化部两次开展内部培训,五次开展公司本部相关部门面对面的培训。为了配合上述培训工作,我们编写了风险管理与内控,SOX法案与IT内部控制等规章。
第三统一IT内控流程描述和文档格式,在事实IT内控工作初期,一共有15个本地化内控文档,但由于各单位信息化管理支撑部门内部规章制度和工作流程不尽相同,管理精细华程度不一,工作人员对内控理解程度也各不相同,这种情况对不利于全省IT内控工作深度和进度的把握。我们2006年6月组织公司各相关单位成立IT内控工作项目组,经过三周时间的顽强拼搏,梳理IT内控17个流程,412个控制活动,统一9.5万字的IT内控流程描述,规范176个相关文档格式。上述工作的开展,不仅仅统一了IT内控流程描述,也实现河北省分公司各单位信息化管理控制流程和文档的统一,为河北省分公司IT内控在2006年满足SOX404形成可量化的工作标准。
第四方面的工作是问题整理剂整改措施的落实。IT内控从分类角度来讲分两方面,一个是信息系统本身内控,信息系统外部控制环境。河北省分公司信息系统内控,原来制作信息系统没有完全按照内控要求做,所以很多部门不完全具备内控的要求,我们需要通过建立人工控制的体系来控制风险。2006年河北省分公司去各地分公司收集整理20多个共性问题,深入理解内控要求,提出了人工降低IT内控风险整改措施。我们错去人工降低IT内控风险整改措施主要有几个方面,首先要制定控制声明,再制定授权文档,制定作业流程,制定作业流程对应的控制文档。我们对安全内控基本流程的理解,首先不断提出申请,主管主任申请,工作人员在提出申请,主管人员进行审核。
第五方面提出具体的发展错误,保证通过普华永道的测试,我们为了达到要求,河北省分公司走访了所属11个市分公司,与各单位主管内控的总经理,网运部和支撑共享中心的主任,IT,内控主管人员进行了现场沟通,对具体问题具体指导。
第六开展信息系统风险评估,模拟演练预案。在传统信息系统预案管理方面,存在缺陷表现两方面,一个是信息系统硬件,软件和应用系统分开管理,二是信息系统预案的制定过程没有经过风险评估,针对性不强,处于被动的局面。我们针对潜在问题进行针对性的信息系统预案设计,对预案进行演练,并留下控制文档。我们制定信息系统风险评估过程,确定信息资产或管理工作的范围,确定信息资产或管理工作本身存在的弱点和漏洞,确定信息资产或管理工作面临的威胁,确定目前信息系统或管理工作采取的控制措施。这是综合结算系统资产风险评估表,将来资产分实物资产,软件资产,文档等。
第七,安全内控要积极和相关部门沟通,解决COSO,UAT和久其系统存在的问题。我们积极与公司COSO组沟通,完成IT内控与COSO内控流程进行有效衔接。帮助财务部编写久其报表软件系统管理暂行办法等。
地八是开展电子表格工作,电子表格工作是内控工作中非常重要的工作,因为信息系统的建设,有的数据来源于电子表格,电子表格的内控是从去年6月份开始,相对其他的工作起步晚,大家对电子表格定义如何开展工作没有明确的认识,困难重重。我们首先分析SOX404电子表格的要求,收集公司现有各类电子表格,依据集团公司相关制度和风险管理思想,在没有参考资料的前提下,经过一个多月努力,从电子表格管理业务流程和计算机管理流程两个角度编写了对应的九个文档模板。在完成上述制度基础上,我们编写电子表格自查复核工作要点,对全省八个内控专业组开展四次专题培训,组织各专业组进行电子表格的风险评估,完成八个专业组电子表格会审,组织各调研组进行复核工作,从而有效降低风险。电子表格原来是人为控制控制变成电子表格智能控制。这是表示电子表格物理存储访问控制建立一个服务器和工作站,还要建立电子表格的备份,以及电子表格帐号清单备份计划和管理。
下面介绍一下今年在做的工作,今年依据国资委和网通集团的指示,保证内控工作成果的基础上,开展全面风险管理,原来COSO有五个要素现在变成八个要素。增加了木设定,风险识别,风险应对。COSO框架里,企业信息化过程若干风险点的控制,向全面风险管理方面实现全面的风险控制。在构建全面粉线管理体制方面,创建了内部控制新机制,构建全新内部控制组织体系,2007年制订了中国网通有限公司风险管理办法,董事会是公司风险管理的监理机构。
第二构建全新内部控制治理机制,在构建符合内控要求的业务管理新制度方面,我们首先分析企业信息化全周期包括哪些阶段,每个阶段采取什么样的控制流程。企业信息化工作全周期分四部分,一个规划、实施、运行、后评估。在每一个阶段分详细的阶段,我们分了13个层。我们认为COSO全面风险管理框架八个要素和流程管理来看可以分PDCA四部分,P包括目标设定等,D是控制活动,C是心细於沟通,A是监控。
举两个例子,企业信息化规划目标设定,首先研究企业信息化战略如何与企业业务发展战略进行匹配,促进企业的发展,结合企业信息化战略制定企业的发展规划,对环境分析,确定技术路线,制定阶段性工作目标。对每个流程要进行详细的分析,包括评定组织的目标和战略,信息系统的使命,企业组织环境的评定。对信息系统规划风险评估,一个是绩效指标,IT战略规划过程等等。IT战略规划可以落实各省长期和短期计划的百分比等等。
第二个例子是信息设计目标,这是在系统实施环节中,它的目标是在需求分析的基础上,根据系统分析报告规定系统要求及系统逻辑模板,提出系统的物理模型。信息系统设计流程,要在需求说明书调整下,继平台、软件设计,流程各方面说清楚。对信息系统设计的风险评估,包括符合绩效指标和目标指标考虑,绩效指标包括文档标准的数量等。对目标指标考核,包括满足企业需要概要设计等。
以上是网通公司对IT内控方面的思考和一些思路,谢谢大家!
