2007年6月21日,由通信产业报社举办的“第四届中国电信业信息化论坛”在北京举行。本次论坛峰会以“信息化与全面风险管理”为主题,深入探讨电信业信息化建设与风险管理解决之道。并邀请有关政府官员、行业专家及企业信息化、运维主管,就当前中国电信业的信息化研究、信息化建设、信息化管理及信息化应用中的热点问题进行广泛研究。
以下为中国联通信息化部管理应用开发处经理陈淑萍主题演讲:
感谢大会给我机会和大家分享一下联通公司构建IT管控体系提高风险管理能力方面的做法和今后的一些努力方向。大家都知道作为一个境内外三地上市的公司来讲,所以前年就提出SOX法案遵从,对IT行业提出一个挑战,同时也面对机遇。今天跟大家汇报微弱这样一个管控体系和风险管理的话题,分三个层面,一个是我们面对的形势、存在的问题、我们如何面对。第二个如何构建IT管控体系,以及满足法案的要求。第三后续如何做进一步提高管控能力。
法案的要求对公司治理这一块,SOX法案出台以后加大管理层在风险管控的责任,要签署声明来保证公司内部控制的有效性,尤其对财务报告的真实和准确做了特别的要求,所以这实际上要求我们遵从SOX法案的过程中要实行公司内部控制体系,这样一个内部控制是公司基本的风险管理工作。这随着电信业的运营,我们原来更多关注企业运营工作,对运营风险不是没有意识,成体系化看这个问题还是迫于SOX法案的压力。风险管理工作涉及到公司各项业务流程,工作量巨大,主要从最终保证财务报告的真实准确为目标对影响目标所有业务流程实施有效的控制。在这种情况下作为一个电信运营企业,我们有一大堆基础架构,在这之上我们构建了一系列的应用系统,对于联通来讲,是一个全业务的运营商,所以各种计费系统,各种营业系统还有各种各样的结算系统数量非常庞大,在这之上支撑了多种多样的业务交易流程,在这之上最终我们会形成财务报告,我们是要对整个的信息系统运行的环境,总体控制这一块要有风险的管理,同时还要对下面跑的应用也有相应的控制,以使它满足公司在业务管控方面的要求。
在总体控制方面,在不同的生命周期阶段都有相应的管理要求,从应用控制角度来讲,对一个系统,无论输入输出还是中间处理过程,关键的业务环节都要进行管控,确保正确的数据输入进去,经过正确的处理输出正确的报告,这里面关注更多的是风险,输入有没有被篡改,输出有没有可能出现问题。这些系统经过一系列系统的加工,最终产生联通对外信息披露的报告,所以这一块去年对信息系统内控的工作量非常巨大,并且我们系统是两级架构,以总部和省两级,主要的业务处理是在省里面。
现在面对这样一个复杂形势下,去年又要很快提高我们的能力,得到法案的要求,我们管理基础也没有特别,有一些运行维护规程维护,在短时间达到法案的要求,我们确定了现实一点的工作目标,建立改进完善联通的内控制度,通过详细测试和绩效考核确保信息系统内控能够达到法案的要求,为将来奠定基础,今后持续改进,因为一步到位肯定也是不现实的。工作方法,因为我们在全网这么多系统,联通各项业务,几乎关注联通所有的省份业务,这样我们探讨一种比较有效的方法,通过试点和全国推广相结合的方式,结合外部资金力量一起做了工作,培养自己的队伍,建立内控框架体系,确定整体的计划,事先规划,实时调整,按规划按计划把全部工作推进完毕。工作内容分了几个阶段,一方面是建立改进完善的信息系统内部控制制度,这控制制度当时建立的时候事实上依据原来的管理基础之上做了一些定义形成一整套制度,进行了查漏补缺,同时进行了实施,要求省份公司自测,持续改进,详细的测试,最终达到了效果。
通过一系列的工作,我们建立了内控的管理规范和详细工作文档,我们这些规范不仅仅是落实在纸上,要运转在日常工作中,信息系统总体控制规范,对信息系统开发、变更、日常安全管理、维护管理等都有明确的要求,并且经过明晰规定和风险控制文档,要求跟日常管理紧密结合起来,这样形成一系列的制度、规章和相应的操作流程和风险评估的办法,通过这些评估又可以反过来看整个的执行效果。通过强化培训,很快的在全国得到严格的执行,这还是达到了不错的效果。通过去年工作以后我们培养和建立了一支审计队伍,为未来工作打下良好的基础。
