U8企业内部控制解决方案

U8企业内部控制解决方案
1背景
1.1内控的发展演变
内部控制理论的发展可以分为内部牵制，内部控制制度，内部控制结构与内部控制整体框架等四个阶段。

一、内部牵制：十九世纪40年代前习惯用“内部牵制”这一概念。

内部牵制思想以账目间的相互核对为主要内容并实施岗位分离，其主要内容包括：实物牵制，机械牵制，体制牵制，簿记牵制。

二、内部控制管理：1949年《内部控制，一种协调制度要素及其对管理当局和独立注册会计师的重要性》的报告中，将内部控制定义为：“内部控制包括组织机构的设计和企业内部采取的所有相互协调的方法和措施,这些方法和措施都用于保护企业的财产,检查会计信息的准确性,提高经营效率,推动企业坚持执行既定的管理政策”。

三、内部控制结构：在1988年4月，AICPA的审计准则委员会发布第55号《审计准则公告》，从1990年1月起取代1972年颁布的第一号《审计准则公告》中AU320节的内容，提出了内部控制结构认为“企业的内部控制结构包括为合理保证特定目标的实现而建立的各种政策和程序”
四、内部控制框架：1996年美国AICPA发布了第78号《审计准则公告》，全面接受了COSO(发起组织委员会)“内部框架—…浾罟框架”报告的内容，并从1997年1月起取代1988年发布的第55号《审计准则公告》。

2003年6月5日美国证交会根据《萨本斯—奥克斯利法案》第404条款的要求颁布了财务报告内部控制系统的管理层报告书的最终条例，该最终规则特别要求发行人的年报内必须载有公司财务报告内部控制系统的管理层报告书。

1.2 COSO内控的定义
内部控制在广义上可以定义为一个流程，它受到企业的董事会、管理层和其他人员的影响，它为实现下述各个类型的目标提供合理的保证：
• 经营的效率和效果
• 财务报告的可靠性
• 法律法规的遵循性
1.3 COSO内控的框架
文档名称: 企业内控规范颁布产品应对方案日期: 2008-11-16
版本: V1.0 页数: 1 of 45 版权所有
1.4我国的内控规范
财政部、证监会、审计署、银监会、保监会在2008年6月28日联合发布了我国第一部《企业内部控制基本规范》。

该基本规范将于2009年7月1日起首先在上市公司范围内施行，并鼓励非上市的其他大中型企业执行。

基本规范共七章五十条，各章分别是：总则、内部环境、风险评估、控制活动、信息与沟通、内部监督和附则。

该基本规范界定了内部控制的内涵，强调内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程，有利于树立全面、全员、全过程控制的理念。

基本规范强调，内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。

该基本规范融合世界主要经济体加强内部控制的做法经验，提出了企业建立与实施有效内部控制的要素，即构建以内部环境为重要基础、以风险评估为重要环节、以控制活动为重要手段、以信息与沟通为重要条件、以内部监督为重要保证，相互联系、相互促进的五要素内部控制框架。

1.5内控规范对企业意味着什么
一、内控规范建立了以企业为主体、以政府监管为促进、以中介机构审计为重要组成部分的内部控制实施机制，要求企业实行内部控制自我评价制度，披露年度自我评价报告，并将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系。

二、国务院有关监管部门有权对企业建立并实施内部控制的情况进行监督检查；明确企业可以依法委托会计师事务所对本企业内部控制的有效性进行审计，出具审计报告。

三、实行内部控制与风险管理可以帮助企业实现经营和盈利目标，避免资源损失；它有助于保证财务报告的可靠性；有助于保证公司运营符合相关的法律法规；避免声誉受到伤害和其他不良结果。

