中国移动(香港)有限公司
内部控制手册
缩写
中国移动(香港)有限公司及其子公司 中国移动
中国移动(香港)有限公司 公司
中国移动通信有限公司 中国移动总部/总部
中国移动通信集团公司 集团公司
美国《萨班斯 - 奥克斯利法案》 《萨班斯法案》
目录
1 手册概述 ......................................................................................................................................................4
目的....................................................................................................................................................4
评价内部控制的有效性的评估架构................................................................................................4
与《萨班斯法案》404 条款相关的内部控制的定义 .....................................................................4
内部控制手册的遵循........................................................................................................................5
颁布日期............................................................................................................................................5
2 公司层面的控制 ..........................................................................................................................................6
控制环境............................................................................................................................................6
正直守德的价值取向 ..................................................................................................................6
胜任能力 ....................................................................................................................................11
董事会及审核委员会 ................................................................................................................12
管理哲学和经营风格 ................................................................................................................15
组织结构 ....................................................................................................................................19
职权和职责的分配 ....................................................................................................................22
人力资源政策和实务 ................................................................................................................24
信息技术战略规划 ....................................................................................................................28
信息技术组织架构及关系 ........................................................................................................29
信息技术部门的人力资源管理 ...........................................................................................30
用户教育和培训 ...................................................................................................................31
风险评估..........................................................................................................................................32
企业层面目标 ............................................................................................................................32
经营活动目标 ............................................................................................................................34
风险 ............................................................................................................................................37
对环境变化的管理 ....................................................................................................................39
信息风险评估 ............................................................................................................................40
控制活动..........................................................................................................................................41
信息及沟通......................................................................................................................................42
信息 ............................................................................................................................................42
沟通 ............................................................................................................................................44
信息架构 ....................................................................................................................................48
监控..................................................................................................................................................50
持续监控 ....................................................................................................................................50
个别评价 ....................................................................................................................................54
汇报内部控制缺陷 ....................................................................................................................56
3 信息技术整体控制 ....................................................................................................................................57
对程序和数据的访问......................................................................................................................57
BOSS 系统 ..................................................................................................................................57
经营分析系统 ............................................................................................................................62
MIS 系统 .....................................................................................................................................66
OA 系统 ......................................................................................................................................71
彩铃系统 ....................................................................................................................................76
智能网系统 ................................................................................................................................80
MISC 系统 ..................................................................................................................................85
久其报表系统 ............................................................................................................................90
客户服务系统 ............................................................................................................................93
网络及基础设施 ...................................................................................................................98
程序变更管理................................................................................................................................103
程序开发........................................................................................................................................108
系统运行........................................................................................................................................112
BOSS 系统 ................................................................................................................................112
经营分析系统 ..........................................................................................................................116
MIS 系统 ...................................................................................................................................120
OA 系统 ....................................................................................................................................124
彩铃系统 ..................................................................................................................................127
智能网系统 ..............................................................................................................................131
MISC 系统 ................................................................................................................................135
久其报表系统 ..........................................................................................................................138
客户服务系统 ..........................................................................................................................141
网络及基础设施 .................................................................................................................144
终端用户计算................................................................................................................................147
4 流程层面的控制 ......................................................................................................................................150
资本性支出业务流程....................................................................................................................150
收入和计费业务流程....................................................................................................................178
新业务与产品定价业务流程 ..................................................................................................178
业务受理业务流程 ..................................................................................................................186
计费账务业务流程 ..................................................................................................................195
收款和应收账款管理业务流程 ..............................................................................................209
与电信营运商结算业务流程(国内、国际) ......................................................................220
与服务/内容提供商结算业务流程 .........................................................................................228
内部结算业务流程 ..................................................................................................................233
集团客户业务流程 ..................................................................................................................237
存货管理业务流程........................................................................................................................242
存货管理 ..................................................................................................................................243
有价卡管理 ..............................................................................................................................252
营运支出业务流程........................................................................................................................260
货币资金管理业务流程................................................................................................................275
固定资产和无形资产管理业务流程............................................................................................285
人工成本管理业务流程................................................................................................................305
会计和财务报告流程....................................................................................................................311
筹资业务流程................................................................................................................................330
关联方交易业务流程....................................................................................................................338
法律法规遵循业务流程(包括税务管理流程)........................................................................344
1 手册概述
目的
中国移动作为在美国证券交易市场上市的海外发行人,根据《萨班斯法案》第
404 条款之最终条例《内部控制的管理层报告书和披露核证》的要求,管理层须
在年度报告中做出有关内部控制评估的书面声明,其中包括:
管理层对建立和维护内部控制的责任声明;
管理层对评估内部控制所采用的评估框架的声明;
公司在最近财政年度末对内部控制有效性的评估,包括内部控制是否有效的声
明;及
公司的外部审计师在审计年报时,就管理层对内部控制有效性的评估已经签发
了鉴证报告的声明。
为了满足遵循《萨班斯法案》的要求,中国移动对内部控制进行记录并编制本
《内部控制手册》,作为评价内部控制有效性的依据。
评价内部控制的有效性的评估架构
中国移动采用美国反对虚假财务报告委员会的发起组织委员会(Committee of
Sponsoring Organizations (“COSO”) of the Treadway Commission)颁布的 COSO 内
部控制框架作为评估内部控制有效性的架构,从控制环境、风险评估、控制活
动、信息和沟通以及监控等五个方面记录和评价内部控制。
与《萨班斯法案》404 条款相关的内部控制的定义
《萨班斯法案》第 404 条款要求进行评价的内部控制包括针对与会计报表中所有
重要科目和信息披露相关的所有会计认定所实施的内部控制,包括:
主要交易是如何启动、授权、记录、处理和报告在财务报告中;
用以防范或找出与重要账户、交易种类和披露相关的错误或舞弊的内部控制
措施;
其它重要内控措施所依赖的内部控制,包括一般性控制,例如信息系统控
制;
非经常性、非系统交易或财务估计的内控措施;
财务报表关账和汇总过程中的内控措施;
资产保护的控制措施;
公司层面的控制措施。
内部控制手册的遵循
内部控制手册所记录的内部控制适用于中国移动(香港)有限公司及其子公司。
各子公司应参照本内控手册的流程描述执行相关业务流程,并编写各子公司的内
部控制手册。业务流程中涉及的控制点各子公司必须遵照执行。
子公司本部及地市公司应比照本内部控制手册,对内部控制框架和其中涉及的业
务流程进行差距分析并就差距产生的原因进行说明。对于控制点的缺失,如果不
存在补偿性控制,应作为控制缺陷进行汇报。
颁布日期
本手册的颁布日期为 2006 年 1 月 1 日
2 公司层面的控制
控制环境
正直守德的价值取向
管理层必须传递一种信息,即在正直守德的价值取向上是不能妥协的,员工也必
须收到并理解这种信息。管理者必须立言、立行以昭示其高水平的道德标准。
是否制定了行为准则和其它原则,以明确可以接受的商业行为、利益冲突的处理
方式或员工行为的道德标准并确保这些准则和原则得以有效执行。
集团公司 2002 年 6 月出台了《中国移动通信集团公司员工行为守则》(以下简称
为“《守则》”),中国移动参照执行。《守则》对员工精神规范、仪容仪表、工
作纪律、待人接物、环境卫生以及组织管理及违反守则的处理办法等方面做出了
规定。
中国移动通过《守则》以及监察室等其他部门下发的相关管理办法提出对员工的
保密、廉洁、保卫资产安全等方面的要求。例如,要求员工不能收受任何形式的
礼金、礼品等,如收取需要及时上报监察室。中国移动制定相关制度,要求员工
每年就其了解和遵循可以接受的商业行为、利益冲突的处理方式的情况等进行书
面声明,声明内容包括保守公司商业秘密、与公司利益相关各方是否存在利益冲
突等。
中国移动人力资源部根据企业文化建设要求,在《守则》的基础上细化,编制
《员工手册》。《员工手册》内容包括员工行为准则和道德标准(CODE OF
BUSINESS CONDUCT AND ETHICS),以使每一个公司员工都能够了解、领会
公司认可并推崇的行为方式和价值取向,时刻指导自己的行为。员工行为准则和
道德规范具体内容包括旨在提高个人诚信及操守,以及正确处理利益冲突情况的
具体指引(包括个人利益与公司利益、个人或公司利益与法律法规冲突等情
况)。
《守则》以及《员工手册》均由人力资源部通过正规文件的方式下发,同时在
OA 系统上公布,并要求全体员工参照执行,OA 系统可对尚未阅读文件的员工进
行提示。
除了在 OA 系统中公布以外,中国移动还会在新员工培训中包含员工行为准则的
培训内容。中国移动各相关部门会通过对员工的日常工作的观察以及定期绩效考
核监督《员工手册》以及《守则》或其他行为准则的遵循程度。
人力资源部对《员工手册》进行定期更新和维护。
主要涉及部门:人力资源部
文件索引:《关于印发<中国移动通信集团公司员工行为守则>的通知》(中移人
[2002]327 号)
是否建立了“管理基调”,包括明确的道德规范以区分是非并确保公司全体员工了
解和掌握。
集团公司在 2001 年编制了《中国移动通信集团企业理念体系》,并于 2006 年更
新为《中国移动企业文化理念体系》,同时也作为中国移动的企业理念,其中明
确了公司的总体管理基调。根据《中国移动企业文化理念体系》,中国移动企业
理念包含企业使命、企业价值观以及公司愿景。
