中國移動內控IT固化

劉愛潔　中國移動通信集團設計院有限公司網絡所教授級高工李岳夢　中國移動通信集團設計院有限公司網絡所工程師胡　泊　中國移動通信集團設計院有限公司網絡所工程師

中國移動內控IT固化

劉愛潔中國移動通信集團設計院有限公司網絡所教授級高工
李岳夢中國移動通信集團設計院有限公司網絡所工程師
胡泊中國移動通信集團設計院有限公司網絡所工程師

近年來為了順應國家及各級監管機構對于企業內部控制工作的要求，內控IT固化實施成為中國移動落實內控執行落地和常態化工作的必要手段。本文結合中國移動運營現狀對內控IT固化的概念、意義、實施原則、實現模式、方案建議和未來發展思路進行詳述和分析，以中國移動內控內審管理平臺系統實現內控IT固化作為實例以期為其他系統實現固化提供有效的參考。

內部控制；內部控制手冊；內控固化；內控IT固化

1　引言

近年來，國家及各省監管機構高度重視內控工作，要求各企業從制度上明確企業內部控制工作的具體要求。包含中國移動在內的很多企業均已制定了《內部控制手冊》和《內部控制矩陣》，并陸續建設了企業內控管理系統。目前，中國移動內控工作信息化、規范化建設已經初具成效，但在具體執行層面，人工操作和手工記錄的比例仍然較高，人為差錯率較高且不能避免人為舞弊行為發生。

2012年國資委下發了《關于加快構建中央企業內部控制體系有關事項的通知》，要求中央企業“推進內部控制體系建設同信息化建設的融合對接，結合企業信息化建設進程，將業務流程和控制措施逐步固化到信息系統，實現在線運行”。為進一步落實內控執行落地和常態化工作，將內控要求固化嵌入至IT系統，并在系統中標準化運行，有必要盡快開展企業內控IT固化的研究和落地實施。

內控IT固化目標是通過IT信息化的手段，強化關鍵控制點的落地執行，減少人為判斷因素，減少人為差錯或舞弊，并能夠以IT信息化的方式保留關鍵控制點的執行痕跡，強化內控工作的智能化和標準化，進一步提高內控工作的常態化管理水平。

2　內控IT固化概念

內控固化是指通過一定的方式將控制要求固化在日常的制度、工作流程或IT系統中，以減少人為差錯或舞弊，是內控風險管理工作常態化中的一項重要內容，從整體上來看，內控固化包括制度固化、流程固化和IT系統固化三類。其中，制度和流程固化主要是通過出臺一系列管理辦法，梳理內控流程，編制內控矩陣手冊等方式實現。

內控IT固化是指通過IT技術，將內控手冊和矩陣的控制要求，在相關業務系統和管理系統中予以固化和預警提醒，以規范內控的執行和落實。

3　內控IT固化技術演進

內控制度與信息系統的結合不斷推進的過程中，使控制點固化成為IT系統建設的基礎需求和必備功能，從而進一步提升了企業風險管控的水平。建議從以下3個方面推進：

（1）由操作層面固化向監控層面固化深入

在實現控制點的內控IT固化后，內控IT固化的重心轉移到對固化后相關控制措施的監控上。通過在相關系統中植入某些監控模型的方式，在持續監控內控執行結果數據的基礎上，同時監控和記錄內控執行的過程，實現對相關風險的實時監控和提前預警。

（2）由階段性檢查向持續性報告提升

隨著內控IT固化程度的提高，內控檢查將不再以中期和年度檢查為重點，而是向日常性、持續性的監督檢查過渡，并對不同流程、領域進行對比和量化分析，促進內控和風險管理工作的整體提升。

（3）由系統改造實現向系統規劃驅動演進

隨著信息系統對內控IT固化支撐的不斷完善，未來應在相關系統的建設規劃中充分考慮內控IT固化的要求，以確保內控IT固化工作的持續推進。

4　內控IT固化實施方案

4.1內控IT固化實施必要性

內控IT固化既有助于加強控制點的落地執行，提升控制的效率和效果，也有助于配合內控工作的開展，減輕內控測試工作量。在內控流程設計日益完善，內控工作日趨成熟的基礎上，將內控工作以IT信息化的方式進行固化，能夠更加有效地推動內控工作的順利開展，提高內控管理工作的效率。同時，隨著IT系統固化工作的深入開展，各業務流程和管理流程與信息系統的結合更加密切，從而進一步推動了內控管理工作的優化和更新。

