【正文】 套主管必須與從事數(shù)據(jù)輸入、處理的人員分離。 從事數(shù)據(jù)的輸入、處理的人員與從事數(shù)據(jù)輸出、報送和管理的人員必須分離。否則應用系統(tǒng)維護人員修改數(shù)據(jù)時，又能從后臺數(shù)據(jù)庫的行為日志里清除數(shù)據(jù)，從而增加了很多風險。 IT 系統(tǒng)的應用層和后臺管理必須嚴格分開。 通常情況下，以下崗位需要分離：程序設(shè)計、日常操作、系統(tǒng)管理、資料保管。 （ 3）用戶賬號管理控制 企業(yè)應當編制完整、具體的災難恢復計劃，以備意外事件發(fā)生后恢復系統(tǒng)之需。企業(yè)至少應當在遠離計算機設(shè)備和操作的地方保存一套備份和交易日志，以備丟失或損壞時重建。 企業(yè)應當建立信息數(shù)據(jù)變更處理（包括數(shù)據(jù)導入、數(shù)據(jù)提取、數(shù)據(jù)修改等）規(guī)范。 權(quán)責分配和職責分工應當明確，重大信息系統(tǒng)事項應履行審批程序； 控制措施 （ 1） 權(quán)責分配和職責分工應當明確，重大信息系統(tǒng)事項應履行審批程序； （ 2） 信息系統(tǒng)開發(fā)、變更和維護流程應當清晰，授權(quán)審批程序應當明確； （ 3） 信息系統(tǒng)應當建立訪問安全制度，操 作權(quán)限、信息使用、信息管理應當有明確規(guī)定； （ 4） 硬件管理事項和審批程序應當科學合理； （ 5） 會計電算化流程應當規(guī)范，會計電算化操作管理、硬件、軟件和數(shù)據(jù)管理、會計電算化檔案管理和會計電算化賬務處理等制度應當完善。 6 3. 重大、關(guān)鍵、意外事件的上通下達，提高企業(yè)發(fā)現(xiàn)風險、評估風險的能力，有效地防范經(jīng)營風險 4. 經(jīng)營評價的科學透明和及時可得 5. 關(guān)鍵業(yè)績指標的多維度反映 6. 部門與員工的責權(quán)利明確與統(tǒng)一，既能夠讓不同部門的人員參與內(nèi)部控制管理，又能對其權(quán)限進行靈活控制，以保證公司經(jīng)營過程的安全。 U8 內(nèi)控解決方案的價值 總體特征 n 集成、精準、高效的企業(yè)經(jīng)營管理平臺，也是實現(xiàn)企業(yè)內(nèi)部控制和風險管理的統(tǒng)一、集成平臺。 6. 適時性原則： U8 內(nèi)控解決方案遵循國家最新內(nèi)控相關(guān)法律、法規(guī)的規(guī)定及時進行相應的調(diào)整和完善。 4. 相互制約原則：基于 U8 精細的權(quán)限控制體系保證企業(yè)部門、崗位及其職責權(quán)限的合理分工，堅持不相容職務相互分離，確保不同部門和崗位之間權(quán)責分明、相互制約、相互監(jiān)督。 3. 獨立性原則： ERPU8 能夠滿足公司經(jīng)營運作需要的機構(gòu)、部門和崗位在職能 5 上保持相對獨立性。 2. 有效性原則：支持企業(yè)內(nèi)部控制制度的高度權(quán)威性，可以設(shè)置 ERP 所有用戶受內(nèi)部控制約束，以維護內(nèi)部控制制度的有效執(zhí)行。 3．詳細解讀《企業(yè)內(nèi)部控制基本規(guī)范及十七個具體細則》，對貨幣資金、固定資產(chǎn)、對外投資、工程項目、采購與付款、籌資、銷售與收款、成本費用、擔保、子公司經(jīng)濟業(yè)務等的控制措施，提供基于 ERP 的控制手段和完整解決方案。 2．著重強調(diào)《薩班斯法案》中關(guān)于企業(yè)的信息技術(shù)策略和企業(yè)內(nèi)控活動的操作流程都必須明白地定義并保存相關(guān)記錄而后才能實施的基本準則。 