企业使命:创无限通信世界,做信息社会栋梁
企业价值观:正德厚生、臻于至善
公司愿景:成为卓越品质的创造者
中国移动管理层通过管理层会议及员工大会等形式向各个部门的管理者及全体员
工传达公司的管理理念。各个部门管理者通过在日常工作过程中与员工的交流和
对员工的监督强化公司的管理理念。
中国移动通过在 OA 系统上设置专栏、在办公地点张贴宣传标语、发放企业理念
宣传册、对员工进行培训等手段,推动内部员工对企业理念的理解和接受,使员
工理解和把握企业文化和管理理念。
主要涉及部门:发展战略部、党群工作部等相关部门
文件索引:《中国移动通信集团企业理念体系》(2001 年)
《中国移动企业文化理念体系》(2006 年)
如何对待员工、供应商、顾客、投资者、债权人、保险人、竞争对手和审计师等
相关各方。(例如,管理者本身是否笃信诚信经营,并以此要求他人,抑或对此
漠不关心。)
集团公司的核心价值观是“正德厚生、臻于至善”。正德厚生体现“正身之德”、“厚
民之生”的社会责任意识和争做优秀企业公民的观念。“臻于至善”是永不自满、创
新超越的进取心态和对服务的精益求精、对卓越境界不倦追求的崇高精神。
对客户,要提供完善的服务和优质的业务,为人们的生活、学习和工作助力添
彩 。
对投资者,要创造和保持优良业绩,回报投资者的长远利益。
对员工,要关心员工,营造员工合适的发展空间。
对合作伙伴,要保持健康和谐的合作关系,实现互利互惠、合作共赢。
对同业者,要共同维护健康的市场秩序,提升行业整体价值。
对社会,中国移动积极承担应有的社会责任,时刻确保通信畅通,积极参与环
保、教育等公益事业,服务和谐社会。
中国移动的企业价值观,还包括对于企业内部价值信念的要求,尤其是提倡敬
业、诚信、共同发展。在诚信方面,要求员工在经营中做到诚实无欺、公平合
理,树立企业良好的信誉,使企业获得客户的信赖,具有很高的客户忠诚度。
主要涉及部门:发展战略部、党群工作部等相关部门
文件索引:《中国移动通信集团企业理念体系》(2001 年)
《中国移动企业文化理念体系》(2006 年)
对于背离既有公司政策和程序或违反行为准则的行为,所能够采取的补救措施是
否适当。以及这些措施被全公司员工所知悉的程度。
中国移动制定公司层面的违背既有公司政策和程序或违反行为准则行为的处理原
则。
在《员工行为守则》以及劳动合同中概括性的规定对于违背既有公司政策和程序
或违反行为准则的补救或惩罚措施,补救或惩罚措施有从口头批评到解除劳动合
同等方式。
行为守则方面:根据《员工行为守则》的规定,对违反守则的员工,所在部门应
视情节轻重,及时对其进行批评教育、给予经济处罚或行政处分,并将情况书面
通知人力资源部。
劳动合同方面:在《劳动合同订立和管理暂行办法》中明确规定可以解除劳动合
同的情况。其中包括严重违反劳动纪律和规章制度,严重失职、营私舞弊给公司
造成重大经济损失或使公司信誉遭受严重损害;因泄露经营、业务、技术秘密,
造成重大损失等情况。
在具备公司层面处理原则的基础上,中国移动亦要求各部门细化并建立各自的处
理流程及程序。各部门识别并确认市场推广、采购、资金、资产等业务流程中的
高风险环节,再对高风险环节制定具体的违背既有公司政策和程序或违反行为准
则行为的处理方式、相应的补救措施以及惩罚措施。各部门在细化制定处理政策
和流程时互相协调、保持一致。
目前,中国移动各个部门针对重要的业务流程订立相关的政策,明确对于背离既
有政策和程序或违反行为准则的行为,采取的补救措施和处罚手段。例如:
客户服务方面:中国移动客户服务中心等的客户服务行为确立了考评办法。对于
背离服务规范或不执行业务规程的各类行为,通过既定的评估标准进行考核。
信息披露方面:中国移动明确要求必须遵守香港和美国有关证券监管法律、法规
以及上市守则的有关规定,及时准确和公开的对外披露信息。相关文件具体规定
了信息披露的范围、信息报送的注意事项以及信息披露的责任和处罚制度。
安全生产方面:中国移动各生产建设部门在安全生产方面均制定了各项管理制
度,明确了“谁主管、谁负责”的安全生产的责任原则、制定了具体安全措施以及
奖惩制度等内容。
员工通过《员工行为守则》及各部门下发的文件,或日常工作中主管领导的指导
等途径获知上述措施。
主要涉及部门:人力资源部、市场经营部、综合部等相关部门
文件索引:《关于印发<中国移动通信集团公司员工行为守则>的通知》(中移人
[2002]327 号)
《关于贯彻落实<国务院关于进一步加强安全生产工作的决定>的指
导意见》(中移综[2004]185 号)
《关于重申中国移动(香港)有限公司对外信息披露管理规定的通
知》(中移港[2002]第 81 号)
《关于加强中国移动通信敏感信息披露管理的规定(暂行)》
《关于修订<中国移动(香港)有限公司内地运营子公司经营业绩考
核办法>的通知》(中移港[2002]第 190 号)
《关于印发<中国移动通信集团公司 2002 年客户服务考评办法>的通
知》(中移市[2002]371 号)
《关于印发<中国移动通信集团公司劳动合同订立和管理暂行办法>
的通知》(中移人[2002]145 号)
管理者对于干涉正常程序或凌驾制度行为的不发生态度
中国移动一贯重视端正管理者对于干涉正常程序或越权行为的态度,并努力杜绝
此类现象的发生。通过在各业务流程中对各级管理层审批和职责权限的规定,管
理者逾越制度的行为被明确禁止。在合同审批、费用支出审批等方面均建立了职
责权限的分工和设置了不同级别管理层的审批权限。
中国移动通过在 OA 系统中固化审批权限、MIS 系统远程办公、设置 AB 角色等
管理方式禁止管理者干涉正常程序或凌驾制度的行为的出现。管理层鼓励员工就
其发现的越权行为进行报告。
主要涉及部门:各业务相关部门
文件索引:《中国移动(香港)有限公司合同管理办法》
《关于印发〈中国移动通信集团公司各项开支管理办法(暂行)〉的
通知》中移财字[2000]305 号
《关于印发〈中国移动通信集团计划管理程序实施暂行办法〉的通
知》中移计[2002]225 号
《中国移动通信集团公司招标投标监督检查工作办法(试行)》
是否面临达到不现实的目标的压力——特别是短期业绩——以及薪酬在多大程度
上取决于是否达到业绩目标。(例如,考虑是否存在过度的刺激和诱惑,挑战人
们对道德准则的遵守;薪水和晋升仅仅建立在短期目标是否实现的基础上)
中国移动采用月薪制,薪酬由固定收入和变动收入两部分组成,两者比例为
6:4。其中,变动收入与员工个人的绩效考核结果直接相关。每季度末及每年年
末,中国移动对全体员工进行绩效考核,根据季度考核结果决定员工的变动收入
水平,根据年终考核结果决定下一年度固定收入水平。
员工的薪酬水平不单纯取决于业绩目标的实现程度,还与员工的关键绩效指标以
及工作目标完成情况相关,同时部门/公司的整体业绩也会影响员工的薪酬水平。
管理层在制定关键绩效指标时,亦考虑财务指标以外的指标,例如团结协作、客
户服务意识等工作态度与学识能力方面的指标。
中国移动实施认股期权计划,目的是调动中高级管理层以及专业技术骨干等人员
的积极性,是对其进行的长期激励机制,促使员工更多地关注企业的长远发展和
长期利益。
主要涉及部门:人力资源部
文件索引:《关于推行人力资源提升项目的通知》(中移人[2003]378 号)
《大力实施人才强企战略努力提升企业核心竞争力-在 2004 年中国移
动通信集团公司人力资源工作会议上的报告》
《关于广东移动通信有限责任公司等公司配发员工认股期权的通知》
(中移有限人[2004]14 号)
《关于内蒙古移动通信有限责任公司等公司配发员工认股期权的通
知》(中移有限人[2004]15 号)
员工绩效考核结果反馈表
胜任能力
管理者必须明确每一工作岗位所需的能力水平,并将此能力水平具体化为所需知
识和技能。
用正式或非正式的职责描述或其它方式定义某一职位的具体工作。
中国移动对全部职位建立统一的书面职责描述,即职位说明书,界定职位的工作
内容、职责、权限、上下级督导关系以及任职条件等内容,且经过管理层的审阅
批准。人力资源部定期根据各职位职责、权限的变化对职位说明书进行及时地更
新并下发。
员工对工作职责和权限的一般理解通过部门内部的职责描述与部门管理层的沟通
和实际工作获得。
主要涉及部门:人力资源部
文件索引:无
充分分析开展具体工作所需的知识和技能。考虑:
管理层对特定的工作所需的知识和技能的程度进行了规定;
是否存在迹象表明员工具有必要的知识和技能
中国移动对全部职位建立统一的职位说明书,包括职位的工作内容、职责、权
限、上下级督导关系以及任职条件等内容,以明确每一职位对知识、技能与学历
方面的基本要求,并由人力资源部定期根据各职位职责、权限等方面的变化对职
位说明书进行及时地更新并下发员工知晓。同时,招聘程序亦可体现中国移动对
员工开展工作所需技能和知识的明确要求。
招聘开始前,用人需求单位(部门)向人力资源部提交人员详细的需求申请,申
请中需列明需求人数和对拟招员工的岗位说明,学历、技术、能力、工作经验等
任职资格的要求。在聘用过程中,组成由人力资源部、用人单位(部门)相关人
员以及外聘咨询专家等各方面人员组成的综合考评小组,并由综合考评小组对应
聘人员进行基本素质和实际工作能力的全面考察。根据考察情况进行评价打分,
提出用人建议。
中国移动通过对员工的绩效考核来衡量员工的工作能力、工作质量与工作表现,
判断其是否具备与职位所对称的知识与技能。
主要涉及部门:人力资源部
文件索引:《关于印发<中国移动通信集团公司员工招聘管理暂行办法>的通知》
中移人[2003]334 号
董事会及审核委员会
一个积极有效的董事会及审核委员会,能够提供重要的监督功能。而且由于管理
者通常有能力凌驾内部控制,董事会对于确保进行有效的内部控制具有至关重要
的意义。
独立于管理层,使得必要的(即使是困难的并需要追根究底的)疑问能够被提
出。
董事会由 13 名董事组成,其中包括 9 名执行董事,3 名独立非执行董事,以及 1
名非执行董事。所有董事至少每三年一次重选。公司董事长为公司首席执行官,
主持公司全面管理工作;其余执行董事协助董事长负责公司运营其他方面的管理
工作。
董事会目前下设有三个委员会,分别是审核委员会、薪酬委员会和提名委员会。
其人员均由独立非执行董事构成。董事会下设的三个委员会,每年至少召开两次
会议,并将会议记录传阅董事会全体成员。审核委员会和薪酬委员会的职权范围
书会根据需要提供给要求者。
审核委员会的成员中有一名具有丰富财务知识和经验的独立董事。
主要涉及部门:董事会
文件索引:2004 年年报
审核委员会职权范围书
薪酬委员会职权范围书
提名委员会职权范围书
公司章程
当对某些特殊事项需要深入、直接的关注时,董事会及下属委员会是否参与。
董事会中的 9 名执行董事均兼任公司管理层职务,且分管各个部门的具体事务,
因此关心并且能够对所有重要和特殊事项进行深入、直接的关注并及时与其他董
事进行沟通;中国移动建立了下设三个委员会的职权范围书,管理层和各委员会
成员均清楚了解其职责所在。独立董事通过与执行董事、首席财务官、总裁、财
务经理、法律顾问等进行沟通,从而获知相关信息,并对重要的事项,例如,战
略变更,兼并收购,重大财务事项,重大协议合同等进行深入关注。
主要涉及部门:董事会及下设委员会
文件索引:审核委员会职权范围书
董事的学识和经验
中国移动的执行董事均具有良好教育背景以及 20 年以上的丰富的电信行业管理
经验。中国移动的非执行董事均具有良好教育背景及财务或金融等不同行业的丰
富的管理经验,并具备在多个知名跨国企业担任非执行董事的经历。
主要涉及部门:董事会及下设委员会
文件索引:2004 年年报
董事会议记录
董事简历
与首席财务官或财务总监、内部审计师、外部审计师进行会谈的频率和适时性。
例如是否:
审核委员会非公开地会见首席财务官、内、外部审计师,讨论财务报告流程的
合理性、内部控制系统、重要的建议和评价以及管理层的工作表现等。
审核委员会每年审阅内部和外部审计师的工作范围。
中国移动内部建立有畅通的沟通渠道,确保董事会及相关委员会充分有效地与公
司管理层及内、外部审计师进行沟通。
中国移动的审核委员会每年至少召开两次会议,与公司的财务总监、内审部主
管、外部审计师以及董事会成员就财务状况和相关信息进行沟通。且每年至少有
一次审核委员会与外部审计师的会议没有董事会执行董事出席。
在审核委员会职权范围书中明确规定,审核委员会需要监察公司的财务报表、中
国移动年度报告及账目、半年度及季度报告的完整性;同时,审核委员会需要对
财务申报制度以及公司的内部控制程序进行监督、检查。
主要涉及部门:董事会及审核委员会
文件索引:《审核委员会会议记录》
2004 年年报
董事会及审核委员会成员是否能够得到充分而适时的信息,以监控管理层的目标
和战略、公司的财务状况和经营成果,以及重要协议的条款。例如是否:
董事会和审核委员会定期获得主要的信息,例如财务报告、主要市场行为、重
要合同、谈判等;
董事和委员们认为他们获得了充分适当的信息。
董事会中的 9 名执行董事由于兼任公司管理层职务,且分管各个部门的具体事
务,因此能够及时获得充分而适时(每日、每周、每月等)的信息,包括公司的
财务状况、经营成果、重大合同以及经营预算的实现程度等。
审核委员会定期收到内审部提供的工作报告,以及在季度、半年以及年末时收到
财务报表,审阅报表及报表所在重大披露内容后将报表提交董事会审阅,并由董
事会秘书集中保管。
主要涉及部门:董事会及审核委员会
文件索引:《内审部二零零五年信息披露控制制度评估报告》
《网络管理及操作流程内部审计中期报告》
《董事会议记录》(2005 年 3 月 11 日)
董事会及审核委员会是否能够充分而适时的获知敏感信息、调查报告和违规行为
(例如:高级管理人员的差旅费、重大诉讼、监管机构的调查报告、挪用、贪污
和滥用公司资产的行为、违反内部交易规定、政治献金、非法支付等)。是否存
在相应的向董事会和审核委员会报告重大信息的程序;有关信息的传递是否及
时。
董事会成员可以通过每年四次的董事会充分掌握重大、敏感信息;内审部主管定
期直接向审核委员会汇报有关工作及建议,并由审核委员会定期向董事会做出报
告;另外,由于董事会中的 9 名执行董事均兼任公司管理层职务,且分管各个部
门的具体事务,因此如果发生重大事项,执行董事能够及时且充分的获知相关的
敏感信息、调查报告和违规行为。如果事项重大,董事长有权召开紧急董事会,
以商讨对策。
对于重大的诉讼,由中国移动财务部每半年向董事会秘书提交书面的诉讼汇报材
料或无重大诉讼的声明,并由董事会秘书在董事会会议上向审核委员会进行汇
报。
主要涉及部门:董事会及审核委员会
文件索引:《董事会议记录》(2004 年 11 月 5 日)
《中国移动(香港)有限公司有关法律法规遵守的情况》
《内审部二零零五年信息披露控制制度评估报告》
《网络管理及操作流程内部审计中期报告》
对确定高管人员和内审主管的薪酬以及对这些人员的聘用和解雇进行监控。
薪酬委员会就公司的执行董事,即公司的高级管理人员的薪酬整体架构及其成本
向董事会提出建议,并由董事会最终确定各执行董事的薪酬水平。
提名委员会主要研究并就董事会成员的聘用或解雇的有关事宜向董事会提供意见
和建议,确保有关聘用或解雇的程序规范透明,并由董事会最终确定各执行董事
的任免。
主要涉及部门:董事会、审核委员会、薪酬委员会、提名委员会
文件索引:《董事会议记录》(2004 年 11 月 5 日)
在确立“管理基调”过程中所扮演的角色。
董事会的执行董事及董事长充分参与了对管理理念的评价;董事会和审核委员会
强调管理层应该贯彻公司的管理理念,遵守公司行为准则并对此进行监督。
主要涉及部门:董事会
文件索引:无
董事会及董事会专门委员会在发现问题后能够采取的措施,包括进行特殊调查。
董事会就获知的问题或事项,确定问题的责任部门、处理措施以及进行后续监督
检查的副总裁,相关问题记录于董事会会议纪要。
由内审部汇报给审核委员会的问题,审核委员会确认解决方式,并在会议纪要内
明确跟进时间表,并由内审部进行跟进和汇报。
主要涉及部门:董事会
文件索引:《审核委员会会议纪要》(2004 年 6 月 15 日)
管理哲学和经营风格
管理哲学和经营风格通常对企业有普遍深入的影响。这些影响是无形的,但可以
找到一些积极和消极的标志。
对待经营风险的接受态度,比如管理层是否经常进行高风险投资,或者是否在接
受风险方面表现得极端保守。管理层是否在进行投资前谨慎分析风险和收益。
中国移动管理层对待中国移动的经营风险持谨慎的态度,对外投资、通信建设项
目投资与新业务开发等投资的开展均须经过事前的充分的论证和分析,并最终由
公司管理层严格把控投资项目的确立与实施。
就对外投资而言,中国移动仅有总部层面可以进行对外投资。各子公司未经批准
严格禁止对外投资,严格禁止各子公司以任何形式对外出借资金,为其他单位提
供担保、抵押或质押。在兼并和收购方面,董事会成员及管理层具有较为丰富的
收购或兼并经验。
就通信建设项目投资与新业务开发等而言,由于制度环境、市场环境方面的变
化,管理层和相关部门会参考国外经验,进行详细的投资收益、组合分析、竞争
者分析等评估后进行决策。
主要涉及部门:相关各业务部门
文件索引:《关于印发<中国移动(香港)有限公司资金管理办法>的通知》中移
港财(2003)195 号
关键岗位的人员流动情况,比如,经营、会计、数据处理以及内部审计。例如是
否:
管理层和管理人员的流动过于频繁;
关键人员在突然或短暂通知的情况下离开;
在关键岗位上,例如财务、营运、数据维护、内部审计,人员流动保持在稳定
和满意的水平上。
目前公司的人员流动情况处于正常的水平。公司通过以下手段维持合理的人员流
动水平:
与关键管理人员签定中长期的劳动合同;
通过绩效考核机制,保持员工回报的合理性;
对中高级管理层以及专业技术骨干等人员实施认股期权计划,以对其进行长效
激励;
通过劳动合同条款从一定程度上防止关键岗位人员突然流失,例如:“重点科
研项目、重点建设工程的负责人或骨干且工作任务尚未完成的以及从事公司涉
密工作,合同尚在在规定保密期内的,应待有关情形结束后,才可以解除劳动
合同。”;
推行人力资源提升项目,根据员工绩效表现和能力特长,制定员工的职业发展
计划,以确保员工的持续发展。
同时,中国移动建立对人员流动性和人员配备的适当性进行定期审阅的机制,确
保及时掌握人员流动状况。
主要涉及部门:人力资源部
文件索引:《关于印发<中国移动通信集团公司劳动合同订立和管理暂行办法>的
通知》(中移人[2002]145 号)
管理层对待数据处理和财务职能的态度,以及其对可靠的财务报告和资产保护的
关注程度。例如是否:
财务职能除被赋予核算中心的功能外,亦被视为对公司各种经营活动实施控制
的主体;
在财务报告中采用的会计政策总是导致高估收入;
如果财务职能在企业中分散管理,营运管理层对报告的结果进行签字确认;
对于重要资产,包括无形资产和信息不会被未经授权地获得或使用。
网络部、业务支撑系统部负责公司的主营业务相关的收入及结算费用等核心数据
的采集及处理,对于确保构成财务报告原始数据的准确性起着重要作用。管理层
十分重视关键业务处理系统的建立和发展,根据业务发展情况不断升级改造网络
系统、BOSS 系统等关键业务处理系统,以增强业务系统的数据处理能力。管理
层还专门投资建立了经营分析系统,提高了市场经营分析所需数据的准确性与及
时性。同时,中国移动制定政策和程序,对各个部门取得生产经营分析数据以及
其他关键信息的权限进行明确并建立对保密或关键信息内容及发送渠道的严格规
定。除规定的例行提交的报告或报表以外,各部门从财务、网络、市场、业务支
撑等部门取得关键信息应得到适当授权的人员批准。
中国移动亦十分关注人员的配备,核心数据处理部门大多数员工具有硕士或者博
士学位,以确保员工有足够的学识和能力。
管理层认识到财务职能对公司的管理的重要性,加强了 MIS 系统的开发和维护,
已确保财务报表数据的准确性、及时性与完整性。公司的会计政策遵循谨慎性原
则。对于重要的财务报告,例如季度报告、半年报、年度报告,必须经过首席财
务官、首席执行官和审核委员会的审阅方可对外公布。财务部除负责账务核算以
外,亦采与商务谈判及合同审查等。
主要涉及部门:财务部、计费账务中心、网络部
文件索引:《中国移动业务支撑系统数据安全管理办法(试行)》
高层管理人员和经营管理人员的交流和互动的频率,尤其是对于地理距离较远的
经营地点。如高级管理层是否经常现场视察分支机构的经营情况,公司或分支机
构的管理层会议是否经常召开。
每年年初,中国移动召开总裁办公会,公司管理层与各省公司总经理及高级管理
人员进行上年度总结与下年度的工作计划。年度中期,召开总经理座谈会,就经
营过程中的重要事项进行讨论。
对于日常经营事务的考察,中国移动网络部以及业务支撑系统部制定了组巡制
度,定期对业务流程的不同方面进行全面的考察。财务部、市场经营部等其他部
门会对各省公司进行不定期的视察。
主要涉及部门:网络部、业务支撑系统部、市场经营部
文件索引:《在 2005 年中国移动通信集团公司工作会议上的报告》
《在 2005 年中国移动通信集团公司总经理座谈会上的讲话》
《关于进行 2004 年网络组巡检查的通知》网通 [2004] 275 号
《关于下发 2004 年度业务支撑网组巡检查项目的通知》计业通 [2005]
12 号
《2003 年业务支撑网组巡检查初评结果-广东公司》
《服务质量检查暨研究第一阶段-话费信息汇总报告》
对财务报告的态度和采取的行动,包括会计处理的争议(例如选择保守的或冒进
的会计政策;会计原则是否被误用;是否存在未披露的重要财务信息;是否存在
操纵、篡改会计记录的现象)。
管理层采用谨慎的会计处理原则并努力确保财务报告的准确和公允。目前公司与
外部审计师之间没有就会计处理产生过较大争议,外部审计师亦未提出过审计调
整。
就信息披露而言,为满足上市地监管机构对于披露的要求,中国移动于 2002 年
成立了信息披露委员会,成员包括了公司管理层及各职能部门主要负责人,直接
向董事会汇报。信息披露委员会制定了信息披露制度,明确了信息收集方法、信
息披露的程序以及监督措施等,以确保对外披露信息的一致性和准确性。
在编制半年报、年报时,香港信息披露委员会向各个部门发放基础问题清单,列
示上市地监管机构需要披露的各项信息,相关部门根据香港信息披露委员会的问
题需求清单进行答复,各部门负责人审阅后汇总到综合部,并进而提交至香港信
息披露委员会。在信息披露过程中,各部门负责人对本部门披露的信息进行审阅
和审查后,应签字确认并由综合部对书面文件进行集中归档,以建立有效的问责
制。
香港信息披露委员会针对各类披露要求建立完整的对外信息披露清单,由信息披
露委员会或专门的机构或人员对经营地点和上市地点信息披露的监管法规进行持
续监控,以确保披露范围、内容的准确性和完整性,并确保向各部门及省公司及
时更新对外信息披露清单。
主要涉及部门:董事会(信息披露委员会)、财务部
文件索引:《中国移动(香港)有限公司信息披露内部控制制度》
基础问题清单
组织结构
公司的组织结构既不可过于简单以至于不足以对企业经营进行适当监控,同时也
不可过于复杂而阻塞信息流转。高层管理人员应当完全理解其控制责任并具备与
其职位相称的必要的经验和知识水平。
公司组织结构的适当性,以及该结构为管理公司运作提供必要信息的能力。例如
是否:
考虑到公司的实际经营情况,组织结构即不过分集中也不过分分散;
组织结构有利于信息的上行下达并且贯穿所有经营行为。
中国移动各主要部门的组织结构比较清晰,职责比较明确。在机构设置中,将市
场经营部、数据部设置为核心业务管理部门,业务支撑系统部、管理信息系统
部、计划部、网络部、技术部、财务部以及人力资源部等作为核心业务的支撑部
门。各部门内设置总经理,下设各职能处室,各处室领导直接向部门总经理汇
报,部门总经理向公司管理层汇报。
中国移动建立了定期或不定期的对公司组织结构进行分析评价的系统化机制,根
据市场变化、业务发展需求,综合考虑现有架构的合理性,及时发现现有组织结
构中不适应经营和信息沟通的环节并做出相应调整,根据实际需要对组织结构进
行调整。各部门亦可以提出部门内部机构调整的需求并提交给中国移动人力资源
部下设的机构编制委员会,机构编制委员会会兼顾全公司的组织结构情况,提交
公司管理层决策。
机构编制委员同时对下属子公司的组织架构进行持续监控,定期审阅子公司组织
架构及其合理性,并就其与总部组织架构的差异进行评价,以便于总部各部门对
下属子公司对口部门的归口管理。
主要涉及部门:人力资源部
文件索引:《关于部分调整集团公司总部机构及人员称谓的通知》中移人
[2005]171 号
对关键管理人员职责定义的充分性,以及其对自身职责的理解程度。例如是否:
经营职责和管理层对企业经营活动的期望被明确传达给管理这些活动的管理人
员。
中国移动对全部职位建立统一的职位说明书,尤其针对履行关键管理职责的人员
的职责和权限等进行明确的书面描述,其中包括职责、权限、汇报关系以及任职
条件等内容,职责中涵盖与控制相关的描述。该书面职责描述经公司管理层审阅
批准,并由人力资源部定期根据职责、权限的变化进行及时更新。中国移动的关
键管理人员除了根据职位说明书对自身职责进行理解以外,亦根据其经验、所在
部门的职责以及与管理层的沟通等方面,对自身的职责进行理解。
中国移动每季度以及年末会对员工进行绩效考核,关键管理人员可以通过绩效考
核结果以及管理层的反馈意见进一步了解自身工作岗位的职责以及公司对其的期
望。
主要涉及部门:人力资源部
文件索引:无
关键管理人员是否具备足够的知识和经验以履行其职责。
中国移动对于中、高级管理人员以及省公司高级管理层的任免有明确的要求,中
国移动人力资源部通过德、能、勤、绩、廉五方面对备选人的综合素质进行评
价,并报公司管理层最终审批。
中国移动可以通过每季度以及年末会对关键管理人员进行绩效考核以持续了解其
是否具备足够的知识和经验以履行其职责。
主要涉及部门:人力资源部
文件索引:《企业领导人员管理暂行办法》
《关于 XX 同志职务任免的通知》
《关于开展集团公司二级、三级经理 2004 年考核工作的通知》
《关于印发〈中国移动通信集团公司领导人员廉政谈话制度(试
行)〉的通知》中移纪监[2003]276 号
汇报关系的适当性。例如是否:
建立了正式或非正式的, 直接或矩阵式的报告关系,并且能够向管理人员提供
与其职责和权限相当的适当信息;
经营活动的管理人员可通过适当的渠道同高级管理人员进行沟通;
信息技术安全制度及安全标准已涵盖主要信息技术控制领域;
信息技术安全制度及安全标准可与相关部门和子公司进行充分沟通;
信息技术部门了解 SOX 法案的要求并将相关控制要求体现于内控制度文档。
根据中国移动的组织结构,管理层建立了相应的自下向上的报告关系,使各部门
能够及时与管理层进行沟通。各部门内部可通过每月举行的部门全体员工例会,
确保信息及时提供给管理层。同时,中国移动各部门之间除了日常沟通外,通过
每月举行的月度生产经营分析会,确保各部门管理层及时获知经营信息以及各部
门之间相互沟通。
目前中国移动亦正在根据《萨班斯法案》的要求制定相关的信息技术管理制度,
并即将这些制度通过内控项目组推行至各省公司。各省公司可以按各自的实际情
况对制度进行进一步细化,但不得低于实施最低标准。
中国移动信息技术部门对省公司的管理主要通过制定政策、标准及实施细则等方
面进行指导,另外在各主要项目开发中对安全及内控的实施提供指导性文件。各
省公司根据中国移动的政策、标准及实施细则对所属信息业务进行日常管理。
主要涉及部门:人力资源部、管理信息系统部,网络部,业务系统支撑部
文件索引: 组织结构图
《市场经营部五月份工作例会会议记录》
《财务部工作计划表》(2005 年 9 月)
《生产分析会议纪要-第 6 期》
《 关于加强 MIS 系统安全管理工作的通知》
为适应经营环境变化而对组织结构进行相应改变的程度。例如是否:
管理层根据业务或行业的变更定期评价公司的组织结构
中国移动建立了定期或不定期的对公司组织结构进行分析评价的系统化机制,根
据市场变化、业务发展需求,综合考虑现有架构的合理性,及时发现现有组织结
构中不适应经营和信息沟通的环节并做出相应调整,根据实际需要对组织结构进
行调整。例如,在近期结构调整前,数据部下设集团客户处。随着业务的发展,
集团客户的地位逐步提高,为了顺应市场发展的需求,中国移动层面将原有的集
团客户处单独分离出来,成立集团客户部以确保集团客户业务得到更好的发展。
主要涉及部门:人力资源部
文件索引:无
确保有足够的员工,尤其是管理和监督人员。例如是否:
经理和主管人员有充足的时间来有效地履行职责;
经理和主管人员需要过多地加班且工作负担超出个人负荷。
中国移动管理层认为员工数量基本可以与公司的发展相匹配。中国移动的各个经
营管理方面由副总裁直接分管,各个部门以及处室也配备了足够的管理人员。管
理层亦在经营管理过程中,注意平衡部门的岗位与员工的工作量。各关键部门,
诸如市场、数据、网络、业务支撑、财务等部门,基本可以保证有足够的员工进
行日常工作。
中国移动的业务发展迅速,但员工数量基本可以保持匹配,由于部门的特殊用人
需要或者业务发展而需要扩充员工规模时,可由用人部门及时向人力资源部提出
用人申请,现有的用人缺口反馈机制和招聘机制可保证人员的及时补充。
中国移动定期对财务部门相关人员进行美国公认会计原则和香港公认会计原则方
面的培训,充分关注财务部对根据美国和香港公认会计原则进行会计处理和核算
方面的需要,加强财务部门管理和监督人员在相关方面的技能和水平。中国移动
财务部建立了对适用的美国公认会计原则和香港公认会计原则进行收集、整理和
定期更新的工作程序。
主要涉及部门:人力资源部、财务部
文件索引:无
职权和职责的分配
职责的分配、职权的下放和相关政策的制定为确立权利义务、内部控制以及明确
个人的角色分工奠定了基础。
适当分配职责并下放职权,以实现公司目标、完成经营职能和遵循法律法规的要
求,包括信息系统中的职责分配和对职责变更的授权,考虑是否:
不同的职责和权限适当地分配给公司的全体员工;
决策权与员工的职责和权限相关联;
职责和权限的分配以充分的信息为依据。
中国移动管理层根据部门结构、职位说明书、员工的职级以及其具体的工作范围
和性质分配职责并赋予相应职权。
在合同审批以及费用审批方面,相关的制度明确了各级管理层的审批权限。
在合同审批方面,规定金额在 50 万港币以上的合同,经承办部门主审后,报综
合部、律师、财务部门会签后,再报公司董事长或其授权人书面批准;金额在 50
万以下的,只需报经公司主管领导书面审批。
在费用审批方面,《中国移动通信集团公司财务预算管理办法(暂行)》中明确
规定实行三级审批制度,根据费用的类型以及金额,对应履行部门审批(经办部
门总经理审批)、一级联签审批(由经办部门或归口部门和财务部门总经理签字
批准)或二级联签审批(由经办部门或归口部门、财务部门总经理、业务主管副