四、内控无法做到的内容
1、有效的内部控制只是帮助企业实现他们的目标。

政府政策或程序的变化、竞争对象的行为或者经济状况的变化是超越于管理层可控范畴的。

内部控制不能保证成功，不能保证公司的生存。

2、内部控制不能保证财务报表的可靠性和法律法规的遵循性。

目标实现的可能性受所有内部控制系统本身的局限性影；控制可能被员工共谋而规避，而且管理层有能力凌驾于控制之上；内部控制系统
的设计受到资源的限制，考虑实施控制的好处时也要考虑控制成本。

2用友U8内控管理解决方案综述
2.1U8内控解决方案来源与依据
1．遵循COSO内控与风险管理框架
✓控制环境-任何经营活动的核心都是人－他们各自的特性，包括诚信、道德
价值观和能力－以及他们工作所处的环境。

他们是企业运作的发动机和基
础。

✓风险评估-企业必须了解和处理他们面临的风险。

它必须设立包括销售、生
产、市场、财务和其他活动的目标，这样组织才能够上下同心地运作。

它还
必须建立发现、分析和管理相关风险的机制。

✓控制活动-必须建立控制政策和程序，来确保那些由管理层确定的针对风险
以实现企业目标的行动被有效地执行。

✓信息和沟通-围绕这些活动的是信息和沟通系统。

它们使企业的人员可以捕
获和交换那些执行、管理和控制经营过程中所需要的信息。

✓监控-整个控制过程必须被监督，并在必要时获得修改。

这样，控制系统才
可以灵活地发挥作用，随条件变化而改变。

2．着重强调《萨班斯法案》中关于企业的信息技术策略和企业内控活动的操作流程都必须明白地定义并保存相关记录而后才能实施的基本准则。

用以让企业管理者了解内部状况，以便在IT审计时提供及时支持。

3．详细解读《企业内部控制基本规范及十七个具体细则》，对货币资金、固定资产、对外投资、工程项目、采购与付款、筹资、销售与收款、成本费用、担保、子公司经济业务等的控制措施，提供基于ERP的控制手段和完整解决方案。

2.2U8内控解决方案遵守的原则
1.全面性原则：内部控制解决方案涵盖ERP全面业务，部门、角色和用户，渗透到决策、执行、
监督、反馈等各个环节，避免内部控制出现空白或漏洞。

2.有效性原则：支持企业内部控制制度的高度权威性，可以设置ERP所有用户受内部控制约束，
以维护内部控制制度的有效执行。

提供各种内部控制审计报表，以暴露存在的问题，及时的反馈和纠正。

3.独立性原则： ERP-U8能够满足公司经营运作需要的机构、部门和岗位在职能上保持相对独立
性。

承担内部控制的监督检查的部门独立于公司其他部门。

4.相互制约原则：基于U8精细的权限控制体系保证企业部门、岗位及其职责权限的合理分工，坚
持不相容职务相互分离，确保不同部门和岗位之间权责分明、相互制约、相互监督。

5.重要性原则：U8内控解决方案针对企业不同业务环节，提炼处理过程中的关键控制点进行重点
控制。

6.适时性原则：U8内控解决方案遵循国家最新内控相关法律、法规的规定及时进行相应的调整和
完善。

7.成本效益原则：U8秉着为客户尽量降低内部控制的运作成本的原则，以合理的控制成本达到最
佳的控制效果。

2.3U8内控解决方案的价值
总体特征
⏹集成、精准、高效的企业经营管理平台，也是实现企业内部控制和风险管理的统一、集成平
台。

全方位、全过程、全员
⏹成熟应用，不断创新
快速适应财政部、证监会、审计署、银监会、保监会相关法规变化，并与银行、税务、海关、客户、供应商等外部单位实现便捷、高效的信息共享
⏹总体拥有成本低
帮助企业实现
1.业务运作的全程管理与信息共享
2.规范的业务流程和严格的操作，固化了企业管理流程，有效预防风险事件的发生。