经过管控体系的建设和全国内控达标的过程,为联通未来建立了一套能够有效支撑业务运行,防范IT风险的IT治理体系奠定了良好的基础。我们最大的收益是上上下下相关部门的领导和工作人员大大加强对信息系统管理风险工作的意识,同时更重要的是认识到信息系统在整个工作中的重要地位和作用。信息化做这么多年,在电信企业没有信息化都不叫一个产品,我们提供的是一项服务,这个服务是通过复杂的IT系统包装之后才能够对外销售的,没有这套系统是不行的,但事实上我们经常面对的是我们有需求就要马上开发,如果满足了市场要求不说你有什么问题,如果一旦市场上遭遇不测或者有一些不顺利的现象,反过来就说你支撑得不好,现在给我们改变了管控环境,去年很大的收获就是这样,业务部门非常明白,现在要信息化业务需求,不能随随便便今天开发明天就得上,另外在信息系统内部要有一定的制约和管控的控制点,使得它们可以遵从,这一块去年工作为我们未来信息化IT管控确确实实打下比较好的基础。
提高风险管理能力还是任重道远的,去年做了这项工作,当时做的时候还是有一定程度的应付,为了尽快审计过去,这个事情要持续长期做的时候就需要跟日常工作结合,我们看了监管环境,SOX法案要求每年对信息系统管控有效性,公司风险控制有效性声明的,所以这是一个持续的过程,在硬性指标上2007年做了调整,没有一定的硬性要求,但是对管理层的责任加大了,SOX法案背景要求没有变,我们要继续巩固风险管理的能力。国资委事实也出台中央企业全面风险管理的指引,围绕这样一个指引,要求企业在经营管理各个环节中都要执行风险管理的流程,培养良好的企业风险管理文化,建立健全的风险管理体系,其中包括风险管理信息系统的内部控制系统,所以我们对信息系统无论在境内境外都有着严格的要求。国信办和国资委对信息化工作逐渐加强,作为中小企业不再慢慢业务层面可以实现这样的支撑,更重要的是要把企业信息化的管控与企业战略发展,风险管理,业务变革之间关联,也是今天会议的主题,要支持企业的变革,管控企业的风险,所以从这个角度来讲,信息化的工作已经提到新的层面。
在未来任重道远的形式下,我们后面的工作怎么才能进一步的完善呢?我们想还是要遵从国际上的标准,这大家都很熟悉,比如COBIT标准,我们参照它的理念,在信息系统整体规划,在开发建设、运行维护不同阶段要制定相应的措施,然后不断加强和完善IT防控体系。我们强化IT战略规划的地位和作用,联通2005年启动了IT战略规划的工作,在2005年底和2006年初获得管理层批复,现在联通信息化建设围绕IT战略规划往前推进,这次跟以往确实不同,这次决策方式和参与程度按照IT管控的要求,要求业务部门全面参与跟决策层有效的沟通,这样的话准确把握,按照IT战略规划经过3年甚至5年的建设完善,能够使得我们真正提升企业的核心竞争力,这在IT战略管理有很大的改进。原来是业务部门提一个方案,我们差不多就这么做了,所以这确实改进很大。
另外建立了一套业务系统开发的统一管控体系,这样可以降低成本,提高建设水平,缩短建设时间,加强管控。我们新一代IT战略规划所做的就是遵从统一管控的体系,统一版本、统一规范,统一实施的方式进行管控的,现在已经取得了非常好的效果。在需求管理这一块,联通在最近和未来要加强这方面的管理,事实上我们在规范需求管理,降低项目风险这一块加大了工作力度,尤其在管理层的支持下,现在业务部门是全力参与业务需求的制定和提出,我们原来到什么程度?就是业务需求是我们替前台部门写的,这样业务部门还是不满意,你们写的东西不满足要求还不满意,现在他们明白是他们的责任,这样理顺了IT建设和管理的职能。利用应用系统规范控制活动,这一项非常重要,事实上从刚开始的图可以看到,我们作为电信企业,现在所有业务流程都是经过IT系统支撑的,通过信息系统的建设我们可以发现其中一些问题,后面还要进一步的改进和优化,剔除业务中的一些活动,在去年把所有流程全部桌面化,全部文档化和规范化,体现给用户的时候才发现有一些控制活动可能会增加企业的成本,另外尽可能的开发一些预防性控制,原来存在一些小业务和控制环节没有在系统支撑,这样会造成很大的风险,进可能采用自动控制,避免更多的手工控制导致不确定性,另外还要对接口、系统之间的配套建设更加完善,避免更多的电子表格的活动发生,降低在信息处理过程中的风险。
加强访问的安全控制,确保职责分明,这和前面两个事情,我只是提了可能在工作中体会比较深的问题,并不全面,在访问控制这一块,我们感触非常深,应该说这个事情不管是运营商,还有其他单位中都是因为帐号和用户权限管理不当,造成企业损失的现象时有发生,并且有的还挺大,所以这一块后面需要进一步加强进行规范,确保这个系统被正确人使用,这也是我们将来进一步降低IT运行风险上做的工作。同时我们也参照标准结合实际,进行了IT系统运维支撑管理平台,规范了IT软硬件的管理,最终达到为业务提供整体服务的要求,这也是我们在交付使用之后的环节所要加强的管控措施。
最终我还是想强调,建立IT管控体系确实可以进一步推进企业信息化的发展,同时可以提高企业风险管理能力,谢谢大家!