总裁和财务主管副总裁签字批准)的相关程序。授权审批人可通过书面形式指定
不超过 2 人的代理审批权人,并仅可在紧急及部门总经理出差在外的情况下,使
用该代理审批权。
员工在各种信息系统中的使用权限根据其职责范围进行设置。中国移动制定正式
的政策和程序,要求相关部门定期对行使关键岗位职权的员工在信息系统中的访
问和使用权限比照其职责范围进行审阅。对于因职责范围变化引起的用户权限变
化,及时通知信息系统维护部门及时进行更新,以确保信息系统内用户权限与职
责的一致性。
与控制相关的标准和程序的适当性,包括员工的职责描述。例如是否:
存在对员工的职责描述,至少针对管理层和业务主管人员;
员工职责描述中特别涉及其与控制相关的职责。
中国移动部门划分较为清晰,且各部门之间有较为明确的职责分工和定义。各部
门之间能够根据自身的职责分工协调配合并建立问责制。
中国移动各部门对关键职位建立职位说明书,对各职位的职责和权限等进行明确
的书面描述,其中包括职责、权限、汇报关系以及任职条件等内容,职责中涵盖
与控制相关的描述。该职位说明书经公司管理层审阅批准,并由人力资源部定期
根据职责、权限的变化对其进行及时更新。
主要涉及部门:人力资源部
文件索引:《中国移动通信集团公司各部门职责》
某职位的书面职责描述
有适当数量的员工,尤其是对于数据处理和财务岗位。员工具备与企业规模、经
营行为和系统的特点和复杂程度相适应的技能水平。
中国移动管理层认为员工数量基本可以与公司的发展相匹配。员工基本具备与企
业规模、经营行为和系统的特点和复杂程度相适应的技能水平。
中国移动建立对人员流动性和人员配备的适当性进行定期审阅的机制,确保管理
层及时掌握人员数量的适当性。
此外,中国移动定期对财务部门相关人员进行美国公认会计原则和香港公认会计
原则方面的培训,充分关注财务部对根据美国和香港公认会计原则进行会计处理
和核算方面的需要,加强财务部门管理和监督人员在相关方面的技能和水平。
主要涉及部门:人力资源部
文件索引:无
是否赋予员工与其职责相适应的职权,例如是否:
适当平衡完成工作所需的职权和高级管理人员的参与之间的关系;
员工有权纠正发现的问题或实施改进措施,相关权限根据员工能力和职权界限
进行履行。
管理层根据员工的工作责任、专业知识和技能以及过往表现分配职责并赋予相应
的职权。对于关键岗位人员,如业务支撑、网络开发、信息系统维护等,根据风
险和重要性原则,由管理层向经验丰富、工作能力强的人员委派职责、建立职
权,以确保经营活动的顺利进行。
中国移动在职责描述中亦加入各职位的审批权限或职责权限,作为对职责描述的
细化,便于各级别人员更有效的履行审批职能。
主要涉及部门:人力资源部
文件索引:《中国移动(香港)有限公司合同管理办法》
《关于印发<中国移动(香港)有限公司资金管理办法>的通知》中移
港财(2003)195 号
授权文件实例
人力资源政策和实务
适当的人力资源政策对于企业招聘并留住有能力的员工,以确保企业计划正确执
行并达到既定目标,具有决定性的作用。
是否存在适当的雇佣、培训、提拔和薪酬政策和程序。例如是否:
存在政策和程序来招聘或培养胜任并且可信赖的员工,这些员工对支持一个有
效的内部控制系统是必须的;
对招聘和培训合适的员工给予适当关注;
如果不存在书面的政策和程序,管理层就招聘员工的期望进行沟通或亲自参与
招聘过程;
制定对普通员工的信息技术培训计划;
对员工信息技术培训的主要内容涵盖应用系统使用、信息技术技能、系统安全
实践、保密准则以及内控等方面。
中国移动存在完善的雇佣、培训、考核和任免以及薪酬管理的政策和程序。
雇佣
集团公司制定有完善的员工招聘管理办法,中国移动参照执行。招聘新员工由用
人部门提出需求,人力资源部统筹制定招聘计划,安排招聘。用人部门和人力资
源部及外聘专家组成的综合考评小组对应聘人员进行评价,并按管理权限和有关
管理规定报批。
培训
《中国移动通信集团公司员工培训管理暂行办法实施细则》中规定各部门应在每
年 12 月份向人力资源部报送下一年度培训计划,经人力资源部汇总并报公司管
理层批准后执行。人力资源部负责落实年度培训计划,并监控培训计划的执行情
况。
制定对于普通员工的信息技术技能定期培训计划,同时辅以有效的考核方式来确
保培训结果。信息技术部门每年根据信息系统的建设和使用情况对普通员工组织
进行信息技术技能培训。新员工的培训主要围绕信息技术部门的介绍,在职员工
培训主要是对于公司内部新上线的信息系统使用培训如 MIS 系统的使用。
对于信息系统,保密规则及安全政策的培训成为普通员工的必修培训课程。员工
在培训后,签字确认已得悉公司的安全政策,不会违反相关的守则。
考核和任免
中国移动的员工的职位变更和薪酬调整根据每年年末的个人综合业绩评估决定,
各部门员工的职位变更和薪酬变动需要经过本部门管理层的审批,报人力资源部
备案。
对于中、高级管理人员以及省公司高级管理层的任免,中国移动人力资源部经过
对备选人德、能、勤、绩、廉五方面的评价,报公司管理层最终审批。
薪酬
集团公司制定了职位、薪酬、绩效管理办法,中国移动参照执行。每季度末及每
年年末,中国移动对全体员工进行绩效考核,根据季度考核结果决定员工的变动
收入水平,根据年终考核结果决定下一年度固定收入水平。
主要涉及部门:人力资源部,管理信息系统部,网络部,业务系统支撑部
文件索引:《关于印发<中国移动通信集团公司员工招聘管理暂行办法>的通知》
中移人[2003]334 号
《关于印发<中国移动通信集团公司劳动合同订立和管理暂行办法>
的通知》(中移人[2002]145 号)
《中国移动通信集团公司员工培训管理暂行办法实施细则》
《关于印发〈中国移动(香港)有限公司职位、薪酬、绩效管理暂行
办法〉的通知 》中移港(2002)第 2 号
《关于印发〈中国移动通信集团公司员工薪酬福利管理暂行办法〉的
通知》 移人劳资[2002]122 号
《MIS 培训安排》
员工了解其职责和公司对其期望的程度。例如是否:
新员工知悉其工作职责和管理层对其的期望;
主管人员定期审阅雇员的工作履行情况并提出改进建议
员工通过经管理层批准的职位说明书、日常工作和与管理层的沟通理解自身职责
并通过面试、培训、绩效考核评估等方式了解公司对其的期望。
员工每季度以及年末会进行定期的绩效考核评估,各部门管理人员通过日常对员
工的观察以及定期的绩效考核来审阅员工的工作履行情况,并对其不足之处提出
改进建议。
主要涉及部门:人力资源部
文件索引:《关于印发〈中国移动(香港)有限公司职位、薪酬、绩效管理暂行
办法〉的通知 》中移港(2002)第 2 号
是否有适当的措施对违背既定政策和流程的行为予以补救。例如:
管理层履职不当时的反应是否适当;
在未能遵守既定政策的情况下,是否采取适当的纠正行为;
员工是否知晓其不当表现将导致不良后果。
中国移动制定公司层面的违背既有公司政策和程序或违反行为准则行为的处理原
则。
在《员工行为守则》、劳动合同以及各部门所下发的部门各类管理办法中规定了
对于违背既有公司政策和程序或违反行为准则的补救或惩罚措施,补救或惩罚措
施一般有口头批评、解除劳动合同等。
在具备公司层面处理原则的基础上,中国移动亦要求各部门细化并建立各自的处
理流程及程序。各部门识别并确认市场推广、采购、资金、资产等业务流程中的
高风险环节,再对高风险环节制定具体的违背既有公司政策和程序或违反行为准
则行为的处理方式、相应的补救措施以及惩罚措施。各部门在细化制定处理政策
和流程时互相协调、保持一致。
中国移动通过向员工发放《员工行为守则》,组织新员工培训以及员工自行学习
各部门下发的管理办法等方式,使员工获知违背公司既定政策和流程相关的补救
和惩罚措施。
主要涉及部门:人力资源部
文件索引:无
人力资源政策在多大程度上涉及遵循道德标准这一问题。例如正直和道德标准在
员工业绩评估时是否是一个重要的标准。
员工的考核分工作态度、学识能力和工作业绩三个方面,其中工作态度主要是针
对员工道德标准的考核。
在员工年度绩效考核中,除考核工作态度、学识能力和工作业绩三个方面的内容
以外,亦将员工道德标准作为考核的内容之一。
主要涉及部门:人力资源部
文件索引:《关于进一步完善员工绩效考核工作的通知》移人综合[2004]78 号
是否对应聘者的背景进行了充分的背景调查,特别是针对以前的某些可能与公司
行为准则相抵触的行为和活动。
中国移动通过招聘中介外聘员工,由招聘中介根据各用人部门的要求对应聘者进
行筛选,并进行资历和背景调查,了解应聘者的过往纪录,关注其是否从事过有
违公司行为准则和道德规范的行为,以协助聘用决策的做出。
主要涉及部门:人力资源部
文件索引:《关于印发<中国移动通信集团公司员工招聘管理暂行办法>的通知》
中移人[2003]334 号
《中国移动招聘面试考核记录表》
雇员留用和提拔的标准以及信息收集方式(比如业绩评估)的充分性,以及这些
标准与员工行为准则的关系。例如是否:
升职和加薪的标准得以详细描述,从而使员工知晓达到何种管理层的期望才能
得到升职和加薪;
这些标准遵守了行为准则
中国移动制定了相应的政策,对薪酬变动标准以及升职、提拔标准进行明确的规
定,相关政策通过纸质文件或者 OA 等有效渠道传达给全体员工,确保员工知晓
到其达何种管理层的期望才能得到升职和加薪的机会,以激励员工更好的为公司
做出贡献,保持公司利益与员工利益的一致性。
每年末,中国移动均对员工进行年度综合绩效考评,员工编写年度工作总结对年
度工作目标实现情况进行自我评估。各部门管理人员与员工进行沟通,根据关键
绩效指标和工作目标完成情况以及员工的综合素质进行评价,并与员工充分沟通
评估结果。年度综合绩效考评作为员工任免与薪酬调整的依据。各级管理人员将
评估结果上报部门总经理批准,并交人力资源部门。
主要涉及部门:人力资源部
文件索引:《关于印发〈中国移动(香港)有限公司职位、薪酬、绩效管理暂行
办法〉的通知 》中移港(2002)第 2 号
信息技术战略规划
信息技术战略规划是企业为满足业务需要所制定的长期规划,该规划需平衡优化
信息技术发展的机会与企业业务需求间的关系,以保证其可以得到进一步的实施
完成。
公司的信息技术战略规划主要考虑以下几个方面:
长期的信息技术战略规划;
对信息技术战略规划内容的简单描述;
信息技术战略规划的制定流程及审批流程;
信息技术战略规划是否支持业务发展的需要;
业务发展的需要是如何通过信息技术战略规划的制定流程体现到规划当中,
(如:业务部门参与信息技术规划的制定);
如何对信息技术规划的情况进行追踪及更新;
信息技术的最高管理机构及其成员构成情况;
信息技术最高管理机构的主要职责功能,及其对信息技术战略规划制定、审
批、跟踪等各方面流程的参与。信息技术最高管理机构进行决策的方式(如:
定期会议,项目会议,各信息部门的定期汇报机制等)
中国移动总部于 2003 年制定了中国移动的 3 年期信息技术发展规划。该规划收集
分析各个业务部门的业务需求, 并对于现有业务流程进行梳理, 充分考虑了中
国移动信息化基础设施建设、组织架构及人员建设等方面内容,提出远景规划。
该规划定义了中国移动信息系统从底层网络层、运营层、MIS 系统应用层、数据
仓库直到支持决策层的分层架构,并辅以企业信息门户作为用户展示的总体结
构。
该规划同时定义了信息管理部门的组织结构的原则
采用集中化管理模式
按照流程来设置部门的结构
该规划由管理信息系统部牵头委托普华永道公司通过在总部各个部门,试点省份
访谈,调研编写完成草稿,并最终由公司最高管理层审阅并在总经理汇报会讨论
通过。中国移动通过滚动调整方式,每年由管理信息系统部对信息技术发展规划
执行情况进行跟踪,信息技术发展规划的更新最终由公司最高管理层审阅并讨论
通过。
中国移动信息技术最高决策是由各个部门(企业信息化部门,网络管理部门,计
费业务部门)总经理在总部的总裁办公会上提出议案并在会上讨论通过, 会议一
般由公司副总裁领导,並由各个信息技术负责人提出意见作讨论。在每年的信息
技术战略规划的滚动更新过程中,业务部门能够充分参与研讨,并集中反映业务
需求,使得信息技术战略规划可以更好的支持业务发展需要。
主要涉及部门:管理信息系统部,网络部,业务系统支撑部,战略发展部
文件索引:《中国移动企业信息化三年规划纲要》
《关于下发中国移动企业信息化三年规划纲要(讨论稿)的通知》
信息技术组织架构及关系
企业应当建立一个具有足够数量和技能人员的组织并明确的定义其角色和职责、
以有效地根据业务需求执行企业的信息技术战略规划,并执行充分的信息技术控
制。
信息技术部门的组织和人员构成
现有信息技术部门的员工数量,学历背景及工作经验情况。人员的能力是否
能够满足信息技术工作的需要;
是否对信息部门员工制定了正式的岗位职责;
岗位职责设定是否考虑职责分工及内部控制方面要求。
目前中国移动信息技术部门包括管理信息系统部,网络部,业务支撑系统部。每
个部门各下辖若干处室。分别完成负责整体规划,需求分析,流程梳理、维护管
理的职能。
信息技术部门人员组成大多为硕士以上学历并具有多年的信息技术行业工作和管
理经验,有足够的能力担任所赋予的工作职责。信息技术部门对各岗位的职责已
制定了岗位职责描述,岗位职责设定中已考虑了职责分工及內部控制方面的要
求。
主要涉及部门:管理信息系统部,网络部,业务系统支撑部
文件索引:无
信息技术部门的管理方式
信息技术部门对各子公司信息技术部门的管理关系;
通过何种形式进行管理,如:政策,监督,定期审查,汇报机制,会议机制
等;
管理所涉及的内容,如:运行情况,安全情况,项目开发等。
总部信息技术部门对各省公司信息技术部门的管理主要是通过信息化工作会议和
公文,以及各省上报工程月报的方式进行管理,并对各省完成情况在公司内部进
行通报。
一般对管理方面的报告,均包括对项目状况的描述以及最新进度等报告。工程月
报则包括更多具体细节,如有关项目的开支情况、运行情况、涉及的人员等。
主要涉及部门:管理信息系统部,网络部,业务系统支撑部
文件索引:《信令监测系统日常管理》
信息技术部门的人力资源管理
人力资源管理用以保证获得并保持具有胜任信息技术工作能力的员工以保证信息
技术工作的顺利进行。
是否制定对信息技术部门员工培训的培训计划;培训的主要方式(如:内部培
训,外部厂商培训等)
信息技术部门不定期对员工进行培训,主要是伴随着工程项目进展或者主要新技
术的变化来组织培训。企业信息化部门每年都有培训计划,并在人力资源部门报
批。培训一般会根据需要,由资历较深的员工或外包的培训导师主持,所有员工
的培训记录均由人力资源部记录。
主要涉及部门:管理信息系统部,网络部,业务系统支撑部,人力资源部
文件索引: 《2005 年管理信息系统部年度培训计划》
《 Oracle-IBM 培训课程整体安排》
用户教育和培训
用户教育和培训用于保证企业最终用户可以有效的利用信息技术资源,并对信息
风险以及个人相应职责保持应有的警觉。
信息技术部门对公司内部普通员工的培训
是否制定对公司普通员工的信息技术培训计划;
对员工信息技术培训的主要内容,如:应用系统使用,信息技术技能,系统
安全实践,保密准则,及内控方面要求等。
信息技术部门每年根据信息系统的建设和使用情况对普通员工组织进行信息技术
技能培训。新员工的培训主要围绕信息技术部门的介绍,在职员工培训主要是对
于公司内部新上线的信息系统使用培训如 MIS 系统的使用。
中国移动总部制定有对普通员工信息技术技能的培训计划,包括对信息安全政策
的培训。此外在雇员合约内亦注明员工必需遵守公司的信息安全守则。
负责部门:管理信息系统部,网络部,业务系统支撑部,人力资源部
文件索引:《MIS 系统培训资料(Appendix 11 附件 11-培训_V13)》
风险评估
企业层面目标
当企业存在有效的控制时,应已先行建立了目标。企业层面的目标中包括了与企
业希望取得的成就有关的充分陈述,并以相关战略计划作为支持。描述企业已经
建立的企业层面的目标和主要战略计划。
在多大程度上,企业层面的目标充分提供了企业期望获得的成就的陈述和指导,
并且此目标足够具体,与本企业直接相关。例如是否:
管理层建立了企业层面的目标;
这个企业层面目标不同于那种适用于所有企业的一般性的目标(例如,有充
足的现金流量;或者对投资产生合理的回报等)。
中国移动全面实施“新跨越战略”,实施“新跨越战略”的长期目标是“成为卓越品质
的创造者”,“新跨越战略” 指“做世界一流企业,实现从优秀到卓越的新跨越”,
其战略定位是“做世界一流企业,成为移动信息专家”。“做世界一流企业”,要求
中国移动具有世界一流的管理水平,保持世界领先的运营效率;领导业务、服务
和技术创新,实行国际化运作,引领行业发展方向;保持业绩稳定增长,持续创
造更大价值,确立行业主导地位,全面实现企业与社会的协调发展。“成为移动
信息专家”,要求中国移动主动适应新需求、新竞争、新环境,以优质服务和创
新业务持续满足客户多样化、个性化和信息化的需求,不断扩大移动通信的信息
提供份额和生活服务份额,成为社会不可缺少的信息载体、工作助手和生活伴
侣,长久保持专家地位和领先优势。
主要涉及部门:发展战略部
文件索引: 《中国移动通信 2006-2010 年发展规划》
《‘创世界一流’之路——中国移动通信集团公司发展战略》
《中国移动企业文化理念体系》(2006 年)
企业层面目标是否有效地传达给了员工和董事会。
中国移动于 2000 年年末提出了“争创世界一流通信企业”的长期战略目标,并于
2005 年提出中国移动新的战略目标定位与“争创世界一流通信企业”相延续并超越
成为“做世界一流企业,实现从优秀到卓越的新跨越”。战略目标由公司管理层即
董事会的大部分执行董事通过反复讨论确立的,并通过召开董事会传达给全体执
行董事及独立非执行董事。
企业长期与短期战略目标制定并体现在企业的业务发展计划中,中国移动每年制
定公司的业务发展计划,并实时根据环境和业务的变化进行必要的调整。各级管
理人员和员工通过定期的管理层会议、部门会议和 OA 系统等获知长期战略目标
和业务发展计划。
主要涉及部门:董事会、发展战略部
文件索引: 《中国移动通信 2006-2010 年发展规划》
《中国移动企业文化理念体系》(2006 年)
企业战略是否跟企业层面目标保持关联和一致。
中国移动根据战略目标制定了为实现这些目标所要采取的行动方案和必要的资源
分配方案,即企业战略。
中国移动于 2005 年在原 2000 年提出的“争创世界一流通信企业”的长期战略目标
的基础上,建立了“新跨越战略”。实施战略的主要途径为“打造卓越的运营体系,
建设卓越的组织,培育卓越的人才”。其中:
打造卓越的经营体系,意味着中国移动将努力建设一流的通信网络和运营支撑
系统、一流的营销服务体系、一流的研究开发体系以及一流的企业信息化系
统;
建设卓越的组织,即不断健全和完善组织架构,增强企业活力,努力形成创
新、高效、和谐、富有责任感的学习型组织,称为社会的优秀组成部分。
培育卓越的人才,即致力于培养富于远见、充满激情、意志坚定、勤奋务实、
诚实守信、认真负责、尊重他人、乐于分享、职业化的人才队伍。
中国移动于 2006 年起,启动实施以“一个中国移动”为核心的“卓越工程”,旨在突
出并发挥中国移动的整体性、规模性和一致性,全面系统提升公司的运营水平、
管理能力和执行能力,在文化、战略、运营管理层面实现中国移动纵向统一和横
向联动。
在文化层面,塑造中国移动统一的企业文化体系;在战略层面,建立战略制定、
绩效考核、资源配置的闭环管理体系,完善资源的最优配置;在运营管理层面,
建立以客户为中心的高效运营体系和端到端服务的标准化管理体系,优化提升核
心业务与管理流程,用标准化流程规范员工行为,促进各部门、各层次、各地区
的无缝合作和良性互动。
主要涉及部门:发展战略部
文件索引:《‘创世界一流’之路——中国移动通信集团公司发展战略》
《中国移动企业文化理念体系》(2006 年)
企业的业务发展计划和预算以及企业层面的目标、企业战略计划和企业现状之间
是否保持一致。例如是否:
计划和预算中的假设和前提反映了企业的历史经验和现状;
计划和预算具有适当的详略程度以满足不同级别管理层的需要
为达到企业的战略目标,中国移动制定了相应的企业发展战略,年度业务发展计
划和预算根据企业发展战略而制定。
中国移动执行全面预算管理体系,强调从企业战略出发,通过预测和目标设定、
业务计划编制、预算编制、预算审批和下达、预算执行控制、预算报告和分析、
预算调整、预算绩效考核,将预算的事前编制、事中控制和事后分析考核的各个
环节作为一个整体进行管理,充分保证中国移动的业务发展计划和预算以及长期
战略目标、企业战略计划和企业现状之间保持一致。
主要涉及部门:财务部
文件索引:《中国移动 2004-2006 年落实“双领先”战略措施纲要》
《关于编制 2005 年度经营目标预算的通知》中移有限财[2004]38 号
《关于下达 2005 年度经营业绩及运营管理主要目标的通知》中移有
限财[2005]11 号
《全面预算管理办法》
经营活动目标
经营活动目标产生于公司层面目标和企业战略,并与其相联系。经营活动目标经
常被表述为具有特定目的和最终期限的目标。对每个重要的经营活动都应该建立
目标,这些经营活动目标应该保持互相一致。
是否将经营活动目标与公司层面目标和战略计划相关联。例如是否:
所有重要的经营活动目标是否相关联;
经营活动目标得以定期审阅以确保其相关性。
在中国移动公司层面目标与企业战略的大框架下,各个部门制定本部门的年度经
营活动目标,使之服务于公司层面目标和战略。各部门将经营活动目标报送部门
总经理及高级管理层批准。
各部门根据不同的业务流程现状及发展要求明确达成经营活动目标所需实施的阶
段性措施、主要工作及项目,并将其录入战略措施纲要评估系统中。各部门通过
该电子化评估平台建立经营活动目标与企业战略的对应关系,并通过一年两次的
评价过程,使管理层可直接对战略目标的实现程度进行监控。
管理层建立了关键绩效指标,从财务、客户、创新、管理方面对各部门进行绩效
考核,对经营活动目标的实现程度进行量化。
主要涉及部门:财务部及相关各业务部门
文件索引:《中国移动 2004-2006 年落实“双领先”战略措施纲要》
《战略实施评估电子化介绍》
经营活动目标相互之间是否具有一致性。
经营活动目标的制定服务于企业战略目标与企业战略。为了确保其相互之间的一
致性,中国移动管理层会审批年度的经营活动目标,并通过定期的部门绩效考核
对重要经营活动的目标进行总体监控。
主要涉及部门:财务部及相关各业务部门
文件索引:《关于印发 2005 年集团公司各部门主要工作任务考核指标细化表的
通知》中移人[2005]116 号
《2004 年集团公司部门年终考核办法》
经营活动目标针对主要业务流程的适当性。例如是否:
就与商品和服务及其支持性业务流程相关的关键经营活动建立了目标;
经营活动目标跟以往的实践和经验或行业特点和惯例相一致,并可对存在的差
异进行解释;
针对各重要的经营活动均建立了目标。
在中国移动公司层面目标与企业战略的大框架下,各个部门均制定了本部门的年
度经营活动目标,使之服务于公司层面目标和战略。在经营活动目标的制定过程
中,管理层参照公司以往的实践经验和行业特点;由于行业内企业具有相似的目
标和经营模式,在特定目标设定和评价过程中,管理层不仅考虑公司的历史情
况,还与同业情况(包括国际企业)进行对比。
主要涉及部门:相关各业务部门
文件索引:《全面预算管理办法》
经营活动目标的特征性,例如目标是否包括衡量标准。
中国移动根据每项经营活动设置了不同的指标,在部门绩效考评指标体系通过
EBITDA 率、客户满意度、新业务收入比例 以及 IT 支出比例等关键绩效指标衡
量财务、客户、创新和管理四方面的内容。部门绩效考评指标分解为员工个人承
担的具体量化指标。
在经营分析系统中,设置了经营分析系统指标体系,从 BOSS 系统、网管系统、
MIS 系统以及外部数据中取数,作为经营目标的衡量标准,向管理层提供可用于
经营分析的数据。
主要涉及部门:财务部及相关各业务部门
文件索引:《关于印发<经营业绩考核办法>的通知》(中移有限财[2005]5 号)
有充足的资源支持目标,例如是否:
管理层能够确定实现目标所需的资源;
为获得必要的资源制定了计划(例如,资金、人力资源、设施、技术)。
中国移动实行全面预算管理体系,根据年度业务发展计划,各部门就达成经营目
标所需的资源进行规划并通过年度预算上报给管理层审批,以保证各经营目标的
实现能够取得技术以及投资方面充足且及时的支持。
人力资源方面,各部门会依据下年度的工作计划安排人员,将具备较好工作胜任
能力的员工安排到业务发展的重要岗位;如果人员出现缺口,则将人员需求及时
上报人力资源部。由人力资源部统筹安排人员招聘计划,以确保有充足的人力资
源支撑经营目标的实现。
主要涉及部门:财务部、人力资源部及相关各业务部门
文件索引:《关于下达 2005 年度现金流量预算的通知》
管理层是否确定了哪些经营活动目标对实现公司层面目标而言是重要的(即关键
成功要素)。
中国移动建立了“成为卓越品质的创造者”的长期目标和“做世界一流企业,实现从
优秀到卓越的新跨越”的长期战略目标。
为了实现“新跨越战略”,中国移动明确了实施“新跨越战略”的主要途径和重要举
措,与经营活动相联系(具体参见 )。公司管理层根据战略措施的落实以及
完成情况,对中国移动短期战略目标的实现进行持续监控。
主要涉及部门:相关各业务部门
文件索引:《中国移动通信 2006-2010 年发展规划》
《中国移动企业文化理念体系》(2006 年)
所有级别的管理层人员是否均参与目标的制定及其服务于目标的程度。
中国移动的经营活动目标由高级管理层协同相关部门总经理共同制定。中国移动
各部门内部的年度经营目标也需经过部门各处室经理审阅,部门总经理审批,最
终还需获得中国移动管理层批准。
主要涉及部门:相关各业务部门
文件索引:无
风险
企业的风险评估程序应该考虑相关风险的迹象,包括企业层面和经营活动层面。
风险评估程序应该考虑可能影响目标实现的外部和内部因素,并且这些程序应该
分析风险,并且提供一个管理风险的基础
是否有充分的机制来发现外生风险。例如,考虑管理层是否考虑过以下因素带来
的风险:
资源供应;
技术变化;
债权人的要求;
竞争对手的行动;
经济环境;
政治环境;
监管;
自然事件。
管理层对公司层面的外生风险进行评价和分级,并了解风险变化的情况;各部门
通过每月的生产经营分析会向管理层汇报其所了解的风险并提出风险管理方案。
在日常经营管理中,管理层建立了一定的监控和沟通机制,使业务部门将其在日
常管理中意识到的战略性风险和机会向管理层进行及时汇报并提请其注意;管理
层亦通过其掌握的信息确认战略性风险和机会并通过总经理工作会和各种专题会
议等传达至相关业务部门,由其负责必要的跟进工作。管理层通过监控经营活动
对可能存在的外生风险于企业的影响进行评价。
公司正逐步开展建立系统化的风险评价和管理机制的相关工作。
主要涉及部门:相关各业务部门
文件索引:《中国移动 2005-2007 年产业环境分析报告》
是否有充分的机制来发现内生风险。例如,考虑管理层是否考虑过以下因素带来
的风险:
人力资源;
财务状况;
信息系统。
各部门通过每月的生产经营分析会向管理层汇报其所了解的风险并提出风险管理
方案。管理层建立了一定的监控和沟通机制,使业务部门将其在日常管理中意识
到的内生风险向管理层进行及时汇报并提请其注意;管理层亦通过其掌握的信息
确认内部风险并通过总经理工作会和各种专题会议等传达至相关业务部门,由其
负责必要的跟进工作。管理层通过对经营活动的监控发现和评价在人力资源、财
务、信息系统等方面的各种内生风险。
同时,内审部采用以风险为导向的审计方法,对纳入审计范围的省公司进行高层
次风险评估,从策略管理机制、核心业务流程以及资源管理机制等方面对各省公
司的业务流程风险,尤其是内生风险进行评级,并取得当地管理层的确认。
主要涉及部门:内审部及相关各业务部门
文件索引:《‘震荡波’病毒事件处理总结报告》
《网络安全运行情况分析》
《关于整顿和加强资金安全管理工作的通知》中移有限财[2004]31 号
对每个重要的经营活动目标确定了相应的风险
中国移动在制定内部控制的政策和程序的过程中,通过明确经营活动和风险的对
应关系,确保内部控制措施的完整性。
主要涉及部门:内审部、财务部
文件索引:无
风险评估程序的完整性和相关性,包括估计风险的重要性,发生的可能性和制定
相应采取的措施。例如考虑是否:
通过正式的程序或非正式的日常管理行为来分析风险;
确认的风险与相应的经营活动目标相关;
适当的管理层参与了风险分析
中国移动定期根据企业目标和重要的经营活动目标,对企业层面和流程层面的风
险进行确定和评价,并通过定期对内部控制的审阅评价管理风险措施的充分性。
对企业可能涉及的风险和分类进行定义;收集信息、了解现状;梳理流程,展开
具体流程中的操作步骤,选出核心流程或步骤;评估风险等级;确定风险,选择
对策。例如:管理层每月通过月度生产经营分析会对公司经营活动、市场风险和
竞争风险等进行分析和研究对策。
主要涉及部门:内审部及相关各业务部门
文件索引:无
对环境变化的管理
经济、行业和监管环境不断变化,同时企业也在不断发展。企业因而需要一种机
制以确认环境的变化化并做出反应。
是否存在适当机制,可以凭借其预测及确认影响企业层面或经营活动层面目标实
现的日常事件和活动,并做出适当的反应。
各部门根据其职责分工,将其在日常管理中遇到的影响企业层面或经营活动层面
目标实现的日常事件和活动向部门管理层以及公司管理层汇报并提请其注意;各
级管理层通过其对各部门的日常管理和运作的紧密监控,及时指导并做出适当反
应。
主要涉及部门:相关各业务部门
文件索引:《中国移动 2005-2007 年产业环境分析报告》
是否存在适当机制,可以凭借其确认那些对企业有重大及深远影响,因而需要高
层管理人员加以重视的各种情况变化,并作出适当的反应,其中包括下述方面发
生的潜在变化:
经营环境的变化
雇佣新员工
使用新的或重新设计的信息系统
公司经历迅速发展时期
新技术的出现
新的产品线、新产品、新的经营行为或并购
公司重组
跨国经营
中国移动各业务部门在一定程度上可在日常管理中确认其意识到的战略性风险和
机会,并通过提交专题分析报告等方式向管理层汇报以供管理层审阅决策。同
时,管理层会定期召开生产经营分析会以及专项会议对涉及公司经营管理的重大
问题进行决策。当管理层认为有必要对此进行评估时,责成适当的部门牵头,会
同其他部门对此进行研究论证。
主要涉及部门:相关各业务部门
文件索引:《关于进行国际话务网网管和国际信令网网管系统融合的请示》
《中国移动的客户品牌体系汇报》
《WLAN/GSM 室外覆盖共基站的可行性调查》
《中国移动 3G 市场策略》
信息风险评估
风险评估用于对信息技术所承受威胁进行客观分析,对企业的重要决策因素进行
认定,以支持管理层为达到信息技术目标所作的决策。企业应当通过对信息系统