3.重大、关键、意外事件的上通下达，提高企业发现风险、评估风险的能力，有效地防范经营风
险
4.经营评价的科学透明和及时可得
5.关键业绩指标的多维度反映
6.部门与员工的责权利明确与统一，既能够让不同部门的人员参与内部控制管理，又能对其权限
进行灵活控制，以保证公司经营过程的安全。

7.与供应商、渠道及客户上下游协同运作
3U8内控解决方案详解
3.1.1企业内控具体规范－计算机系统
3.1.1.1控制目标
（1）引导企业充分利用计算机信息系统规范交易行为；
（2）提高信息系统的可靠性、稳定性、安全性；
（3）提高数据的完整性和准确性；
（4）降低人为因素导致内部控制失效的可能性；
（5）形成良好的信息传递渠道。

3.1.1.2控制措施
（1）权责分配和职责分工应当明确，重大信息系统事项应履行审批程序；
（2）信息系统开发、变更和维护流程应当清晰，授权审批程序应当明确；
（3）信息系统应当建立访问安全制度，操作权限、信息使用、信息管理应当有明确规定；
（4）硬件管理事项和审批程序应当科学合理；
（5）会计电算化流程应当规范，会计电算化操作管理、硬件、软件和数据管理、会计电算化档案管理和会计电算化账务处理等制度应当完善。

3.1.1.3关键控制点
（1）程序变更控制：
∙权责分配和职责分工应当明确，重大信息系统事项应履行审批程序；
∙信息系统开发、变更和维护流程应当清晰，授权审批程序应当明确；
（2）数据管理
∙企业应当建立信息数据变更处理（包括数据导入、数据提取、数据修改等）规范。

