企业ERP内部控制管理知识方案.docx

1、企业ERP内部控制管理知识方案用友ERP企业部控制解决方案1 背景1.1 控的发展演变部控制理论的发展可以分为部牵制，部控制制度，部控制结构与部控制整体框架等四个阶段。一、部牵制：十九世纪40年代前习惯用“部牵制”这一概念。部牵制思想以账目间的相互核对为主要容并实施岗位分离，其主要容包括：实物牵制，机械牵制，体制牵制，簿记牵制。二、部控制管理：1949年部控制，一种协调制度要素及其对管理当局和独立注册会计师的重要性的报告中，将部控制定义为：“部控制包括组织机构的设计和企业部采取的所有相互协调的方法和措施,这些方法和措施都用于保护企业的财产,检查会计信息的准确性,提高经营效率,推动企业坚持执行既

2、定的管理政策”。三、部控制结构：在1988年4月，AICPA的审计准则委员会发布第55号审计准则公告，从1990年1月起取代1972年颁布的第一号审计准则公告中AU320节的容，提出了部控制结构认为“企业的部控制结构包括为合理保证特定目标的实现而建立的各种政策和程序”四、部控制框架：1996年美国AICPA发布了第78号审计准则公告，全面接受了COSO(发起组织委员会)“部框架浾罟框架”报告的容，并从1997年1月起取代1988年发布的第55号审计准则公告。2003年6月5日美国证交会根据萨本斯奥克斯利法案第404条款的要求颁布了财务报告部控制系统的管理层报告书的最终条例，该最终规则特别要求发

3、行人的年报必须载有公司财务报告部控制系统的管理层报告书。1.2 COSO控的定义部控制在广义上可以定义为一个流程，它受到企业的董事会、管理层和其他人员的影响，它为实现下述各个类型的目标提供合理的保证： 经营的效率和效果 财务报告的可靠性 法律法规的遵循性1.3 COSO控的框架1.4 我国的控规财政部、证监会、审计署、银监会、保监会在2008年6月28日联合发布了我国第一部企业部控制基本规。 该基本规将于2009年7月1日起首先在上市公司围施行，并鼓励非上市的其他大中型企业执行。基本规共七章五十条，各章分别是：总则、部环境、风险评估、控制活动、信息与沟通、部监督和附则。该基本规界定了部控制的涵

4、，强调部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程，有利于树立全面、全员、全过程控制的理念。基本规强调，部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。 该基本规融合世界主要经济体加强部控制的做法经验，提出了企业建立与实施有效部控制的要素，即构建以部环境为重要基础、以风险评估为重要环节、以控制活动为重要手段、以信息与沟通为重要条件、以部监督为重要保证，相互联系、相互促进的五要素部控制框架。 1.5 控规对企业意味着什么一、控规建立了以企业为主体、以政府监管为促进、以中介机构审计为重要组成

5、部分的部控制实施机制，要求企业实行部控制自我评价制度，披露年度自我评价报告，并将各责任单位和全体员工实施部控制的情况纳入绩效考评体系。二、国务院有关监管部门有权对企业建立并实施部控制的情况进行监督检查；明确企业可以依法委托会计师事务所对本企业部控制的有效性进行审计，出具审计报告。 三、实行部控制与风险管理可以帮助企业实现经营和盈利目标，避免资源损失；它有助于保证财务报告的可靠性；有助于保证公司运营符合相关的法律法规；避免声誉受到伤害和其他不良结果。 四、控无法做到的容1、有效的部控制只是帮助企业实现他们的目标。政府政策或程序的变化、竞争对象的行为或者经济状况的变化是超越于管理层可控畴的。部控制

