企业内部控制规范把上市公司的内部控制建设情况纳入上市公司日常监管的范围，这意味着公司透明度的信息披露范围扩大到了企业的内部控制。我国几大通信运营商多已成为上市公司，构建IT内部控制体系是提高公司信息透明度的必由之路。本文从提高公司信息透明度的视角入手，借鉴我国通信运营企业的经验，谈谈如何构建支持业务战略和业务流程的IT内部控制体系。

一、通信运营企业构建IT内部控制体系的思路

电信企业本身对信息系统的依赖程度较高，IT系统几乎覆盖了企业的所有运营行为，也就是说，绝大部分经营是由IT承载的，内部控制较大程度上是嵌入到IT系统中的。因此，无论是从内部管理的需要出发，还是从满足外部监管要求的角度着想，都需要全面、系统地建设IT内部控制体系。通信运营企业在构建IT内部控制系统时需要解决如下关键问题：一是内部IT人才与内部控制人才的信息不对称问题；二是流程管理与专业分工之间缺乏适度整合；三是缺乏风险预警机制；四是评价机制不够健全。基于以上问题，笔者认为，通信运营企业在构建IT内部控制体系时，应遵循以下两大思路：

（一）从横向维度上，正确处理业务流程、IT服务与IT技术的关系，整合内部控制体系

从本质上、抽象层次上来讲，IT服务位于业务流程和IT技术之间。从我国通信运营企业的经验来看，如果过分强调IT技术的先行，忽视流程本身存在的问题而盲目实施ERP，往往会导致整个系统更加无序和无效。笔者认为，在此方面可以借鉴中国联通的经验。中国联通在改进内部控制体系的过程中，通过与ERP、CRM等专业系统的连接，在以财务控制为核心的传统内部控制结构基础上建立了一个完整贯穿前端业务受理、后台服务支撑、财务控制等管理环节的内部控制规范体系。该体系注重客户服务投诉、诉讼纠纷等非正常、偶然发生但却会带来异常风险的业务流程和事件，借助于IT技术与IT服务，积极扩宽风险评估的信息收集与识别渠道，依靠IT内部控制流程降低了企业运营中的相关风险，进而实现面向风险、突出重点，优化流程、简化形式，全面覆盖、关注重点的内部控制整合体系。

（二）从纵向维度上，建立基于PDCA循环的识别、分析和解决问题的持续化、系统化解决方案

PDCA循环又叫质量环，是全面质量管理（TQM）所应遵循的科学程序，被广泛应用于持续改善产品质量的过程中。笔者认为，要持续改进内部控制体系，也可按照P（Plan，计划）、D（Do，执行）、C（Check，检查）、A（Act，行动）的顺序进行，并且不断循环下去。具体做法是：

第一，提出内部控制的目标。虽然我国的内部控制规范已经指出了普适的内部控制目标，但是每个企业在建设与完善IT内部控制体系时，必须结合自身情况提出切合实际的目标。以电信服务行业为例，必须围绕客户进行全生命周期管理，据此提出IT内部控制目标，以形成IT内部控制执行的核心推动力。由于电信服务行业的业务流程从客户购买电信产品开始，一直持续到客户不再使用电信服务为止，只要客户接受服务并进入企业业务流程，企业就与客户有不断交互的过程，因此，内部控制目标应从客户出发。第二，建立和实施内部控制体系。借助IT系统，可以把内部控制系统与管理系统合二为一，形成有效的沟通机制，并通过流程控制和表单控制，实现动态实时控制。第三，完善对内部控制的审计。内部控制审计作为综合性事后监督的手段，是促使企业在内部控制这个维度形成PDCA循环的重要一环。作为通信运营企业来说，对内部控制的审计重点应在基础设施层面按照离散的关键控制点展开，比如，在财务报表生成的批处理程序中，需要对报表的结果进行完整性控制，还要考虑与计费等相关通讯设备的控制。第四，强化应对措施的实施及标准化，防止风险再次发生。

二、IT内部控制体系的构成

在复合性人才较匮乏的约束条件下，内部IT人才和内部控制必须建立有效的沟通与合作，利用统一的风险控制规范来定义和建立IT内部控制平台，以解决IT内部控制系统的内部知识共享和信息不对称问题。笔者认为，基于IT的内部控制体系应由以下四个部分组成：

