安永

“开发人员怎么会有生产环境的账号权限？”

“这个模块功能和另一个模块功能一样，是不是重复建设了？”

“为什么其他系统与ERP系统的数据无法互通、 互联？”

“财务敏感数据没有做导出权限控制，会不会存在泄露隐患？”

《企业内部控制应用指引第18号》要求企业根据内部控制要求，制定信息系统建设整体规划，加大投入力度，有序组织信息系统开发、运行与维护，优化管理流程，防范经营风险，全面提升企业现代化管理水平。企业若能在系统实施全生命周期贯穿内控管理意识，则可有效规避ERP实施及运营中的各类风险，提高ERP系统实施成功率，同时达到满足内控要求，完善内部控制体系的目的。安永围绕ERP系统规划、建设、运维三个阶段，总结、归纳了如下内控管理问题：

系统规划阶段

系统建设阶段

系统运维阶段

企业应提高信息化建设过程中的内控意识，在ERP系统的规划、开发建设、运行维护过程中，全面、充分、及时响应内部控制要求，完善开发规范性、访问安全性、流程合理性、配置有效性，实现企业ERP系统与内部控制管理的深入结合。安永认为企业ERP实施各阶段应遵循如下内控管理原则：

系统规划——全局统筹，立足业务

企业在对ERP系统制定战略规划方案时，应该以企业发展战略为依据制定全局性、长期性规划，统筹考虑现有系统与新建系统的协同效应；将信息化与企业业务需求结合，与企业的组织架构、业务范围、地域分布、技术能力等相匹配，避免相互脱节。企业应基于战略规划，明确建设目标、人员配备、职责分工、经费保障和进度安排等相关内容，按照规定的权限和程序审批后实施。

系统建设——程序规范，控制内嵌

在信息系统开发建设阶段，企业应该从需求分析入手，确认内部控制方案及特定的内控需求已融入ERP系统需求说明书中，及时追加必要的内控体系建设新需求或剔除不符合内控要求的需求。其次，在基于现有ERP系统架构、功能模块、接口流转、数据主题的基础上，企业应该将关键控制点、处理规则等内控合规要求通过系统开发的方式嵌入程序，并组织业务部门、内控建设人员共同参与用户验收测试，强化过程管控，确保内部控制需求得以实现。在最终上线前，企业还需制定科学的上线计划和新旧系统转换方案，考虑应急预案，确保新旧系统顺利切换和平稳衔接。

系统运维——健全机制，持续优化

系统上线后，企业应该采用科学有效的方法，加强系统运行维护能力，制定全面的制度管理规范，让相关人员在系统日常运行过程中的操作行为有据可依，并持续补充、修改、完善制度内容；通过定期检查与评估，查漏补缺，实现信息系统控制环境的持续优化与提升，保证系统与业务需求、内外部管控要求的适配性、一致性。

安永ERP系统实施内控审阅服务

安永企业风险管理咨询团队一直致力于探索、归纳和总结企业在信息化建设过程中面临的各类内控管理问题，为多家大型企业提供了覆盖ERP系统实施生命周期的专业咨询服务，积累了丰富的研究与实践经验，形成了完整的管理思路与知识体系。

通过开展贯穿ERP项目实施始终的，分阶段、分领域的有针对性的内部控制审阅工作，安永检视ERP实施过程中存在的内控问题，协助企业规划和开展ERP系统的提升和调优工作。

于规划设计审阅阶段，重点关注系统规划的统筹性及功能设计的内控合规性。有关工作涉及在对公司业务充分了解的基础上，通过与行业最佳实践基准的对标，审查系统规划是否考虑了与其他系统的协同性；识别关键业务循环（订单到现金、采购到付款、记录到报表等）中的潜在错报的可能来源及可能影响相关财务报表认定的风险点，结合设计文档审阅，检查风险点对应的关键控制是否遵循内控要求纳入功能设计，就遗漏或无效的控制设计提出建议。

于ERP系统上线审阅阶段，重点关注内部控制相关要求是否被完整、准确落实于管理及ERP系统中。例如，通过审阅开发、测试文档，在测试环境执行访问测试，判断系统自动控制、参数配置、权限设置是否经过合理授权、审阅，是否符合业务需求及内控要求被设定；在验证数据迁移的完整性和有效性时，通过审阅数据迁移计划、迁移方案、数据迁移模板、数据迁移确认文件，确认数据迁移工作过程控制完善、可靠，迁移结果得到了相关关键用户的认可、承认。

于ERP系统上线后审阅阶段，重点关注系统日常管理流程的规范性以及系统功能、用户权限、配置设置与业务及内控要求的适配性。有关工作涉及通过审阅IT管理制度、岗位权限矩阵、系统/权限变更申请审批表、权限定期审阅表等控制性文档，评估IT管理机制的完整性、规范性，基于对业务流程的理解，通过开展控制检查，审阅系统控制在业务循环中的运行情况，评估管控设计与落地执行方面的不足。

安永ERP系统实施内控审阅工具介绍

为提升ERP系统实施内控审阅的效率和效果，基于ERP实施内控管理要求，结合ERP实施内控咨询服务经验，安永开发了诸如“系统控制对标诊断工具”及“SoD权限合规管理审查平台”在内的ERP系统实施内控评估工具。

系统控制对标诊断工具包括程序变更、逻辑访问、一般运维控制在内的IT一般控制，以及直接影响财务数据准确性和完整性的IT应用控制。系统控制对标诊断工具中的测试点囊括了常见的容易影响系统可靠性、安全性、稳定性的系统控制，利用工具对标分析标准控制与企业现有系统控制设置，可以快速识别控制待优化领域，有针对性地制定优化措施，协助企业完善系统开发规范性、流程管理完整性、功能配置有效性。

SoD（Segregation of Duties，职责分离）权限合规管理审查平台是面向SAP系统设计的系统权限管理工具，功能模块主要包括：Tcode、规则分组、SoD规则、敏感规则等，根据用户导入或者接口传入的权限数据，结合平台预设的SoD规则以及敏感权限规则，快速定位到SoD授权风险以及敏感授权过大的风险，促进权限管理工作从“被动”转向“主动”，帮助企业达到权限合规化、数据安全化、流程标准化的目标。

ERP系统与内部控制都是企业的管理工具，二者间存在着深刻的内在关系。ERP系统实施全生命周期需要贯穿内控管理意识，将内控要求融入实施管理和系统功能设计、开发中。只有这样才能为实现ERP项目成功，为企业内部控制目标的实现提供有力支持。

近年来，安永企业风险管理咨询团队在信息系统内控管理咨询服务中，已积累丰富的实践经验，我们愿与更多的企业探讨ERP系统实施中的内控管理问题，结合企业实际情况，提供定制化专业咨询服务，助力企业信息化及内控建设，实现高质量发展。

本文是为提供一般信息的用途所撰写，并非旨在成为可依赖的会计、税务、法律或其他专业意见。请向您的顾问获取具体意见。返回搜狐，查看更多