风险的认定,风险影响的大小以及按成本效益原则为减少风险所采取的措施等活
动以实现风险评估的控制。
B 信息技术部门对信息风险的评估及控制
信息技术部门是否有一个企业层面和业务活动层面的风险评估框架,以用来定
期对影响企业目标实现的信息风险进行评估?它是否考虑到威胁的概率和可能
性;
对信息风险评估执行的具体方式途径描述。
中国移动在信息安全政策体系中在企业和业务活动层面上对信息系统建立一個整
体的风险评估框架及流程,特别是包括确定风险和安全漏洞对资产的威胁,并评
价风险发生的可能性以及潜在的影响。在此基础之上根据风险评估结果确认需要
进行控制的风险范围,确定风险管理的策略或方法,并识别剩余风险,确认风险
是否已经降至企业可以接受的水平。
中国移动在具体的项目开发活动及信息技术政策、标准制定工作中,均对信息技
术所面临的风险给与了充分的考虑。在每次的信息技术项目启动前,应根据此风
险评估框架及流程统一评价不同的建议或可能性,以決定各个建议所涉及的风险
是否在可承受范围內。
主要负责部门:管理信息系统部,网络部,业务系统支撑部
文件索引:《网络与信息安全管理体系汇报》
控制活动
控制活动包括一套全面的政策和相关的执行程序,从而确保管理层的指令得到正
确执行。这些政策和程序有助于企业采取适当措施,管理风险,从而确保其目标
的实现。
对于企业的每一种活动,是否都存在适当的政策和程序进行规范
中国移动针对主要经营管理活动,建立相关的政策和程序,对业务流程的范围、
目标、风险、业务流程具体步骤、业务流程主要控制点以及汇报途径等进行全面
描述,并及时根据经营活动的变化进行调整。在建立内部控制手册的基础上,管
理层明确各部门在维护和更新内部控制手册的责任。
各部门根据各自的职能颁布和保存自己的规章制度,年末将本年度新出台或者更
新的制度汇总报综合部归档保存。规章制度出台前,相关部门在 OA 系统中对该
文件进行会签;以公司名义出具的规章制度,由公司管理层进行审批,确保符合
公司的整体利益。各部门内部的规章制度,由部门负责人审批后签发。
确定已存在的控制活动是否得以有效实施,例如:
公司政策程序所描述的内部控制措施是否得以遵照执行;
是否有及时而适当的措施去跟进特殊事项或其它需要进一步关注的信息;
是否有员工负责监督内部控制的执行。
员工根据对其职责和业务流程的理解执行有关内部控制措施,管理层对内部控制
措施的执行进行适当监控并对偏离原有控制的行为进行调查和跟进。
中国移动建立对内部控制活动进行自我评价的机制,由各个部门流程负责人定期
对内部控制的有效性进行评价,作为对内部控制有效性进行持续监控的重要步骤
和对内部审计个别评价的补充。
中国移动建立了较为完善的内部审计制度,根据年度审计计划对既定的业务流程
进行内部审计,并及时将发现的问题反馈给管理层,并定期向审核委员会汇报,
以便管理层掌握业务流程以及内部控制实施情况,能够及时、适当的采取相应的
措施。
主要涉及部门:相关各业务部门
文件索引:《关于市场推广销售流程内审有关情况的通报及配合做好信息技术管
治机制内审工作的通知》中移港[2002]第 40 号
《网络管理及操作流程内部审计报告》
信息及沟通
信息
信息 (如行业、经济和监管信息) 可以从外部和内部获取,而信息系统是指收集、
处理和报告信息的系统。
收集各方面(内部及外部)的信息,并向管理层报告有关企业经营成果是否达到
其既定目标。例如是否:
存在一定的机制,用于获得相关的外部信息——关于市场状况、竞争者的行
动、法律法规环境的变化和经济环境的变化等;
定期识别和报告内部关键信息;
各级管理层可获得足够信息,用于履行其职责。
各业务部门负责收集与本部门相关的内部、外部信息。
内部数据收集与汇报
中国移动市场经营部、网络部等部门每月从经营分析系统中自动生成所需的报表
数据生成生产经营分析月报,在月度生产经营分析会上传达给中国移动各相关部
门,并汇报给管理层。财务部每月从 MIS 系统中生成月报,报送公司管理层审
阅。
管理层对与中国移动经营相关的信息进行监控并要求相关部门提供其他补充信息
或提请相关部门采取适当措施,以确保经营成果达到既定目标。
外部数据收集与汇报
在法律法规信息方面:中国移动相关部门对与公司经营管理相关的所有法律、法
规和地方政策、规章等进行统一的收集和整理,并及时公布于 OA 上,以确保各
部门全面、准确、系统地掌握适用于公司的法律法规。
在市场及竞争者信息方面:中国移动市场经营部要求各省公司每半月上报有关通
信市场和竞争者信息的报告,并根据需要从外部购买市场跟踪报告或市场调研信
息等,并向管理层进行汇报。
主要涉及部门:发展战略部、市场经营部、业务支撑系统部、管理信息系统部
文件索引:市场经营部生产经营分析月报
OA 上《国家相关法律法规》拷屏
《海南移动通信市场营销半月报》
将详细的信息及时地给予适当的员工,使其能够高效率地履行其职责。例如是
否:
管理者能够获得分析性的信息来判断该采取何种行动;
信息具有不同的详略程度以满足不同级别的管理层的需要;
信息被适当的汇总,而不仅仅是提供一个“信息的海洋”;
信息能够及时提供以便有效地监控内外部的事项和活动并及时对经济和经营因
素的变化和控制问题做出反应。
中国移动各主要部门每月向管理层提供生产经营分析数据,以便公司管理层能及
时了解重要的运营信息,做出及时、恰当的决策。同时,对于管理层较为关注的
特殊事项,各相关部门以专题报告的方式提交公司管理层审阅并处理。
管理层获得的分析性信息基本来源于经营分析系统。各相关部门将对信息的需
求,包括内容方面的需求和详略程度方面的需求,经部门总经理审批后提交给业
务支撑系统部,并由其设置在经营分析系统中。经营分析系统将 BOSS 系统、
MIS 系统、网管系统和其他外部数据源中的数据进行抽取、筛选、转换,并转换
成市场经营部所需的信息。
除各部门管理层可定期取得经营信息以外,各部门可根据自身需要,不定期地要
求其他部门提供相关信息。中国移动制定统一的政策和程序,对部门之间信息沟
通和数据提供的范围和审批程序等进行明确规定,尤其针对关键信息/数据的提供
和披露进行限定。
主要涉及部门:发展战略部、市场经营部、业务支撑系统部、管理信息系统部
文件索引:《关于印发<中国移动经营分析系统业务规范>和<中国移动经营分析
系统技术规范>的通知》中移计[2002]380 号
《信令监测系统日常管理原则》
是否根据企业的整体战略开发或修改信息系统,从而促进企业和活动层面的目标
的实现。
在中国移动 2004~2006 年的“业务与服务双领先”短期战略目标中,将实现企业管
理信息化作为实现目标的企业战略之一,因此中国移动非常重视信息系统的发
展,并与企业整体战略保持一致。对信息系统的开发与升级等内容进行了三年规
划,并且会在目标体系每年的滚动制定中,根据企业战略发展要求不断进行调
整。
主要涉及部门:业务支撑系统部、管理信息系统部
文件索引:《中国移动 2004-2006 年落实“双领先”战略措施纲要》
管理层是否对开发必须的信息系统给予支持,例如投入足够的人力和财力。
中国移动一贯重视对信息系统的建设和维护,认为信息系统是公司经营和发展的
重要支柱,并不断投入足够的人力和财力予以支持。公司建立在信息系统建设和
维护方面的问责制,由管理信息系统部、业务支撑系统部以及网络部负责重要信
息系统的开发和维护。
主要涉及部门:业务支撑系统部、管理信息系统部
文件索引:无
沟通
在信息的处理中,沟通是必要的环节。在更广义的层次上,沟通还包括对员工与
组织的目标与职责的定义和描述。有效的沟通存在于企业内部的上行、下达和同
级传递中。企业与外部的沟通同样非常重要。
员工的职责和控制责任是否得到有效沟通。例如是否:
采用各种手段,例如正式或非正式的培训课程、会议、在岗培训等进行有效的
沟通;
雇员知晓他们所进行的活动的目标,以及怎样履行他们的职责来达到这些目
标。
中国移动对全部职位建立统一的职位说明书,界定职位的工作内容、职责、权
限、上下级督导关系以及任职条件等内容,且经过管理层的审阅批准。
员工对工作职责、权限和控制责任的理解通过职位说明书、与部门管理层的沟通
和实际工作获得。
主要涉及部门:人力资源部
文件索引:某职位的书面职责描述
是否保证有畅通的渠道以便员工反映其发现的可疑情况。例如是否:
是否存在某种渠道跟非直接上级的上层机构进行沟通;
是否允许匿名;
员工切实使用了这种沟通渠道;
报告可疑情况的员工及时得到了反馈,并且受到保护而免于报复。
中国移动具有较为畅通的渠道以便员工反映其发现的问题。公司员工除可通过正
常的汇报程序反映其发现的可疑情况外,亦可以将发现的可疑问题通过向监察室
举报的方式进行反映。监察室的举报电话和举报邮箱公布在 OA 系统的“廉政之
窗”界面内。监察室在收到员工的举报后,根据举报内容的程度立案调查或采取
其他处理办法,并向分管的副总经理报告。
中国移动设有总经理接待日并在 OA 系统上单独设立了员工论坛,员工可以将发
现的问题直接传达至公司管理层,并要求各级高级管理人员按照责任的归属对问
题进行及时地解决并反馈。
在总经理接待日上反映问题或向监察室举报均可以通过匿名的方式进行,以鼓励
员工使用这种沟通渠道。
以上监察室举报制度、总经理接待日制度以及其他各类便于员工反应可疑情况的
渠道均通过员工手册、新员工培训等方式正式告知员工,并明确员工有责任、有
义务及时报告其发现的可疑情况。
主要涉及部门:监察室、人力资源部。
文件索引:《中国移动通信集团公司纪检监察部门信访工作办法》
《关于印发〈中国移动通信集团公司信访工作暂行规定〉的通知》中
移综[2002]13 号
《中国移动通信集团公司纪检监察部门案件调查工作办法》
《关于举办网上总经理接待日活动的通知》
管理层对员工在生产、质量管理或其它方面合理化建议的态度。例如是否:
是否存在合理机制使员工可以提出改进建议;
对员工提出的优秀的建议,管理层提供现金或其他方式的奖励措施。
员工可以通过总经理接待日和员工论坛将日常工作中的一些合理化建议直接传达
至公司管理层,公司管理层会及时对员工提出的意见建议进行反馈。
中国移动鼓励技术创新和业务创新,对在业务开发、运营服务、商业模式等方面
有创新的单位和个人给予现金等奖励。
主要涉及部门:人力资源部、技术部
文件索引:《关于印发<中国移动科技进步及业务服务创新奖励办法>的通知》中
移技[2003]370 号
企业内部沟通的充分性、信息的完整性、及时性以及信息是否足够详细以便员工
能够有效的履行其职责。
中国移动内部存在多种沟通渠道和方法,如月度生产经营分析会、定期/不定期全
体员工大会、部门例会、文件传递、OA 系统、电子邮件、电话等,从形式上确
保了组织内部沟通的充分性和及时性。
主要涉及部门:各相关部门
文件索引:无
与顾客、供应商和其它外部利益关系者就顾客的需求变化进行沟通的公开性和有
效性。例如是否:
与相关各方建立了反馈机制;
建议、投诉和其他相关信息被获取并传递到内部相关部门;
信息被上报至必要的上级部门并采取了跟进行动。
对待投资者
中国移动定期、不定期地通过新闻稿、公告及公司网站发布公司的财务信息、股
价敏感信息、重大业务发展与技术发展等。中国移动设置综合部与投资者关系部
专门负责向股东、投资者披露信息和维护与投资者的关系。
对待客户
中国移动通过 1860 客户服务电话、网络客户服务平台、电子邮件以及电话沟通
等方式向客户提供顺畅的问题解答及投诉问题处理途径,以减少客户投诉数量,
避免投诉升级,提高公司知名度。
对待合作伙伴或其他利益相关者
中国移动通过电子邮件、电话、面对面谈话等方式与合作伙伴或其他利益相关者
进行有效的沟通,了解合作伙伴或其他利益相关者的需求、意见和建议,并给与
及时的反馈。
主要涉及部门:各业务部门
文件索引:《关于印发<中国移动通信互联互通工作管理暂行办法>的通知》中移
网[2003]286 号
《中国移动通信集团公司客户投诉管理办法》
《客户投诉统计月报》
外部利益关系者对企业的道德标准的认识。
中国移动力图通过各种直接沟通和间接认知的方式,使各外部利益相关者能够认
识到公司高水平的道德标准。
中国移动要求员工诚实守信,并要求员工在与客户、合作伙伴以及其他外部利益
相关者的沟通、接触中做到诚实无欺、公平合理,使其感受到中国移动的经营理
念与道德标准,使企业获得持续的客户信赖,保持较高的客户忠诚度。
主要涉及部门:发展战略部
文件索引:《中国移动通信集团企业理念体系》
《中国移动企业影响力研究》
在与顾客、供应商、监管者和其他外部利益关系者进行沟通后,管理层是否能够
及时采取有效的跟进措施。例如是否:
员工就报告的与产品、服务或其他方面相关的问题做出积极反映,进行调查并
采取跟进行动;
在计费和出具账单过程中产生的错误得以及时更正,错误原因得以调查和改
进;
由独立于原始交易的适当人员对投诉进行处理;
采取合适的行动后,与原始信息提供方进行跟进沟通;
高级管理层知晓投诉的数量和性质。
对待投资者
中国移动投资者关系部通过不定期召开的投资者关系会议收集投资者对披露资料
以及公司生产经营的问题,在取得董事会及公司高级管理层批准后及时反馈。
管理层要求员工在受理与产品、服务或其他方面有关的问题或投诉后,进行调查
和跟进行动,并以此作为内部体系存在问题的迹象。
对待客户
公司制定有《客户服务标准》,对接到用户投诉后的处理程序进行规定。就受理
的客户投诉,客户服务部门定期上报部门主管和管理层审阅,以便高级管理层了
解存在的问题和投诉的数量和性质。
对待合作伙伴或其他利益相关者
中国移动要求相关部门对合作伙伴或其他利益相关者提出的需求、意见和建议及
时进行跟进并在采取适当的行动后与对方进行沟通。
主要涉及部门:市场经营部、业务制成系统部
文件索引:《关于印发〈中国移动通信集团公司客户服务标准(试行)的通知》
中移市[2002]69 号
信息架构
信息架构的构建用于满足企业组织优化信息系统的需求,信息架构构建的控制要
点包括:
代表业务的信息模型;
数据所有者的认定;
数据的重要性及安全性分类。
信息技术部门对于信息安全的管理
信息技术管理层是否对于信息获取、处理和报告等控制作出了详细的规定(包
括:完整性、准确性、有效性和相关授权)来保证用于财务报告和相关披露的信
息的质量和完整性;通过何种方式进行;
信息技术管理层是否根据公司的安全和保密政策对信息的分类标准作出了详细
规定;
描述目前的信息分类标准。信息技术管理层是否制定并执行、维护了每种数据
分类的信息安全级别;
这些安全级别是否代表了每种数据有关安全和控制措施方面的适当要求(最低
要求)?对这些规定是否进行了定期的重新评估及相应的修改。
根据公司业务发展的需要以及信息技术的发展状况,对于信息技术部门的业务活
动,中国移动信息技术部门已经建立了中国移动网络与信息安全标准(NISS)。
它的范围覆盖信息技术安全标准(包括物理安全、硬件设备安全、网络安全、操
作系统安全、数据和文档安全、应用系统安全及通用安全标准等)、信息安全管
理(包括信息安全组织管理、信息安全运作管理)、信息安全体系评估(包括信
息类资产分级、信息安全体系风险评估、信息安全风险控制及法律法规符合性政
策)等各方面内容。中国移动的信息技术安全政策、标准及流程已经通过公文形
式下发给各省公司的相关信息技术及业务部门领导。
各个信息技术部门会根据信息分类标准,在各个系统上进行设置,以切实执行信
息分类标准。
安全管理相关的标准每年作定期更新。
主要负责部门:管理信息系统部、网络部、业务系统支撑部
文件索引: 《中国移动网络与信息安全标准 (NISS)》
《 中国移动企业信息化系统安全策略》
监控
持续监控
持续监控发生在平常的经营过程中,包括日常管理和督导行为,和其它员工履行
其评价内部控制系统运行质量的职责的行为
员工在进行日常工作时,是否能够获取内部控制正常运行的证据。例如是否:
运营负责人需要就其业务单元上报的财务数据签字确认,以建立问责制;
存在运营数据与财务核算数据之间的定期对账;
对信息技术部门的运行及服务情况采取业绩考核;
是否采用关键指标作为考核的依据;
考核的结果对信息技术部门管理层及员工存在影响。
中国移动的各级管理层通过日常工作监控业务流程的运行情况,并通过获取经营
数据取得内部控制正常运行的证据。管理层可对运营数据中与其期望不符或可疑
的事项提出质疑。
对于关键职责,建立了适当的职责划分和管理层监督职能,就管理层在内部控制
实施和财务报告准确性方面的监控职责建立必要的问责制。各级管理层根据职责
权限对其职责范围内的内部控制是否正常运行进行监控并在发生错误时承担必要
的责任。例如:各相关部门在上报经营数据及财务数据时,均需由经过适当授权
的管理层签字确认,以建立问责制。
目前中国移动总部对于信息系统运行、服务情况的考核是通过检查各省上报的工
程月报、定期巡检等方法来完成。考核结果将影响各个省份信息技术部门的考核
指标,同时将上报总部管理层,并在集团公司范围内通报。由於每个项目均会记
录参与的相关人员,因此对项目的考核指标将会间接影响到相关部门员工的绩效
考核的评定。
主要涉及部门:市场经营部等相关部门, 管理信息系统部、网络部、业务系统支
撑部、人力资源部
文件索引: 《信令监测系统日常管理原则》
《网络组巡检查报告》
《员工绩效考核结果反馈表》
是否能够与外部利益关系者进行沟通而获取信息,对内部信息加以验证,或发现
内部信息的问题。例如是否:
顾客对账单数据进行投诉,这时可能暗示系统在处理销售交易时存在缺陷,应
该对其根本原因进行跟进调查;
与供应商和电信运营商的定期对账程序被当作一项内部控制措施;
监管机构与企业就反映在内部控制系统中的合规情况和其他事项进行沟通;
重新评估本应发挥防止和发现问题的作用的内部控制措施;
有恰当的管控活动以确保遵循外部要求,比如信息产业部门或者国家级别安
全规定;
公司对遵循外部要求采取必要措施。
中国移动注重与客户、电信运营商、供应商等外部利益关系者进行沟通,以验证
内部信息的准确性。
对于受理的客户投诉,客服部门即时予以解决或通知其他相关部门对自身机制
进行核查,考虑是否内部系统在处理交易时存在缺陷并对其原因进行跟进;
中国移动定期与其他电信运营商、合作伙伴等进行计费数据的对账,在出现较
大差异的情况下,中国移动会考虑对计费流程进行调查,以发现内部控制缺
陷;
综合部、财务部等部门与外部监管机构进行定期沟通并及时就重要问题反馈给
高级管理层,管理层会就重要问题方面审视内部控制的效率性,确保遵循外部
监管机构的要求;
在与外部利益相关者进行沟通后,中国移动重新评估本应发挥防止和发现问题
作用的内部控制措施并考虑改进措施。
中国移动管理层对外部的要求保持关注,如国家相关管理部门(如信息产业
部)制定的管理规定及美国上市公司规则等。特别对于相关法律法规及上市规
则涉及对信息技术管控方面的需要,公司会作出相应的控制调整。中国移动的
信息安全政策体系中亦包含了法律法规符合性政策,以确定信息系统的设计、
操作、使用和管理不违反任何相关政策、标准的安全要求。信息技术部门会进
行合规性检查。
2005 年度,中国移动根据《萨班斯法案》的要求,开展了《萨班斯法案》遵循
项目,以确保公司的信息技术控制能够满足相关法规的需要。
主要涉及部门:市场经营部等相关部门,管理信息系统部、网络部、业务系统支
撑部
文件索引:《关于印发〈中国移动梦网业务对账管理办法〉(试行)的通知》中移
有限计业 [2005] 55 号
《中国移动通信集团公司客户投诉管理办法》
《账务管理办法-国际网间结算分册》
《账务管理办法-国际漫游结算分册》
《中国移动互联网网络安全应急处理预案》
定期进行账实核对。
中国移动制定相关的政策和流程,对固定资产、工程物资、存货、库存现金进行
定期盘点,包括盘点时间、方法、程序的相关书面规定,以确保财务报表中的数
据真实反映资产的实际情况,且可以通过定期账实核对的过程对相关业务流程中
发现的内部控制程序缺陷进行持续改进。
主要涉及部门:财务部
文件索引:《中国移动(香港)有限公司固定资产管理办法》
《关于印发〈中国移动(香港)有限公司资金管理办法〉的通知》中
移港财[2003]195 号
是否就内部和外部审计师的建议及时做出响应以改善和加强内部控制。
中国移动十分重视内部审计师、外部审计师和咨询机构在审计或咨询过程中发现
的问题以及提出的内部控制改善建议。
内审部及相关部门将问题和内部控制改善建议提交给审核委员会和高级管理层,
并由其对相关内容进行分析探讨,责成相关部门对重要问题形成改善方案并实施
改善行动。
主要涉及部门:财务部
文件索引:《内部审计工作介绍》
《内部审计部门职权范围书》
《收入保障流程审计的系列整改资料》
是否定期举行培训课堂、计划会议和其它的会议,就内部控制运行的有效性向管
理层提供反馈意见。
中国移动每月举行生产经营分析会,并在会议中对管理层注意到的经营过程中遇
到的与内部控制和信息沟通相关的问题进行讨论。
中国移动建立了内审部,每年根据审计计划对既定的流程进行审计检查,并就发
现的问题以及内部控制缺陷向审核委员会汇报。
主要涉及部门:财务部等相关部门
文件索引:《生产分析会议纪要-第 6 期》
《内审部二零零五年信息披露控制制度评估报告》
《网络管理及操作流程内部审计中期报告》
员工需要定期声明是否知晓并遵守了公司的行为准则;以及是否执行了重要的内
部控制程序。
中国移动要求员工就是否知晓并遵守了公司的行为准则定期做出书面声明。管理
层通过日常工作中与员工的沟通和定期绩效考核使员工获知管理层对其的期望。
中国移动在强化相关内部控制措施的同时,要求内控执行人通过签字确认等形式
建立有效的问责制。
中国移动建立对内部控制活动进行自我评价的机制,由各个部门流程负责人定期
对内部控制的有效性进行评价,作为对内部控制有效性进行持续监控的重要步骤
和对内部审计个别评价的补充。
主要涉及部门:人力资源部、内审部、财务部
文件索引:无
内部审计职能的有效性。例如是否有适当的可以胜任的人员;在组织结构中的地
位是否适当;向董事会或审核委员会报告;工作范围、职责和审计计划符合公司
的需要以及是否定期对信息技术的内控情况进行内部审计工作等。
中国移动设立有专门的内审部,负责对各业务流程运行以及其中的内部控制的有
效性进行评估、改进。
中国移动制定了内审部的相关政策和流程以及职权范围书,明确了内审部的职
责、权限和工作范围,规定了向审核委员会直接汇报的机制,以确保充分的独立
性。
内审部根据外部咨询师所进行的风险评估,确定了中国移动的 14 个核心业务流
程,并据此制定年度审计计划,对各业务流程进行全面审计,进行差距分析,识
别相应的风险,以及确认内部控制的有效性。
中国移动根据内部审计计划配备具有相关能力和素质的内部审计人员,内审部的
大部分员工均具有财务背景,也配备了业务、人力资源、信息技术审计等方面的
人员,员工对审计流程较为熟悉。对于涉及信息系统等专业性较强的审计,内审
部从相关技术部门借调技术业务能力强的兼职审计人员或者通过将有关职能分包
的方式加强在此方面的能力,完成审计项目。
中国移动通过不断的培训使其提高审计知识和技巧,使内部审计机制成为评价内
部控制有效性的有力工具。内审部每年至少组织一次有关内审技术、方法、项目
经验的内部培训。
内审部门定期会完成信息系统的审计要求。由于内审人员本身不具备信息技术审
计能力,一般采取外包给会计师事务所的信息风险部门和协调其他部门(如网络部
门,业务支撑系统部等)来共同完成。
主要涉及部门:内审部、管理信息系统部、网络部、业务系统支撑部
文件索引: 《内部审计工作介绍》
《 KPMG 2001 年 13 省风险评估报告》
《内部审计部门职权范围书》
个别评价
定期或不定期地以全新角度审视内部控制系统是非常必要的,其着眼点在于直接
审视系统运行的有效性。个别评价的范围和频率主要取决于对风险的评估以及对
内部控制的持续监控程序的情况。
内部控制系统个别评价的范围和频率。例如是否:
内部控制系统的适当组成部分得以评价;
评价由具有必要专业技能的人员进行;
评价范围、深度和频率是适当的。
中国移动内部设置了内审部,系统化地对业务流程及其内部控制的有效性进行个
别评价。
内审部制定了年度审计计划,并涵盖重要业务流程。内审部每年选取三个主要的
业务流程,在全部子公司范围内展开审计工作。
内审部每年制定的审计计划,包括审计范围、主要内容、频率等方面的内容,由
审核委员会审核批准。
中国移动根据内部审计计划配备具有足够能力和素质的内部审计人员,内审部的
大部分员工均具有财务背景,也配备了业务、人力资源、信息技术审计等方面的
人员,员工对审计流程较为熟悉。中国移动通过不断的培训使其提高审计知识和
技巧。
主要涉及部门:内审部
文件索引:《内部审计工作介绍》
进行个别评价的流程以及方法的适当性。例如是否:
评价人员对公司的经营活动有充分的了解;
评价人员了解内部控制系统应该如何运行和实际如何运行;
评价过程采用适当的方法,如问卷、核对清单等;
评价过程由具有一定权限的管理层进行监督;
评价人员通过将评价结果与既定标准进行对比,对评价结果进行必要的分析。
每次在进行内部审计前,审计小组提前编制审计程序,确认审计过程中可能遇到
的问题、流程关键环节以及相关风险点。如有需要,还可以聘用外部专家共同参
与审计工作。
在审计现场,审计小组通过询问、观察等方式了解所需审计的经营活动及业务流
程。审计小组与将了解的经营活动现状与既定的标准进行对比、分析、评估,编
写审计报告。整个审计过程由审计部的项目经理来直接监督检查。
主要涉及部门:内审部
文件索引: 《项目审计流程图》
《内部审计工作介绍》
《网络管理及操作流程内部审计报告》
个别评价是否存在适当的书面记录。
审计过程均留有审计工作底稿,每次审计过后均需要编写审计报告,以供被审计
单位管理层审阅及制定修补计划。审计部还需要每年定期编写审计总结,包括所
审计的范围、频率以及所发现的问题汇总,提交审核委员会以及董事会进行审
阅。
主要涉及部门:内审部
文件索引:《审计工作底稿》
《内部审计发现总结》
《关于市场推广销售流程内审有关情况的通报及配合做好信息技术管
治机制内审工作的通知》中移港[2002]第 40 号
汇报内部控制缺陷
内部控制的缺陷必须向上汇报,某些重要的事项必须上报高层管理人员和董事
会。
是否存在一定机制将确认的内部控制缺陷加以记录并向上汇报,以及汇报程序和
书面文件的适当性。例如是否:
向直接负责此经营活动的人员以及其上一级管理人员报告缺陷;
对于一些特殊类型的缺陷,需要报告给更高层级管理层以至于董事会;
信息技术部门能及时跟进内审提出的建议。
内审部将审计过程中发现的业务流程问题以及内部控制缺陷记录在工作底稿内,
并体现在审计报告中。内审部及时与被审计单位管理层就所发现的问题进行沟
通,并负责跟进问题的解决情况。
内审部定期(至少半年)出具阶段性汇总审计报告,将业务流程问题以及内部控
制缺陷、解决情况等汇报给审核委员会,并由审核委员会定期向董事会汇报。
同时,中国移动建立对内部控制活动进行自我评价的机制,由各个部门流程负责
人定期对内部控制的有效性进行评价,作为对内部控制有效性进行持续监控的重
要步骤和对内部审计个别评价的补充。
内审部门总结信息技术审计结果并将审计报告通报移动总部信息技术部门,审计
报告中提出的改进建议由信息技术部门及时跟进,并提出相应的解决方案。
主要涉及部门:内审部及相关各业务部门
文件索引:《內审部 2005 年信息披露控制制度评估报告》
采取的改善措施的适当性。
被审计单位针对内审部发现的问题及其建议制定后续整改措施并确认整改时间。
整改措施需要经过被审单位管理层审批确认。
各被审计单位的内审人员负责根据整改时间表监控整改进度,并定期汇报内审部
主管人员。
主要涉及部门:内审部
文件索引:《关于加强资金安全和效益管理有关问题的通知》中移港[2003]第 5
号
《内审发现情况反馈表》
3 信息技术整体控制
对程序和数据的访问
BOSS 系统
一、 业务流程范围
1 所涉及的流程范围
逻辑安全和物理安全、用户账号的添加、修改及删除控制、用户账号的定期审
阅、职责分工控制
2 所涉及的部门范围
负责 BOSS 系统管理的信息技术部门(如:计费账务部门)、BOSS 系统使用部
门(如财务部门、市场经营部门、集团客户部门、数据业务管理部门及各地市公
司用户部门)、人力资源部门。
二、 涉及的应用系统和重要的电子表格
BOSS 系统 ,(包括总部、省公司 BOSS 系统、渠道管理系统(代理商管理及核
酬)、结算系统、集团客户系统、有价卡管理系统等子系统)
三、 目标
1 公司应制定相关的安全管理政策并使员工意识到公司对信息安全重要性的重
视。
2 对公司信息技术资源的物理访问及逻辑访问已建立起通过用户身份的识别,
认证及授权的管理机制,以降低由于对系统及数据的未经授权的访问所带来
的风险。
3 建立相关流程以合理确保用户添加、修改、删除都经过管理层授权,及相关
操作的准确性和及时性。
4 合理确保定期对系统中用户的访问权限进行审阅,以减少非法或不适当的对
系统或数据进行访问而带来的风险。
5 合理确保在关键流程中存在适当的职责分工。
四、 风险
1 公司缺乏可遵循的信息安全管理政策,信息安全管理不规范,增加信息安全
隐患。
2 缺乏必要的物理访问及逻辑访问管理机制,导致对信息资源的未经授权的访
问, 非法修改系统数据。
3 对添加、修改、删除用户未经过管理层授权,离职员工账号未及时在系统中
删除,导致对系统及数据未经授权或不适当访问。
4 对系统或数据非法和不适当的访问不能被及时发现。
5 系统的权限分配与业务部门授权确定的职责分工要求不符。
五、 相关会计科目
适用于系统和程序对应的所有会计科目。
六、 流程描述
1. 对系统逻辑访问和物理访问的身份识别
. BOSS 应用系统通过用户名和密码实现登录认证,系统中不允许建立共享用户
名。
信息技术部门(如:计费账务部门)在系统中建立了用户身份的验证机制,对系统
的访问必须使用用户名和密码而且每个用户被授予唯一的用户账号。(控制点
)
. 根据中国移动业务运营支撑系统维护规程,BOSS 系统在系统中设置密码规则控
制,用户密码长度不得低于 6 位,密码须由数字、字母组成。密码应至少每 90 天
进行更新,不得使用最近 5 次以内重复的密码,密码重复尝试 5 次以后应暂停该
工号登录。 (控制点 )
. BOSS 系统中的操作系统、数据库系统、应用系统的系统管理员,及根用户、安
全管理员账号、批处理用户账号等超级用户账号由计费账务部门分管负责人负责
书面审批授权。计费账务部门负责人或授权第三方人员应对 BOSS 系统超级用户
的清单根据系统的重要程度每季进行复核签字确认,并对多余或不恰当的账号进
行调整。 (控制点 )
. 业务部门应用系统管理员的建立需通过正式公文申请,并经过业务部门主管和计
费账务部门主管的审批,由 BOSS 应用系统管理员建立。应用层超级管理员账号
都应通过正式公文签字授权,且业务部门主管和计费账务部门主管或授权第三方
人员应对 BOSS 系统应用层超级用户的清单根据系统的重要程度每季或每半年进
行复核并签字确认,并对多余或不恰当的账号进行调整。 (控制点 .
