图文：德勤企业风险管理服务经理薛梓源演讲

德勤企业风险管理服务经理薛梓源
点击此处查看全部科技图片

　　新浪科技讯 6月28日，由通信产业报社主办的“第三届中国电信业信息化论坛”在北京举行。

　　本届论坛以“IT战略与运营转型、创新”为主题，就下一代网络运营中IT战略、IT服务与管理应用于新网络环境下业务重组、运营支撑、计费管理、安全管理及行业信息化应用中的热点问题进行深入研讨。新浪科技进行了直播。

　　以下为德勤企业风险管理服务经理薛梓源先生演讲全文。

　　薛梓源：大家下午好！我今天给大家带来的题目是电信企业的合规性管理。我讲的合规性就是电信运营商业。国内四大运营商都是在海外上市的公司，今年四大运营商都应该按照萨奥反案的要求，进行内部控制的要求，以及通过外部审计师的一个工作。今天议题主要分为以下几个部分，首先介绍一下萨奥法案背景情况，以及它的框架，我们知道电信企业大部分都有非常多的一些信息系统，我们的财务系统，等等非常多，这些信息系统，对我们的电信企业的内部控制的一些建设，尤其是对审计师发表审计意见的时候都有非常非常关键的一些重要的要求。下面我就主要介绍有关信息系统的重要性，以及企业目前的合规性的管理框架。后面我会介绍，因为我们知道萨奥法案是2003年颁布的，尤其在美国的很多上市公司，美国的一些很多的经验和教训，后面我会介绍，由于这些情况，由于企业实施内部控制的情况，有一些控制模型的实践，这是今天主要介绍的议题，首先看一下有关萨奥法案产生的背景。

　　去年的时候，很多电信运营商，都在进行有关的准备工作，什么是萨奥法案呢？要求我们建设内部框架，很多企业进行内部控制的准备工作今年大家看这个时候，现在时间是2006年6月，很多电信运营商，很多公司进行整改的工作，撒奥法案产生的背景情况，主要是美国上市公司出现了很多的会计丑闻，使很多的美国上市公司，股价下调，这些公司包括安然等等出现了很多丑闻。包括美国的上市公司，包括外部

　　我们看一下国内的四大运营商，很多公司都在经历着有关萨奥法案的建设和测试工作，大家可能想劳民伤财很多电信运营商说主要建立内部控制，我们强化内控，加强审核，加强管理，力保今年通过内部控制的审批工作。我们看审批系统，在电信运营商里它的重要作用。上午的时间，包括后面也有很多的我们的电信运营商也该介绍，我们进行电信运营过程中，会有很多的机构，大家想想，这些系统跟财务，我们想想最终上市公司要出据财务，这个是和财务有直接密切的相关。我们电信运营商财务系统，包括电信运营商固定资产系统等等这些，这些公司业务需要完整准确的信息系统来支持公司的财务报告决策，如果没有这些信息系统，或者说没有这些信息系统提供完整准确的信息资料，会使我们财务报告失真。

　　一般这里介绍信息系统可以从三个层面介绍，这些系统是否可靠，需要从安全的角度，从我们企业项目的建设，我们系统要建设，包括系统里资费的调整，包括变更的建设。着也就是说，我们上市公司监管委员会，要求在信息方面，首先达到的要求，也就是我们这里所提到信息系统总体控制。这个也是我们审计师的要求。

　　第二个层面，信息系统的重要性，大家想我们日常的业务，如果电信运营商在日常流程管理中，建立了内控，有很多的审批手续，监控的手续，建立了很多的一些管理的措施，这些措施，除了我们的手工流程以外，其实跟系统非常相关。大家知道我们的计费系统的审批、授权，包括我们财务系统的一些支拨分离等等这些，这些都是内嵌的业务流程，这些控制，是属于应用系统相关的一些控制措施。

　　另一方面的控制措施，就是公司的管理层，我们指的这些公司管理层面是跟公司控制环境，我们是否有一个很好的IT管理部门，有没有很好的IT规划，我们针对企业电信运营商的发展，有没有风险评估的措施，我们要进行信息系统的评价，到底信息系统对企业是否有价值？作为公司管理层来说，作为上市公司，美国证监会要求，包括我们介绍的都需要对美国上市公司，对这一番层面进行全面内控审计工作。大家想一下，信息系统的重要性，我们再来看一下美国的上市公司，去年和前年有很多公司，美国的上市公司，公布财务审计报告，同时公布内部控制审计报告。如果这些公司出现这些问题，内部控制审计问题，出具无保留意见，它的公司的财务报告里，是存在着非常多的漏洞，这个公司如果我们的系统出现问题，或者业务流程出现问题，或者公司管理层面有问题，都是对内控造成的影响。都会造成我们的外部审计师出具否定意见的结论，我们大致分析一下这些公司出现的漏洞，主要是哪些方面造成的。