6、不能保证成功，不能保证公司的生存。 2、部控制不能保证财务报表的可靠性和法律法规的遵循性。目标实现的可能性受所有部控制系统本身的局限性影；控制可能被员工共谋而规避，而且管理层有能力凌驾于控制之上；部控制系统的设计受到资源的限制，考虑实施控制的好处时也要考虑控制成本。2 用友U8控管理解决方案综述2.1 U8控解决方案来源与依据1 遵循COSO控与风险管理框架 控制环境-任何经营活动的核心都是人他们各自的特性，包括诚信、道德价值观和能力以及他们工作所处的环境。他们是企业运作的发动机和基础。 风险评估-企业必须了解和处理他们面临的风险。它必须设立包括销售、生产、市场、财务和其他活动的目标，这样组织

7、才能够上下同心地运作。它还必须建立发现、分析和管理相关风险的机制。 控制活动-必须建立控制政策和程序，来确保那些由管理层确定的针对风险以实现企业目标的行动被有效地执行。 信息和沟通-围绕这些活动的是信息和沟通系统。它们使企业的人员可以捕获和交换那些执行、管理和控制经营过程中所需要的信息。 监控-整个控制过程必须被监督，并在必要时获得修改。这样，控制系统才可以灵活地发挥作用，随条件变化而改变。 2着重强调萨班斯法案中关于企业的信息技术策略和企业控活动的操作流程都必须明白地定义并保存相关记录而后才能实施的基本准则。用以让企业管理者了解部状况，以便在IT审计时提供及时支持。 3详细解读企业部控制基本

8、规及十七个具体细则，对货币资金、固定资产、对外投资、工程项目、采购与付款、筹资、销售与收款、成本费用、担保、子公司经济业务等的控制措施，提供基于ERP的控制手段和完整解决方案。2.2 U8控解决方案遵守的原则1. 全面性原则：部控制解决方案涵盖ERP全面业务，部门、角色和用户，渗透到决策、执行、监督、反馈等各个环节，避免部控制出现空白或漏洞。2. 有效性原则：支持企业部控制制度的高度权威性，可以设置ERP所有用户受部控制约束，以维护部控制制度的有效执行。提供各种部控制审计报表，以暴露存在的问题，及时的反馈和纠正。3. 独立性原则： ERP-U8能够满足公司经营运作需要的机构、部门和岗位在职能上

9、保持相对独立性。承担部控制的监督检查的部门独立于公司其他部门。4. 相互制约原则：基于U8精细的权限控制体系保证企业部门、岗位及其职责权限的合理分工，坚持不相容职务相互分离，确保不同部门和岗位之间权责分明、相互制约、相互监督。5. 重要性原则：U8控解决方案针对企业不同业务环节，提炼处理过程中的关键控制点进行重点控制。6. 适时性原则：U8控解决方案遵循国家最新控相关法律、法规的规定及时进行相应的调整和完善。7. 成本效益原则：U8秉着为客户尽量降低部控制的运作成本的原则，以合理的控制成本达到最佳的控制效果。2.3 U8控解决方案的价值总体特征 集成、精准、高效的企业经营管理平台，也是实现企业

10、部控制和风险管理的统一、集成平台。全方位、全过程、全员 成熟应用，不断创新快速适应财政部、证监会、审计署、银监会、保监会相关法规变化，并与银行、税务、海关、客户、供应商等外部单位实现便捷、高效的信息共享 总体拥有成本低帮助企业实现1. 业务运作的全程管理与信息共享2. 规的业务流程和严格的操作，固化了企业管理流程，有效预防风险事件的发生。3. 重大、关键、意外事件的上通下达，提高企业发现风险、评估风险的能力，有效地防经营风险4. 经营评价的科学透明和及时可得5. 关键业绩指标的多维度反映6. 部门与员工的责权利明确与统一，既能够让不同部门的人员参与部控制管理，又能对其权限进行灵活控制，以保证公