隨著IT系統固化工作的不斷開展，控制點將逐步地通過系統方式得以執行，內控的如此固化方式能夠更好地配合內控工作的開展。一方面，通過功能自動化方式實現固化的控制點，在內控過程中可以主要通過現場觀察系統功能的方法進行測試，而不需要再進行樣本的抽取；另一方面，針對通過流程電子化和任務提請化實現固化的控制點，相關系統能夠自動記錄控制點執行的過程和結果，更有助于我們在日常工作中以系統的方式保留控制點的執行痕跡，大大減輕了配合內控工作中的準備樣本的工作量。

4.2內控IT固化的原則

內控IT固化實施的基本原則是注重實效、循序漸進。針對已建立完善內控管理制度的上市公司范圍內的單位，均應開展內控IT固化工作，在基本完成可固化控制點的固化工作之后，再將內控IT固化工作的范圍逐步擴展到其他所屬單位。

內控IT固化工作宜與新建IT系統或現有IT系統的升級改造統籌開展。企業在新建IT系統或系統改造時，可將有關內控IT固化要求一并納入新建系統或升級改造系統的規劃設計和功能需求中。

在內控IT固化啟動初期，應主要選取內控矩陣中發生頻率較高、通過改造單系統可實現的控制點入手，采取系統自動控制與人工操作相結合的方式實現固化。隨著固化工作的推進和系統的優化，逐步采用系統自動控制的方式，并通過多系統的聯動，覆蓋所有可固化的控制點。

4.3內控IT固化實現模式

針對當前內控矩陣中關鍵控制點的控制類型（包括授權及審批、核對、管理層審閱、系統控制、系統訪問權限、職責分工和例外情況報告7類），同時考慮不同控制類型的控制點在實際操作中的業務屬性以及系統功能和人工操作的結合方式，可將內控固化歸納成功能自動化（機器人模式）、流程電子化（流水線模式）、任務提請化（鬧鐘模式）3種實現模式。對這3種實現模式的詳細說明如下：

（1）功能自動化（機器人模式）主要指將某些關鍵控制點交由BOSS、ERP等IT系統的功能強制自動執行，通過IT系統本身自有的系統功能或配置自動實現某些控制。具體可分為主動實現方式和被動干預方式，其中，主動實現方式是指IT系統通過系統配置、批處理等方式自動執行的系統作業；被動干預方式是指當某些業務行為/方式不符合內控管理要求時，IT系統通過系統方式干預/阻止交易/行為的完成。

該固化模式主要側重于減少人為操作的差錯或舞弊，提高控制點執行效率。在技術上，通常可采用參數配置實現和底層腳本實現兩種手段。

例如，關于密碼政策的控制點（編號XXX：根據各主管部門對系統制定的密碼政策，在系統中設置密碼規則，用戶密碼由數字和字母組成、長度不得低于8位，密碼應至少每90天進行更換）。該控制點可通過被動干預方式進行固化。在相關IT系統中采用參數配置的方式配置密碼規則，當用戶的密碼不符合密碼政策或密碼過期時，由IT系統自動強制用戶設置符合密碼政策的新密碼，否則不能登錄。關于COA設置的控制點（編號HQ11H.4.12：根據在ERP系統中通過會計科目一覽表（COA）設置的會計科目子父值關系，ERP系統自動生成明細賬和總分類賬）。該控制點通過主動實現方式進行固化。在ERP系統中采用參數配置方式配置COA中的子父值關系，ERP系統根據相關配置自動分級生成科目匯總發生額和余額。

（2）流程電子化（流水線模式）

流程電子化主要指當終端用戶需要執行某項業務操作任務時，只能從IT系統中固化的唯一入口開始操作，遵循預先設定的流轉流程，通過強制性的固化操作流程，來確保實務操作的授權合規、審批完整。

該固化模式主要側重于審批的合規性。在技術上，通常需要各相關IT系統的前后臺協同配合，建立完善的系統接口響應和數據交互機制。

例如，關于渠道酬金比例設置的控制點（控制點編號XXX：促銷活動管理部門在預算額度內提出實物贈送及優惠促銷等促銷方案，根據實物贈送及優惠審批的不同權限，提交至市場經營部門負責人、財務部門負責人和/或公司管理層進行審批）。該控制點的固化，可根據促銷方案的類型、優惠力度、申請部門等不同屬性，在相關系統中固化不同的審批流程，實現申請的自動流轉，而不需要人為判斷審批人和審批層級。當審批通過后，相關系統自動將申請流轉至系統維護人員處進行設置，實現操作的閉環管理。同時，相關固化系統自動記錄審批的過程和結果。

