中图分类号:C931 文献标识码:A

内容摘要:本文详细介绍了电信行业的信息技术一般性控制的内容。首先介绍了国际上通用的信息技术内部控制的理论框架以及中国内部审计协会发布的内部审计第28号具体准则——信息系统审计的内容,并结合实践对电信行业信息技术一般性控制的系统范围、实施框架及信息技术一般性控制问题及改进措施进行了研究,以期为电信行业不断完善信息技术一般性控制体系提供理论参考。

关键词:内部控制 信息系统审计 信息技术一般性控制

美国的《萨班斯法案》404条款对企业的内部控制提出了严格规范,要求在美上市的公司按照404条款推荐的COSO框架建立起完善的公司内部控制体系,并对企业的公司治理、IT治理及IT控制提出了更严格的要求。同时其第二审计准则也提出了对信息技术的要求,如审计准则#40“……需要测试的控制包括其他控制所依赖的信息技术一般性控制……”,审计准则#5“……程序开发、程序变更、计算机运行、运行和数据访问等各方面的控制保证了业务处理的有效运行……”等等。

中国电信在2006年初启动了“与财务报告相关的信息技术内部控制(简称IT内控)”项目,项目涉及电信总部及20个上市子公司,建立起全公司的IT内部控制体系,并对发现的差异及不足开展深入细致的整改;自此历年完善,均顺利通过各年度外部审计。信息技术一般性控制作为电信IT内控的重要组成部分,一方面企业的组织、流程、系统是不断调整转变的,信息技术一般性控制的内容也应随之调整完善,满足SOX的合规性;另一方面为提升企业自身的IT治理水平,信息技术一般性控制也是一种加强IT管控和有效实现IT治理的重要手段。

信息技术一般性控制理论概述

(一)COBIT框架

美国IT治理协会(IT Governance Institute)于1996年颁布的COBIT,是国际上最具权威和最通用的有关IT控制和治理框架规范;2004年该协会颁布了COBIT中与《萨班斯——奥克斯利法案》第404条款的IT内控框架。COBIT框架将内部控制视为一个包括政策、程序、实务和组织结构的支持企业完成目标的程序。因此,通过有效地应用COBIT框架可帮助企业来达到COSO的监控要求。

COBIT框架主要有三个维度IT流程、IT资源、IT信息准则。其中:IT信息准则包括质量、信用、安全;IT资源包括人员、应用系统、设施、技术、数据;IT流程包括领域、流程、活动。

COBIT给出了在不同的IT生命周期流程中(包括信息系统计划、开发、运行维护全生命周期),对不同的IT资源的关键控制点和需要达到的信息准则目标作出规定。

(二)内部审计第28号具体准则——信息系统审计

“内部审计第28号具体准则——信息系统审计2”是2009年1月由中国内部审计协会发布实施的,该准则明确规定了对组织层面信息技术控制、信息技术一般性控制及业务流程层面相关应用控制的审计。其中,第21条针对信息技术一般性控制做了明确的规定:信息技术一般性控制是指与网络、操作系统、数据库、应用系统及其相关人员有关的信息技术政策和措施,以确保信息系统持续稳定地运行,支持应用控制的有效性。信息技术一般性控制包含了信息安全管理、系统变更管理、系统开发和采购管理和系统运行管理五方面控制内容。

(三)国内企业内部控制体系建设现状

继美国SOX法案颁布之后,财政部、证监会、审计署、银监会、保监会在此前发布的《企业内部控制基本规范》基础上,于今年联合发布了《企业内部控制配套指引》。该配套指引包括18项《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》,这标志着适应我国企业实际情况、融合国际先进经验的中国企业内部控制规范体系基本建成。同时,财政部等五部门制定了实施时间表:自2011年1月1日起首先在境内外同时上市的公司施行,自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行;之后将进一步扩大到在中小板和创业板的上市公司施行。

国内电信运营商作为在境外上市的国有超大型央企,将成为遵循中国企业内部控制规范体系的首批企业。一方面,当前国内企业还未大规模开展企业内部控制制度的建设,国内电信企业作为先行者,已按美国SOX法案要求于2006年开始初步建立了信息技术内部控制制度,积累了信息技术内部控制建设的宝贵经验,可为国内其他企业内部控制制度的建设提供参考借鉴。一方面,经过2008 年的运营商重组,电信行业进入全业务运营时代,业务、流程、系统的衔接变得更加复杂,对业务流程与系统支撑的要求越来越高;随着电信行业的快速发展和竞争的加剧,国内电信运营商的运营风险在逐步加大,加之行业监管力度的加强及中国企业内部控制规范的要求,电信运营商需要在更高层次上进一步完善内部控制体系。

