中文   英文  
   
 
 
   

 

某大型能源生产有限公司ERP内控咨询
 

一、背景介绍 
    某大型能源生产有限公司(以下简称“公司”)是中国某国家石油公司的一家全资子公司,分别在纽约证券交易所和香港联合交易所挂牌上市,2008年,公司实现合并销售收入1,260亿元,合并利润579亿元,标准普尔和穆迪资信评级分别达到了A和A1级。 

二、项目动因 
    作为一家在美国纽约证券交易所挂牌上市的公司,公司面临着美国相关机构的监管要求,其中最主要的是由美国国会颁布的萨班斯•奥克斯利法案(简称SOX法案)。该法案中404条款对企业内部控制做出了明确要求,其中包括对ERP系统实施和应用在内的IT内部控制相关要求。公司根据集团信息化战略部署,实施了SAP ERP系统,原有制度及组织架构已无法满足外部审计需要。基于此原因,公司希望通过内控项目实现以下目的:  

  • 设计满足ERP系统运维相关的组织架构,从部门职责定位上确保提供支持服务水平。 
  • 通过相关流程的全面梳理和风险评估,以COBIT4.1框架为基础,构建符合SOX法案要求的ERP内控体系。 
  • 设计内控管理审批平台,并基于此平台对体系中各关键控制点进行测试,确保体系设计、执行有效性。 

    为保证ERP内控体系设计的系统性、专业性和可操作性,公司聘请经验中华咨询公司作为外部咨询机构协助进行ERP内控体系的优化工作。 

三、项目方案 
    在对公司IT系统及ERP系统现状进行调研及合规需求分析明确后,中华咨询顾问根据IT内控实施方法论,制定了具体的项目实施计划,分以下五个阶段进行了内控体系的优化设计和实施: 
    第一阶段,需求调研 
    需求调研阶段,中华咨询顾问根据安永会计师事务所所做的风险初步评估进行有针对性的调研访谈,在了解整体IT管控和组织架构的基础上,确定未来运维支持组织架构设计方向。通过收集审阅现有ERP相关制度文档,参照SOX法案要求,识别原有系统与系统之间的差异和关键控制点,并分析、确定各控制点的风险和控制手段。 
    第二阶段,风险评估 
    风险评估阶段作为项目的关键步骤之一,是IT内控项目的工作重点,对于内控体系的构建和实现起着决定性的作用。本阶段采用与安永共同合作的形式开展工作,首先对ERP流程进行梳理,在流程梳理的基础上以SOX法案和COBIT相关控制标准要求进行风险分析,确定风险级别,分析审计对于风险的可接受程度。其次,我们对照现有流程、制度与法案要求进行差距分析,找到控制缺陷,建立IT系统风险控制矩阵,明确控制缺陷的方式方法。最后,针对控制的方式方法提出整改方案,与安永及公司内部相关人员进行讨论,明确现有制度待完善和修改的内容。 
    第三阶段,组织构建 
    组织构建阶段从两方面进行设计,一是公司ERP运维支持组织架构的设计,二是ERP内控体系制度的编制。在运维支持组织架构的设计过程中,中华咨询顾问与安永根据ERP系统实际运维需求,为公司设计了较为符合内控要求的组织架构,并明确了组织各成员的职责和要求。与组织架构对应的ERP内控体系制度编写,根据确定的控制手段在相关内控制度中进行规范,并对审计关注的控制点进行标示。在体系构建完毕后,对制度的合规性和可执行性做了初步评估,确定了设计的合理性。 
    第四阶段,体系实现 
    本阶段在审批平台开发人员的配合下,将内控体系植入到审批平台中对相关业务进行实现。同时,采用多种培训形式,对构建的内控体系和审批平台操作进行知识转移,并明确各部门在内控体系中的职责要求。再通过试运行检验体系执行情况,根据问题反馈及时修正缺陷所在,保证了合规与效率性的统一。 
    第五阶段,测试整改 
    在测试整改阶段,中华咨询顾问与安永共同设计了测试表单和测试方案,通过对SOX法案中的关键控制点进行了分析和设计,选择了充足的样本执行穿行测试,每项活动都按照设计的内控体系执行,从中找出执行中可能存在的缺陷和设计问题。最后将发现问题进行汇总、分析、确认,提出整改建议,向公司领导进行汇报,为外部审计做了充分准备。 

四、项目效果 
    本项目在多方通力配合下,完成了ERP组织架构和内控体系的构建,并在公司ERP系统上线之前推出,随系统应用在日常运行中得到执行。经过测试,针对提出的问题进行了整改,确保了执行的有效性,从SOX法案要求方面,为公司顺利通过相关外部SOX404审计提供了有力支持。 
    本项目通过构建并实现有效的ERP内控体系,协助公司顺利满足相关法律法规的要求,也明确了相关部门的职责和地位、提高了公司的IT管理水平,从运营层面支持了公司的战略发展,顺利实现了项目目标。