)
. 公司对 BOSS 应用系统的所有重要操作,特别是对财务报表有关的操作留有系统
日志。系统日志应由计费账务部门根据风险和重要性的原则确定检查内容(如未
授权操作、异常操作时点,异常发生频率或金额等),对于 BOSS 系统日志应由
安全管理员负责每月进行审核。此外应对 BOSS 系统数据库的直接访问修改留有
系统记录,并由安全管理员每月对数据库层重要操作,特别是对财务报表有关的
操作记录进行审核。(控制点 )
2. 用户账号的添加、修改及删除控制
. 中国移动制定了“BOSS 系统工号管理办法”用于 BOSS 应用系统中账号的创建、
修改管理,BOSS 系统普通用户账号管理由部门主管授权的工号管理员负责。在
BOSS 系统中新建账号或对账号的权限进行调整,须由部门主管对需求申请(包
括公文、工号变更申请表等格式)审批确认后,由工号管理员在 BOSS 系统中进
行设置。 (控制点 )
. 职工工作调动或离职时,企业人力资源部负责发正式通知给所在部门,所在部门
工号管理员对该人员在 BOSS 应用系统中的账号进行删除或禁止使用处理。 (控
制点 )
3. 普通用户账号的定期审阅
. 每半年由计费账务部门组织各使用 BOSS 应用系统的各部门及地市分公司,对
BOSS 系统普通用户账号进行审阅。各部门及地市分公司工号管理员负责打印本
部门/分公司的 BOSS 系统普通用户清单,并审阅是否存在多余或不恰当的账号,
签字确认后将审阅结果报计费账务部门。
各部门工号管理员或授权人员应对 BOSS 系统普通用户的清单每半年进行复核签
字确认,如发现多余或不恰当的账号应进行及时调整。(控制点
)
. 每隔半年以及业务流程发生重大变更时,由计费账务部门打印 BOSS 系统用户的
访问权限清单(所赋用户角色),并交由相关业务部门主管,对用户的权限进行
审阅签字,以合理确保用户在系统中的权限与其职责相符。如发现不相容职责,
应及时通知所在部门工号管理员,对用户的权限进行调整。 (控制点
)
4. 职责分工
. 创立新用户角色或对用户组或用户角色定义进行修改时,应考虑不相容职责分工
原则,由业务部门主管(或授权人员)对用户角色的权限设定进行审阅并签字确
认,以合理确保用户在系统中的权限与其职责相符。系统管理员根据经审批的用
户角色权限,在系统中设置用户角色权限。(控制点 )
七、 流程主要控制点
系统设置
信息技术部门(如:计费账务部门)在系统中建立了用户身
份的验证机制,对系统的访问必须使用用户名和密码而且
每个用户被授予唯一的用户账号。
系统设置
信息技术部门对系统访问密码制定密码政策及规则,并根
据对密码政策及规则在系统中进行相应设置,以避免用户
使用弱密码。
授权及批准
对操作系统级和数据库层超级用户的账号(比如根用户,系
统管理员,安全管理员账号,批处理用户账号,数据库管
理员)的使用仅限于经授权的系统管理人员。
授权及批准
对应用系统层超级用户的账户的建立是根据用户工作职
责,仅限于经授权的系统管理人员。应用系统管理员账号
的建立由业务部门主管及信息技术部门主管书面审批。
管理层审阅
公司对 BOSS 应用系统的所有重要操作,特别是对财务报
表有关的操作留有系统日志。系统日志应由计费账务部门
根据风险和重要性的原则确定检查内容(如未授权操作、
异常操作时点,异常发生频率或金额等),对于 BOSS 系
统日志应由安全管理员负责每月进行审核。此外应对
BOSS 系统数据库的直接访问修改留有系统记录,并由安
全管理员每月对数据库层重要操作,特别是对财务报表有
关的操作记录进行审核。
授权及批准
建立了用户及其权限设置的管理流程,对用户创建和授权
必须得到业务部门主管书面审批(包括公文,账号创建/变
更申请表等)后,方可由应用系统管理员在系统中创建用
户账号,以避免未经授权的账号及权限创建/修改。
授权及批准
在职工工作调动或离职时人力资源部正式书面通知(如邮
件、公文、员工离职单等形式)信息系统管理部门,由负
责应用系统管理员取消其相应的访问权限。
管理层审阅
业务部门授权人员对系统用户账号进行定期(半年)审
阅,以发现多余或不恰当的账号并进行及时调整。审阅结
果留下书面记录(如用户清单签字)。
管理层审阅
各部门工号管理员或授权人员应对 BOSS 系统普通用户的
清单每隔半年以及业务流程发生重大变更进行复核签字确
认,如发现多余或不恰当的账号应进行及时调整。
职责分工
创立新用户角色或对用户组或用户角色定义进行修改时,
应考虑不相容职责分工原则,由业务部门主管(或授权人
员)对用户角色的权限设定进行审阅并签字确认,以合理
确保用户在系统中的权限与其职责相符。系统管理员根据
经审批的用户角色权限,在系统中设置用户角色权限。
经营分析系统
一、 业务流程范围
1 所涉及的流程范围
逻辑安全和物理安全、用户账号的添加、修改及删除控制、用户账号的定期审
阅、职责分工控制
2 所涉及的部门范围
负责经营分析系统管理的信息技术部门 (如:计费账务部门)经营分析系统使用部
门(如市场经营部门、集团客户部门、数据业务管理部门、财务部门、网络部
门)、人力资源部门。
二、 涉及的应用系统和重要的电子表格
经营分析系统
三、 目标
1 公司应制定相关的安全管理政策并使员工意识到公司对信息安全的重视。
2 对公司信息技术资源的物理访问及逻辑访问已建立起通过用户身份的识别,
认证及授权的管理机制,以降低由于对系统及数据的未经授权的访问所带来
的风险。
3 建立相关流程以合理确保用户添加、修改、删除都经过管理层授权,及相关
操作的准确性和及时性。
4 合理确保定期对系统中用户的访问权限进行审阅,以减少非法或不适当的对
系统或数据进行访问而带来的风险。
5 合理确保在关键流程中存在适当的职责分工。
四、 风险
1 公司缺乏可遵循的信息安全管理政策,信息安全管理不规范,增加信息安全
隐患。
2 缺乏必要的物理访问及逻辑访问管理机制,导致对信息资源的未经授权的访
问, 非法修改系统数据。
3 对添加、修改、删除用户未经过管理层授权,离职员工账号未及时在系统中
删除,导致对系统及数据未经授权或不适当访问。
4 对系统或数据非法和不适当的访问不能被及时发现。
5 系统的权限分配与业务部门授权确定的职责分工要求不符。
五、 相关会计科目
适用于系统和程序对应的所有会计科目。
六、 流程描述
1. 对系统逻辑访问和物理访问的身份识别
. 经营分析系统通过用户名和密码实现登录认证,系统中不允许建立共享用户名。
信息技术部门 (如计费账务部门)在系统中建立了用户身份的验证机制,对系统
的访问必须使用用户名和密码而且每个用户被授予唯一的用户账号。(控制点
)
. 根据公司相关经营分析系统的管理规定,(如“中国移动业务运营支撑系统维护
规程”),经营分析系统对系统的密码规则设置系统控制,用户密码长度不得低
于 6 位。经营分析系统应用层用户密码应至少每 90 天进行更新,密码须由数字、
字母组成,不得使用最近 5 次以内重复的密码,密码重复尝试 5 次以后应暂停该
账号登录。
信息技术部门对系统访问密码制定密码政策及规则,并根据对密码政策及规则在
系统中进行相应设置,以避免用户使用弱密码。(控制点 )
. 经营分析系统中的操作系统、数据库系统、应用系统的系统管理员,及根用户、
安全管理员账号、批处理用户账号等超级用户账号由计费账务部门分管负责人负
责审批授权,并留有书面审批记录。
计费账务部门负责人对经营分析系统超级用户的授权审批应建立正式的书面审批
表格。
计费账务部门负责人或授权第三方人员应对经营分析系统超级用户的清单根据系
统的重要程度每季或每半年进行复核并签字确认,并对多余或不恰当的账号进行
调整。 (控制点 )
. 经营分析系统应用系统管理员的建立需通过计费账务部门主管的审批。应用层超
级管理员账号都应通过正式公文签字授权,且计费账务部门负责人或授权第三方
人员应对经营分析系统应用系统管理员的清单根据系统的重要程度每季或每半年
进行复核并签字确认,并对多余或不恰当的账号进行调整。对应用系统层超级用
户的账户的访问根据工作职责仅限于经授权的系统管理人员。(控制点
)
. 经营分析系统在对于操作系统层及应用系统层与财务报表相关的操作留有系统操
作日志。系统日志应由计费账务部门根据风险和重要性的原则确定检查内容(如
未授权操作、异常操作时点,异常发生频率或金额等),由计费账务部门安全管
理员负责每月进行审核。此外对经营分析系统数据库的直接访问修改留有系统记
录,并由安全管理员每月对数据库操作记录进行审核。(控制点 )
2. 用户账号的添加、修改及删除控制
. 公司制定了有关经营分析系统用户账号管理的规定(如 “业务支撑系统数据安全管
理办法”), 包括了经营分析系统中用户账号的创建、修改管理的相关内容。经营分
析系统普通用户账号管理由计费账务部门经营分析系统应用系统管理员负责。在
经营分析系统中新建账号或对账号的权限进行调整,须由计费账务部门主管对需
求申请(包括公文、账号变更申请表等格式)审批确认后,交由计费账务部门应
用系统管理员账号在经营分析系统中进行设置账号。 (控制点 )
. 职工工作调动或离职时,人力资源部负责发正式通知给计费账务部门,应用管理
员账号对该人员在经营分析应用系统中的账号进行删除或禁止使用处理。 (控制
点 )
3. 普通用户账号的定期审阅
. 各部门账号管理员或授权人员应对经营分析系统普通用户的清单每半年进行复核
签字确认,如发现多余或不恰当的账号应进行及时调整。(控制点 )
七、 流程主要控制点
系统
设置
信息技术部门 (如计费账务部门)在系统中建立了用户
身份的验证机制,对系统的访问必须使用用户名和密码而
且每个用户被授予唯一的用户账号。
系统
设置
信息技术部门对系统访问密码制定密码政策及规则,并根
据对密码政策及规则在系统中进行相应设置,以避免用户
使用弱密码。
授权
及批准
对操作系统级和数据库层超级用户的账号(比如根用户,
系统管理员,安全管理员账号,批处理用户账号,数据库
管理员)的使用仅限于经授权的系统管理人员。
授权
及批准
对应用系统层超级用户的账户的访问根据工作职责仅限于
经授权的系统管理人员。
管
理层审阅
经营分析系统在对于操作系统层及应用系统层与财务报表
相关的操作留有系统操作日志。系统日志应由计费账务部
门根据风险和重要性的原则确定检查内容(如未授权操
作、异常操作时点,异常发生频率或金额等),由计费账
务部门安全管理员负责每月进行审核。此外对经营分析系
统数据库的直接访问修改留有系统记录,并由安全管理员
每月对数据库操作记录进行审核。
授
权及批准
中国移动建立了用户及其权限设置的管理流程,对用户创
建和授权必须得到业务部门主管书面审批(包括公文,账
号创建/变更申请表等)后,方可由应用系统管理员在系
统中创建用户账号,以避免未经授权的账号及权限创建/
修改。
授
权及批准
职工工作调动或离职时人力资源部正式书面通知(如邮
件、公文、员工离职单等形式)计费账务部门,由负责应
用系统管理员取消其相应的访问权限。
管
理层审阅
各部门账号管理员或授权人员对经营分析系统普通用户的
清单每半年进行复核签字确认,如发现多余或不恰当的账
号应进行及时调整。
MIS 系统
一、 业务流程范围
1 所涉及的流程范围
逻辑安全和物理安全、用户账号的添加、修改及删除控制、用户账号的定期审
阅、职责分工控制
2 所涉及的部门范围
负责 MIS 系统管理的信息技术部门(如企业信息化部门)、MIS 系统使用部门
(如财务部门、市场经营部门、工程建设部门、物资管理部门、资产管理部门、
计划部门、审计部门)、人力资源部门
二、 涉及的应用系统和重要的电子表格
MIS 系统
三、 目标
1 公司应制定相关的安全管理政策并使员工意识到公司对信息安全的重视。
2 对公司信息技术资源的物理访问及逻辑访问已建立起通过用户身份的识别,
认证及授权的管理机制,以降低由于对系统及数据的未经授权的访问所带来
的风险。
3 建立相关流程以合理确保用户添加、修改、删除都经过管理层授权,及相关
操作的准确性和及时性。
4 合理确保定期对系统中用户的访问权限进行审阅,以减少非法或不适当的对
系统或数据进行访问而带来的风险。
5 合理确保在关键过程中存在适当的职责分工。
四、 风险
1 公司缺乏可遵循的信息安全管理政策,信息安全管理不规范,增加信息安全
隐患。
2 缺乏必要的物理访问及逻辑访问管理机制,导致对信息资源的未经授权的访
问, 非法修改系统数据。
3 对添加、修改、删除用户未经过管理层授权,离职员工账号未及时在系统中
删除,导致对系统及数据未经授权或不适当访问。
4 对系统或数据非法和不适当的访问不能被及时发现。
5 系统的权限分配与业务部门授权确定的职责分工要求不符。
五、 相关会计科目
适用于系统和程序对应的所有会计科目。
六、 流程描述
1. 对系统逻辑访问和物理访问的身份识别
. MIS 应用系统通过用户名和密码实现登录认证,系统中不允许建立共享用户名。
信息技术部门在系统中建立了用户身份的验证机制,对系统的访问必须使用用户
名和密码而且每个用户被授予唯一的用户账号。(控制点 )
. 根据中国移动总部《中国移动 MIS 系统维护管理规定》,MIS 系统在系统中设置
密码规则控制,用户密码长度不得低于 6 位,密码须由数字、字母组成。密码重
复尝试 3 次以后 MIS 系统会暂停该工号登录。密码应至少每 90 天进行更新,不
得使用 5 次以内重复的密码。
信息技术部门对系统访问密码制定密码政策及规则,并根据对密码政策及规则在
系统中进行相应设置,以避免用户使用弱密码。(控制点 )
. MIS 系统中的操作系统、数据库系统的系统管理员等超级用户账号由企业信息化
部门负责人审批授权。授权需填写《MIS 用户新增变更注销申请表》。企业信息
化部门负责人或授权第三方人员应对 MIS 系统超级用户的清单根据系统的重要程
度每季或每半年进行复核并签字确认,并对多余或不恰当的账号进行调整。 (控
制点 )
. 各省 MIS 系统应用系统管理员权限的授予需填写《MIS 用户新增变更注销申请
表》,由企业信息化部门负责人审批后,由原系统管理员移交 MIS 系统管理员账
号及密码。 经审批的《MIS 用户新增变更注销申请表》需报中国移动总部企业信
息化部门备案。 (控制点 )
. 公司对 MIS 应用系统的跟财务报表相关的操作留有系统日志。对于 MIS 系统日
志,包括操作系统层,数据库层(对 MIS 系统数据库的直接访问修改留有系统记
录)和应用系统层日志。系统日志应由企业信息化部门根据风险和重要性的原则
确定检查内容(如未授权操作、异常操作时点,异常发生频率或金额等),并由
安全管理员每月对数据库操作记录进行审核以合理确保所有与账务报表相关的操
作均为合法及获授权的。这些日志应由企业信息化部门安全管理员负责每月进行
审核。(控制点 )
2. 用户账号的添加、修改及删除控制
. 中国移动总部制定了《中国移动 MIS 维护管理规定》用于 MIS 应用系统中账号
的创建、修改管理,MIS 系统普通用户账号管理由各省 MIS 系统管理员负责。
在 MIS 系统中新建账号或对账号的权限进行调整,须由业务部门主管对需求申请
(包括公文、工号变更申请表等格式)审批确认后,由 MIS 系统管理员在 MIS
系统中进行设置。
中国移动建立了用户及其权限设置的管理流程,对用户创建和授权必须得到业务
部门主管书面审批(包括公文,账号创建/变更申请表等)后,方可由应用系统管
理员在系统中创建用户账号,以避免未经授权的账号及权限创建/修改。 (控制点
)
中国移动总部对人力资源部授予 MIS 系统账号删除权限,当员工离职时,由 MIS
系统管理员在 MIS 系统中对用户账号进行删除或禁止使用操作。在职工工作调动
或离职时正式通知安全管理人员,取消其相应的访问权限,并向管理层确认访问
权限变更和取消。 (控制点 )
3. 普通用户账号的定期审阅
. 对 MIS 系统普通用户账号进行定期审阅控制, 系统管理员每半年从系统提取用户
账号相关信息,通过正式公文发给各单位确认,并返回给信息化部门。 (控制点
)
. 公司对 MIS 系统普通用户账号不相容职责的定期审阅是由系统管理员每半年从系
统提取用户账号职责信息,通过正式公文发给各单位确认,并返回给信息化部
门。(控制点 )
4. 职责分工
. 创立新用户角色或对用户组或用户角色定义进行修改时,应考虑不相容职责分工
原则,业务部门主管(或授权人员)对用户角色的权限设定进行审阅并签字确
认,以合理确保用户在系统中的权限与其职责相符。系统管理员根据经审批的用
户角色权限,在系统中设置用户角色权限。(控制点 )
七、 流程主要控制点
系统设置
信息技术部门在系统中建立了用户身份的验证机制,对系
统的访问必须使用用户名和密码而且每个用户被授予唯一
的用户账号。
系统设置
信息技术部门对系统访问密码制定密码政策及规则,并根
据对密码政策及规则在系统中进行相应设置,以避免用户
使用弱密码。
授权及批准
对操作系统级和数据库层超级用户的账号(比如根用户,系
统管理员,安全管理员账号,批处理用户账号,数据库管
理员)的使用仅限于经授权的系统管理人员。
授权及批准
对应用系统层超级用户的账户的访问仅限于经授权的系统
管理人员。应用系统管理员及超级用户账号的建立由信息
技术部门负责人书面审批。
管理层审阅
公司对 MIS 应用系统的跟财务报表相关的操作留有系统日
志。对于 MIS 系统日志,包括操作系统层,数据库层(对
MIS 系统数据库的直接访问修改留有系统记录)和应用系
统层日志。系统日志应由企业信息化部门根据风险和重要
性的原则确定检查内容(如未授权操作、异常操作时点,
异常发生频率或金额等),并由安全管理员每月对数据库
操作记录进行审核以合理确保所有与账务报表相关的操作
均为合法及获授权的。这些日志应由企业信息化部门安全
管理员负责每月进行审核。
授权及批准
中国移动建立了用户及其权限设置的管理流程,对用户创
建和授权必须得到业务部门主管书面审批(包括公文,账
号创建/变更申请表等)后,方可由应用系统管理员在系统
中创建用户账号,以避免未经授权的账号及权限创建/修
改。
授权及批准
中国移动总部对人力资源部授予 MIS 系统账号删除权限,
当员工离职时,由 MIS 系统管理员在 MIS 系统中对用户账
号进行删除或禁止使用操作。在职工工作调动或离职时正
式通知安全管理人员,取消其相应的访问权限,并向管理
层确认访问权限变更和取消。
管理层审阅
企业信息化及业务部门主管应对 MIS 系统普通用户的清单
每半年进行复核,如发现多余或不恰当的账号应进行及时
调整。
管理层审阅
企业信息化及业务部门主管对 MIS 系统普通用户的清单每
半年进行复核,如发现不相容的账号进行及时调整。
职责分工
创立新用户角色或对用户组或用户角色定义进行修改时,
应考虑不相容职责分工原则,由业务部门主管(或授权人
员)对用户角色的权限设定进行审阅并签字确认,以合理
确保用户在系统中的权限与其职责相符。系统管理员根据
经审批的用户角色权限,在系统中设置用户角色权限。
OA 系统
一、 业务流程范围
1 所涉及的流程范围
逻辑安全和物理安全、用户账号的添加、修改及删除控制、用户账号的定期审
阅、职责分工控制
2 所涉及的部门范围
负责 OA 系统管理的信息技术部门(如企业自动化办公室)、人力资源部门、OA
系统使用部门(如财务部门、市场经营部门、工程建设部门、物资管理部门、资
产管理部门、计划部门)
二、 涉及的应用系统和重要的电子表格
OA 系统
三、 目标
1 公司应制定相关的安全管理办法并使员工意识到公司对信息安全的重视。
2 对公司信息技术资源的物理访问及逻辑访问已建立起通过用户身份的识别,
认证及授权的管理机制,以降低由于对系统及数据的未经授权的访问所带来
的风险。
3 建立相关程序以保证用户添加、修改、删除的及时性以减少因未及时进行变
更而导致的对公司财务报告相关的应用系统或数据的未经授权或不适当访问
的风险。
4 合理确保定期对系统中的用户的访问权限进行审阅,以减少非法或不适当的
对系统或数据进行访问而带来的风险。
5 合理确保在关键过程中存在适当的职责分工。
四、 风险
1 对信息资源的未经授权的访问, 非法修改系统数据。
五、 相关会计科目
适用于系统和程序对应的所有会计科目。
六、 流程描述
1. 对系统逻辑访问和物理访问的身份识别
. OA 应用系统通过用户名和密码实现登录认证,系统中不允许建立共享用户名。
信息技术部门在系统中建立了用户身份的验证机制,对系统的访问必须使用用户
名和密码而且每个用户被授予唯一的用户账号。(控制点 )
. OA 系统对系统的密码规则设置系统控制,密码长度应在 6 位以上,密码应由数
字、字母组成,不得使用最近 5 次以内重复的密码。密码重复尝试 5 次后应暂停
该账号的登录。
信息技术部门对系统访问密码制定密码政策及规则,并根据对密码政策及规则在
系统中进行相应设置,以避免用户使用弱密码。(控制点 )
. OA 系统中的操作系统、数据库系统的系统管理员等超级用户账号由 OA 系统管
理部门负责人根据不同的分工授权给相关人员,如 OA 系统管理员或厂商维护人
员。中国移动和厂商签有相关授权协议,规定厂商不可对 OA 系统进行非授权的
访问。
部门负责人对系统超级管理员的授权审批应建立正式的书面审批表格。
部门负责人或授权第三方人员应对系统超级管理员的清单根据系统的重要程度每
季或每半年进行复核并签字确认,并对多余或不恰当的账号进行调整。 (控制点
)
. OA 系统中的应用系统层超级用户的账户由 OA 系统管理部门负责人根据不同的
分工来授权给相关人员,如 OA 系统管理员或厂商维护人员。中国移动和厂商签
有相关授权协议,规定厂商不可对 OA 系统进行非授权的访问。
应用层超级管理员账号都应通过正式公文签字授权,且业务部门主管或授权第三
方人员应对系统应用层超级管理员的清单根据系统的重要程度每季或每半年进行
复核并签字确认,并对多余或不恰当的账号进行调整。
应用系统管理员账号的建立由公司内部系统管理员进行。 (控制点 )
OA 系统在对于数据库层、操作系统层及应用系统层与财务报表相关的操作留有
系统操作日志,对于 OA 操作日志应由 OA 系统管理部门安全管理员负责每月进
行审核。(控制点 )
2. 用户账号的添加、修改及删除控制
. 根据中国移动总部制定的《员工入职及职位变更流程》,OA 应用系统账号的创
建、修改是由信息技术部门根据人力资源部门发出的入职及职位变更公文进行确
认,由 OA 系统管理员在 OA 系统中进行设置。 (控制点 )
. 职工工作调动或离职等工作职能发生变化时,人力资源部门负责发正式公文给
OA 系统管理部门,OA 系统管理部门确认后,由 OA 系统管理员在 OA 系统中进
行删除处理。(控制点 )
3. 普通用户账号的定期审阅
. 人力资源部门及业务部门主管或授权人员对 OA 系统普通用户的清单每半年进行
复核签字确认,如发现多余或不恰当的账号应进行及时调整。(控制点
)
. 公司每半年及业务流程发生重大变更时,由 OA 系统管理部门打印 OA 系统用户
的访问权限清单,并交由相关业务部门主管,对用户权限进行审阅签字,以合理
确保用户在系统中的权限与其职责相符。如发现不相容职责,应及时通知 OA 系