11、司经营过程的安全。7. 与供应商、渠道及客户上下游协同运作3 U8控解决方案详解3.1.1 企业控具体规计算机系统控制目标（1） 引导企业充分利用计算机信息系统规交易行为；（2） 提高信息系统的可靠性、稳定性、安全性；（3） 提高数据的完整性和准确性；（4） 降低人为因素导致部控制失效的可能性；（5） 形成良好的信息传递渠道。控制措施（1） 权责分配和职责分工应当明确，重大信息系统事项应履行审批程序；（2） 信息系统开发、变更和维护流程应当清晰，授权审批程序应当明确；（3） 信息系统应当建立访问安全制度，操作权限、信息使用、信息管理应当有明确规定；（4） 硬件管理事项和审批程序应当科学合理；（

12、5） 会计电算化流程应当规，会计电算化操作管理、硬件、软件和数据管理、会计电算化档案管理和会计电算化账务处理等制度应当完善。关键控制点（1）程序变更控制： 权责分配和职责分工应当明确，重大信息系统事项应履行审批程序； 信息系统开发、变更和维护流程应当清晰，授权审批程序应当明确；（2）数据管理 企业应当建立信息数据变更处理（包括数据导入、数据提取、数据修改等）规。一经发现已输入数据信息有误，必须按照信息系统操作规定加以修正，不得使用非软件系统提供的方法处理信息数据。 企业应当建立数据信息定期备份制度和数据批处理或实时处理前自动备份制度（交易日志）。企业至少应当在远离计算机设备和操作的地方保存一套

13、备份和交易日志，以备丢失或损坏时重建。 企业应当编制完整、具体的灾难恢复计划，以备意外事件发生后恢复系统之需。同时应当定期检测、及时修正该计划，并将其最新版本存放在系统之外。（3）用户账号管理控制 企业应当建立账号审批制度，加强对重要业务系统的访问权限管理 对于发生岗位变化或离岗的用户，企业应当及时调整其在系统中的访问权限。 企业应当定期对系统中的账号进行审阅，避免有授权不当或冗余账号存在。 对于特权用户，企业应该对其在系统中的操作进行监控，并定期审阅监控日志。 IT系统的操作和管理的岗位分离 通常情况下，以下岗位需要分离：程序设计、日常操作、系统管理、资料保管。主要包括以下几个方面： IT系

14、统的应用层和后台管理必须严格分开。根据萨班斯法案404条款的要求，数据库、操作系统可以是一个人负责，但是应用系统与数据库管理员这样的前台操作和后台管理一定不能是同一个人。否则应用系统维护人员修改数据时，又能从后台数据库的行为日志里清除数据，从而增加了很多风险。 从事数据的输入、处理的人员与从事数据输出、报送和管理的人员必须分离。 ERP系统的系统管理员、帐套主管必须与从事数据输入、处理的人员分离。 系统中单独设置权限主管，只能设置权限，而不能从事其他操作。（4）权限控制 信息系统应当建立访问安全制度，操作权限、信息使用、信息管理应当有明确规定。（5）密码策略 信息系统操作人员应当在权限围进行操

15、作，不得利用他人的口令和密码进入软件系统。更换操作人员或密码泄密后，必须及时更改密码。操作人员如果离开工作现场，必须在离开前锁定或退出已经运行的程序，防止其他人员越权操作或散发不当信息。U8控制合规说明（1）程序变更控制： U8提供补丁更新系统，配合企业程序变更流程，支持由补丁更新服务端统一定制整个企业U8的补丁下载更新策略。 并能控制所有U8客户端和服务端的补丁程序升级变更。 补丁更新服务端可以查询各客户端的程序变更情况。 并提供补丁安装同步校验，用以控制补丁更新同步性，保证系统运行、数据处理的一致性。 可以查询每台客户端的补丁下载情况。 可以查询每台客户端的补丁安装情况。 提供补丁更新系统的运行日志。（2）数据管理 U8支持企业根据需求制定账套备份计划，支持设置计划编号、名称，按每天、周、月的频率备份，支持年度账或整个账套备份。 并提供备份日志，包括计划编号、账套号、年度、备份日期和时间。 提供账套、年度账的不定时输出功能。 提供账套、年度账的引入功能，用以支持企业的备份数据恢复。 提供系统的功能操作日志。 提供核心业务基础数据的新增