2009上市公司内控管理与信息化建设论坛 速记

主持人：下面为我们做精彩致词的是河北网通信息化部高级工程师屈玉阁。

屈玉阁：各位领导，各位先生、各位女士上午好。我简单地介绍原来河北网通信息化建设的情况，大家知道网通现在和联通合并了，我说说河北网通是怎么进行IT系统的。

我说一下我们中国网通内控测试结果是为零缺陷，这已经通过2007年测试结果。内控基本路径是这样的，首先在美国上市公司要求，我们请国外咨询公司制定满足《萨班斯法案》框架的制度，然后在企业各个层面落实，企业请外部公司进行审计得出结论，最后在资本市场检验审计的结果。

每年内控工作基本都是说依照内控模块制定的活动，依据本地化活动检查点，检查自己有多少差距。我们组织检查各个单位改进，外省一次测试，到年底进行外省第二次测试。信息化工作主要是两个层面，一个是信息化建设与运营，第二是信息化控制的控制。

《萨班斯法案》对财务来源控制途径是三个部分，第一是信息系统，第二是纸质报表，第三就是电子表格。大家看一看ITGC报表，有几个模板。我们原网通公司IT内控涉及的领域有两大部分，一个是一般性质，一个是信息系统应用控制。一般性的系统控制包括四个层面，安全、操作、变更管理、开发与支持。信息系统包括ERP系统。一般性信息工作基本能力，我刚才说新系统安全操作变更管理，和运营系统数据库开发与支持，这个包括详细一般系统操作管理，数据库和网络，还有防病毒等等，还有应急预案，变更管理包括应用系统，操作系统，数据库还有保护变更，在新系统开发包括应用和实施这个层面。一般性管理架构包括核心是应用系统安全，数据库安全，下一个层面是操作系统安全，网络安全，防止病毒应用系统和操作系统层面控制。

举个例子，操作系统安全用户管理，系统管理监控管理，我们在举例子帐号管理要求内控是这样，第一密码格式、无效登陆次数三次，历史密码记忆个数，密码复杂程度，秘密要求6位，默认帐号锁定，帐号超过时间我们是10分钟等等。另外系统包括业务系统数据开发，新的应用系统测试，新的数据结构测试，新的网络测试。

我们说一下当时我们河北网通公司管理，外部看我们有网通公司内部控制管理400多条所以我们工作量是非常大，我们涉及安全、变更、系统开发、操作、信息系统等等，涉及部门就更多了，包括工程建设，物流采购综合部，我们还负责电子表格，实际上要求我们06年必须达到《萨班斯法案》要求。信息系统大部分不能满足IT一般要求，第二很多单位没有形成IT系统控制路径。

2006年我们进行8个方面的工作，一个是内容控制制度建设，贯彻风险管理方式，开展针对性与信息化管理控制工作相结合，统一IT内部流程表述和文档的格式，问题整理及整改措施的落实，现场督导提出具体的管理措施。积极与相关部门沟通，解决COSO、UAT和持其系统存在的问题。最后是组织各单位有效开展管理工作。我们内控制度，首先要求制度健全，我们制定信息系统安全规范，表格的规范，还有做编码，开发要求，开发必须遵守编码规范，还有报财务部一个软件。我们还开展针对性培训，我们培训是考虑两个层面，一个内控要求对信息系统要求，一个是说内控对信息化管理控制以及业务流程要求。我们工作开展培训以后，因为我们是做了大量的培训，我们从举办各个省公司的集团技术主任，从各技术工作进行现场培训，两次进行电话培训等等。这样使员工的内控意识有了很大的提高。我们做了1200页的控制文档，包括开发与测试，还有风险管理内控，还有《萨班斯法案》，还有与外省市沟通。

我们第三点，统一IT内控务流程描述和文档格式，河北省有自己管理流程，我们为了加强内控管理我们我用一周时间制定流程，这样写文档合适了，每个都比较完整就达到要求了。上个季度我们也形成了一个安全标准，通过统一流程、统一文档我们在工作深度，进度方面取得了主动权，这个工作我们当时都在前列。

第四个方面，问题整理及整改措施的落实，我们制定了一个内控责任，根据系统分到每一个人负责哪条，每个人负责哪一段流程。我们内控整改工作还包括了两个层面，一个是系统要求，我们原来系统基本上满足了内控方面的要求。技术上我们做沟通做了补丁，要求在2000年的时候达到《萨班斯法案》的要求。五我们要求在网上要做记录，完了之后领导要做相应的确认。第二个层面一定要进行内控的控制。控制声明、授权和被授权文档、作业流程、人工降低IT内控风险整改措施等等。

授权2006年各单位整改的基础上，网通河北省分公司IT内控工作组去年市分公司收集整理第一轮测试在20个共性问题，深入理解内控要求，提出了人工降低IT内控风险整改措施。我们有一个信息系统非紧急变更实施范围定义表，我们相应流程跟大家都做了记录。内部授权方式，首先你要做声明，首先您是谁，然后各部门制定一个岗位说明书，帐号统一管理，我们第一次测试的时候，有一个系统管理员把一个参数修改了，最后查出来，问你这个人是谁我告诉他，你把系统管理员的说明书拿出来，当时没有找到，当时就说你不是系统操作系统管理员，你改参数干什么。当时我找他们沟通，把操作系统管理员的找到了，风险就解决，外部风险变成内部风险这个风险就降了。

我们总结一下IT工控制基本流程就是四个方面。首先是提出申请，然后是主管领导审批，不一定是你就是部门主任也可以是副主任，可能也是你班组长，相关主管领导。然后在执行当中并写一下工作日志，主管另是一个月或者三个月进行审核。

第五点我们现场监督，提出具体的管理措施，保证通过普华永道的测试。我们也去做公司，有的地市公司老总说内控我知道就是坦白从宽、抗拒从严，当时我没有好意思说，我告诉他内控是跟是外部公司是一个博弈过程。因为内控要求你几条，那几条完成就可以，不要求所有都做了，都做了工作就没有完了。所以我告诉大家内控要求几个做到就可以，不没有要求不一定要做，不要把自己陷得太深。

第六点，我们开展信息系统风险评估，模拟演练预案。原来我们是按照硬件软件分，这是按应用，我们是基于业务的角度。我们为了降低风险，我们按照风险管理理论，将信息系统分成实物、软件、信息、服务等四个类的资产。

这个系统风险评估过程，看看这张图。首先是确定范围资产管理本身的弱点和漏洞，再看看内部管理测试有哪些，看了这些以后还漏下什么东西，这就是你的风险，还有在排队哪些重要，哪些不重要，最后提出风险报告和管理措施。

第七个方面我们积极与相关部门沟通，解决COSO、UAT和久其系统存在的问题。系统每年执行是不是符合《萨班斯法案》要求，久其报表是简单的财务系统，我们跟财务部相关部门沟通，也了很多的办法。

第八个方面是组织各单位，开展电子表格内控管理，满足内控要求。我们写了报表做，这个帐号怎么控制呢，我们也是一个内控表一个规范，我们从模板设计、模板使用、模板维护积极控制，把控制原则制定一下，电子表设计人，使用人，维护人，访问人，设计和使用人可以合一，这个流程图有一个具体的方法。首先可以进行申请，设计人可以进行模板开发，使用人表格进行数据编辑、更新、管理，最后访问人可以对表格进行实时查询，原来我们是集中管理。

谢谢大家。