　　第一个方面，大致来讲，就是我们根据美国的一个合规性月刊的统计报告，哲理做了一个统计，大致来讲，50.66%，属于财务制度和程序导致的。例如一些财务的记帐过程，包括年底财务的结帐过程。另外25.6%漏洞主要是由于人员所造成的，包括我们的业务方面的一些人员，刚才介绍了财务系统，计费系统，帐务系统这些都是非常普遍的应用，这些都会直接间接的对财务报告产生影响。我们看美国的上市公司，由于人员漏洞，很多由于系统造成，就是我们前面所介绍的，由于我们信息系统应用控制，这些都会出现问题，都会控制内部控制审计报告。

　　另外我们也介绍了，我们的网络上有数据库，有操作系统，应用系统，包括我们的应用系统。由于这些系统安全方面出现了问题，包括一些变更方面出现了问题，也会导致我们财务报告出现问题。大家想为什么变更出现问题呢？因为有一些授权审批的一些手续，如果一个电信运营商某一个计费系统没有一个很好的审批手续，变更出现问题，最终会导致财务报告出现计算的错误，导致财务报告出现数据不准确，不可靠，都会导致财务报告漏洞问题。

　　针对这些情况，我想包括一些美国的上市公司，四大运营商都在进行内部控制体系的一些建设。国内国资委也在介绍全面的风险管理。我们这里所说的内部控制体系框架，一个是公司层面，公司的道德规范，公司是否有良好的道德规范，包括公司组织架构，是否适合公司发展，是否适合公司的内部建设，包括公司流程方面，我们的计费流程，采购流程，财务报告流程，包括信息系统的一些应用控制，我们内嵌到流程中的审批授权手续，都是我们流通层面需要注意的。另外除了在公司层面和流程层面上相关的管理措施以外，另外在信息系统中，总体方面也需要加强管理，这是我们现在上市公司所采取的步骤和行动，能够在美国上市的公司，包括日本也有萨奥法案的要求，包括国内的国资委都在起草有关风险管理内部控制框架，我想如果没有上市或者没有在美国上市，这些公司可以参考这套体系执行。

　　另外美国萨奥法案监管机构主要两个，一个是美国证监会，另外草案颁布实施细则起草，都是由美国的上市公司监管委员会，就是PCOB来起草的。美国上市公司监管委员会也是要求美国的上市公司，采用一定的内部控制框架体系，这个图里就是美国欺诈委员会，一个美国公众机构颁布的有关内控的体系，包括公司风险评估流程和控制环境流程等等，这是面对萨奥法案，面对合规的风险等等，只有我们的上市公司全面管理风险，全面实现内部控制框架，防范风险，大家知道如果做测试过程中，除了财务报告进行测试，还需要对财务报告相关的业务。我们上面所介绍的有关合规性的管理，和企业控制框架方面的内容。

　　有人说，内部控制建设体系非常庞大，我们知道有些很大的国企，在2003年就开始进行有关内部控制体系的建设，投入了大量的人力，包括一些电信运营商，包括我们的能源机构，包括电信厂商都投入了大量人力、物力，包括我们的财务部门，包括财务相关的业务流程部门，包括我们的审批部门，都投入大量人力物力。回顾前两年，因为2003、2004年，内部控制在美国通过的公司或者没有通过的公司，他们觉得投入的时间已经很多了，下面我介绍一下德勤在2006年，我的题目是合规性管理，合规性就是符合萨奥法案的要求。

　　2006年德勤颁布了一个说明，认为企业在合规基础上降低成本，我们这里介绍如何降低成本的情况。在座的如果是运营商，可能非常熟悉内控体系，包括移 动网，联通都非常熟悉体系的。按照美国上市公司要求，一般的是可以分为三大类，比如我们这个类别一，类别二，类别一就是公司环境，类别二，比如信息系统，类别三就是常规的联通方式，我们看到海外公司尤其国内企业第一年投入大量人力物力主要在常规的业务流程，我们的计费流程，授权流程，按照美国的上市公司监管要求，未来如何降低成本，应该采取更多的措施，把我们企业的一些监控，主要放在公司层面，包括刚刚所说的公司控制环境层面，包括期末财务报告等等这些，加大了在类别一方面的措施。

