疏“痛点”，破“难点”——提升ERP系统实施内控管理水平

前言

近年来，国务院国资委、财政部等监管机构越来越强调信息化对于企业经营、治理的作用，提倡企业通过以ERP系统为代表的信息系统提升内部控制管理信息化和智能化水平。信息系统作为实现内部控制目标的必要工具和手段，其重要性被企业广泛关注与讨论。

从内部控制的角度来说，信息系统是内部控制的对象，需要建立、完善系统相关的控制规范。然而，相较于对内控信息化的关注，信息系统实施过程中的内控管理尚未被充分重视，导致影响实施效果甚至导致系统实施失败的案例屡见不鲜。

本文将从企业ERP系统实施的角度出发，探讨ERP系统实施中的内控管理，聚焦ERP实施管理中的内控问题，分析提升ERP系统实施内控管理水平的解决方案。

ERP系统是实现内部控制目标的必要工具和手段

ERP（Enterprise Resource Planning，企业资源计划）是对企业资源进行有效共享与利用的系统，被许多企业广泛应用在企业经营和治理中。ERP系统的实施部署促使企业管理结构趋向扁平化、流程化，控制责任更加明确，对内部控制环境的改善和信息沟通的效率提升带来有力的促进作用；此外，ERP通过对业务流程和控制进行合理设计并固化在系统中，增强了业务流程的执行力也提高了控制的执行准确性和约束性。

近年来，伴随企业数字化转型，企业业务与系统深度融合，以ERP系统为代表的信息系统在企业内控建设中的重要性更加凸显，国务院国资委等监管机构对内控信息化手段的重视程度越来越高，陆续出台了一系列政策规范，引导企业加强重视、有序开展内控体系信息化建设工作。

《关于进一步深化法治央企建设的意见》（国资发法规规〔2021〕80号）指出：要加快提升企业信息化、数字化、智能化水平。
《关于加强中央企业内部控制体系建设与监督工作的实施意见》（国资发监督规〔2019〕101号）要求：加强内控信息化建设力度，实现内控体系与业务信息系统互联互通、有机融合。
《中央企业合规管理指引（试行）》（国资发法规〔2018〕106号）强调：建立全面合规管理体系，通过信息化手段优化管理流程，加强重点领域的合规管理。

ERP系统实施内控管理水平制约ERP系统效果的实现

ERP是内部控制目标实现的有效工具和手段，也是内部控制的对象。ERP项目投入高、实施周期长，在实施各阶段都存在风险，需要针对各阶段风险，建立一套行之有效的内控管理机制。然而在实践中，企业ERP系统实施内控管理面临诸多问题。例如，内部控制意识不足，内部控制程序缺失等，由此形成的机制和管理方式问题导致ERP系统上线后问题不断，诸如系统功能重复建设，初始数据不完整、不准确，系统功能与实际业务“两张皮”，用户授权、密码控制、操作监控、参数约束与会计规范及企业内部控制要求不符等“怨声”不绝于耳。

“我们开发了很多功能，但为什么还没达到我们最想要的效果？”

“明明做了数据迁移，但新系统的数据怎么还是和旧系统不一致？”

“开发人员怎么会有生产环境的账号权限？”

“这个模块功能和另一个模块功能一样，是不是重复建设了？”

“为什么其他系统与ERP系统的数据无法互通、互联？”

“财务敏感数据没有做导出权限控制，会不会存在泄露隐患？”

《企业内部控制应用指引第18号》要求企业根据内部控制要求，制定信息系统建设整体规划，加大投入力度，有序组织信息系统开发、运行与维护，优化管理流程，防范经营风险，全面提升企业现代化管理水平。企业若能在系统实施全生命周期贯穿内控管理意识，则可有效规避ERP实施及运营中的各类风险，提高ERP系统实施成功率，同时达到满足内控要求，完善内部控制体系的目的。安永围绕ERP系统规划、建设、运维三个阶段，总结、归纳了如下内控管理问题：

系统规划阶段

系统建设阶段

系统运维阶段

ERP系统实施内控管理提升建议

企业应提高信息化建设过程中的内控意识，在ERP系统的规划、开发建设、运行维护过程中，全面、充分、及时响应内部控制要求，完善开发规范性、访问安全性、流程合理性、配置有效性，实现企业ERP系统与内部控制管理的深入结合。安永认为企业ERP实施各阶段应遵循如下内控管理原则：

系统规划——全局统筹，立足业务

企业在对ERP系统制定战略规划方案时，应该以企业发展战略为依据制定全局性、长期性规划，统筹考虑现有系统与新建系统的协同效应；将信息化与企业业务需求结合，与企业的组织架构、业务范围、地域分布、技术能力等相匹配，避免相互脱节。企业应基于战略规划，明确建设目标、人员配备、职责分工、经费保障和进度安排等相关内容，按照规定的权限和程序审批后实施。