（3）任務提請化（鬧鐘模式）

任務提請化是指通過相關業務系統自動生成控制點的執行任務或任務提醒，并定期以待辦任務的形式派發給執行人員。控制點執行人員可以通過觸發該待辦任務或根據任務提醒，啟動控制點對應的業務流程，并通過系統記錄控制執行的過程、結果和報告。

該固化模式主要側重于執行的及時性。在技術上，通常是在IT系統中設置任務或派發定時提醒，通過代辦任務或郵件提醒的方式提醒控制點負責人員及時完成執行任務。

例如，關于銀行預留印鑒管理的控制點（控制點編號XXX：每季度，獨立于印鑒保管的人員對預留印鑒與授權使用情況進行檢查和核對，以確保對銀行預留印鑒的有效管理）。該控制點的固化，可在相關系統中配置定期提醒任務，相關系統定期以發送郵件/短信的方式自動提醒控制點負責人檢查預留印鑒。

內控矩陣中關鍵控制點可以在上述3種固化模式中進行選擇。針對每一種控制類型，根據其控制活動的特點和屬性，可以對應到一種或多種固化模式上，具體建議見表1。

在對每一個控制點選擇合理的固化模式時，由于一個控制點可能描述了多個控制活動，因此應分別針對每一個控制活動選擇合理的固化模式進行固化。例如，關于某電信企業錯單回收的控制點（控制點編號XXX：批價過程中，計費系統自動把計費資源信息、用戶資料等無法匹配的服務使用記錄存入單獨的錯單文件中，以供回收和分析處理。業務支撐部門相關人員定期對服務使用記錄錯誤回收處理情況進行監控和分析）涉及兩個控制活動：對于“批價過程中，計費系統自動把計費資源信息、用戶資料等無法匹配的服務使用記錄存入單獨的錯單文件中，以供回收和分析處理”的控制活動，屬于系統甄別，應采用功能自動化的模式固化；而對于“業務支撐部門相關人員定期對服務使用記錄錯誤回收處理情況進行監控和分析”的控制活動，屬于人工操作，應采用任務提請化的固化模式。

表1　各種控制類型的IT固化模式建議

4.4內控IT固化實施方案建議

如表2所示，根據控制點的要求和控制活動的本質，針對企業標準化內控手冊和矩陣進行分析，可將企業內控控制點劃分為已固化控制點、預期可固化控制點、不可固化控制點3類。其中，已固化控制點表示現有的內控要求已經在相關IT系統中實現了IT固化；可固化控制點表示預期可以通過IT系統改造和內控優化，逐步實現內控IT固化；不可固化控制點為無法通過系統等方式實現內控IT固化的控制點。

在此基礎上，對于可固化的控制點，從控制點的要求、IT系統參與程度、發生頻率、IT固化可實現程度等方面分析后，可進一步將其分階段進行規劃實現。在第一階段，主要針對發生頻率較高、通過改造單系統可實現的控制活動進行固化，主要包括例外情況報告、核對、系統控制、系統訪問權限等IT系統參與程度較高的關鍵控制點。其余部分的可固化控制點可在后續的滾動更新中完成固化。

表2　內控IT固化方案建議（示例）

5　中國移動內控IT固化方案

5.1中國移動IT固化范圍

中國移動內控IT固化主要涉及總部及31個省份管理信息系統領域“生產運維管理流程”、“信息技術整體控制”的相關內容；涉及IT系統包括內控與內審管理平臺、ERP系統、預算系統、合同管理系統、資產管理系統、計劃建設管理系統；同時，涉及管理信息系統IT固化的所有任務提請化實現等。

根據控制點的要求和控制活動的本質，可將控制點劃分為已固化控制點、預期可固化控制點、不可固化控制點3類。其中，已固化控制點表示現有的內控要求已經在相關IT系統中實現了IT固化；可固化控制點表示預期可以通過IT系統改造和內控優化，逐步實現內控IT固化；不可固化控制點為無法通過系統等方式實現內控IT固化的控制點。針對標準化內控手冊和矩陣進行了整理匯總：在14個流程的493個控制點中，目前已實現固化的有114個；目前未固化，但可通過系統改造實現IT固化的控制點為229個，占所有控制點比例近50％，另有150個控制點為不可固化的控制點。

5.2中國移動IT固化功能需求

根據中國移動內控IT固化需求，內控IT固化與中國移動內控內審管理平臺有直接的聯系。中國移動內控內審管理平臺是管理信息系統管控平臺的重要組成部分，一方面承載著對具體業務應用層面工作的監督、指導和評價的工作，同時又對公司層面的業務工作進行統一的匯總和數據的統計，為公司管理決策平臺提供支持。

