韓淼

摘 要：文章以COSO整體框架理論為基礎(chǔ)，分析了國內(nèi)電信業(yè)BOSS系統(tǒng)流程中內(nèi)部控制中存在的風(fēng)險，提出了完善BOSS系統(tǒng)內(nèi)部控制的關(guān)鍵控制點及其控制措施。

關(guān)鍵詞：COSO BOSS系統(tǒng) 內(nèi)部控制

中圖分類號：F626 文獻標(biāo)識碼：A 文章編號：1674-098X（2012）12（a）-0-01

隨著國家改革的深化，國內(nèi)電信業(yè)的市場環(huán)境已漸趨合理，競爭日益加劇。電信業(yè)的如此態(tài)勢，對公眾電信企業(yè)的內(nèi)部控制運營管理，提出了嚴(yán)峻挑戰(zhàn)，要求國內(nèi)的公眾電信運營企業(yè)在經(jīng)營理念、管理模式上能有一個較高層次的飛躍，以求在電信運營業(yè)的國際化競爭中立于不敗之地。中國移動通信集團公司作為國內(nèi)最大的移動通信運營企業(yè)，近年來，為了在以客戶為中心的現(xiàn)代市場環(huán)境及日益激烈的市場競爭中處于有利地位，越來越重視企業(yè)自身的風(fēng)險管理，不斷完善企業(yè)自身的內(nèi)部控制，已經(jīng)把建設(shè)高效、科學(xué)的中國移動BOSS系統(tǒng)作為提高企業(yè)核心競爭力的重要措施。不過，目前國內(nèi)還處在BOSS建設(shè)的初級階段，中國聯(lián)通也有類似的系統(tǒng)，其他如中國網(wǎng)通、中國電信也將會有類似的系統(tǒng)。

1 該業(yè)務(wù)流程的重要性

BOSS系統(tǒng)，是電信公司重要的業(yè)務(wù)支撐系統(tǒng)。該系統(tǒng)的運行狀況在極大的程度上影響著中國電信公司的整個業(yè)務(wù)流程運營的穩(wěn)定性和公司信息數(shù)據(jù)的安全性，因此BOSS系統(tǒng)的內(nèi)部控制在中國電信企業(yè)內(nèi)部控制中占有著十分重要的地位。該系統(tǒng)的運營狀況關(guān)系到公司其他多個系統(tǒng)運營的穩(wěn)定性。如公司的計費結(jié)算和應(yīng)收賬款管理系統(tǒng)就是以BOSS系統(tǒng)提供的相關(guān)數(shù)據(jù)為基礎(chǔ)運行的，并且依靠BOSS系統(tǒng)的安全控制來保證運行的穩(wěn)定性和可靠性。因此BOSS系統(tǒng)是中國電信企業(yè)提高企業(yè)核心競爭力的關(guān)鍵環(huán)節(jié)，在公司內(nèi)部占有著十分重要的地位。

2 從COSO看BOSS系統(tǒng)流程

新COSO報告中內(nèi)部控制整體框架包括內(nèi)部環(huán)境、目標(biāo)設(shè)定、事件識別、評估風(fēng)險、應(yīng)對風(fēng)險、控制活動、信息與溝通及監(jiān)督等八項要素，它們?nèi)Q于管理層經(jīng)營企業(yè)的方式，并融入管理過程。COSO框架下的內(nèi)部控制設(shè)計，要求根據(jù)確認的內(nèi)控目標(biāo)，識別公司層面的內(nèi)外部主要風(fēng)險，通過業(yè)務(wù)流程的全面梳理，鎖定與確認的內(nèi)控目標(biāo)相關(guān)的業(yè)務(wù)流程。與控制要求進行對比分析，提出整改建議，完善和補充各項規(guī)章

制度。

BOSS系統(tǒng)所涉及的流程主要包括：用戶賬號的添加修改及刪除控制、用戶登錄認證，邏輯訪問和物理訪問的身份識別、用戶賬號的定期審閱。

3 目前BOSS流程上存在的風(fēng)險和應(yīng)達到的目標(biāo)

雖然中國移動通信集團公司越來越重視BOSS系統(tǒng)的建設(shè)，各省移動公司已經(jīng)初步建成了一個具有實時計費能力和支撐基本業(yè)務(wù)運營的BOSS系統(tǒng)，積累了不少寶貴經(jīng)驗。但是，由于公司中缺乏可遵循的信息安全管理政策，信息安全管理不規(guī)范，存在較為嚴(yán)重的信息安全隱患。該流程上比較嚴(yán)重的信息安全風(fēng)險主要表現(xiàn)為：（1）對添加、修改、刪除用戶未經(jīng)過管理層授權(quán)，導(dǎo)致對系統(tǒng)及數(shù)據(jù)未經(jīng)授權(quán)或不適當(dāng)訪問。企業(yè)應(yīng)建立相關(guān)流程規(guī)則以合理確保用戶添加、修改、刪除都經(jīng)過管理層授權(quán)，以及相關(guān)操作的準(zhǔn)確性和及時性。（2）調(diào)動和離職員工賬號未及時在系統(tǒng)中刪除，導(dǎo)致對系統(tǒng)及數(shù)據(jù)的不適當(dāng)訪問。應(yīng)加強對調(diào)動和離職員工的管理，以排除非法或不適當(dāng)?shù)膶ο到y(tǒng)或數(shù)據(jù)進行訪問而帶來的風(fēng)險。（3）缺乏必要的物理訪問及邏輯訪問管理機制，對系統(tǒng)或數(shù)據(jù)非法和不適當(dāng)?shù)脑L問不能被及時發(fā)現(xiàn)，導(dǎo)致對信息資源的未經(jīng)授權(quán)的訪問，非法修改系統(tǒng)數(shù)據(jù)。對此公司信息技術(shù)資源的物理訪問及邏輯訪問應(yīng)建立起通過用戶身份的識別、認證及授權(quán)的管理機制，以降低由于對系統(tǒng)及數(shù)據(jù)的未經(jīng)授權(quán)的訪問所帶來的風(fēng)險。（4）系統(tǒng)的權(quán)限分配與業(yè)務(wù)部門授權(quán)確定的職責(zé)分工要求不符。應(yīng)確保在關(guān)鍵流程中存在適當(dāng)?shù)穆氊?zé)分工和相互牽制。

