兖州煤业股份有限公司（简称兖州煤业）于1998年分别在香港、纽约、上海三地上市，是由兖矿集团有限公司控股、拥有15个直属业务单位和10个子公司的境内外同时上市的公司。为了防范经营风险，提升企业管理水平，自2005年起公司开始全面启动内部控制体系建设。在内部控制体系建设过程中，公司高度重视信息系统在内部控制中发挥的作用，根据内部控制的要求，结合组织架构、业务范围、技术能力等因素，整合了ERP信息系统、OA办公自动化系统、全面风险管理系统、安全管理系统、调度管理系统、计划统计信息系统、机电管理系统、人资管理信息系统、供应商管理系统等信息管理平台，梳理了信息系统业务流程并明确了控制目标及风险点，健全了信息系统内部控制制度，为公司基于风险管理的内部控制体系建设提供了有力的保障。

一、建立专门的信息化管理组织机构

公司总部设置了专门的信息系统管理部门——信息管理部，主要负责以下工作：从公司整体层面提出信息化发展规划和建设的建议；对总部及下属业务单位信息化安全和信息技术创新等项目的实施、运营成果推广和风险控制评估；对公司信息资源的积累、协调和支配；提高公司全员职工对信息化的认知度和理解力等。

信息管理部采用授权分散化界定各岗位职责。在部门访谈、调查问卷的基础上，首先明确公司总部以及下属业务单位信息系统管理的每一个风险控制点；其次进一步明确部门信息化管理的关键任务；再次按照不相容职务相互分离的原则在职能分工上进行合理划分，借以对信息系统风险建立预防性控制，并在此基础上形成《信息管理部岗位职责表》等文件。

二、制定企业信息系统总体控制策略

在现代企业管理中，信息能力已经成为影响企业经济效益的关键因素之一。公司根据发展的总体战略和业务发展方向，以提高信息能力、有效发挥信息技术优势作为信息化建设的重点，将信息化内部控制上升到企业战略高度。

1.明确信息化治理目标

公司将总部各职能部门及下属各业务单位的信息系统控制均纳入信息管理部统一管理，主要控制范围涵盖业务范围、外购或自行开发、操作系统、数据库、版本号、服务器所在地等。公司的信息化治理由首席运营官（以下简称CIO）负责，CIO对总经理负责，确保信息系统能够支持和扩展公司的发展战略和目标。通过信息化与公司治理、全面风险管理相结合，合理利用信息化资源，管理信息技术相关风险，推动业务发展，保持信息化与业务目标、战略目标的一致。

2.制定信息化战略规划及年度规划

依据公司未来五年的生产经营发展规划并结合信息化技术发展方向，信息管理部会同各业务部门制定信息化五年发展规划，并由部门领导向总经理、董事会逐级汇报，由董事会会议审阅通过后制定发布。考虑到公司外部环境因素的变化对公司信息化发展方向的影响，长期发展规划会随外部环境因素的变化进行及时修订和调整。

信息管理部依据信息化五年发展规划，结合公司每年度实际业务以及年度最新的信息化技术发展动态，制定年度信息化规划，包括现有信息系统进行评估、新系统实施的可行性方案、信息化人力资源安排、其他资源的调配、时间进度安排等内容。

3.建立顺畅的信息沟通渠道

公司管理层负责制定信息政策和信息标准，由信息管理部通过政策手册、公司网站、电子邮件、信息公告板等一系列信息发布平台及时进行发布。同时，利用内部网站、电子邮箱、热线电话等沟通渠道及时收集各类反馈意见，并汇总上报公司管理层，从而对信息政策和标准进行不断的完善和更新。为保证公司信息沟通渠道的畅通，信息管理部在重要政策发布、新系统实施、系统发生变更时，负责制定培训计划对最终用户进行培训并记录，同时对培训结果进行考核和评估。

4.建立多层次、考评结合的内部控制监督机制

公司建立了多层次的信息系统内部控制监督机制。第一层：信息管理部结合信息化业务日常管理活动，每月对信息系统运行、安全等方面进行专项评估，及时将发现的问题进行汇总，并提出改进的措施。第二层：公司内部审计部门采用会议讨论、问卷调查、人员访谈、实地考察、抽样调查等方式对所有与公司财务信息有关的信息系统进行一次专题审计。审计部门提出相应的整改意见并提交公司总经理批准后，上报公司审计委员会。第三层：中介机构结合上市公司财务报表审计，每年对包括信息系统的内部控制的适当性、有效性以及经营活动、财务收支的真实性、合法性和效益性进行监督和评价，并将评价结果中存在的重大缺陷与公司高管层进行沟通。信息管理部根据上述监督中提出的整改意见在规定的时间内进行整改，并由审计部对整改情况进行追踪和评估。

此外，根据公司信息系统管理的需求，依据信息系统内部控制评价的结果，重点对总部和下属各业务单位ERP系统的运行管理制定了详尽的内部控制标准，并通过量化评价考核指标进行考核。根据各业务单位系统运行的复杂程度给予一定的系数，最终计算综合得分并确定优秀、优良、合格、不合格四个等级，同时依据考核结果进行奖惩。