一经发现已输入数据信息有误，必须按照信息系统操作规定加以修正，不得使用非软件系统提
供的方法处理信息数据。

∙企业应当建立数据信息定期备份制度和数据批处理或实时处理前自动备份制度（交易日
志）。

企业至少应当在远离计算机设备和操作的地方保存一套备份和交易日志，以备丢失或损坏时重建。

∙企业应当编制完整、具体的灾难恢复计划，以备意外事件发生后恢复系统之需。

同时应当定期检测、及时修正该计划，并将其最新版本存放在系统之外。

（3）用户账号管理控制
∙企业应当建立账号审批制度，加强对重要业务系统的访问权限管理
∙对于发生岗位变化或离岗的用户，企业应当及时调整其在系统中的访问权限。

∙企业应当定期对系统中的账号进行审阅，避免有授权不当或冗余账号存在。

∙对于特权用户，企业应该对其在系统中的操作进行监控，并定期审阅监控日志。

∙IT系统的操作和管理的岗位分离
∙通常情况下，以下岗位需要分离：程序设计、日常操作、系统管理、资料保管。

主要包括以下几个方面：
✓I T系统的应用层和后台管理必须严格分开。

根据萨班斯法案404条款的要求，数据库、操作系统可以是一个人负责，但是应用系统与数据库管理员这样的前台操作和
后台管理一定不能是同一个人。

否则应用系统维护人员修改数据时，又能从后台数
据库的行为日志里清除数据，从而增加了很多风险。

✓从事数据的输入、处理的人员与从事数据输出、报送和管理的人员必须分离。

✓E RP系统的系统管理员、帐套主管必须与从事数据输入、处理的人员分离。

✓系统中单独设置权限主管，只能设置权限，而不能从事其他操作。

（4）权限控制
∙信息系统应当建立访问安全制度，操作权限、信息使用、信息管理应当有明确规定。

（5）密码策略
∙信息系统操作人员应当在权限范围内进行操作，不得利用他人的口令和密码进入软件系统。

更换操作人员或密码泄密后，必须及时更改密码。

操作人员如果离开工作现场，必
须在离开前锁定或退出已经运行的程序，防止其他人员越权操作或散发不当信息。

3.1.1.4U8控制合规说明
（1）程序变更控制：
∙U8提供补丁更新系统，配合企业程序变更流程，支持由补丁更新服务端统一定制整个企业U8的补丁下载更新策略。

∙并能控制所有U8客户端和服务端的补丁程序升级变更。

∙补丁更新服务端可以查询各客户端的程序变更情况。

∙并提供补丁安装同步校验，用以控制补丁更新同步性，保证系统运行、数据处理的一致性。

∙可以查询每台客户端的补丁下载情况。

∙可以查询每台客户端的补丁安装情况。

∙提供补丁更新系统的运行日志。

（2）数据管理
∙U8支持企业根据需求制定账套备份计划，支持设置计划编号、名称，按每天、周、月的频率备份，支持年度账或整个账套备份。

∙并提供备份日志，包括计划编号、账套号、年度、备份日期和时间。

∙提供账套、年度账的不定时输出功能。

∙提供账套、年度账的引入功能，用以支持企业的备份数据恢复。

∙提供系统的功能操作日志。

∙提供核心业务基础数据的新增、修改的变更历史查询，包括存货档案、客商档案。

∙提供核心交易数据的变更历史查询，包括销售订单、出口订单、委外订单、生产订单、采购订单、物料清单。

（3）用户账号管理控制
∙U8支持企业“人-岗位-机构”的组织体系搭建，“人-系统用户-系统角色”的权限模型。

∙实现企业系统管理员、账套主管、普通用户的权限分离、权责分配和职责分工。

∙提供系统用户的新增、修改、删除、注销，通过用户列表可以查询用户状态、到最后使用U8的时间。

（4）权限控制
∙U8支持企业安全制度的执行，根据不同角色，为其授予不同的系统使用权限，包括菜单功能权限、数据的查询、修改、输出等权限。

∙U8支持企业对商业敏感的数据统一控制数据权限。

如价格、金额等。

∙支持按不同的存货分类、客户、供应商、部门、仓库控制对数据的访问或修改等权限。

∙也能控制到某一种具体类型的业务单据、工资表或基础档案的字段和记录权限。

∙可以控制处理同种业务的操作员之间互相访问数据的权限。

∙设置用户可使用的金额级别，对业务对象提供金额级权限控制，如采购订单的金额审核额度、科目的制单金额额度。

（5）密码策略
∙用户使用初始密码登录时强制修改密码控制；
∙新增用户初始密码控制；
∙密码最小长度控制；
∙密码最长使用天数控制；
∙密码最小使用天数控制；
∙登录时密码的最多输入次数控制；
∙强制密码历史记忆密码个数控制；
∙登录密码的安全级别控制；
∙拒绝客户端用户修改密码控制。

3.1.2企业内控具体规范—销售及收款业务
3.1.2.1控制目标
（1）加强对销售与收款业务的内部控制
（2）规范销售与收款行为
（3）防范销售与收款过程中的差错和舞弊
3.1.2.2控制措施
（1）权责分配和职责分工明确，机构和人员配备合理；
（2）严密的销售合同、发货、收入确认、收款业务流程；
（3）客户挡案完备、销售政策和信用管理应当科学合理；
（4）明确销售收入的确认条件、销售成本的结转方法；
（5）应收账款的催收管理、往来款项定期核对；
（6）明确坏账准备的计提依据、坏账核销的审批程序；
（7）销售退回及验收管理。

