前言

近年来，国务院国资委、财政部等监管机构越来越强调信息化对于企业经营、治理的作用，提倡企业通过以ERP系统为代表的信息系统提升内部控制管理信息化和智能化水平。信息系统作为实现内部控制目标的必要工具和手段，其重要性被企业广泛关注与讨论。

从内部控制的角度来说，信息系统是内部控制的对象，需要建立、完善系统相关的控制规范。然而，相较于对内控信息化的关注，信息系统实施过程中的内控管理尚未被充分重视，导致影响实施效果甚至导致系统实施失败的案例屡见不鲜。

本文将从企业ERP系统实施的角度出发，探讨ERP系统实施中的内控管理，聚焦ERP实施管理中的内控问题，分析提升ERP系统实施内控管理水平的解决方案。

ERP系统是实现内部控制目标的必要工具和手段

ERP（Enterprise Resource Planning，企业资源计划）是对企业资源进行有效共享与利用的系统，被许多企业广泛应用在企业经营和治理中。ERP系统的实施部署促使企业管理结构趋向扁平化、流程化，控制责任更加明确，对内部控制环境的改善和信息沟通的效率提升带来有力的促进作用；此外，ERP通过对业务流程和控制进行合理设计并固化在系统中，增强了业务流程的执行力也提高了控制的执行准确性和约束性。

近年来，伴随企业数字化转型，企业业务与系统深度融合，以ERP系统为代表的信息系统在企业内控建设中的重要性更加凸显，国务院国资委等监管机构对内控信息化手段的重视程度越来越高，陆续出台了一系列政策规范，引导企业加强重视、有序开展内控体系信息化建设工作。

•《关于进一步深化法治央企建设的意见》（国资发法规规〔2021〕80号）指出：要加快提升企业信息化、数字化、智能化水平。

•《关于加强中央企业内部控制体系建设与监督工作的实施意见》（国资发监督规〔2019〕101号）要求：加强内控信息化建设力度，实现内控体系与业务信息系统互联互通、有机融合。

•《中央企业合规管理指引（试行）》（国资发法规〔2018〕106号）强调：建立全面合规管理体系，通过信息化手段优化管理流程，加强重点领域的合规管理。

ERP系统实施内控管理水平制约ERP系统效果的实现

ERP是内部控制目标实现的有效工具和手段，也是内部控制的对象。ERP项目投入高、实施周期长，在实施各阶段都存在风险，需要针对各阶段风险，建立一套行之有效的内控管理机制。然而在实践中，企业ERP系统实施内控管理面临诸多问题。例如，内部控制意识不足，内部控制程序缺失等，由此形成的机制和管理方式问题导致ERP系统上线后问题不断，诸如系统功能重复建设，初始数据不完整、不准确，系统功能与实际业务“两张皮”，用户授权、密码控制、操作监控、参数约束与会计规范及企业内部控制要求不符等“怨声”不绝于耳。

“我们开发了很多功能，但为什么还没达到我们最想要的效果？”

“明明做了数据迁移，但新系统的数据怎么还是和旧系统不一致？”

“开发人员怎么会有生产环境的账号权限？”

“这个模块功能和另一个模块功能一样，是不是重复建设了？”

“为什么其他系统与ERP系统的数据无法互通、 互联？”

“财务敏感数据没有做导出权限控制，会不会存在泄露隐患？”

《企业内部控制应用指引第18号》要求企业根据内部控制要求，制定信息系统建设整体规划，加大投入力度，有序组织信息系统开发、运行与维护，优化管理流程，防范经营风险，全面提升企业现代化管理水平。企业若能在系统实施全生命周期贯穿内控管理意识，则可有效规避ERP实施及运营中的各类风险，提高ERP系统实施成功率，同时达到满足内控要求，完善内部控制体系的目的。安永围绕ERP系统规划、建设、运维三个阶段，总结、归纳了如下内控管理问题：

系统规划阶段

系统建设阶段

系统运维阶段

ERP系统实施内控管理提升建议

企业应提高信息化建设过程中的内控意识，在ERP系统的规划、开发建设、运行维护过程中，全面、充分、及时响应内部控制要求，完善开发规范性、访问安全性、流程合理性、配置有效性，实现企业ERP系统与内部控制管理的深入结合。安永认为企业ERP实施各阶段应遵循如下内控管理原则：

系统规划——全局统筹，立足业务

企业在对ERP系统制定战略规划方案时，应该以企业发展战略为依据制定全局性、长期性规划，统筹考虑现有系统与新建系统的协同效应；将信息化与企业业务需求结合，与企业的组织架构、业务范围、地域分布、技术能力等相匹配，避免相互脱节。企业应基于战略规划，明确建设目标、人员配备、职责分工、经费保障和进度安排等相关内容，按照规定的权限和程序审批后实施。

系统建设——程序规范，控制内嵌

在信息系统开发建设阶段，企业应该从需求分析入手，确认内部控制方案及特定的内控需求已融入ERP系统需求说明书中，及时追加必要的内控体系建设新需求或剔除不符合内控要求的需求。其次，在基于现有ERP系统架构、功能模块、接口流转、数据主题的基础上，企业应该将关键控制点、处理规则等内控合规要求通过系统开发的方式嵌入程序，并组织业务部门、内控建设人员共同参与用户验收测试，强化过程管控，确保内部控制需求得以实现。在最终上线前，企业还需制定科学的上线计划和新旧系统转换方案，考虑应急预案，确保新旧系统顺利切换和平稳衔接。

系统运维——健全机制，持续优化

系统上线后，企业应该采用科学有效的方法，加强系统运行维护能力，制定全面的制度管理规范，让相关人员在系统日常运行过程中的操作行为有据可依，并持续补充、修改、完善制度内容；通过定期检查与评估，查漏补缺，实现信息系统控制环境的持续优化与提升，保证系统与业务需求、内外部管控要求的适配性、一致性。

来源：互联网

内控管理师（ICM）”着力解决企事业单位内部控制体系建设专业知识不足，内控管理专业人才匮乏的共性问题。