監(jiān)控 整個控制過程必須被監(jiān)督，并在必要時獲得修改。它們使企業(yè)的人員可以捕 獲和交換那些執(zhí)行、管理和控制經(jīng)營過程中所需要的信息。 252。 252。它必須設(shè)立包括銷售、生 產(chǎn)、市場、財務和其他活動的目標，這樣組織才能夠上下同心地運作。 252。 控制環(huán)境 任何經(jīng)營活動的核心都是人－他們各自的特性，包括誠信、道德 價值觀和能力－以及他們工作所處的環(huán)境。目標實現(xiàn)的可能性受所有內(nèi)部控制系統(tǒng)本身的局限性影；控制可能被員工共謀而規(guī)避， 而且管理層有能力凌駕于控制之上；內(nèi)部控制系統(tǒng)的設(shè)計受到資源的限制，考慮實施控制的好處時也要考慮控制成本。內(nèi)部控制不能保證成功，不能保證公司的生存。 四、內(nèi)控無法做到的內(nèi)容 有效的內(nèi)部控制只是幫助企業(yè)實現(xiàn)他們的目標。 二、國務院有關(guān)監(jiān)管部門有權(quán)對企業(yè)建立并實施內(nèi)部控制的情況進行監(jiān)督檢查；明確企業(yè)可以依法委托會計師事務所對本企業(yè)內(nèi)部控制的有效性進行審計，出具審 計報告。 該基本規(guī)范融合世界主要經(jīng)濟體加強內(nèi)部控制的做法經(jīng)驗，提出了企業(yè)建立與實施有效內(nèi)部控制的要素，即構(gòu)建以內(nèi)部環(huán)境為重要基礎(chǔ)、以風險評估為重 要環(huán)節(jié)、以控制活動為重要手段、以信息與溝通為重要條件、以內(nèi)部監(jiān)督為重要保證，相互聯(lián)系、相互促進的五要素內(nèi)部控制框架。該基本規(guī)范界定了內(nèi)部控制的內(nèi)涵，強調(diào)內(nèi)部控制是由企業(yè)董事會、監(jiān)事會、經(jīng)理層和全體員工實施的、旨在實現(xiàn)控制目標的過程，有利于樹立全面、全員、全過程控制的理念。 該基本規(guī)范將于 2020 年 7月 1日起首先在上市公司范圍內(nèi)施行，并鼓勵非上市的其他大中型企業(yè)執(zhí)行。 2020 年 6 月 5 日美國證交會根據(jù)《薩本斯 —奧克斯利法案》第 404 條款的要求頒布了財務報告內(nèi)部控制系統(tǒng)的管理層報告書的最終條例，該最終規(guī)則特別要求發(fā)行人的年報內(nèi)必須載有公司財務報告內(nèi)部控制系統(tǒng) 的管理層報告書。 三、內(nèi)部控制結(jié)構(gòu)：在 1988 年 4 月， AICPA的審計準則委員會發(fā)布第 55 號《審計準則公告》，從 1990 年 1 月起取代 1972 年頒布的第一號《審計準則公告》中 AU320節(jié)的內(nèi)容，提出了內(nèi)部控制結(jié)構(gòu)認為 “ 企業(yè)的內(nèi)部控制結(jié)構(gòu)包括為合理保證特定目標的實現(xiàn)而建立的各種政策和程序 ”。內(nèi)部牽制思想以賬目間的相互核對為主要內(nèi)容并實施崗位分離，其主要內(nèi)容包 括：實物牽制，機械牽制，體制牽制，簿記牽制。 1ERPU8 企業(yè)內(nèi)部控制解決方案 1 背景 內(nèi)控的發(fā)展演變 內(nèi)部控制理論的發(fā)展可以分為內(nèi)部牽制，內(nèi)部控制制度，內(nèi)部控制結(jié)構(gòu)與內(nèi)部控制整體框架等四個階段。 一、內(nèi)部牽制：十九世紀 40 年代前習慣用 “內(nèi)部牽制 ”這一概念。 