3.1.2.3关键控制点
（8）销售订单的控制内容
•营销部门承接客户订单，订单应连续编号。

•相关被授权人员复核所有订单。

（9）销售计划控制的内容
•对于单一企业，销售部编制销售计划，然后由其他管理人员执行审批。

•月末/随时，进行销售计划执行情况分析并上报给主管。

（）
（10）信用控制的内容
•信用档案的建立与客户信用等级的划分及调整职责分离；
✓客户资料信息应遵循动态管理和专人负责的原则。

✓客户资料中的关键信息的修改需要保留历史记录。

•信用管理小组根据客户信用等级和企业信用政策，拟定客户信用具体限额和相应支付方式。

•信用检查的执行。

企业会在销售计划环节、或者销售订单环节、或者销售发货环节、或者销售开票环节执行信用检查。

•制定客户信用情况分析报表。

（11）销售价格控制的内容
•公司的相关机构定期研究市场并据此制定产品销售指导价格，形成公司产品价目表。

•其他产品价格由价格领导小组负责制订或调整。

•价格领导小组签字授予营销部门某些产品价格浮动权，明确价格浮动范围；营销部门可根据实际将价格浮动权向下分配，明确权限执行人。

•销售部按照指导价格及浮动权限执行，执行过程中需要受到控制，即实际经济业务发生的销售价格受到最低价控制等。

•价格变动的历史信息保留记录。

（12）开票及收款控制的内容
•财务部门根据客户付款情况开具到款通知单。

•营销部门被授权人员根据购销合同及财务部门开具的到款通知单或经授权批准的赊销凭证批准开具注明有效期限的发货通知单（连续编号）。

•营销部门或财务部门依据发货凭证等有关凭据开具发票，并加盖印章。

发货控制的要求（13）发货控制的内容
•验货人员清点装货数量与有效发货通知单一致；发货人员核准签字确认，依据发货通知单填列出入库日报表。

即出库单以及出入库日报表必须根据发货单填列。

、
（14）业务对账的要求
•将发票与发货单进行核对，并出具对帐结果报告。

•将发货单与出库单进行核对，并出具对帐结果报告。

•销售报表与仓储部门及财务部门核对。

（15）财务记账的控制内容
•财务稽核人员对已开具的销货发票等有关凭据进行复核。

•财务人员根据经稽核人员复核后的发票记账联等有关凭据编制会计凭证、登记入账，并由财务部门负责人审核。

（16）货款回收的控制内容
•应收帐款的记录及管理控制，内控要求：
✓定期将财务帐与销售台账进行核对。

✓财务部应定期编制应收帐款帐龄分析表。

财务部门和营销部门负责人审阅，依据《货款回笼责任书》责成相应责任人催收。

•收款业务控制：
✓第一，财务部门定期与客户核对应收账款，由双方责任人签字确认。

✓第二，销售柜台每天将收到的票据送存银行，并将帐目与银行资料相核对。

（17）销售退货控制的内容
•退货接收报告单应事先加以编号，不允许断号。

•退货申请单经过审批后，生成退货接受单和入库单。

•定期将退货申请单与退货接收单、入库单进行核对。

•退货原因分析
（18）应收帐款的内部控制内容
•财务部门必须根据经过销售部门核准的销售发票和发货单制作应收帐款记帐凭证。

•应收帐款凭证由财务部负责人审核后，登记入帐。

•定期编制应收帐款明细表，并经经营办、财务部及销售部经理审核。

•将经过审核的应收帐款明细表分发给业务人员，作为其收款的依据，并督促其按时收款。

•定期将财务帐与销售台账进行核对。

•财务部应定期对客户进行对帐，每年至少一次向客户寄送对帐单，及时寻找差异。

✓注意：编制对帐表/对帐单的人员不能兼任记录和调整应收帐款的工作。

•财务部应定期编制应收帐款帐龄分析表，并据此执行收帐政策，经高级管理层审阅后，交销售部收款
3.1.2.4U8内控合规说明
（1）销售订单、销售合同的控制
•支持销售订单的录入、查询、审批功能。

•支持业务单据连续编号功能。

（2）销售计划控制
•U8为用户提供了三种销售计划编制，作为销售目标，查看完成情况、考核业务员业绩；（3）信用控制
•客户档案支持字段级权限，可以把客户信用和其它等信息授权给不同用户维护。