统管理部门,对用户权限进行调整。(控制点 )
4. 职责分工
. 创立新用户角色或对用户组或用户角色定义进行修改时,应考虑不相容职责分工
原则,由业务部门主管(或授权人员)对用户角色的权限设定进行审阅并签字确
认,以合理确保用户在系统中的权限与其职责相符。系统管理员根据经审批的用
户角色权限,在系统中设置用户角色权限。(控制点 )
七、 流程主要控制点
系
统设置
信息技术部门在系统中建立了用户身份的验证机制,对系
统的访问必须使用用户名和密码而且每个用户被授予唯一
的用户账号。
系
统设置
信息技术部门对系统访问密码制定密码政策及规则,并根
据对密码政策及规则在系统中进行相应设置,以避免用户
使用弱密码。
授
权及批准
对操作系统级和数据库层超级用户的账号(比如根用户,系
统管理员,安全管理员账号,批处理用户账号,数据库管
理员)的使用仅限于经授权的系统管理人员。
授
权及批准
对应用系统层超级用户的账户的访问根据工作职责仅限于
经授权的系统管理人员。
管理层审阅
OA 系统在对于数据库层、操作系统层及应用系统层与财务
报表相关的操作留有系统操作日志,对于 OA 操作日志应
由 OA 系统管理部门安全管理员负责每月进行审核。
授权及批准
中国移动建立用户及其权限设置的管理流程,对用户创建
和授权必须得到管理层审批(包括公文,账号创建/变更申
请表等)后,方可由 OA 系统管理员在系统中创建用户账
号,以避免未经授权的账号及权限创建/修改。
授权及批准
在职工工作调动或离职等工作职能发生变化时人力资源部
正式书面通知(如邮件、公文、员工离职单等形式)信息
系统管理部门,由负责 OA 系统管理员取消其相应的访问
权限。
管理层审阅
人力资源部门及业务部门主管或授权人员应对 OA 系统普
通用户的清单每半年进行复核签字确认,如发现多余或不
恰当的账号应进行及时调整。
管理层审阅
公司每半年及业务流程发生重大变更时,由 OA 系统管理
部门打印 OA 系统用户的访问权限清单,并交由相关业务
部门主管,对用户权限进行审阅签字,以合理确保用户在
系统中的权限与其职责相符。如发现不相容职责,应及时
通知 OA 系统管理部门,对用户权限进行调整
职责分工
创立新用户角色或对用户组或用户角色定义进行修改时,
应考虑不相容职责分工原则,由业务部门主管(或授权人
员)对用户角色的权限设定进行审阅并签字确认,以合理
确保用户在系统中的权限与其职责相符。系统管理员根据
经审批的用户角色权限,在系统中设置用户角色权限。
彩铃系统
一、 业务流程范围
1 所涉及的流程范围
逻辑安全和物理安全、用户账号的添加、修改及删除控制、用户账号的定期审
阅、职责分工控制
2 所涉及的部门范围
负责彩铃系统管理的信息技术部门(如网络部门)、彩铃系统使用部门(如数据
业务管理部门)、数据业务部门、计费账务部门
二、 涉及的应用系统和重要的电子表格
彩铃系统
三、 目标
1 公司应制定相关的安全管理政策并使员工意识到公司对信息安全的重视。
2 对公司信息技术资源的物理访问及逻辑访问已建立起通过用户身份的识别,
认证及授权的管理机制,以降低由于对系统及数据的未经授权的访问所带来
的风险。
3 建立相关流程以合理确保用户添加、修改、删除都经过管理层授权,及相关
操作的准确性和及时性。
4 合理确保定期对系统中用户的访问权限进行审阅,以减少非法或不适当的对
系统或数据进行访问而带来的风险。
5 合理确保在关键过程中存在适当的职责分工。
四、 风险
1 公司缺乏可遵循的信息安全管理政策,信息安全管理不规范,增加信息安全
隐患。
2 缺乏必要的物理访问及逻辑访问管理机制,导致对信息资源的未经授权的访
问, 非法修改系统数据。
3 对添加、修改、删除用户未经过管理层授权,离职员工账号未及时在系统中
删除,导致对系统及数据未经授权或不适当访问。
4 对系统或数据非法和不适当的访问不能被及时发现。
5 系统的权限分配与业务部门授权确定的这责分工要求不符。
五、 相关会计科目
适用于系统和程序对应的所有会计科目。
六、 流程描述
1. 对系统逻辑访问和物理访问的身份识别
. 彩铃应用系统通过用户名和密码实现登录认证。彩铃系统应用系统用户按个人创
建单独的用户账号,并赋予相应的权限,以避免共享账号的产生。
信息技术部门在系统中建立了用户身份的验证机制,对系统的访问必须使用唯一
的用户名和密码。(控制点 )
. 根据中国移动网络运行维护规程,彩铃系统在系统中设置密码规则控制,用户密
码长度不得低于 8 位,密码须由数字、字母组成。彩铃系统应用层用户密码应至
少每 90 天进行更新,不得使用最近 5 次以内重复的密码,密码重复尝试 5 次以后
应暂停该账号登录。
信息技术部门对系统访问密码制定密码政策及规则,并根据对密码政策及规则在
系统中进行相应设置,以避免用户使用弱密码。(控制点 )
. 彩铃系统操作系统级和数据库层超级用户账号,由彩铃设备维护人员统一进行管
理、设置和分配。重要系统设备的特权口令(如 UID 为 0)账户需报维护主管人
员批准。网络部负责人对彩铃系统超级用户的授权审批建立正式的书面审批表
格。网络部负责人或授权第三方人员对系统超级管理员的清单根据系统的重要程
度每季或每半年进行复核并签字确认,并对多余或不恰当的账号进行调整。 (控
制点 )
应用系统管理员由市场部专人负责管理,应用系统管理员的授权需通过正式公文
申请,并经过市场部主管的审批。如果系统管理员发生变更,需由原应用系统管
理员移交账号和密码,新管理员需对账号密码及时进行修改。
应用层超级管理员账号都通过正式公文签字授权,且市场部主管或授权第三方人
员对彩铃系统应用层超级用户的清单根据系统的重要程度每季或每半年进行复核
并签字确认,并对多余或不恰当的账号进行调整。(控制点 )
彩铃系统在对于操作系统层、数据库及应用系统层与财务报表相关的操作留有系
统操作日志。公司对彩铃应用系统的所有与财务报表相关的操作留有系统日志。
系统日志应由网络部根据风险和重要性的原则确定检查内容(如未授权操作、异
常操作时点,异常发生频率或金额等)。对于彩铃系统日志应由网络部安全管理
员(独立于系统维护人员、系统管理员)负责每月进行审核。 (控制点
)
2. 用户账号的添加、修改及删除控制
. 根据中国移动制定的相关账户管理规定,彩铃应用系统中账号的创建、修改管
理,彩铃系统普通用户账号(包括业务前台操作员和 SP 操作用户)管理由市场
部门或数据业务部门应用系统管理员负责。在彩铃系统中新建业务前台操作员账
号或对账号的权限进行调整,须由部门主管对需求申请(包括公文、工号变更申
请表等格式)审批确认后,由市场部门或数据业务部门应用系统管理员在彩铃系
统中进行设置。对 SP 操作用户账户的创建或权限调整,需由市场部门或数据业
务部门主管对 SP 发出的账户申请(如合同等)审批确认后,编制 SP 账户创建公
文,由市场部门或数据业务部门应用系统管理员根据公文的要求,在彩铃系统中
进行设置。 (控制点 )
. 职工工作调动或离职等工作职能发生变化时,企业人力资源部负责发正式通知给
所在部门,由市场部门或数据业务部门应用系统管理员对该人员在彩铃应用系统
中的账号进行删除或禁止使用处理。
当 SP 终止服务或合同终止,由市场部门或数据业务部门主管对 SP 账户的删除审
批确认后发出公文,并由市场部门或数据业务部门应用系统管理员根据公文要求
对 SP 用户在彩铃应用系统中的账号进行删除或禁止使用处理。 (控制点
)
3. 普通用户账号的定期审阅
每半年由市场部门门或数据业务部门组织对彩铃系统普通用户账号(包括业务前
台操作员和 SP 用户)进行复核签字确认。应用系统管理员负责打印彩铃系统普
通用户清单,并由市场部门门或数据业务部门主管审阅是否存在多余或不恰当的
账号并签字确认,如果发现存在多余或不恰当的账号,市场部门或数据业务部门
主管将通知应用系统管理员进行相应处理。 (控制点 )
七、 流程主要控制点
系
统设置
信息技术部门在系统中建立了用户身份的验证机制,对系
统的访问必须使用唯一的用户名和密码。
系
统设置
信息技术部门对系统访问密码制定密码政策及规则,并根
据对密码政策及规则在系统中进行相应设置,以避免用户
使用弱密码。
授
权及批准
彩铃系统操作系统级和数据库层超级用户账号,由彩铃设
备维护人员统一进行管理、设置和分配。重要系统设备的
特权口令(如 UID 为 0)账户需报维护主管人员批准。网
络部负责人对彩铃系统超级用户的授权审批建立正式的书
面审批表格。网络部负责人或授权第三方人员对系统超级
管理员的清单根据系统的重要程度每季或每半年进行复核
并签字确认,并对多余或不恰当的账号进行调整。
授
权及批准
对应用系统层超级用户的账户的访问根据工作职责仅限于
经授权的系统管理人员。应用系统管理员账号的授权由业
务部门主管及信息技术部门主管书面审批。
管理层审阅
彩铃系统在对于操作系统层、数据库及应用系统层与财务
报表相关的操作留有系统操作日志。公司对彩铃应用系统
的所有与财务报表相关的操作留有系统日志。系统日志应
由网络部根据风险和重要性的原则确定检查内容(如未授
权操作、异常操作时点,异常发生频率或金额等)。对于
彩铃系统日志应由网络部安全管理员(独立于系统维护人
员、系统管理员)负责每月进行审核。
授权及批准
中国移动建立了用户及其权限设置的管理流程,对用户创
建和授权必须得到业务部门主管书面审批(包括公文,账
号创建/变更申请表等)后,方可由应用系统管理员在系统
中创建用户账号,以避免未经授权的账号及权限创建/修
改。
授权及批准
在职工工作调动或离职时人力资源部正式书面通知(如邮
件、公文、员工离职单等形式)信息系统管理部门,由负
责应用系统管理员取消其相应的访问权限。
管理层审阅
省业务部门授权人员对系统用户账号进行定期(半年)审
阅,以发现多余或不恰当的账号并进行及时调整。审阅结
果留下书面记录(如用户清单签字)。
智能网系统
一、 业务流程范围
1 所涉及的流程范围
逻辑安全和物理安全、用户账号的添加、修改及删除控制、用户账号的定期审
阅、职责分工控制
2 所涉及的部门范围
负责智能网系统管理的信息技术部门(如网络部门)、智能网系统使用部门(如
市场经营部门)
二、 涉及的应用系统和重要的电子表格
智能网系统
三、 目标
1 公司应制定相关的安全管理政策并使员工意识到公司对信息安全的重视。
2 对公司信息技术资源的物理访问及逻辑访问已建立起通过用户身份的识别,
认证及授权的管理机制,以降低由于对系统及数据的未经授权的访问所带来
的风险。
3 建立相关流程以合理确保用户添加、修改、删除都经过管理层授权,及相关
操作的准确性和及时性。
4 合理确保定期对系统中用户的访问权限进行审阅,以减少非法或不适当的对
系统或数据进行访问而带来的风险。
5 合理确保在关键过程中存在适当的职责分工。
四、 风险
1 公司缺乏可遵循的信息安全管理政策,信息安全管理不规范,增加信息安全
隐患。
2 缺乏必要的物理访问及逻辑访问管理机制,导致对信息资源的未经授权的访
问, 非法修改系统数据。
3 对添加、修改、删除用户未经过管理层授权,离职员工账号未及时在系统中
删除,导致对系统及数据未经授权或不适当访问。
4 对系统或数据非法和不适当的访问不能被及时发现。
5 系统的权限分配与业务部门授权确定的职责分工要求不符。
五、 相关会计科目
适用于系统和程序对应的所有会计科目。
六、 流程描述
1. 对系统逻辑访问和物理访问的身份识别
. 智能网系统应用系统通过用户名和密码实现登录认证,应用系统用户按个人创建
单独的用户账号,并赋予相应的权限,以避免共享账号的产生。
信息技术部门在系统中建立了用户身份的验证机制,对系统的访问必须使用用户
名和密码而且每个用户被授予唯一的用户账号。(控制点 )
. 根据网络安全维护管理规定,智能网系统制定了密码政策和规则,口令由不少于
8 位的大小写字母、数字以及标点符号等字符组成。智能网系统在系统中设置应
用层用户密码由数字大小写字母以及标点符号等字符组成、长度不得低于 6 位、
至少每 90 天进行更新,不得使用最近 5 次以内重复的密码,密码重复尝试 5 次以
后应暂停该工号登录。
信息技术部门对系统访问密码制定密码政策及规则,并在系统中设置密码规则,
以避免用户使用弱密码。(控制点 )
智能网系统操作系统级和数据库层超级用户账号,由智能网设备维护人员统一进
行管理、设置和分配。重要系统设备的特权口令(如 UID 为 0)账户需报维护主
管人员批准。安全技术管理人员在每季度对各设备的超级用户权限设置情况进行
检查审计。网络部负责人对智能网系统超级用户的授权审批应建立正式的审批表
格。网络部负责人或授权第三方人员对系统超级管理员的清单根据系统的重要程
度每季或每半年进行复核并签字确认,并对多余或不恰当的账号进行调整。 (控
制点 )
网络部智能网应用系统管理员的创建需由网络部维护主管人员批准。业务部门应
用系统管理员由市场经营部门进行管理,业务部门应用系统管理员权限的授予需
通过正式的公文申请,并经过市场经营部门主管和网络部主管审批后,由网络部
应用系统管理员在系统中创建账号。(控制点 )
. 目前智能网系统在操作系统层、数据库层及应用系统层均已建立系统日志,对系
统与财务报表相关的操作均有系统日志进行记录。
系统的日志记录了任何与安全相关的事件,比如试图修改系统文件和文件属性,
试图猜测口令、关键应用系统文件的改变、增加和改变用户属性、系统启动和关
闭等。所有系统特权命令的使用都被全面的记录。日志内容至少包括:用户操作
时的用户识别符、登陆时间,注销时间,事件发生的日期和时间事件内容或操作
结果。
系统日志应由网络部根据风险和重要性的原则确定检查内容(如未授权操作、异
常操作时点,异常发生频率等),设备维护负责人员负责对日志进行定期每月检
查,发现问题及时向主管领导汇报。(控制点 )
2. 用户账号的添加、修改及删除控制
智能网系统应用层普通用户账号须由市场经营部门主管对需求申请(包括公文、
账号变更申请表等格式)审批确认后,由市场经营部门智能网系统应用系统管理
员在系统中进行设置。对于智能网系统用户应按个人创建单独的用户账号,账号
的创建应由部门主管书面批准。(控制点 )
职工工作调动或离职等工作职能发生变化时,应对个人账号及时进行删除或禁止
使用处理。 (控制点 )
3. 普通用户账号的定期审阅
. 在按个人创建系统账号的基础上,智能网系统应用系统管理员或授权人员应对智
能网系统普通用户的清单每半年进行复核签字确认,如发现多余或不恰当的账号
应进行及时调整。(控制点 )
. 公司每半年及业务流程发生重大变更时,由智能网应用系统管理员打印用户账号
及访问权限清单,并交由市场经营部门主管,对用户的权限进行审阅签字,以合
理确保用户在系统中的权限与其职责相符。如发现不相容职责,应及时通知应用
系统管理员,对用户的权限进行调整。(控制点 )
4. 职责分工
. 创立新用户角色或对用户组或用户角色定义进行修改时,应考虑不相容职责分工
原则,由业务部门主管(或授权人员)对用户角色的权限设定进行审阅并签字确
认,以合理确保用户在系统中的权限与其职责相符。系统管理员根据经审批的用
户角色权限,在系统中设置用户角色权限。(控制点 )
七、 流程主要控制点
系统设置
信息技术部门在系统中建立了用户身份的验证机制,对系
统的访问必须使用用户名和密码而且每个用户被授予唯一
的用户账号。
系统设置
信息技术部门对系统访问密码制定密码政策及规则,并在
系统中设置密码规则,以避免用户使用弱密码。
授权及批准
对操作系统级和数据库层超级用户的账号(比如根用户,系
统管理员,安全管理员账号,批处理用户账号,数据库管
理员)的使用仅限于经授权的智能网设备维护人员。安全技
术管理人员在每季度或每半年对各设备的用户权限设置情
况进行检查并保留书面检查记录。
授权及批准
对应用系统层超级用户的账户的访问根据工作职责仅限于
经授权的系统管理人员。应用系统管理员账号的建立由市
场经营部门主管和网络部主管书面审批
管理层审阅
智能网系统在操作系统层、数据库层及应用系统层建立系
统日志,对系统与财务报表相关的操作均有系统日志进行
记录。系统日志应由网络部根据风险和重要性的原则确定
检查内容(如未授权操作、异常操作时点,异常发生频率
或金额等),设备维护负责人员负责对日志进行定期每月
检查,发现问题及时向主管领导汇报。
授权及批准
中国移动建立了用户及其权限设置的管理流程,对用户创
建和授权必须得到市场经营部门主管书面审批(包括公
文,账号创建/变更申请表等)后,方可由市场经营部门智
能网系统应用系统管理员在系统中创建用户账号,以避免
未经授权的账号及权限创建/修改。
授权及批准
智能网系统应用系统用户应按个人创建单独的用户账号,
在员工离职时应对个人账号及时进行删除或禁止使用处
理。
管理层审阅
在按个人创建系统账号的基础上,智能网系统应用系统管
理员或授权人员应对智能网系统普通用户的清单每半年进
行复核签字确认,如发现多余或不恰当的账号应进行及时
调整。
管理层审阅
公司每半年及业务流程发生重大变更时,由智能网应用系
统管理员打印用户账号及访问权限清单,并交由市场经营
部门主管,对用户的权限进行审阅签字,以避免在用户的
权限中有不相容职责的存在。如发现不相容职责,应及时
通知应用系统管理员,对用户的权限进行调整。
职责分工
创立新用户角色或对用户组或用户角色定义进行修改时,
应考虑不相容职责分工原则,由业务部门主管(或授权人
员)对用户角色的权限设定进行审阅并签字确认,以合理
确保用户在系统中的权限与其职责相符。系统管理员根据
经审批的用户角色权限,在系统中设置用户角色权限。
MISC 系统
一、 业务流程范围
1 所涉及的流程范围
逻辑安全和物理安全、用户账号的添加、修改及删除控制、用户账号的定期审
阅、职责分工控制
2 所涉及的部门范围
负责 MISC 系统管理的信息技术部门(如:网络部门)、数据业务管理部门、计
费账务部门
二、 涉及的应用系统和重要的电子表格
MISC 系统
三、 目标
1 公司应制定相关的安全管理政策并使员工意识到公司对信息安全的重视。
2 对公司信息技术资源的物理访问及逻辑访问已建立起通过用户身份的识别,
认证及授权的管理机制,以降低由于对系统及数据的未经授权的访问所带来
的风险。
3 建立相关流程以合理确保用户添加、修改、删除都经过管理层授权,及相关
操作的准确性和及时性。
4 合理确保定期对系统中用户的访问权限进行审阅,以减少非法或不适当的对
系统或数据进行访问而带来的风险。
5 合理确保在关键流程中存在适当的职责分工。
四、 风险
1 公司缺乏可遵循的信息安全管理政策,信息安全管理不规范,增加信息安全
隐患。
2 缺乏必要的物理访问及逻辑访问管理机制,导致对信息资源的未经授权的访
问, 非法修改系统数据。
3 对添加、修改、删除用户未经过管理层授权,离职员工账号未及时在系统中
删除,导致对系统及数据未经授权或不适当访问。
4 对系统或数据非法和不适当的访问不能被及时发现。
5 系统的权限分配与业务部门授权确定的职责分工要求不符。
五、 相关会计科目
适用于系统和程序对应的所有会计科目。
六、 流程描述
1. 对系统逻辑访问和物理访问的身份识别
. MISC 系统应用系统通过用户名和密码实现登录认证,对于 MISC 应用系统用户
应按个人创建单独的用户账号,并赋予相应的权限,以避免共享账号的产生。
信息技术部门在系统中建立了用户身份的验证机制,对系统的访问必须使用用户
名和密码。 (控制点 )
. 根据网络安全维护管理规定,MISC 系统制定了密码政策和规则,口令由不少于
6 位的大小写字母、数字以及标点符号等字符组成。密码至少每 90 天进行更新,
不得使用 5 次以内重复的密码,密码重复尝试 5 次以后应暂停该工号登录。信息
技术部门对系统访问密码制定密码政策及规则,并在系统中设置密码规则,以避
免用户使用弱密码。(控制点 )
MISC 系统操作系统级和数据库层超级用户账号,由 MISC 设备维护人员统一进
行管理、设置和分配。重要系统设备的特权口令(如 UID 为 0)账户需报网络部
门维护主管人员批准。网络部门安全技术管理人员在每季度对各设备的用户权限
设置情况进行检查审计。
网络部门维护负责人或授权第三方人员对超级用户名单根据系统的重要程度每季
进行审查签字,並移除多余的账号。(控制点 )
目前 MISC 系统的应用系统管理员由数据业务管理部门进行管理。省公司应用系
统管理员权限的授予需通过正式公文申请,并经过数据业务管理部门主管的审批
后,将应用系统管理员账号及密码授予授权人员。地市公司应用系统管理员账号
的创建需通过正式公文申请,并经过地市公司数据业务管理部门主管的审批后,
交由省公司 MISC 应用系统管理员在系统中创建账号。(控制点 )
. 目前 MISC 系统在操作系统层、数据库层及应用系统层均已建立系统日志,系统
中对财务报表相关的操作均有系统日志进行记录。
系统的日志记录了任何与安全相关的事件,比如试图修改系统文件和文件属性,
试图猜测口令、关键应用系统文件的改变、增加和改变用户属性、系统启动和关
闭等。所有系统特权命令的使用都被全面的记录。日志内容至少包括:用户操作
时的用户识别符、登陆时间,注销时间,事件发生的日期和时间事件内容或操作
结果。
系统日志应由信息系统部门根据风险和重要性的原则确定检查内容(如未授权操
作、异常操作时点,异常发生频率或金额等),安全技术管理人员对于 MISC 系
统日志进行的审核每月定期进行,并留下检查记录以合理确保所有与账务报表相
关的操作均为合法及获授权的。(控制点 )
2. 用户账号的添加、修改及删除控制
. MISC 系统普通用户账号管理由数据业务管理部门应用系统管理员负责。在 MISC
系统中新建账号或对账号的权限进行调整,须由数据业务管理部门主管对需求申
请(包括公文、账号变更申请表等格式)审批确认后,由 MISC 应用系统管理员
在系统中进行设置。对于 MISC 应用系统用户应按个人创建单独的用户账号,账
号的创建应由部门主管书面批准.(控制点 )
. 职工工作调动或离职等工作职能发生变化时,应对个人账号及时进行删除或禁止
使用处理。(控制点 )
3. 普通用户账号的定期审阅
. 在按个人创建系统账号的基础上,MISC 应用系统管理员或授权人员对 MISC 系
统普通用户的清单每半年进行复核签字确认,如发现多余或不恰当的账号应进行
及时调整。(控制点 )
. 公司每半年及业务流程发生重大变更时,由 MISC 应用系统管理员打印用户账号
及访问权限清单,并交由数据业务管理部门主管,对用户的权限进行审阅签字,
以合理确保用户在系统中的权限与其职责相符。如发现不相容职责,应及时通知
MISC 应用系统管理员,对用户的权限进行调整。(控制点 )
4. 职责分工
. 创立新用户角色或对用户组或用户角色定义进行修改时,应考虑不相容职责分工
原则,由业务部门主管(或授权人员)对用户角色的权限设定进行审阅并签字确
认,以合理确保用户在系统中的权限与其职责相符。系统管理员根据经审批的用
户角色权限,在系统中设置用户角色权限。(控制点 )
七、 流程主要控制点
系统设置
信息技术部门在系统中建立了用户身份的验证机制,对系
统的访问必须使用用户名和密码。
系统设置