4 依據(jù)COSO增強BOSS流程關(guān)鍵控制點的內(nèi)部控制以防范風(fēng)險

BOSS流程上目前存在風(fēng)險的原因，主要在于職責(zé)分工和作業(yè)授權(quán)兩個方面。根據(jù)COSO框架，加強內(nèi)部控制應(yīng)遵循職責(zé)分工的相互牽制原則和作業(yè)任務(wù)的授權(quán)控制原則。由此，在中國移動的BOSS系統(tǒng)中應(yīng)注意加強對以下關(guān)鍵控制點的控制。

4.1 加強對員工的職責(zé)分工與授權(quán)批準(zhǔn)控制

（1）對員工的職責(zé)分工，創(chuàng)立新用戶角色或?qū)τ脩艚M及用戶角色定義進行修改時，應(yīng)遵循相互牽制原則，考慮不相容職責(zé)分工，由業(yè)務(wù)部門主管（或授權(quán)人員）對員工角色的權(quán)限設(shè)定進行審閱并簽字確認，以合理確保員工在系統(tǒng)中的權(quán)限與其職責(zé)相符。（2）對員工的授權(quán)審批，對應(yīng)用系統(tǒng)層超級用戶賬戶的建立應(yīng)根據(jù)用戶工作職責(zé)，僅限于經(jīng)授權(quán)的系統(tǒng)管理人員。應(yīng)用系統(tǒng)管理員賬號的建立由業(yè)務(wù)部門主管及信息技術(shù)部門主管書面審批；對操作系統(tǒng)級、數(shù)據(jù)庫層超級用戶賬號的使用應(yīng)僅限于經(jīng)授權(quán)的系統(tǒng)管理人員，例如，根用戶，系統(tǒng)管理員，安全管理員賬號，批處理用戶賬號，數(shù)據(jù)庫管理員等。

4.2 增加職工離職收權(quán)控制

在職工工作調(diào)動或離職時，人力資源部應(yīng)及時以郵件、公文、員工離職單等形式正式書面通知信息系統(tǒng)管理部門，然后，由負責(zé)應(yīng)用系統(tǒng)管理員盡快取消其相應(yīng)的訪問權(quán)限。

4.3 增加審核結(jié)果的核對控制

應(yīng)將由計費賬務(wù)部門“每半年以及業(yè)務(wù)流程發(fā)生重大變更時，組織的對BOSS系統(tǒng)普通用戶賬號的檢查結(jié)果”與對應(yīng)的“每月由安全管理員負責(zé)對BOSS系統(tǒng)日志進行審核”的結(jié)果進行核對，發(fā)現(xiàn)存在的差異和雙方中一方遺漏的問題，做到及時發(fā)現(xiàn)及時處理。并將核對結(jié)果簽字確認后書面上報管理層，增加管理層監(jiān)督，增強穩(wěn)健性。

4.4 增加管理層審核控制

各部門及地市分公司工號管理員負責(zé)定期打印本部門或分公司的BOSS系統(tǒng)普通用戶清單，并審閱是否存在多余或不恰當(dāng)?shù)馁~號，簽字確認后將審閱結(jié)果報計費賬務(wù)部門。各部門工號管理員或授權(quán)人員應(yīng)對BOSS系統(tǒng)普通用戶的清單每半年進行復(fù)核簽字確認，如發(fā)現(xiàn)多余或不恰當(dāng)?shù)馁~號應(yīng)進行及時調(diào)整。每隔半年以及業(yè)務(wù)流程發(fā)生重大變更時，由計費賬務(wù)部門打印BOSS系統(tǒng)用戶的訪問權(quán)限清單，并交由相關(guān)業(yè)務(wù)部門主管，對用戶的權(quán)限進行審閱簽字，以合理確保用戶在系統(tǒng)中的權(quán)限與其職責(zé)相符。如發(fā)現(xiàn)不相容權(quán)責(zé)，應(yīng)及時通知所在部門工號管理員，對用戶的權(quán)限進行調(diào)整?？傊槍τ谀壳爸袊娦艠I(yè)BOSS系統(tǒng)存在的問題，應(yīng)遵循相互牽制原則和授權(quán)控制原則，從職責(zé)分工、授權(quán)批準(zhǔn)入手，對流程的關(guān)鍵控制點制定科學(xué)的內(nèi)部控制管理規(guī)則，增強整個BOSS流程的控制管理，降低流程風(fēng)險、提高運營效率，提升公司的整體競爭力。

參考文獻

[1] 王立彥.滿足SOX404不是內(nèi)部控制最根本的目標(biāo)[J].新理財，2007（6）.

[2] 羅伯特·莫勒爾.布林克現(xiàn)代內(nèi)部審計學(xué)[M].中國時代經(jīng)濟出版社，2005（8）.

[3] 金彧昉，李若山，徐明磊.COSO報告下的內(nèi)部控制新發(fā)展—從中航油事件看企業(yè)風(fēng)險管理[J].會計研究，2005（2）.