　　第二方面加大信息系统总体控制方面责任。如果项目建设，安全、变更没有问题，能保证信息系统的运行，所以，一些海外上市公司，包括电信运营商以后进行测试的时候，主要侧重于类别一，类别二的测试，而关于流程常规方面的测试，应该进行减少，这样可以削减成本，另外我们根据国外企业实际情况，我们做了美国上市公司，如果要实行萨奥法案，我们大致基于风险管理，是有一个阶段性的措施，根据美国上市公司的一些要求，还要求一个风险的测试，从风险角度来讲，从上到下，大家想一想，我们电信运营深做的过程中，为了做内部控制，对所有的财务科目，所有财务的业务流程进行检查。按照美国上市公司最新要求，要求采取从上至下风险为基础的策略，不重要的系统，不重要的内部流程，不重要的财务报告系统，就要减轻内部管理。现在公司所做的采取从上至下以风险为控制的出发措施。第二控制合理化，设定一些测试步骤，测试的时候检查一些审批手续，实际过程中，有些公司说了我不如通过系统来操作，如果检查表格没有发现问题，但是实际上年底发现问题，你这个财务报告计算出现问题，什么原因造成的？要进行合理化的建设。

　　我们在很多公司，我做了很多的控制措施，如果我设计一个系统自动控制措施，可以把审批的手续弱化，这样很多会计事务所，目前采取的一些测试步骤，是采取自动控制进行测试的。我想今天上午，电信运营商也讲了，我的流程也是分散的，我的控制也是分散的，大家想想，一个电信运营商，有那么多的公司，投入很多的人力物力，这个如果满足萨奥法案，而且要降低成本，顺利通过有关萨奥法案审批的要求，最好的方案使流程和控制集中化。我们看到着是一个大致的一个控制化的标准化和集中化的预测。很多国外运营商实施的步骤，最开始进行内部控制体系建设，进行风险管理的时候，它提出分散的控制，每个业务，比如室外，包括一些

　　每个公司有自己的系统，结算系统，维护系统等等这些系统，如果它的业务比较庞大，对财务报告产生非常重要的直接或间接的一些影响，都是要纳入内部控制体系建设和测试的范畴我想电信运营商，我为了保证集中，为了减少测试量，为了减少内部控制建设，投入人力物力，满足你的要求。我们所提出来的看到的电信运营商容易出现漏洞或者容易出现美国上市公司可能会导致的一些重要或者实质性漏洞的情况，大家可能想多余帐号，用户走了，这个帐号还留在这里，都会对我的财务报告产生重要影响。比如一个用户有两个帐号，一个是做系统的，一个是做业务操作的，大家想风险多大，如果没有很好的监控措施，也会导致我们的系统的数据的准确性 完整性的问题。

　　由于分散的原因，第一年很多公司通过萨奥法案的时候，也会有很多的问题，没有监控的措施，导致财务报告最后的实质性的问题。根据国外的一些公司最佳的一些实践，德勤的一些实践，我们提出了一个解决方案，就是集中的一个身份管理。原来是多个系统，多个用户，现在是一个用户，一个帐号，登录不同的系统，在每个系统进行授权。多种方式登录公司内部网络，比如业务员登录我们公司的内部系统，通过互联网，通过无线的方式，如果建立一个很好的集中身份管理措施，是可以通过一个帐号或者通过一个角色登录我们系统，这里我们所提的，也是很多厂商所提的，提的身份管理措施，我建立系统，这里所提的是一个管理模式，包括我们所说的通过统一身份管理措施，建立这个流程步骤，规范我们用户帐号和职责分离。每个用户帐号分给实实在在的人，或者说一个帐号分配给几个人。第三个一个很好的授权措施，我们萨奥法案很多公司去年的时候出现这样的问题，没有很好的授权，授权了很多的职责系统，都会造成系统的错误，所以我们认为有一个很好的授权措施也是对我们集中管理有一个很好的帮助。

　　最后也就是保护措施，包括用户身份，网络安全，系统安全，综上来说，我们要有一个很好的管理流程，很好的认证措施，授权措施和保护措施。这个就是我们介绍的，美国的上市公司应该建立这样一个措施，应该有一个很好的降低成本的一套措施，包括控制合理化，包括我们人力资源分配，包括集中身份管理。以上就是我今天的议题介绍。大家有什么问题，也是可以跟我们德勤公司来联系。值得注意的是，我们这个企业风险管理，去年的时候，2005年12月份美国的一个独立的企业调研机构，对全球的风险管理进行了比较，这里也是把德勤作为最好的风险管理商为题目的。