二、內(nèi)部控制管理： 1949 年《內(nèi)部控制，一種協(xié)調(diào)制度要素及其對管理當局和獨立注冊會計師的重要性》的報告中，將內(nèi)部控制定義為： “內(nèi)部控制包括組織機構(gòu)的設(shè)計和企業(yè)內(nèi)部采取的所有相互協(xié)調(diào)的方法和措施 ,這些方法和措施都用于保護企業(yè)的財產(chǎn) ,檢查會計信息的準確性 ,提高經(jīng)營效率 ,推動企業(yè)堅持執(zhí)行既定的管理政策 ”。 四、內(nèi)部控制框架： 1996 年美國 AICPA發(fā)布了第 78 號《審計準則公告》，全面接受了 COSO(發(fā)起組織委員會 )“內(nèi)部框架 —?浾罟框架 ”報告的內(nèi)容，并從 1997 年 1月起取代 1988 年發(fā)布的第 55 號《審計準則公告》。 2 COSO 內(nèi)控的定義 內(nèi)部控制在廣義上可以定義為一個流程，它受到企業(yè)的董事會、管理層和其他人員的影響，它為實現(xiàn)下述各個類型的目標提供合理的保證： ? 經(jīng)營的效率和效果 ? 財務報告的可靠性 ? 法律法規(guī)的遵循性 COSO 內(nèi)控的框架 我國的內(nèi)控規(guī)范 財政部、證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會在 2020 年 6 月 28 日聯(lián)合發(fā)布了我國第一部《企業(yè)內(nèi)部控制基本規(guī)范》。 基本規(guī)范共七章五十條 ，各章分別是：總則、內(nèi)部環(huán)境、風險評估、控制活動、信息與溝通、內(nèi)部監(jiān)督和附則?；疽?guī)范強調(diào)，內(nèi)部控制的目標是合理保證企業(yè)經(jīng)營管理合法合規(guī)、資產(chǎn)安全、財務報告及相關(guān)信息真實完整，提高經(jīng)營效率和效果，促進企業(yè)實現(xiàn)發(fā)展戰(zhàn)略。 內(nèi)控規(guī)范對企業(yè)意味著什么 3 一、內(nèi)控規(guī)范建立了以企業(yè)為主體、以政府監(jiān)管為促進、以中介機構(gòu)審計為重要組成部分的內(nèi)部控制實施機制，要求企業(yè)實行內(nèi)部控制自我評價制度，披露年度自我評價報告，并將各責任單位和全體員工實施內(nèi)部控制的情況納入績效考評體系。 三、實行內(nèi)部控制與風險管理可以幫助企業(yè)實現(xiàn)經(jīng)營和盈利目標，避免資源損失；它有助于保證財務報告的可靠性；有助于保證公司運營符合相關(guān)的法律法規(guī)；避免聲譽受到傷害和其他不良結(jié)果。政府政策或程序的變化、競爭對象的行為或者經(jīng)濟狀況的變化是超越于管理層可控范疇的。 內(nèi)部控制不能保證財務報表的可靠性和法律法規(guī)的遵循性。 2 用友 U8 內(nèi)控管理解決方案綜述 U8 內(nèi)控解決方案來源與依據(jù) 1． 遵循 COSO 內(nèi)控與風險管理框架 252。他們是企業(yè)運作的發(fā)動機和基 4 礎(chǔ)。 風險評估 企業(yè)必須了解和處理他們面臨的風險。它還 必須建立 發(fā)現(xiàn)、分析和管理相關(guān)風險的機制。 控制活動 必須建立控制政策和程序，來確保那些由管理層確定的針對風險 以實現(xiàn)企業(yè)目標的行動被有效地執(zhí)行。 信息和溝通 圍繞這些活動的是信息和溝通系統(tǒng)。 252。這樣，控制系統(tǒng)才 可以靈活地發(fā)揮作用，隨條件變化而改變。用以 讓企業(yè)管理者了解內(nèi)部狀況，以便在 IT審計時提供及時支持。 U8 內(nèi)控解決方案遵守的原則 1. 全面性原則：內(nèi)部控制解決方案