三、基于信息系统风险开展内部控制活动

1.对信息系统进行风险评估，确定风险类别

信息系统内部控制的重要目标之一是有效防范和化解信息系统风险。兖州煤业风险管理部门定期通过会议讨论、文档复查、实地考察、调查问卷等方式对全公司范围内的信息系统运行状况、系统的安全性、信息技术的使用等方面存在的风险进行评估，风险评估模型见图1。

根据公司风险现状，兖州煤业将信息系统风险确定为技术风险和管理风险两类。技术风险来自于缺乏对信息系统高效集成所带来的员工灵活处理、提高效率的控制；管理风险则来自于对业务流程管理以及重组的失控。

2.确定风险的等级及威胁影响，明确风险管理要求采取的行动

风险管理部根据风险等级矩阵定义信息系统的风险等级，并通过量化指标进行风险确定，同时提出下一步进行风险管理的要求。对于特定的威胁或弱点的风险确定，通过函数计算确定，其中，为信息系统第个威胁（或弱点）产生的风险；为第个威胁（或弱点）发生的概率；

为第个威胁（或弱点）发生所产生的影响。信息系统的风险等级、衡量标准及对风险管理提出的要求见表1。

3.制定信息系统内部控制的具体措施

公司制定了《兖州煤业股份有限公司信息系统管理条例》、《兖州煤业股份有限公司计算机设备管理办法》、《兖州煤业股份有限公司信息系统开发管理规范》、《兖州煤业股份有限公司信息系统故障应急管理办法》、《兖州煤业股份有限公司信息反馈制度》等一系列文件，以规范信息系统运行和管理行为。

结合信息系统风险评估结果，公司将安全管理和系统日常运行作为关键风险区域进行控制。针对每一关键风险控制点，明确了控制目标，绘制业务控制流程图并设计了文档记录。以不相容职务相互分离和满足业务需求为原则，确保每一业务流程由不同岗位和权限的人员负责，对于每一环节都要求相关人员对申请、批准、执行、检查做详细记录。

在重点进行风险防范的安全管理领域，公司统一制定了安全管理政策：将网络安全管理通过协议委托集团信息中心全面负责，其余作为公司层面信息风险管控的重点。在操作系统安全管理中，明确规定每个用户的级别、身份识别标识和权限；非系统人员登录服务器必须填写《账号维护申请单》，经批准后方可进行；拥有操作系统账号的人员调离岗位时，需填写《账号维护申请单》报批后删除该员工账号；对各位系统操作员启用操作系统日志功能，对系统启动、系统账户登录、账号管理、权限使用事件、系统性能等重要事项进行实时监控。系统管理员每日填写《日志检查列表》签字确认后，由部门主管复核并签字。

四、启示

1.信息系统内部控制建设的理念在逐步改变

我国企业在信息系统建设过程中，普遍存在信息系统建设目标错位的问题：即重技术、轻管理，风险管理与安全管理缺位、信息化战略与组织战略脱节，这使得信息系统在企业管理和内部控制中的作用难以充分发挥。兖州煤业在信息系统内部控制建设过程中，将信息化建设与风险管理、公司治理相结合，充分显示了我国企业在信息技术管理中正逐渐走出重技术、轻管理的误区，将信息技术与企业管理高度融合，使得信息系统内部控制成为企业战略目标实现的重要保障。

2.建立有效的内部控制监督机制是提高内部控制执行力的有力保障

内部控制监督是内部控制建设的重要环节，是持续改进内部控制缺陷的必要手段。随着煤炭企业信息系统内部控制体系的逐步完善，信息系统的运行风险逐渐成为管理层关注的焦点。内部控制的执行有效性需要良好的执行力来保证。兖州煤业对信息系统内部控制的内部职能部门日常监督、内部审计监督和外部独立审计监督构成了多层次的监督体系，为内部控制目标的实现提供了有力的保障。在此基础上建立的奖惩机制，有效地激励了员工遵循内部控制标准，进一步确保了内部控制措施得以贯彻执行。

3.信息系统风险管理与内部控制融合是未来发展的趋势

随着煤炭企业各种风险的日益加剧，对风险的防范成为公司高层关注的重点。COSO委员会在《企业风险管理——整合框架》中将组织目标、影响目标实现的事件、风险和机会、风险反应等要素纳入了内部控制视野，风险管理和内部控制融为一体。信息系统内部控制的动力来自对信息系统各种风险的认识和管理，风险管理的目标是及时发现系统自身和管理过程中的风险并加以防范，通过及时采取有效措施将风险给企业带来的损失降到最低程度。内部控制正是对企业经营管理活动中可能引发风险的关键控制点进行关注，并采取一定的措施对关键控制点开展必要的控制活动。兖州煤业的经验告诉大家，只有将风险管理与内部控制融合，才能真正发挥内部控制的长效机制。■

（本文系山东省社会科学规划会计专项“企业内部控制体系评价研究——基于大型煤炭企业集团视角”＜项目批准号：11CKJJ15＞阶段性研究成果）

责任编辑 刘黎静