（一）内部控制制度的知识管理平台

内部控制制度的知识管理平台是实现内部控制常态化管理的重要保障。有效的做法是将内部控制手册电子化，做到规范普及，以解决内部的学习和知识积累、知识转移问题。根据管理原则，针对一个管理对象，如果无法描述，就无法度量，继而无法管理。因此，首先要对流程、业务规则、管理控制点进行梳理并加以描述。通信运营企业的一般做法是：建立基于完整的企业运作业务框架的流程体系，在此基础上建立对流程的管理控制体系，并做到文档化和电子化。在文档化的过程中，要保证控制的细致程度与描述的细致程度一致。如果无法细致描述，则无法做到控制，正如同测量仪器的精度决定了测量的精度级别一样。而内部控制手册直接体现在内部控制系统中的控制矩阵，即通过流程把规章制度中的相关控制要求放在流程中进行关联和链接，从而能够支持按岗位、按流程的控制要求进行检索。企业员工通过内部控制的知识管理平台既能完成对岗位职责及其相关制度的学习，又能参与动态更新内部控制手册的内容。

（二）将内部控制与风险管控信息融入到流程制定之中

基于PDCA循环的持续改进体系，要求企业在进行流程管理的流程节点设计时，分析、识别重点流程的风险点，将内部控制与风险管控信息融入到流程制定之中，这一步的重要目的是将风险管控信息融入到业务流程上去，以加强风险的提示、管控和预警。通过对风险进行识别、评估、量化、监测（包括审计）、报告和制定主动应对各种风险的方法，在业务流程和管理流程中形成自我调整、约束、规划、评价和控制的一系列方法和措施。

一般而言，将流程内审点嵌入流程建模中之后，还需要建立流程审核、流程测试等相关流程。譬如，针对费用报销流程，还要列出审核点和审核要求。这就需要在审核费用报销流程时，有一个控制程序来说明收集了哪些信息，发现了哪些问题，记录这些问题从发现到结束过程的处理。

（三）将企业内部控制规范与日常业务运作系统结合，并实现实时监控

IT内部控制体系的建立与完善是内部控制规范及其配套指引贯彻实施的必要支持。为了识别、评估和控制IT风险，IT控制评价需要借助于流程评估，包括核心流程评估和支持流程评估。通过核心流程评估，首先可展开对公司业务网络的分析，解决为服务客户、管理与关键股东的关系以及持续推出产品和服务创新的核心流程。然后检查端到端的支持流程是否促进了卓有成效的运营，各个层次的员工和合作伙伴是否获得了协调和控制端到端流程所需要的信息。由于流程在运行过程中数据量巨大，因此，需要建立和ERP、CRM等专业系统的连接，以保持对业务活动（风险）的实时监控。借助IT内部控制信息系统，各个业务单位不仅可以把本单位的内部控制信息，包括风险、评价、控制信息等记录下来，而且可以不断地对其进行评价、改进和完善，还可以通过内部控制的流程控制和表单控制，实现对企业ERP系统、OA系统、人力资源管理系统、生产调度系统的动态实时控制。

（四）构建报表系统和信息传送基础设施

从信息战略的角度来提高公司信息透明度，不仅是监管的要求，也是业务发展的需要。构建有效的报表系统和搭建信息传送基础设施是报表生成和得到及时报送的重要保证。在企业内部控制规范与日常业务运作系统结合的基础上，业务活动得到了及时监控。在集成业务活动监控的基础上，可以形成报表体系。为了对报表的结果进行完整性控制，信息系统一般控制关注程序的正确编码、测试和执行的正确完成，应用控制关注以凭证或者日记账等为依据对结果进行复核。一般控制对所有应用控制提供支持并产生间接影响。与此同时，还要让完整生成的报表以及产生的异常信息在合适的时间提供给合适的人。中国电信的做法是针对业务流程设置控制点责任分解表、控制点与科目认定对应关系表，以保证在IT环境下业务活动与报表信息的动态关系，提高报表及其他信息的透明度。■

责任编辑 刘黎静