中国联通信息化环境下的内部控制体系建设
2013-11-01作者冯宁胡颖峰
作者 | 冯宁 胡颖峰
所谓内部控制,是指各级管理部门在本单位、本部门内部因分工而产生的相互制约、相互联系的基础上,采取一系列具有控制作用的方法、措施和程序,并即时以规范化、系统化、制度化,由此所形成的一整套严密的控制机制,也称为内部控制体系。
中国联通作为国内首批通过美国《萨班斯法案》404条款的企业,在一系列重组、融合中不断进行业务的整合、流程的再造及系统的建设,在内控体系搭建过程中积累了很多的经验与教训。
以信息系统建设为契机重建内部控制体系
中国联通在多年来的内控控制体系建设中取得了许多经验,也遇到了很多问题。究其原因,在于内控制度与业务运营结合不够紧密,这也是绝大多数实施了信息化管理企业的通病,包括缺少事前、事中的监控手段,较多地依靠事后的抽样核查;缺少IT管理系统的有效支撑,更多地依赖个人主观意识;内部控制体系没有很好的融入在现有IT管理系统中;业务的运营由信息系统承载,分散化的系统难以高效承载业务管理,内部控制体系建设与业务系统的规划相对独立,内控制度很难与信息系统紧密融合等。
由于内控规则无法通过系统固化,导致业务处理不连贯、信息质量不稳定,这种情况不止影响了内控的效果,也影响了公司运营的效率。
同时,在搭建内控控制体系中,内控管控范围、管控精细度的问题非常关键,“管全、管细”公司业务会死,“管不全、管不细”公司业务会乱。
中国联通以集团信息化系统建设为契机,重新搭建定位内部控制体系,明确了内控体系搭建的各类原则,全面梳理业务流程,将内部控制体系的建设完全融入了信息化的整体框架之中。
将内控要求固化于业务模型
COSO是美国上市公司内部控制框架的参照性标准,也是当前最完善与严格的控制标准,它设定了内部控制的五项要素。中国联通从COSO出发,对自身业务进行重新梳理,进而制定出符合COSO标准的业务模型,包括制度、流程、规则与数据,并通过系统固化于业务处理之中。
其中,制度,即从集团层面统一各环节中的职责分工、岗位说明、行动准则、操作规范,最终形成企业制度并将其固化在系统各操作环节中;流程,即基于公司运营模式与业务蓝图,由集团制定标准化业务处理流程,统一设计流程必经环节及控制点;规则,即主要针对流程和操作的控制性规则,对业务执行的效率与效果进行实时监控;数据,即对于各个流程环节产生业务信息,由集团层面整体掌控,通过必选项设置、列表值方式等在系统中固化,各下级公司则有一定调整权限。
围绕三大目标搭建内控模型
中国联通以集团一级架构平台为基础,串联承载业务管理的众多专业系统,围绕内部控制三大目标,搭建起中国联通的内部控制方法。
目标一:财务核算一条线,确保财务报告的真实可信。
确保财务核算与报告真实可信是内控核心目标之一,中国联通借助业务财务一体化管理平台,使财务得以还原业务面貌。首先,财务部门不再是信息孤岛,可利用财务系统与前端业务系统的全面集成,实时获得第一手信息,彻底打破了部门间的隔阂。同时,通过系统内固化的“财务管理规则引擎”统一业务语言与财务语言,为内控规则的落实奠定基础。在此基础之上,内控规则得以内嵌于业务过程中,财务结果可依据业务信息同时自动“翻译”生成,避免了人为干预。
中国联通的“业务财务一体化”已经不仅是从业务到财务的单向翻译,而是业务财务的双向闭环。一方面,将业务过程实时、自动的翻译为财务结果,避免了人为干预,同时实现会计核算的自动化,提高核算效率;另一方面,通过将财务规则内嵌在前端业务流程中,使业务与财务的沟通更加顺畅,“翻译”得更加高效。
目标二:合同管理一条线,防范企业经营风险的核心所在。
合同贯穿于企业经营活动全过程,企业的经营活动过程实质是合同履约过程,因此实现对合同全生命周期的管控,是防范企业经营风险的核心所在。中国联通的业务流程以合同履约过程为主线,从三个维度对经营过程的风险进行防范控制。
履约监控,即通过利用合同履约主线贯穿公司各专业业务处理环节,整体布局风险监控点,实现防范业务执行中潜在风险的发生。在进行顶层设计阶段,中国联通让内控专业人员参与到“流程”设计中,识别内控风险点,通过将控制点固化到系统中,变“被动防范”为“主动防范”,实现业务事项管理和风险控制的集成。同时,通过横向贯穿、事务之间相互检查和校验,使得每一个专业应用系统在建设中都具备专业领域内的风险控制能力,包括风险控制规则的定义、风险的识别、风险的事前、事中和事后控制等。
资金控制,即强化资金管理的控制力度,建立收款控制、付款控制以及资金核算,全面监控资金风险。“资金管理”是集团型企业管理公司的重要手段,也是企业控制财务风险的最后一关。借助一级架构的IT系统,中国联通将资金控制风险规则和公司资金管理思想融入业务流程中,通过统一付款控制和统一收款管理降低资金风险。
权限控制,即从组织制度层面进行岗位职责的权限互斥,建立授权审批等制度,利用系统实现不同维度的自动授权与层级审批制度,最大程度上降低人为风险。同时,加强对个人行为的控制,一方面,在组织制度层面建立流程岗位间权限互斥,基于对角色(岗位)与权限对应关系,进行权限不兼容、依赖关系的梳理,通过建立申请系统与各子系统接口,实现自动配置子系统权限;另一方面,梳理授权体系,使各系统在统一工作流规范的基础上实现按金额、业务类型等不同维度的自动授权功能,并固化至信息化系统中。
目标三:经营目标一条线,对业务经营实现全面监控。
中国联通运用了全面预算管理方法,贯穿业务处理流程,监控业务经营效率。传统的预算控制手段由于受系统和管理条件所限,往往控制滞后,中国联通的信息化系统,通过构建“合同管理一条线”、“财务管理一条线”,将整个企业端到端的经营过程进行了整合,“预算管理”贯穿于中国联通整个端到端业务处理流程之中,真正实现了预算的事前、事中、事后的全过程控制。
内控体系促进管理转型
中国联通依据“顶层设计”的制度、流程、数据,决定建立以资金流、物流和风险为轴心,兼顾管全与管细的信息化系统架构。
中国联通规划建设以资金流为核心的ERP系统和以风险控制为核心的合同管理系统,其中,核心ERP完成资金流、物流的管理,合同完成企业风险控制;同时,围绕这两个轴心,中国联通还规划建设承担专业管理能力的各类系统。其最终目标是实现管全管细分开、管全不管细、管细不管全、专业系统更专业、管全系统更轻量的支撑系统格局。
目前,在一级信息平台上建立的内部控制体系包含了四大类要素:宏观层面的人为要素和信息化要素、微观层面的人为要素和信息化要素。对这些要素的把控促进了内部控制工作的转型。
转变一:控制对象可分为“个人行为风险”与“IT风险”。
这种转变主要是由于企业大部分风险可通过信息化系统实现固化,因此针对这类风险的控制,就转变为对信息化系统配置风险的控制;另外,也是因为个人行为风险无法固化,仍需加以防范,如决策失误、操作错误、联合欺诈等。
转变二:控制重点由微观层面向宏观层面转变。
正是因为大部分风险已由信息化系统自动实现控制与防范,因此管理层的工作重点可转移至内控规则优化、运营效率提升以及内控环境的改善等。