一、 项目背景
　　某集团公司（以下简称“公司”）ERP系统是根据其信息化战略规划实施的第一个大型管理信息化项目，其目的是为了有力推动实现集团整体战略目标的实现。该项目经过标准模板的搭建、单位试点、推广实施三个阶段，基本实现全集团ERP系统全面上线。上线后，公司ERP项目组将根据各上线二级单位的业务发展需求，承担起系统运行维护和日常支持工作。
　　随着公司ERP工作重心的变化，目前面临以下问题：
　　1、ERP项目工作重点由系统实施向运维支持过渡转型
　　由于各二级单位基本上线工作已完成，ERP项目组逐渐承担起运维支持服务，但相应的组织、人员、制度、流程都很不完善，缺乏有效的管理和控制体系支持。
　　2、新任务、新特点和合规要求都推动ERP项目内控制度的完善
　　随着ERP项目进入新的工作阶段，将面临不同的任务重心和阶段特点。通过应用维护支持和持续改进、深化实施来提高ERP项目的实施效果及投资效益在整个项目中将占有更加重要的地位。此外，集团下属多家上市公司每年的外部IT审计，对其合规性也提出很高的要求。
　　基于上述挑战，公司决定对ERP体系进行内控优化，通过ERP内控咨询项目（以下简称“本项目”）以确保系统未来运维顺利进行，满足内外部管理及合规需要。并且，构建完善的ERP内控体系可以提高公司IT管控的水平，从一般控制层面满足IT治理的需要，有效的支持公司的战略发展。
 
　　二、项目目标
　　本项目将在参考COBIT框架和ITIL服务标准及ISO27001安全要求的基础上，结合总公司信息管理部、ITC和公司各二级单位信息管理的相关要求和标准，梳理ERP实施与系统运维支持相关各项制度和流程，评估内控风险。通过规划ERP组织结构，设计ERP相关控制流程和内控制度体系。在体系运行中通过测试，提出整改建议，以培训宣贯的形式使体系有效落地，为在集团范围内建立统一高效与合规的ERP平台管理体系提供支持。主要目标包括：
　　1、全面梳理ERP系统相关实施与运维支持相关的制度和流程，以COBIT4.1框架为基础，参考ITIL及ISO270001相关标准及要求，设计具有一定前瞻性的ERP系统内控框架。
　　2、通过与公司各职能部门、IT支持部门和各二级单位沟通协调，初步建立ERP内控体系体系，在明确组织架构和人员内控职责的基础上确保体系的正常运行，并通过测试，整改以及宣贯使内控体系在公司中得到正确执行，为使用ERP系统的各单位提供合乎内外部监管要求的IT服务。
 
　　三、项目实施方法论
　　中华咨询通过对相关理论的研究及在项目实践过程中的分析总结，为IT内控构建及合规遵从提供了相关实施方法论和实施工具，并根据企业实际情况拟定相关具体执行标准。
　　结合COSO（Committee of Sponsoring Organization，COSO）委员会于1994年增补完善的《内部控制整合框架》（COSO—IC）及信息系统审计与控制协会于1996年提出的COBIT(Control Objectives for Information and related Technology，信息和相关技术的控制目标)信息技术控制框架，对企业现有IT控制中的实施与运维支持关键流程进行梳理和评估，并基于企业IT控制目标，提出整改方案，从而为企业构建满足战略目标要求的IT治理架构，并为遵从国内外相关法案规范的监管要求提供有力支持。
 
　　四、项目实施阶段及内容
　　在对公司的ERP系统进行初步了解及需求明确后，中华咨询项目组针对公司管理现状，制定了具体的项目实施计划，分为四个阶段进行实施。
　　第一阶段，需求调研分析阶段
　　在需求调研阶段，主要通过访谈和调研的形式对公司整体IT状况及ERP系统及组织架构进行了解，在明确项目范围的基础上，收集审阅相关制度文档，识别ERP系统中重点控制流程和制度设计情况。通过讨论确定ERP内控体系框架结构，根据企业实际ERP管控现状，分析控制风险及解决成本，以达到合理有效的解决IT内控风险及合规要求问题。
　　第二阶段，风险评估阶段
　　风险评估阶段是本项目最重要的工作之一，因为流程关键控制风险是否得到有效充分的评估关系着项目的成败。本阶段主要工作有两项，一是风险分析一是差距分析。风险分析需要在前期调研基础上，按照COBIT及其他的控制标准中具体的控制要求，逐项流程进行梳理分析，明确各流程中的关键控制点，分析其风险所在及企业可接受的程度。差距分析需要根据与ERP各功能组人员确认现状与控制要求的差距，通过分析差距结果，结合之前的风险分析，找到可避免风险的控制措施，形成控制指引。本阶段最后，针对控制指引提出整改意见，与ERP项目组相关人员进行沟通确认，对现有制度进行缺陷分析。
　　第三阶段，整改运行阶段
　　整改运行阶段是在风险评估结果得到公司认可的前提下开始实施的，通过设计比较完善的ERP组织架构，对照整改方案提出的风险控制要求逐项落实，完善ERP内控制度和相关控制流程，以达到预期控制要求，并对编写的制度文档形成体系，又相关部门进行发布。通过宣讲、培训等方式，使公司相关单位和人员了解和学习制定的ERP管理制度和控制流程，以将内控要求落实到到日常业务操作中。随后，在相关主管部门部署下，督导各ERP项目组改进管理流程，执行设计的ERP内控体系制度。通过实际执行，找出体系构建过程中存在的问题，中华咨询项目组根据具体业务情况，分析反馈意见，进行记录并跟踪解决。
　　第四阶段，测试完善阶段
　　为了检测ERP内控体系执行是否达到项目预期的要求，经过中华咨询的提议，公司决定通过测试来检验体系构建的情况。中华咨询项目组根据公司ERP管理特点和业务要求设计了不同的测试表单和测试方案，根据业务发生频率和ERP模块选择不同的测试方法进行操作，根据控制要求和相关标准按照编制的ERP内控体系进行穿行测试，确保各关键控制点在测试中得到体现。经过测试找到执行中存在的缺陷，在经过分析、解决、并通过建立PDCA循环，最终实现ERP内控体系的自我完善，达到项目的要求。
 
 
　　五、项目实施效果
　　中华咨询在近6个月紧张的项目实施过程中，始终贯彻专业、客观、严谨的态度，在公司配合人员和中华咨询的通力配合下，完成了ERP内控框架的搭建，从运维上全力保证了未来的需要和管理的要求。同时在此框架下构建了一套比较完善的ERP内控体系，从各方面确保了集团公司各部门的要求，并未各二级公司提供了合乎内外监管要求的制度，并通过测试确保了执行的有效性。得到了客户方的专业认可，较好的实现了既定目标。
　　通过构建ERP内控体系及其实施应用，改善了公司的IT资源的利用和管理，实现了风险管控与IT战略方向的一致性，推动了企业整体战略目标的实现。

第四十一届CIO班招生
国际CIO认证培训
首席数据官（CDO）认证培训

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。