即符合专人负责的原则。

•客户资料中信息修改支持保存日志及查询
•U8用户可以根据某客户的信用状况决定是否与其进行业务往来，即是否给其开具销售单据。

信用管理的主要内容为：
✓设置信用对象的参数。

✓设置信用对象的信用控制策略。

✓设置信用额度、期限的计算公式。

•在U8系统中，在开单时，如果超过了信用额度和信用期限，则可以有三种处理方式：✓在单据保存和审核时，只是提示用户当前已经超出了信用。

✓在单据保存和审核时，需要选择审批人和录入审批人对应的密码。

✓另一种是通过审批流进行控制。

•可在销售订单、出口订单流程配置中配置信用检查，根据检查结果自动进入相应审批流程。

•提供客户信用状况分析报表。

如欠款分析、应收账龄分析等。

（4）销售价格控制
•支持定价管理、价格策略、付款条件（付款优惠期限及折扣）、销售调价单、最低售价审批
（5）发货控制
•U8出库单可以根据发货单生成，并自动填列出入库日报表。

•检查信用
（6）货款回收控制
•U8应收系统提供对账单获得一定期间内各客户、客户分类、客户总公司、地区分类、部门、业务员、主管部门、主管业务员的对账单并生成相应的催款单。

•开票及收款控制
•U8支持先开票后发货控制；
（7）销售退货控制
•支持退货业务流程。

（8）应收帐款的内部控制内容
•发票能够依据发货凭证生成。

•发票、收款单、销售费用单、其它应收郑易里自动生成凭证，并且能够追溯查询——从凭证追溯查询到单据。

•提供自由定义的帐龄区间自动产生应收帐款帐龄分析表，并且能够生成跨年度的帐龄分析表。

（9）业务对账
•U8提供发货单开票收款勾对表，支持发票与发货单的核对和报告输出。

•提供发货单结算勾对表，销售报表与财务部门核对。

（10）财务记账
•销售发票的业务审核、财务复核流程。

•支持财务人员根据经稽核人员复核后的发票记账联等有关凭据编制会计凭证、登记入账，并由财务部门负责人审核的流程。

3.1.3企业内控具体规范—采购及付款业务
3.1.3.1控制目标
（1）保证采购业务与单位生产﹑销售和管理的需求相一致；
（2）规范采购和付款的行为，强化关键环节的风险控制；
（3）防范采购与付款过程中的差错和舞弊；
（4）保证相关流程的完整性和相关记录的真实性。

3.1.3.2控制措施
（1）供应商准入，采购方式，采购、验收和付款流程有明确规范；
（2）权责分配和职责分工明确，保证关键控制岗位的独立性；
（3）保证请购、采购、验收、付款的管理流程清晰明确；
（4）保证采购价格、供应商选择、付款审批等控制措施明确有效；
保证和供应商对账及时﹑独立。

3.1.3.3关键控制点
（1）采购计划制定及审批的控制内容
•公司根据生产建设需要及时准确编制并审核物资需求计划，准确描述所需物资名称、规格、数量、技术质量标准与要求、交货时间等要素。

•公司生产、设备、技术、工程等部门审批需求计划,物资采购部门对需用单位提报的物资需求计划的准确性进行监督考核。

•审批后的物资需求计划立即提报各级物资采购部门,保证合理采购周期。

•各级物资采购部门计划人员依据已经审批的物资需求计划平衡库存后，及时编制物资采购计划。

物资采购计划需执行审批流程。

•采购部门每月编制实际采购额与计划差异分析报告，分析差异原因。

对于超过标准的差异，应及时更新采购计划，并按程序重新审批。

•在采购业务执行过程中进行采购计划的执行控制。

（2）供应商的选择及考核控制内容
•采购部门应当建立供应商网络，实行动态考核和优胜劣汰的机制。

•各级物资采购人员依据审批的物资采购计划，采取询比价采购、招标采购、协议采购、网上采购等公平竞争的方式，确定物资供应商。

选定的供应商必须符合规定，且经过相关负
责人审批。