信息技术部门对系统访问密码制定密码政策及规则,并在
系统中设置密码规则,以避免用户使用弱密码。
授权及批准
对操作系统级和数据库层超级用户的账号(比如根用户,系
统管理员,安全管理员账号,批处理用户账号,数据库管
理员)的使用仅限于经授权的 MISC 设备维护人员。网络部
门安全技术管理人员在每季度对系统及相关设备的用户权
限设置情况进行检查审计。
授权及批准
对应用系统层超级用户的账户的访问根据工作职责仅限于
经授权的系统管理人员。应用系统管理员账号的建立由地
市公司数据业务管理部门主管书面审批。
2 管理层审阅
系统日志应由信息系统部门根据风险和重要性的原则确定
检查内容(如未授权操作、异常操作时点,异常发生频率
或金额等),安全技术管理人员对于 MISC 系统日志进行
的审核每月定期进行,并留下检查记录以合理确保所有与
账务报表相关的操作均为合法及获授权的。
5 授权及批准
中国移动建立了用户及其权限设置的管理流程,对用户创
建和授权必须得到数据业务管理部门主管书面审批(包括
公文,账号创建/变更申请表等)后,方可由应用系统管理
员在系统中创建用户账号,以避免未经授权的账号及权限
创建/修改。公司账号按岗位职责创建,并在员工就职或调
动时,由部门主管书面批准后在系统中进行调整.。
6 授权及批准
在职工工作调动或离职等工作职能发生变化时,对个人账
号及时进行删除或禁止使用处理。
7 管理层审阅
在按个人创建系统账号的基础上,MISC 应用系统管理员
或授权人员对 MISC 系统普通用户的清单每半年进行复核
签字确认,如发现多余或不恰当的账号应进行及时调整。
8 管理层审阅
公司每半年及业务流程发生重大变更时,由 MISC 应用系
统管理员打印用户账号及访问权限清单,并交由数据业务
管理部门主管,对用户的权限进行审阅签字,以避免在用
户的权限中有不相容职责的存在。如发现不相容职责,应
及时通知 MISC 应用系统管理员,对用户的权限进行调
整。
9 职责分工
创立新用户角色或对用户组或用户角色定义进行修改时,
应考虑不相容职责分工原则,由业务部门主管(或授权人
员)对用户角色的权限设定进行审阅并签字确认,以合理
确保用户在系统中的权限与其职责相符。系统管理员根据
经审批的用户角色权限,在系统中设置用户角色权限。
久其报表系统
一、 业务流程范围
1 所涉及的流程范围
逻辑安全和物理安全、用户账号的添加、修改及删除控制、用户账号的定期审
阅、职责分工控制
2 所涉及的部门范围
财务部门
二、 涉及的应用系统和重要的电子表格
久其报表系统
三、 目标
1 公司应制定相关的安全管理政策并使员工意识到公司对信息安全的重视。
2 对公司信息技术资源的物理访问及逻辑访问已建立起通过用户身份的识别,
认证及授权的管理机制,以降低由于对系统及数据的未经授权的访问所带来
的风险。
3 建立相关流程以合理确保用户添加、修改、删除都经过管理层授权,及相关
操作的准确性和及时性。
4 合理确保定期对系统中用户的访问权限进行审阅,以减少非法或不适当的对
系统或数据进行访问而带来的风险。
5 合理确保在关键过程中存在适当的职责分工。
四、 风险
1 公司缺乏可遵循的信息安全管理政策,信息安全管理不规范,增加信息安全
隐患。
2 缺乏必要的物理访问及逻辑访问管理机制,导致对信息资源的未经授权的访
问, 非法修改系统数据。
3 对添加、修改、删除用户未经过管理层授权,离职员工账号未及时在系统中
删除,导致对系统及数据未经授权或不适当访问。
4 对系统或数据非法和不适当的访问不能被及时发现。
5 系统的权限分配与业务部门授权确定的职责分工要求不符。
五、 相关会计科目
适用于系统和程序对应的所有会计科目。
六、 流程描述
1. 对系统逻辑访问和物理访问的身份识别
. 久其系统是财政部统一规定使用的年报系统,由久其公司统一开发并测试。中国
移动将其适用于财务月报(MIS 系统月报功能正式上线前)及年报上。该软件为
单机版,中国移动总部及各省公司根据需求量直接向久其公司购买该系统。该系
统并无用户访问的身份识别之功能,只要在个人计算机上安装该系统,用户便可
以直接使用。公司为安装有久其系统的个人计算机设置唯一用户账号。(控制点
)
. 久其系统并无用户访问的身份识别之功能,而对安装有久其系统的个人计算机设
置 6 位或以上的密码。(控制点 )
七、 流程主要控制点
系
统设置
公司为安装有久其系统的个人计算机设置唯一用户账号。
系
统设置
对安装有久其系统的个人计算机设置 6 位或以上的密码。
客户服务系统
一、 业务流程范围
1 所涉及的流程范围
逻辑安全和物理安全、用户账号的添加、修改及删除控制、用户账号的定期审
阅、职责分工控制
2 所涉及的部门范围
负责客户服务系统管理的信息技术部门(如:计费账务部门)、客户服务中心
(包括省公司及地市公司客服)、市场经营部门
二、 涉及的应用系统和重要的电子表格
客户服务系统
三、 目标
1 公司应制定相关的安全管理政策并使员工意识到公司对信息安全的重视。
2 对公司信息技术资源的物理访问及逻辑访问已建立起通过用户身份的识别,
认证及授权的管理机制,以降低由于对系统及数据的未经授权的访问所带来
的风险。
3 建立相关流程以合理确保用户添加、修改、删除都经过管理层授权,及相关
操作的准确性和及时性。
4 合理确保定期对系统中用户的访问权限进行审阅,以减少非法或不适当的对
系统或数据进行访问而带来的风险。
5 合理确保在关键过程中存在适当的职责分工。
四、 风险
1 公司缺乏可遵循的信息安全管理政策,信息安全管理不规范,增加信息安全
隐患。
2 缺乏必要的物理访问及逻辑访问管理机制,导致对信息资源的未经授权的访
问, 非法修改系统数据。
3 对添加、修改、删除用户未经过管理层授权,离职员工账号未及时在系统中
删除,导致对系统及数据未经授权或不适当访问。
4 对系统或数据非法和不适当的访问不能被及时发现。
5 系统的权限分配与业务部门授权确定的职责分工要求不符。
五、 相关会计科目
适用于系统和程序对应的所有会计科目。
六、 流程描述
1. 对系统逻辑访问和物理访问的身份识别
. 客户服务系统通过用户名和密码实现登录认证,系统中不允许建立共享用户名。
信息技术部门在系统中建立了用户身份的验证机制,对系统的访问必须使用用户
名和密码而且每个用户被授予唯一的用户账号。(控制点 )
. 根据公司《中国移动业务运营支撑系统维护规程》,客户服务系统对系统的密码
规则设置系统控制,用户密码长度不得低于 6 位。密码至少每 90 天进行更新,密
码须由数字、字母组成,不得使用最近 5 次以内重复的密码,密码重复尝试 5 次
以后应暂停该工号登录。
信息技术部门对系统访问密码制定密码政策及规则,并根据对密码政策及规则在
系统中进行相应设置,以避免用户使用弱密码。(控制点 )
. 客户服务系统中的操作系统、数据库系统系统管理员,及根用户、安全管理员账
号、批处理用户账号等超级用户账号由计费账务部门负责人审批授权,账务部门
和客户服务中心负责人对客户服务系统超级用户的授权审批建立正式的审批表
格。计费账务部门和客户服务中心负责人或授权第三方人员应对客户服务系统超
级用户的清单根据系统的重要程度每季或每半年进行复核并签字确认,并对多余
或不恰当的账号进行调整。
对操作系统级和数据库层超级用户的账号(比如根用户,系统管理员,安全管理员
账号,批处理用户账号,数据库管理员)的使用仅限于经授权的系统管理人员。
(控制点 )
. 目前公司客户服务中心及计费账务部门均拥有客户服务系统应用层系统管理员账
号。客户服务中心应用系统管理员账号主要用于用户创建及权限分配,计费账务
部门应用系统管理员账号主要用于系统维护。
对应用系统层超级用户的账户的访问根据工作职责仅限于经授权的系统管理人
员。应用层超级管理员账号都应通过正式公文签字授权,对于客户服务中心应用
系统管理员账号的创建,须由客户服务中心主管授权审批。对于计费账务部门客
户服务系统应用系统管理员账号的创建,须由客户服务中心主管及计费账务部门
主管授权审批。且业务部门主管或授权第三方人员应对系统应用层超级管理员的
清单根据系统的重要程度每季或每半年进行复核并签字确认,并对多余或不恰当
的账号进行调整。(控制点 )
. 客户服务系统在对于操作系统层及应用系统层与财务报表相关的操作,以及客户
服务系统数据库的直接访问修改留有系统操作日志。系统日志应由计费账务部门
根据风险和重要性的原则确定检查内容(如未授权操作、异常操作时点,异常发
生频率或金额等),由计费账务部门安全管理员负责每月进行审核。(控制点
)
2. 用户账号的添加、修改及删除控制
. 公司制定了“客服系统工号管理办法”用于客户服务应用系统中账号的创建、修改
管理。客户服务系统普通用户账号管理由客户服务中心应用系统管理员负责。在
客户服务系统中新建账号或对账号的权限进行调整,须由客户服务中心主管对需
求申请(包括公文、工号变更申请表等格式)审批确认后,由客户服务中心应用
系统管理员在系统中进行设置。 (控制点 )
. 职工工作调动或离职等工作职能发生变化时,企业人力资源部负责发正式通知给
所在部门,所在部门向客户服务中心发需求申请(包括公文、工号变更申请表等
格式),由客户服务中心应用系统管理员对该人员在客户服务应用系统中的工号
进行删除或禁止使用处理。 (控制点 )
3. 普通用户账号的定期审阅
. 各部门工号管理员或授权人员对客户服务系统普通用户的清单每半年进行复核签
字确认,如发现多余或不恰当的账号应进行及时调整。(控制点 )
. 公司应当每半年及业务流程发生重大变更时,由客户服务中心应用系统管理员打
印客户服务系统用户的访问权限清单(用户角色),并交由客户服务中心主管对
用户的权限进行审阅签字,以合理确保用户在系统中的权限与其职责相符。如发
现不相容职责,应及时通知计费账务部门,对用户的权限进行调整。(控制点
)
4. 职责分工
. 创立新用户角色或对用户组或用户角色定义进行修改时,应考虑不相容职责分工
原则,由业务部门主管(或授权人员)对用户角色的权限设定进行审阅并签字确
认,以合理确保用户在系统中的权限与其职责相符。系统管理员根据经审批的用
户角色权限,在系统中设置用户角色权限。(控制点 )
七、 流程主要控制点
系
统设置
信息技术部门在系统中建立了用户身份的验证机制,对系
统的访问必须使用用户名和密码而且每个用户被授予唯一
的用户账号。
系
统设置
信息技术部门对系统访问密码制定密码政策及规则,并根
据对密码政策及规则在系统中进行相应设置,以避免用户
使用弱密码。
授
权及批准
对操作系统级和数据库层超级用户的账号(比如根用户,系
统管理员,安全管理员账号,批处理用户账号,数据库管
理员)的使用仅限于经授权的系统管理人员。
授
权及批准
对应用系统层超级用户的账户的访问根据工作职责仅限于
经授权的系统管理人员。
管理层审阅
客户服务系统在对于操作系统层及应用系统层与财务报表
相关的操作,以及对客户服务系统数据库的直接访问修改
留有系统操作日志。系统日志应由计费账务部门根据风险
和重要性的原则确定检查内容(如未授权操作、异常操作
时点,异常发生频率或金额等),由计费账务部门安全管
理员负责每月进行审核。
授权及批准
中国移动建立用户及其权限设置的管理流程,对用户创建
和授权必须得到客户服务中心主管审批(包括公文,账号
创建/变更申请表等)后,方可由客户服务中心系统管理员
在系统中创建用户账号,以避免未经授权的账号及权限创
建/修改。
授权及批准
在职工工作调动或离职等工作职能发生变化时人力资源部
正式书面通知(如邮件、公文、员工离职单等形式)信息
系统管理部门,由负责客户服务中心应用系统管理员取消
其相应的访问权限。
管理层审阅
各部门工号管理员或授权人员对客户服务系统普通用户的
清单每半年进行复核签字确认,如发现多余或不恰当的账
号应进行及时调整。
管理层审阅
公司应当每半年及业务流程发生重大变更时,由客户服务
中心应用系统管理员打印客户服务系统用户的访问权限清
单(用户角色),并交由客户服务中心主管对用户的权限
进行审阅签字,以合理确保用户在系统中的权限与其职责
相符。如发现不相容职责,应及时通知计费账务部门,对
用户的权限进行调整。
职责分工
创立新用户角色或对用户组或用户角色定义进行修改时,
应考虑不相容职责分工原则,由业务部门主管(或授权人
员)对用户角色的权限设定进行审阅并签字确认,以合理
确保用户在系统中的权限与其职责相符。系统管理员根据
经审批的用户角色权限,在系统中设置用户角色权限。
网络及基础设施
一、 业务流程范围
1 所涉及的流程范围
逻辑安全和物理安全、用户账号的添加、修改及删除控制、用户账号的定期审
阅、职责分工控制
2 所涉及的部门范围
计费账务部门、网络部门、企业信息化部门
二、 涉及的应用系统和重要的电子表格
OA 系统、MIS 系统、BOSS 系统及其子系统、经营分析系统、客户服务系统、
MISC 系统、智能网系统、彩铃平台、WAP 平台的网络基础设施
三、 目标
1 公司应制定相关的安全管理政策并使员工意识到公司对信息安全的重视。
2 对公司信息技术资源的物理访问及逻辑访问已建立起通过用户身份的识别,
认证及授权的管理机制,以降低由于对系统及数据的未经授权的访问所带来
的风险。
3 建立相关流程以合理确保用户添加、修改、删除都经过管理层授权,及相关
操作的准确性和及时性。
4 合理确保定期对系统中用户的访问权限进行审阅,以减少非法或不适当的对
系统或数据进行访问而带来的风险。
5 合理确保在关键过程中存在适当的职责分工。
四、 风险
1 公司缺乏可遵循的信息安全管理政策,信息安全管理不规范,增加信息安全
隐患。
2 缺乏必要的物理访问及逻辑访问管理机制,导致对信息资源的未经授权的访
问, 非法修改系统数据。
3 对添加、修改、删除用户未经过管理层授权,离职员工账号未及时在系统中
删除,导致对系统及数据未经授权或不适当访问。
4 对系统或数据非法和不适当的访问不能被及时发现。
5 系统的权限分配与业务部门授权确定的职责分工要求不符。
五、 相关会计科目
适用于系统和程序对应的所有会计科目。
六、 流程描述
1. 信息安全管理构架和信息安全政策
. 中国移动总部在企业信息化部门、网络部门及计费账务部门设置安全管理员负责
安全政策制定和监督实施,主要职责包括对信息安全政策的制定及发布、系统运
行安全检查、项目建设涉及安全问题的审阅及评估。各部门安全管理员每月对当
月安全状况向部门领导提交信息安全专题报告。如果发生突发安全事件,安全管
理员负责向部门领导及时提交正式安全事故分析报告。对于相关的安全组织机构
及人员建立应更新公司及部门的组织机构图及部门、员工岗位职责描述。 (控制
点 )
. 中国移动总部网络部门、计费账务部门针对本部门的信息系统安全管理分别制定
了《集团公司网络口安全管理规范》、《中国移动业务运营支撑系统维护规
程》,并推广各省公司执行。
各省公司企业信息化部门、网络部门、计费账务部门根据中国移动总部发布的规
章制度制定了
信息技术部日常管理工作规定
信息技术安全的总则
机房安全管理制度
数据安全管理制度 / 计算机应用安全管理规定
最终用户及权限的管理制度 / 密码权限管理规定
内部网络安全管理制度
互联网安全管理制度
计算机病毒防范制度 / 安全管理文档–设备、防毒细则
公司所制定的规章制度已包含了网络、物理安全、操作系统安全、应用程序安
全、软件开发、变更管理、问题管理、系统备份的各方面内容。
另外中国移动总部针对 MIS 系统等中国移动总部统一推行的信息系统,制定了
《关于加强 MIS 系统安全管理的规定》并下发各省公司执行。
中国移动采用了正式的信息政策并为信息安全提供指导,范围包括与生成财务报
告程序和数据相关的信息技术环境的所有方面(例如网络,物理安全,操作系统
安全,应用程序安全等)。中国移动总部及各省公司所制订的安全规章制度应进
行年度审阅更新,并将审阅更新的要求包含在相关安全规章制度内。对于已更新
的安全规章制度应及时下发各相关部门遵照执行。 (控制点 )
2. 对系统逻辑访问和物理访问的身份识别
. 目前中国移动总部及省公司对于各网段之间通过 IP 地址划分来限制跨网段访问,
接入公司网络的终端设备通过局域网域管理认证或 MAC 地址绑定认证等方式实
现网络登录的认证管理,只有通过认证的终端设备才可对局域网资源进行使用。
(控制点 )
. 中国移动总部及省公司根据不同部门划分为办公网、网络部门专用网及计费账务
部门生产网三个网络,企业信息化部门、网络部门、计费账务部门内分别设定网
络管理员,负责日常网络维护及运行管理。只有网络管理员拥有网络设备及系统
的超级管理员权限,网络管理员由相关部门(企业信息化部门、网络部门、计费
账务部门)负责人书面授权。(控制点 )
. 中国移动总部及省公司机房通过门禁系统(指纹系统或门卫等)实现物理访问控
制。各部门需经常进入机房的人员,须经过部门负责人填写机房准入授权单授权
审批后,方可发放门禁卡(在指纹系统中添加用户档案/更新门卫的机房准入人员
名单)。
对于需临时进入机房的人员(包括公司内部及外部人员),必须经过部门负责人
授权批准后,在有权限进入机房的工作人员陪同下进入机房,并填写机房进出登
记表。(控制点 )
. 机房管理人员/门禁系统管理人员每季度准备机房准入人员名单/门禁卡发放清
单,由部门负责人对有权限进入机房的人员进行复核签字,如果发现不恰当用户
的存在及时通知机房管理人员取消相应用户的授权。(控制点 )
. 人员进出机房会在机房门禁系统留下日志记录/机房进出登记表中留下记录,安全
管理员每月应对机房门禁日志/机房进出记录进行审阅,检查是否有异常进出情
况。(控制点 )
中国移动总部及省公司信息技术部门对电脑上安装统一的杀毒软件。
防病毒服务器上设置自动实时更新杀毒软件厂商发布的安全补丁及病毒库。客户
终端上的杀毒软件在登录公司网络时实现自动扫描更新安全补丁及病毒库。 (控
制点 )
公司网络与互联网或外联公司的网络连接(如银行等)经过防火墙或应用网关协
议控制保护。公司对防火墙设置及应用网关的安全设置在安全政策中进行规定,
并由网络管理员及相关应用网关系统管理员进行设置。
各信息技术部门网络管理员每月对防火墙日志进行审查。(控制点
)
七、 流程主要控制点
职
责分工
中国移动总部在信息技术部门设立安全管理员,负责信息
安全管理事务。安全管理员岗位的设定在部门组织机构图
及员工岗位职责进行定义。
管
理层审阅
中国移动采用了正式的信息政策并为信息安全提供指导,
范围包括与生成财务报告程序和数据相关的信息技术环境
的所有方面(例如网络,物理安全,操作系统安全,应用
程序安全等)。中国移动总部及各省公司所制订的信息安
全规章制度应进行年度审阅更新,并将审阅更新的要求包
含在相关安全规章制度内。对于已更新的安全规章制度应
及时下发各相关部门遵照执行。
系
统设置
目前中国移动总部及省公司对于各网段之间通过 IP 地址划
分来限制跨网段访问, 接入公司网络的终端设备通过局域
网域管理认证或 MAC 地址绑定认证等方式实现网络登录
的认证管理,只有通过认证的终端设备才可对局域网资源
进行使用。
授
权及批准
对网络管理员账号的使用仅限于经授权的网络管理人员,
网络管理员的授权须经过信息技术部门主管的书面授权审
批。
授
权及批准
只有经过授权的人员可对存放有与财务报表相关的应用系
统的计算机机房和设备进行物理访问。对机房的访问授权
需经信息技术部门主管书面审批。
管理层审阅
机房管理人员/门禁系统管理人员每季度准备机房准入人员
名单/门禁卡发放清单,由部门负责人对有权限进入机房的
人员进行复核签字,如果发现不恰当用户的存在及时通知
机房管理人员取消相应用户的授权。
管理层审阅
人员进出机房会在机房门禁系统留下日志记录/机房进出登
记表中留下记录,安全管理员每月应对机房门禁日志/机房
进出记录进行审阅,检查是否有异常进出情况。
系统设置
中国移动总部及省公司信息技术部门对电脑上安装统一的
杀毒软件。防病毒服务器上设置自动实时更新杀毒软件厂
商发布的安全补丁及病毒库。客户终端上的杀毒软件在登
录公司网络时实现自动扫描更新安全补丁及病毒库。
管理层审阅
信息技术部门在公司网络与互联网或外联公司的网络连接
处建立防火墙或应用网关协议控制,以保护公司的网络安
全。各信息技术部门网络管理员每月对防火墙日志进行审
查并留下审阅记录。
程序变更管理
一、 业务流程范围
1 所涉及的流程范围
程序变更授权、程序变更的测试校验和批准、程序变更的移植、系统配置参数变
更、紧急程序变更流程
2 所涉及的部门范围
信息技术部门(如计费账务部门、网络部门、企业信息化部门)、相关业务部门
(如财务部门、市场经营部门、数据业务管理部门、工程建设部门、物资管理部
门、资产管理部门)
二、 涉及的应用系统和重要的电子表格
OA 系统、MIS 系统、BOSS 系统及其子系统、经营分析系统、客户服务系统、
MISC 系统、智能网系统、彩铃平台及网络基础设施
三、 目标
1 合理确保对财务报告有影响的系统或应用程序的变更都经过适当的管理层的
授权。
2 合理确保对财务报告有影响的系统或应用程序的变更,在发布到生产环境运
行之前经过了测试,校验和批准。
3 合理确保对财务报告有影响的系统或应用程序的变更在迁移到生产环境过程
中,没有非法的访问,以避免对系统及数据的非法修改。
4 合理确保对财务报告有影响的系统或应用程序的配置变更都经过管理层授
权,并经过适当测试 。
5 合理确保对财务报告有影响的系统或应用程序的紧急变更,遵循紧急变更管
理流程。
四、 风险
1 对财务报告有影响的系统或应用程序的变更未经过管理层的审批与授权。
2 对财务报告有影响的系统或应用程序的变更,在发布到生产环境运行之前未
经测试,变更后的程序功能不能满足用户需求,缺陷未被及时发现。
3 非法变更的程序被未经授权的人员移植到了生产环境。
4 对财务报告有影响的系统或应用程序的配置变更未经管理层授权,并且未得
到适当测试。
5 紧急变更未遵循紧急变更管理流程,未经过必要的授权、审批和测试。
五、 相关会计科目
适用于系统和程序对应的所有会计科目。
六、 流程描述
1. 程序变更需求管理
. 中国移动总部各信息技术部门(包括计费账务部门、网络部及企业信息化部门)
针对各个系统建立了软件功能变更、新增功能实现等变更管理流程,规定了相应
的申请、审批、测试、移植程序。各省公司相关信息技术部门根据集团公司制定
的变更管理流程,结合本省实际情况制定软件变更管理办法,并由各系统主管信
息技术部门领导审批通过。 (控制点 )
. 中国移动总部及省公司对系统及应用程序的变更申请都需要由发起部门(包括业
务部门及信息技术部门)填写规定格式的变更申请表单,描述变更申请的原因、
所涉及系统、业务需求说明、功能需求说明等,并按需求变更的重要程度和变更
涉及影响的部门,由系统主管部门领导、变更影响部门领导及公司领导审批决
定,同时由信息技术部门将变更申请表单记录归档。(控制点 )
2. 程序变更测试及版本控制
. 中国移动总部及省公司各信息技术部门都建立了变更程序测试的规定和流程,在
变更程序开发完成后,由实施方(开发商或信息技术部门)准备测试环境并提交
功能说明文档、技术说明文档及包含测试用例(由开发商和业务部门协商确定)