內控風險控制矩陣的IT固化工作是為強化公司內部控制管理工作中的一項基礎工作，是內控工作的一部分內容，與內控內審管理平臺定位一致，主要體現在：

●風險控制矩陣作為企業內部控制管理核心業務流程的管控載體，是內控工作的核心內容，實現內部控制矩陣的IT固化工作，實現公司各個業務層面減少人為判斷因素，減少人為的差錯或舞弊，并以IT信息化的方式保留關鍵控制點的執行痕跡，規避相關風險、提升公司管理水平。

●IT固化工作對強化內控工作的智能化和標準化，進一步提升內控工作的常態化管理水平起著重要的作用。

中國移動內控IT化主要實現管理信息系統領域生產運維管理流程和信息技術整體控制方面的IT固化工作，可作為中國移動內控內審管理平臺中內控管理子系統的一個模塊進行擴展。另外，統一實現運維和信息技術管理方面的IT固化，也可避免多個系統對此項工作的重復建設和投資，保證系統實現的快速、高效、低成本。中國移動內控IT固化技術架構如圖1所示。

圖1　中國移動內控IT固化技術架構圖

內控系統作為管理信息系統內控IT固化應用的基礎，利用已有內控系統的技術框架及基礎能力（包括軟硬件設施、數據庫、身份認證、與統一信息平臺待辦待閱集成及安全管理等能力，同時利用內控平臺的工作引擎、控制點任務提醒機制等），結合IT固化需求，采用主的SOA架構，進行應用開發，固化相關業務系統的內控要求，形成符合公司需求的IT固化系統。

5.3能力需求分析

在管理過程中，班主任與家長之間造成誤會，大部分是因為溝通不暢，信息不對等造成的。在與家長溝通時，盡可能創造機會讓家長來說，認真聆聽他們的想法，同時真誠地提出自己的建議，但一定要注意溝通的態度，要把尊重家長放在首位。

5.3.1系統規模

內控IT固化覆蓋總部和31個省公司管理信息系統領域“生產運維管理流程”、“信息技術整體控制”的相關控制要求內容；活躍用戶3200人（每省100人），并發訪問32人。

5.3.2服務器能力需求分析

對于服務器的處理能力的綜合計算，采用以下的TPCC標準計算公式進行計算：TPC-C=M×M0/T/M1，其中：

M為日交易量，包括對數據庫更新、查詢、增加、刪除等操作。計算TPC-C的目的是為了確定機器的處理能力，由于在每天的業務處理過程中，業務發生的頻度不盡相同，一般情況下是按照8/2原則，具體來說，在20％的工作時間內業務人員要處理80％的業務。本工程中，取定M為系統高峰并發用戶數。

M0為一個應用交易所對應的標準交易個數，推薦值為8-20，由于系統體系結構的不同、應用服務器的結構不同，各個廠商的推薦值也不同。根據系統前期建設經驗，本系統應用取定M0值為16。

根據要求在系統高峰情況下，系統各項性能指標應達要求如表3所示。

表3　性能指標應達要求

根據以往實施項目中的經驗，按照80/20原則，可以認為系統的綜合平均響應時間為5×80％+2×20％= 4.4s，則交易處理時長T=4.4/60m。

M1為機器預留的處理能力，根據本項目要求，要求系統各種資源利用率（包括但不限于硬件設備的CPU利用率、內存利用率、IO利用率、存儲容量、網絡帶寬利用率等）不超過70％。

根據服務器性能評估公式：TPC-C=M×M0/T/M1 （M=U1；M0=16；T=4.4/60m；M1=70％），評估本工程服務器能力需求如表4所示。

經過對比，本期工程相關業務所需服務器性能小于現有服務器剩余性能，現有服務器完全能夠滿足本期新增業務用戶訪問及數據支撐需求，不需要進行擴容。

5.3.3存儲能力需求分析

內控IT固化：初步推算全國每年“IT固化”事項10000項（總部+全國31個省份，平均每個省份通過本項目維護的系統為10個、每天處理1件事項）、每件數據量約1M，因此，每年產生的數據量為100GB，3年累計約300GB。

6　結束語

隨著企業的不斷發展，業務種類不斷擴大，中國移動各系統IT固化是必然趨勢，本文以內控IT化為例提供了一個解決方案，可供其他系統IT固化參考。

［1］許國才.企業內部控制流程手冊［M］.北京：人民郵電出版社，2012（6）.

表4　本期工程服務器處理能力需求

（2016-07-08）