信息技术一般性控制框架构建

在COBIT框架和内部审计第28号具体准则——信息系统审计的理论基础上,电信行业的信息技术一般性控制实施框架主要包括对程序和数据的访问、程序变更管理、程序开发、系统运行、最终用户计算控制五部分,其所具体包含的内容如下:

程序和数据的访问控制。涉及逻辑安全和物理安全、用户账号的添加、修改及删除控制、用户账号的定期审阅、职责分工控制等。

程序变更管理控制。涉及系统变更授权、系统变更的测试校验和批准、系统变更的移植、系统配置参数变更、紧急程序变更流程等。

程序开发控制。涉及系统开发审批授权、系统开发项目管理及开发方法、系统开发测试、数据移植等。

系统运行控制。涉及系统运行及作业计划、系统备份、系统备份恢复性测试、问题管理流程等。

最终用户计算控制。涉及对影响财务报表的重要电子表格和其它用户自编程序。

根据信息技术一般性控制要求,从电信业务运营流程中梳理出对应的与财务报表相关的信息系统,由此梳理出纳入信息技术一般性控制涉及的信息系统如表1所示。

程序和数据的访问的控制要求如表2所示。

程序变更管理的控制要求如表3所示:

程序开发的控制要求如表4所示。

系统运行的控制要求如表5所示。

最终用户计算的控制要求如表6所示。

信息技术一般性控制问题及改进措施

电信实施信息技术一般性控制以来,发现的主要问题主要有政策和流程缺失、缺乏职责分工、缺少工作留痕、异地备份和恢复性测试这四个方面,本文将对这四方面存在的问题以及对于问题的改进方法进行详细阐述。

政策与流程缺失。问题主要在于信息系统维护管理的组织架构中缺少信息安全管理的岗位及职能,没有制定统一的信息安全政策、变更管理流程、信息系统开发方法与项目管理方法的政策与流程。对此,信息系统维护部门至少设立一个信息安全管理岗位,该岗位可专职或兼职,岗位工作职责应包括维护组织信息安全管理办法、负责对员工安全教育和宣贯、审阅超级用户的操作日志和系统安全日志等;建立或完善信息系统管理政策及流程,如制定统一的信息安全政策,包括网络安全、物理安全、操作系统安全、应用程序安全等方面;通过培训宣贯、监督检查等方式督促员工掌握并执行相关的信息系统管理政策和流程。

缺乏职责分工。主要出现在信息系统的维护管理缺乏有效的职责分离,个别信息系统的权限过于集中。具体存在两种情况:一是信息系统的系统管理人员同时身兼操作系统/数据库和应用系统管理员;二是各类信息系统均缺乏独立于系统管理员的日志审核人员。对此,操作系统管理员(或数据库管理员)和应用系统管理员、系统开发人员与系统维护人员、系统安全日志审核人员与系统管理员之间不能交叉兼任;在实际工作中,受到维护人员较少等客观因素的制约,可以通过交叉管理的方式解决实际的人员短缺等困难。例如有A、B两个系统 ,可以由A系统的管理员担任B系统的日志管理员,而A系统的日志管理员则由B系统的管理员担任,通过交叉审核达到要求。

缺少工作留痕。问题普遍存在日常工作中,对于所执行的操作、系统/日志的检查、定期审阅、授权、审核签字等过程中未能保留完整的书面记录。对此,应充分重视培养工作留痕、记录书面化的习惯,将此项工作纳入日常工作检查范围;公司统一使用信息技术一般性控制的文档模版,按控制要求所规定的执行频率进行填写,并保证主管/领导签字确认和统一归档备查。

异地备份和恢复性测试。由于存放环境等条件制约因素限制,大部分信息系统均未达到异地备份的要求;各类信息系统均未定期执行恢复性测试的工作。对此,介质存放的手段可以是通过DCN网、光纤传输到不同楼宇的存储服务器上,也可以利用DVD、磁带、移动硬盘等介质备份后送到异地;定期执行后保留书面记录;对于不存在测试环境的系统,可利用厂商的资源搭建测试环境,根据已确定的测试方法进行测试,并保留测试记录。

总之,本文详细介绍了电信行业的信息技术一般性控制的内容,结合实践对电信行业信息技术一般性控制的系统范围、实施框架进行了介绍,以期为电信行业不断完善信息技术一般性控制体系提供参考。

参考文献:

1.COBIT 4th Edition,the COBIT Steering Committee and the IT Governance Institute July[M],2005

2.中国内部审计协会.内部审计具体准则第28号——信息系统审计..cn,2009