系统建设——程序规范，控制内嵌

在信息系统开发建设阶段，企业应该从需求分析入手，确认内部控制方案及特定的内控需求已融入ERP系统需求说明书中，及时追加必要的内控体系建设新需求或剔除不符合内控要求的需求。其次，在基于现有ERP系统架构、功能模块、接口流转、数据主题的基础上，企业应该将关键控制点、处理规则等内控合规要求通过系统开发的方式嵌入程序，并组织业务部门、内控建设人员共同参与用户验收测试，强化过程管控，确保内部控制需求得以实现。在最终上线前，企业还需制定科学的上线计划和新旧系统转换方案，考虑应急预案，确保新旧系统顺利切换和平稳衔接。

系统运维——健全机制，持续优化

系统上线后，企业应该采用科学有效的方法，加强系统运行维护能力，制定全面的制度管理规范，让相关人员在系统日常运行过程中的操作行为有据可依，并持续补充、修改、完善制度内容；通过定期检查与评估，查漏补缺，实现信息系统控制环境的持续优化与提升，保证系统与业务需求、内外部管控要求的适配性、一致性。

安永助力企业ERP系统内控管理优化提升

安永ERP系统实施内控审阅服务

安永企业风险管理咨询团队一直致力于探索、归纳和总结企业在信息化建设过程中面临的各类内控管理问题，为多家大型企业提供了覆盖ERP系统实施生命周期的专业咨询服务，积累了丰富的研究与实践经验，形成了完整的管理思路与知识体系。

通过开展贯穿ERP项目实施始终的，分阶段、分领域的有针对性的内部控制审阅工作，安永检视ERP实施过程中存在的内控问题，协助企业规划和开展ERP系统的提升和调优工作。

于规划设计审阅阶段，重点关注系统规划的统筹性及功能设计的内控合规性。有关工作涉及在对公司业务充分了解的基础上，通过与行业最佳实践基准的对标，审查系统规划是否考虑了与其他系统的协同性；识别关键业务循环（订单到现金、采购到付款、记录到报表等）中的潜在错报的可能来源及可能影响相关财务报表认定的风险点，结合设计文档审阅，检查风险点对应的关键控制是否遵循内控要求纳入功能设计，就遗漏或无效的控制设计提出建议。

于ERP系统上线审阅阶段，重点关注内部控制相关要求是否被完整、准确落实于管理及ERP系统中。例如，通过审阅开发、测试文档，在测试环境执行访问测试，判断系统自动控制、参数配置、权限设置是否经过合理授权、审阅，是否符合业务需求及内控要求被设定；在验证数据迁移的完整性和有效性时，通过审阅数据迁移计划、迁移方案、数据迁移模板、数据迁移确认文件，确认数据迁移工作过程控制完善、可靠，迁移结果得到了相关关键用户的认可、承认。

于ERP系统上线后审阅阶段，重点关注系统日常管理流程的规范性以及系统功能、用户权限、配置设置与业务及内控要求的适配性。有关工作涉及通过审阅IT管理制度、岗位权限矩阵、系统/权限变更申请审批表、权限定期审阅表等控制性文档，评估IT管理机制的完整性、规范性，基于对业务流程的理解，通过开展控制检查，审阅系统控制在业务循环中的运行情况，评估管控设计与落地执行方面的不足。

安永ERP系统实施内控审阅工具介绍

为提升ERP系统实施内控审阅的效率和效果，基于ERP实施内控管理要求，结合ERP实施内控咨询服务经验，安永开发了诸如“系统控制对标诊断工具”及“SoD权限合规管理审查平台”在内的ERP系统实施内控评估工具。

系统控制对标诊断工具包括程序变更、逻辑访问、一般运维控制在内的IT一般控制，以及直接影响财务数据准确性和完整性的IT应用控制。系统控制对标诊断工具中的测试点囊括了常见的容易影响系统可靠性、安全性、稳定性的系统控制，利用工具对标分析标准控制与企业现有系统控制设置，可以快速识别控制待优化领域，有针对性地制定优化措施，协助企业完善系统开发规范性、流程管理完整性、功能配置有效性。

SoD（Segregation of Duties，职责分离）权限合规管理审查平台是面向SAP系统设计的系统权限管理工具，功能模块主要包括：Tcode、规则分组、SoD规则、敏感规则等，根据用户导入或者接口传入的权限数据，结合平台预设的SoD规则以及敏感权限规则，快速定位到SoD授权风险以及敏感授权过大的风险，促进权限管理工作从“被动”转向“主动”，帮助企业达到权限合规化、数据安全化、流程标准化的目标。