的测试文档,经信息系统主管部门同意后,由信息技术部门和业务部门共同进行
测试,并填写测试结果及签字确认。测试如不通过,则由开发商根据测试结果进
行程序的修改,并再次进行测试。如未通过规定的测试,变更程序不得被移植入
生产环境。 (控制点 )
中国移动总部及省公司各信息技术部门都建立了物理上或逻辑上(视资源条件而
定)独立于生产环境的测试环境,并按各系统维护规定按生产系统的变更(如必
要可以实时)对测试环境进行程序及数据的更新,以保证测试环境和生产环境的
一致。测试环境的访问权限必须经过信息技术部门主管的书面授权批准。(控制
点 )
. 中国移动总部及省公司各信息技术部门都建立了程序变更版本管理机制,每次程
序变更都需要由实施方(厂商或信息技术部门)进行软件版本、功能说明文档版
本、技术说明文档版本、使用说明文档版本的变更,并由信息系统主管部门在文
档版本管理服务器上归档或手工集中保存,信息部门和业务部门人员经信息技术
部门主管授权后可以访问各类文档。
程序源代码由信息技术部门在版本管理服务器上按程序版本进行归档保存,信息
技术部门人员经信息技术部门主管授权后可以访问。 (控制点 )
3. 程序变更访问控制
. 中国移动各信息技术部门都规定了程序变更开发完成后,由开发人员之外的人员
(厂商或信息部门人员)在测试环境进行程序的编译及测试文档的编写,并由信
息部门系统管理人员(或经信息部门主管授权的厂商人员)往生产环境进行程序
的移植。移植完成后,负责移植的人员需要进行移植情况的检查。
. 中国移动目前部分部门开发人员由于需要进行系统故障处理、检查等原因拥有生
产系统的用户名及口令。公司应进行对开发人员(包括外包厂商)对生产系统进
行程序更新的控制,只有在有必要时才临时由信息技术部门主管授权开发人员访
问并更新生产系统,开发人员访问生产系统时必须由信息技术部门系统维护人员
对其访问进行监督,并在访问结束后及时删除或禁止开发人员在生产系统中的账
号。 (控制点 )
4. 系统配置变更管理
. 中国移动总部及省公司各信息系统配置变更时,需先由信息部门和业务部门提出
变更计划及方案(如有需要,会包括系统备份恢复方案及应急方案),由信息部
门或业务部门领导通过纸制文档、电子工单或 OA 公文等方式进行审批通过后,
由相关授权用户执行 (如 BOSS 系统资费配置管理由资费配置人员执行,MIS 系
统会计科目、报表格式变更由业务超级用户执行)。 (控制点 )
. 中国移动总部及省公司各个信息系统配置变更时,会依据配置变更的性质、影响
面等情况在变更计划及方案中写明是否需在测试环境进行测试。如需测试,测试
后将由开发部门或用户部门填写测试报告并签字确认后存档。 (控制点 )
5. 紧急变更管理
. 中国移动总部及省公司各信息技术部门都建立了紧急变更管理流程并经过管理层
的审批。该流程对紧急变更进行了定义,并规定了紧急变更必须由申请部门提交
紧急变更申请,并经过信息部门及业务部门主管口头审批才可由系统维护人员进
行,并且需事后补充相应的测试及审批文档。同时信息系统对紧急变更的操作也
会保留日志备查。(控制点 )
. 中国移动总部及省公司的紧急变更必须由申请部门提交紧急变更申请,并经过信
息部门及业务部门主管口头审批才可由系统维护人员进行,并且需事后补充相应
的测试及审批文档,并由相关测试人员和负责人签字确认。 (控制点 )
七、 流程主要控制点
管理层
审阅
信息技术部门建立了正式的变更管理流程,并由信息技术
部门领导审批通过。
授权及
批准
所有对信息系统和应用程序的变更申请需要填写规定格式
的变更申请表单,并由系统主管部门领导、变更影响部门
领导及公司领导(重大变更)审批签字。
授权及
批准
变更程序开发完成后由信息技术部门及业务部门制定测试
文档(包含测试用例),由信息技术部门和业务部门共同
进行测试,并填写测试结果及签字确认。如未通过规定的
测试,变更程序不得被移植入生产环境。
系统设
置
各信息技术部门都建立了物理上或逻辑上(视资源条件而
定)独立于生产环境的测试环境。
管理层
审阅
中国移动建立了程序变更版本管理机制,每次程序变更需
由程序开发部门对软件版本及相关文档进行版本更新,并
在版本管理服务器上保存相关文档及程序源代码。
职责分
工
中国移动各信息技术部门都规定了程序变更开发完成后由
信息部门系统管理人员(或经信息部门主管授权的厂商人
员)往生产环境进行程序的移植。移植完成后,负责移植
的人员需要进行移植情况的检查。
授权及
批准
各信息系统配置变更时,需先由信息部门和业务部门提出
变更计划及方案,由信息部门或业务部门领导通过纸制文
档、电子工单或 OA 公文等方式进行审批通过后,由相关
授权用户执行,以防止未经授权的系统配置变更 。
授权及
批准
信息系统配置变更时,会由变更执行部门依据配置变更的
性质、影响面等情况在变更计划及方案中写明是否需在测
试环境进行测试。如需测试,测试后将由开发部门及用户
部门填写测试报告并签字确认后存档。
管理层
审阅
各信息技术部门都建立了紧急变更管理流程,对紧急变更
进行了定义,并规定了紧急变更必须由申请部门提交紧急
变更申请,并经过测试以及信息部门及业务部门主管口头
审批才可由系统维护人员进行,并且需事后补充相应的测
试及审批文档。
管理
层审阅
紧急变更必须由申请部门提交紧急变更申请,并经过信息
部门及业务部门主管口头审批才可由系统维护人员进行,
并且需事后补充相应的测试及审批文档,并由相关测试人
员和负责人签字确认。
程序开发
一、 业务流程范围
1 所涉及的流程范围
程序开发审批授权、程序开发管理及方法、程序开发测试、系统数据迁移。
2 所涉及的部门范围
信息技术部门(计费账户部门、网络部、企业信息化部门)、相关业务部门(如
财务部门、市场经营部门、数据业务管理部门、工程建设部门、物资管理部门、
资产管理部门)
二、 涉及的应用系统和重要的电子表格
OA 系统、MIS 系统、BOSS 系统及其子系统、经营分析系统、客户服务系统、
MISC 系统、智能网系统、彩铃平台及网络基础设施
三、 目标
1 合理确保公司管理层有充分的控制保证新的应用系统及硬件基础架构的开发
和采购是经过适当级别的信息技术和公司管理层的审批。
2 对于在生成财务报表流程中涉及的系统/应用程序,合理确保公司建立和施
行适当的控制,以保证有合适的程序开发方法,并在开发和实施过程中遵守
了相应的方法。
3 合理确保在生成财务报表流程中涉及的系统/应用程序在开发或实施进行了
充分的测试,并且该测试结果经过信息技术部门、用户和管理层的批准。
4 合理确保在生成财务报表流程中涉及的系统/应用程序的数据迁移过程中有
足够的控制保证数据的准确性和完整性。
四、 风险
1 应用系统及硬件基础架构的开发和采购未经过管理层授权审批,浪费企业资
源,导致系统与企业经营目标不一致或系统效率低下。
2 程序开发未遵循正式的方法论,导致开发的程序不能满足业务的功能要求或
质量要求。
3 开发的程序未经充分测试就投入使用,导致系统的缺陷未能及时发现以及系
统运行的不稳定。
4 与程序开发相关的数据移植不完整、不准确。
五、 相关会计科目
适用于系统和程序对应的所有会计科目。
六、 流程描述
1. 程序开发采购管理
. 各省公司根据中国移动总部统一制定的《工程项目管理办法》制订了项目管理的
具体实施细则,对项目的可行性研究、立项、招投标等审批流程作出了规定。
(控制点 )
. 中国移动规定信息技术基础设施和信息系统的采购、开发首先由业务部门提出项
目开发需求/采购需求,经 业务部门领导和信息技术部门领导审批同意后,由业
务部门和相关部门进行可行性研究并编制可行性研究报告。如确定项目可行,将
根据项目性质、规模等,将项目的相关文档报送相关业务部门及信息技术部门省
公司领导或总部领导审批。公司领导审批同意后,项目可以开始正式执行。 (控
制点 )
2. 程序开发项目实施管理
. 中国移动总部各信息技术部门制定了软件开发管理办法,规定了信息系统项目管
理和程序开发流程,内容包括项目组织(项目委员会、项目小组)、项目汇报、
需求分析、程序测试、验收等各方面规范。各省公司信息技术部门依据总部制定
的软件开发管理办法,制订了软件开发实施细则。 (控制点 )
. 中国移动各信息技术部门系统开发项目的合同、需求说明、项目定期报告、功能
说明、开发测试文档、使用说明、测试验收报告等文档由相关部门(信息技术部
门或业务部门)准备,并以纸制或电子文档的方式由项目管理部门进行归档保
存。 (控制点 )
. 中国移动各信息技术部门根据软件开发管理办法及实施细则的规定(根据各省名
称填写),在系统上线前制定上线计划,内容包括上线时间安排、上线对系统运
行的影响、新旧系统切换方式、历史数据处理方式、上线失败恢复方案等方面。
系统上线依据项目规模,由部门主管或公司领导以公文方式或上线审批表进行授
权批准。 (控制点 )
3. 程序开发测试管理
. 中国移动系统开发相关管理办法规定了系统上线前必须首先经过厂商进行内部测
试,然后由信息技术部门或业务部门进行用户验收测试(根据系统影响范围确
定);如果和其它系统有数据接口,也必须由相关信息技术部门和业务部门对接
口进行测试。测试前必须由厂商或信息技术部门准备功能说明文档、技术说明文
档以及测试文档(业务部门协助完成),经项目小组确认后,分别由技术人员和
业务人员分别测试并对结果进行签字确认后由信息技术部门或业务部门进行归档
保存。如果测试存在重大问题,将汇报项目负责人处理。系统上线前,需由信息
技术部门专门人员核查所有测试流程及文档是否符合规定,并在上线审批单或公
文中签字确认。
. 公司采用的系统开发方法论规定了系统上线前必须经过充分测试,包括系统测试
和用户接收测试,测试完成后,由相关的信息技术人员和用户对测试结果进行签
字确认。(控制点 )
公司采用的系统开发方法论规定了与其他系统的数据接口在系统上线前要经过充
分测试,测试完成后,由相关的信息技术人员和用户对测试结果进行签字确认。
(控制点 )
4. 数据迁移管理
. 中国移动各信息技术部门对数据转换流程建立正式规定,在每次数据转换前对数
据转换制定数据转换方案。方案内容一般包括数据转换策略、数据转换测试、数
据备份机恢复方案、数据转换结果核对(自动核对,人工核对,报表辅助核对)
等方面内容。转换方案需由信息技术部门主管审核签字后方可执行。 (控制点
)
. 中国移动在新旧系统切换中对数据转换所建立的转换方案中包括了对历史数据的
备份,以供对历史交易数据的查询。备份措施包括保留历史系统、保留历史数据
数据库、历史数据磁带备份等方式。 (控制点 )
七、 流程主要控制点
管理层
审阅
各省公司根据中国移动总部统一制定的《工程项目管理办
法》制订了项目管理的具体实施细则,对项目的可行性研
究、立项、招投标等审批流程作出了规定。
授权及
批准
信息技术基础设施和信息系统的采购、开发需由相关业务
部门及信息技术部门省公司领导或总部领导审批同意后,
项目可以开始正式执行。
管理层
审阅
中国移动总部各信息技术部门制定了软件开发管理办法,
对信息系统项目管理和程序开发流程进行了规范。各省公
司信息技术部门依据总部制定的软件开发管理办法,制订
了软件开发实施细则。
管理层
审阅
各信息技术部门系统开发项目的合同、需求说明、项目定
期报告、功能说明、开发测试文档、使用说明、测试验收
报告等文档由相关部门(信息技术部门或业务部门)准
备,并以纸制或电子文档的方式由项目管理部门进行归档
保存。
授权及
批准
系统上线前制定上线计划,内容包括上线时间安排、上线
对系统运行的影响、新旧系统切换方式、历史数据处理方
式、上线失败恢复方案等方面。系统上线依据项目规模,
由部门主管或公司领导以公文方式或上线审批表进行授权
批准。
授权及
批准
公司采用的系统开发方法论规定了系统上线前必须经过充
分测试,包括系统测试和用户接收测试,测试完成后,由
相关的信息技术人员和用户对测试结果进行签字确认。
授权及
批准
公司采用的系统开发方法论规定了与其他系统的数据接口
在系统上线前要经过充分测试,测试完成后,由相关的信
息技术人员和用户对测试结果进行签字确认。
授权及
批准
每次数据转换前都对数据转换制定了数据转换方案。方案
内容一般包括数据转换策略、数据转换测试、数据备份机
恢复方案、数据转换结果核对(自动核对,人工核对,报
表辅助核对)等方面内容。转换方案需由信息技术部门主
管审核签字后方可执行。
管理层
审阅
在新旧系统切换中对数据转换所建立的转换方案中包括了
对历史数据的备份,以供对历史交易数据的查询。
系统运行
BOSS 系统
一、 业务流程范围
1 所涉及的流程范围
系统运行及作业计划、系统备份、系统备份恢复性测试、问题管理流程
2 所涉及的部门范围
BOSS 系统维护部门(如:计费账务部门)
二、 涉及的应用系统和重要的电子表格
BOSS 系统 ,包括总部、省公司 BOSS 系统、渠道管理系统(代理商管理及核
酬)、网间结算系统、集团客户系统、有价卡管理系统等子系统
三、 目标
1 管理层实施了适当的控制,合理确保与财务报告生成相关的系统处理的准确
性,完整性和及时性。
2 与财务报表生成相关的系统和数据进行定期的备份,使相关的重要数据在需
要时可以恢复。
3 对备份介质进行定期恢复测试,合理确保备份介质的质量及系统和数据的可
恢复性。
4 对与财务报表生成相关的应用程序和系统的备份介质的接触存在适当的访问
控制。
5 合理确保管理层制定和实施了问题管理流程,以及时记录、分析、解决与生
成财务报表有关的系统和应用程序的问题和错误。
四、 风险
1 与财务报告生成相关的系统处理不准确,不完整和不及时。
2 与财务报表生成相关的系统和数据未及时备份,导致系统或数据在需要时不
可恢复。
3 备份的数据未定期做恢复性测试,备份介质的质量无法保证,导致备份数据
不可恢复。
4 未经授权的人员接触与财务报表生成相关的应用程序和系统的备份介质,导
致重要财务信息泄露。
5 与生成财务报表有关的系统和应用程序的问题和错误未被及时记录、分析、
解决,使财务报表中的错误未能得到及时发现和解决。
五、 相关会计科目
适用于系统和程序对应的所有会计科目。
六、 流程描述
1. 系统运行及作业计划控制
. 中国移动总部及省公司对于 BOSS 系统所需进行的批处理作业已制定作业安排计
划,并在系统中进行相应设置,以使系统按照作业安排计划自动处理批处理作
业。对于部分未在系统中设置的批处理工作,计费账务部门已制定手工作业安排
计划,由系统管理员或机房值班人员按计划执行批处理作业。
为合理确保 BOSS 系统批处理计划的准确性,批处理计划上线前都必需通过测
试,并由相关人员签字审批。
只有系统维护部门可以在 BOSS 系统维护作业计划。 (控制点 )
. BOSS 系统的批处理操作说明在负责执行工作人员处留有电子或纸质文档。系统
自动批处理作业在系统中留有运行日志记录,手工批处理作业的执行结果在机房
值班日志上进行日志记录归档,以保证批处理作业的正常执行。日志由机房值班
领导每日/周检查。 (控制点 )
. 各省建立了 BOSS 监控管理系统和“值班管理制度”对 BOSS 系统运行状况进行监
控,以合理确保系统和数据处理完整性和及时性。
BOSS 系统自动批处理作业执行失败或 BOSS 系统发生的其它故障会由系统产生
错误报告,错误报告通过监控系统告警(如电子邮件、短信等方式)或值班监控
的方式使工作人员及时发现并进行相应处理。 (控制点 )
2. 系统备份控制
. 计费业务中心专职人员(BOSS 系统维护人员、系统管理员等)根据业务部门需
求制定了 BOSS 系统备份策略,备份策略通过备份系统自动作业计划在磁带库自
动执行。
BOSS 系统的数据库每天执行增量备份,每周/月执行全备份。BOSS 系统的操作
系统及应用系统程序,在系统发生变更时及每月/季定期进行备份。 (控制点
)
. 公司对 BOSS 系统的备份磁带由维护部门人员定期(如:每周)执行异地存放,
并由执行异地备份人员在完成异地存放后进行记录(如:异地备份登记表),信
息技术部门主管定期(如:每月)审阅异地备份记录并签字。(控制点
)
3. 系统备份恢复性测试
对 BOSS 系统的备份策略明确规定对本地及异地磁带恢复性测试的要求和步骤,
一般对于重要业务数据应根据备份介质使用寿命等情况至少每半年进行一次恢复
性测试,测试完成后应由测试人员对测试结果进行记录。(控制点
)
BOSS 系统的备份管理员根据备份设备制造商对备份介质使用寿命的建议及“备份
管理制度”的要求,对备份磁带进行更换,并在更换后留下更换记录(如:磁带更
换登记),部门主管定期(如:每月)审核磁带更换记录。
备份管理员根据备份设备制造商对备份介质使用寿命的建议及“备份管理制度”的
要求,对备份磁带进行更换,并在更换后留下更换记录,部门主管定期(如:每
月)审核磁带更换记录。(控制点 )
4. 问题管理流程
BOSS 系统监控中发现的异常情况由值班监控人员根据“值班管理办法”的规定处
理,在值班日志或电子工单管理系统中进行记录,并根据问题的具体情况提交相
应人员处理。 (控制点 )
用户在使用 BOSS 系统中发现的问题或故障报告,通过电子工单系统进行记录,
并发送至省/市计费账务部门申告处理人员处,申告处理人员对问题进行记录及初
步分析处理。如问题无法解决,由申告处理人员将申告公单转发至相应处理部
门,并对问题的解决情况进行追踪。(控制点 ) 申告工单中包含
申告人、申告内容、申告回复、处理人、处理期限等内容。
七、 流程主要控制点
管理层审阅
只有授权的系统维护部门人员可以在系统中维护作业安
排计划或安排手工作业安排计划,由系统管理员或机房
值班人员按计划执行批处理作业。批处理作业计划由相
关部门负责人审批后执行。
管理层审阅
系统自动批处理作业在系统中留有运行日志记录,手工
批处理作业的执行结果在机房值班日志上进行记录,日
志记录由机房值班领导每日/周检查,签字确认,以保证
批处理作业的正常执行。
例外情况报告和预
警报告
系统自动批处理作业执行失败或其它系统发生的故障会
由系统产生错误报告,错误报告通过监控系统告警(如
电子邮件、短信等方式)或值班监控的方式使工作人员
及时发现并进行相应处理。
授权及批准
信息技术部门根据系统的重要性及考虑恢复成本,制定
了备份计划。备份计划由相关部门负责人审批通过。
管理层审阅
公司对 BOSS 系统的备份磁带由维护部门人员定期(如:
每周)执行异地存放,并由执行异地备份人员在完成异
地存放后进行记录(如:异地备份登记表),信息技术
部门主管定期(如:每月)审阅异地备份记录并签字。
管理层审阅
对 BOSS 系统的备份策略明确规定对本地及异地磁带恢复
性测试的要求和步骤,一般对于重要业务数据应根据备
份介质使用寿命等情况至少每半年进行一次恢复性测
试,测试完成后应由测试人员对测试结果进行记录。
管理层审阅
备份管理员根据备份设备制造商对备份介质使用寿命的
建议及“备份管理制度”的要求,对备份磁带进行更换,并
在更换后留下更换记录,部门主管定期(如:每月)审
核磁带更换记录。
0 例外情况报告和
预警报告
系统监控中发现的异常情况由值班监控人员根据“值班管
理办法”的规定处理,在值班日志或电子工单管理系统中
进行记录,并根据问题的具体情况提交相应人员处理。
1 例外情况报告和
预警报告
用户在使用系统中发现的问题或故障报告,通过电子工
单系统进行记录,并发送至省/市计费账务部门申告处理
人员处,申告处理人员对问题进行记录及初步分析处
理。如问题无法解决,由申告处理人员将申告公单转发
至相应处理部门,并对问题的解决情况进行追踪。
经营分析系统
一、 业务流程范围
1 所涉及的流程范围
系统运行及作业计划、系统备份、系统备份恢复性测试、问题管理流程。
2 所涉及的部门范围
系统维护部门 (如:计费账务部门)、市场经营部门
二、 涉及的应用系统和重要的电子表格
经营分析系统
三、 目标
1 管理层实施了适当的控制,合理确保与财务报告生成相关的系统处理的准确
性,完整性和及时性。
2 与财务报表生成相关的系统和数据进行定期的备份,使相关的重要数据在需
要时可以恢复。
3 对备份介质进行定期恢复测试,合理确保备份介质的质量及系统和数据的可
恢复性。
4 对与财务报表生成相关的应用程序和系统的备份介质的接触存在适当的访问
控制。
5 合理确保管理层制定和实施了问题管理流程,以及时记录、分析、解决与生
成财务报表有关的系统和应用程序的问题和错误。
四、 风险
1 与财务报告生成相关的系统处理不准确,不完整和不及时。
2 与财务报表生成相关的系统和数据未及时备份,导致系统或数据在需要时不
可恢复。
3 备份的数据未定期做恢复性测试,备份介质的质量无法保证,导致备份数据
不可恢复。
4 未经授权的人员接触与财务报表生成相关的应用程序和系统的备份介质,导
致重要财务信息泄露。
5 与生成财务报表有关的系统和应用程序的问题和错误未被及时记录、分析、
解决,使财务报表中的错误未能得到及时发现和解决。
五、 相关会计科目
适用于系统和程序对应的所有会计科目。
六、 流程描述
1. 系统运行及作业计划控制
. 公司对于经营分析系统所需进行的批处理作业已制定作业安排计划,并在系统中
进行相应设置,以使系统按照作业安排计划自动处理批处理作业。
对于部分未在系统中设置的批处理工作,计费账务部门已制定手工作业安排计
划,由系统管理员或机房值班人员按计划执行批处理作业。
为合理确保系统批处理计划的准确性,批处理计划上线前都必需通过测试,并由
相关人员签字审批。只有系统维护部门可以在系统中建立批处理。 (控制点
)
. 经营分析系统的批处理操作说明在负责执行工作人员手中留有电子或纸质文档。
手工批处理作业的执行结果在机房值班日志上进行记录,以保证批处理作业的正
常执行。日志由机房值班领导每日/周检查。 (控制点 )
. 各省建立了经营分析监控管理系统和“值班管理制度”以合理确保系统和数据处理
完整性和及时性。经营分析系统自动批处理作业执行失败或其它经营分析系统发
生的故障会由系统产生错误报告,错误报告通过监控系统告警(如电子邮件、短
信等方式)或值班监控的方式使工作人员及时发现并进行相应处理。 (控制点
)
2. 系统备份控制
. 计费账务部门专职人员(维护部门主管、系统管理员等)根据业务部门需求制定
了经营分析系统备份策略,备份策略通过系统自动作业计划执行。
经营分析系统的备份通过带库进行。经营分析系统的数据库每天执行全备份。经
营分析系统中的应用系统程序,在应用发生变更时及每月/季定期进行备份。 (控
制点 )
. 对经营分析系统备份磁带定期(如:每周)执行异地存放,并由执行异地备份人
员在完成异地存放后进行记录(如:异地备份登记表),信息技术部门主管定期
(如:每月)审阅异地备份记录并签字。(控制点 )
3. 系统备份控制
. 在备份策略中明确规定对本地及异地磁带恢复性测试的要求和步骤,对于重要业
务数据应根据备份介质使用寿命等情况至少每半年进行一次恢复性测试,测试完
成后应由测试人员对测试结果进行记录。(控制点 )
. 经营分析系统的备份管理员根据备份设备制造商对备份介质使用寿命的建议及
“备份管理制度”的要求,对备份磁带进行更换,并在更换后留下更换记录。部门
主管定期(如:每月)审核