1、上海通用的不相容職責分離測試上海通用汽車XX公司成立于1997年，由上海汽車集團股份有限公、通用汽車公司分別出資50%組建而成。目前擁有上海、煙臺、沈陽、武漢四大生產基地，共7個整車生產廠、4個動力總成廠、2個配件中心、1個試車場；擁有別克、雪佛蘭、凱迪拉克三大品牌，二十多個系列的產品。2014年全年完成銷售170多萬輛、累計銷售超過1000萬輛。在此飛速發展的過程中，為了提高市場應變能力，上海通用汽車致力于企業信息化建設，不斷改進和創新以便與業務同步發展，并將企業內部控制集成于信息系統中。職責分離作為內部控制的基本原則之一，評估其是否真實存在并有效運行是內部控制自我評估的重要組成部分。本文以

2、上海通用為例，梳理關鍵業務流程，探討職責分離的構建及其測試。一、職責分離的規范要求所謂不相容職責分離是通過在不同員工之間適當劃分職責以減少發生錯誤、不適當行為或舞弊的風險的控制措施。其核心是內部牽制，形成各司其職、各負其責、相互制約的機制。作為合資企業的上海通用，需要兼顧中美方對企業內部控制的要求。1、我國對不相容職責分離的規范五部委聯合頒布的企業內部控制基本規范及其配套指引要求，企業應按制衡性原則和成本收益原則設置機構和業務流程，達到以適當的成本實現有效控制。從業務層面來說，通常需要分離的不相容職務包括授權與執行、執行與審核、執行與記錄、保管與記錄。會計法第二十七條規定記帳與業務經辦、物資保

3、管、會計事項的審批需要分離，也就是說即使最簡單的經濟業務，至少要分離為兩個以上崗位。在內控配套指引和會計基礎工作規范中針對資金活動、采購業務、存貨管理、工程管理等關鍵業務制定了最低的職責分離要求。對于利用SAP系統等信息化管理平臺的企業，通常會將內部控制在系統中集成、轉化，各控制環節的職責分離要求被系統的身份認證、授權機制所取代。五部委頒布的企業內部控制應用指引第18號信息系統對此進行了規范，要求企業在系統開發過時就要根據業務的控制要求，通過系統權限管理控制用戶的操作權限，避免授權不當將不相容職責的權限授予同一用戶。同時還要求加強重要業務系統的權限的管理，定期審閱系統帳號，嚴禁不相容職務用戶帳

4、號的交叉操作。2、美國通用汽車對職責分離的要求薩班斯-奧克斯利法案于2002年頒布，第404條款要求在美國上市的公司必須建立和保持一套完整的與財務報告相關的內部控制體系，并要求管理層對期末與財務報告相關的內部控制體系的有效性作出評價。為了響應該法案的要求，美國通用汽車在北美專門成立了財務保證及SOXa規組(GMFinancialAssurance&SOXComplianceGroup)，各區域、各國家的公司設立內部控制管理小組，于2003年開始建立和實施SO游合性評估體系，并在全球范圍內實行統一標準、統一管理。美國通用汽車選擇COSOJ部框架作為其自我評價框架，具范圍涵蓋銷售與應收帳款

5、循環、采購與付款循環、成本與費用循環、籌資與投資循環等主要循環。每年內控管理小組評估風險，制定測試計劃，組織和實施財務報表相關的SOXM合性測試。COSO）內部框架提出在控制活動中，管理層應考慮職責分離。在美國通用汽車內，職責分離被作為一個最基本的概念運用于財務和經營領域中，規定任何人都不得負責某一業務流程的全過程或交易的所有記錄。其最基本原則是：資產保管、資產交易記錄以及交易授權必須分離，并根據自評內控框架中的關鍵活動或控制，在資金管理、銷售與應收帳款、采購與付款、工資、存貨、財務入賬和報表編制等方面提出了最低的職責分離要求。對于實施SAP企業，美國通用汽車實行集中管理，由北美利用Virsa

6、或GRCT具對SAP系統的職責分離進行每半年一次的測試，并要求各地區的內控管理小組就工具掃描出的沖突結果進行復核。為了響應中美方股東對內部控制要求，上海通用在財務部下設立了內部控制股，專門負責美方SOX?合性測t中方C-SOX測試、以及其他與內部控制相關的事務。根據美方要求上海通用汽車于2009年開始進行SOX?合性測14并于2010年針對SAP系統進行職責分離測試。在SAP環境下，職責分離測試通常分為如下幾步：首先梳理流程，識別關鍵控制點；其次構建職責沖突矩陣；第三在SAP中實現沖突矩陣要求轉化；第四分析沖突，提出應對措施。二、SAP環境下的業務流程上海通用是信息化程度較高的企業，幾乎所有業

7、務活動或控制均是通過信息系統來實現，其中所有與財務相關的業務信息都經過在SAP系統中進行處理或信息交互。上海通用自2002年開始實施SAPIS-Auto，為期4年，耗資3000萬美元，先后在東岳基地、北盛基地和金橋基地實施，于2006年實現了全公司系統層面上的營銷、采購、制造、物流、財務等業務流程的無縫整合。SAPISAUTO是一個面向汽車行業的解決方案，系統構成包括銷售和分銷模塊（S。、財務和制模塊（FI&CO）、物料管理模塊（MM、集成產品和工藝工程模塊（IPPE）、生產計劃模塊（PPDS、項目模塊（PS）、倉庫管理模塊（WM&EWVM。該系統作為上海通汽車IT系統的神經中

8、樞，覆蓋了從接訂單到交車的整個流程，并且與經銷商管理系統（DOL、供應鏈管理系統、生產管理系統等緊密連接。具體的業務流程如圖1所示。1）每天集成產品和工藝工程模塊（IPPE）接受GPDS勺工程更改信息，并將信息傳送至生產計劃模塊（PPDS,然后更新PPDS的主數據（比如BOM言息等）。2）客戶通過經銷商在上海通用的經銷商管理系統（DOL下訂單，該系統再把訂單自動傳遞給SAP系統的銷售與分銷模塊（S。，并傳至生產計劃模塊（PPDS3）采購部在電子采購系統（E-P）中完成選擇供應商、采購合同創建等工作，并將采購合同自動傳送至SAP的物料管理模塊（MM,維護每個物料的單價、供應商等信息。4）在生產計

9、劃模塊（PPDS中完成訂單排產、訂單下級物料打散等工作，并將信息發送給物料管理模塊（MM、現場物流拉動系統（MELOS、物流管理系統（E-Schedule）、電子數據接口（EDI）、生產管理系統。通過MELOS口EDI向供應商發送采購需求，并在SAP中創建采購訂單。5）國內物料通過倉庫管理系統（WMS或SAP物料管理模塊（MM進行收料，海外物料通過海外供應管理系統（OSM進行跟蹤，在SAP物料管理模塊（MM進行收料并生成存貨收料憑證。6）與此同時，生產部門接到SAP的訂單排產計劃后，進行訂單制造；生產管理系統（FLER將訂單的制造狀態信息反饋至SAP的生產計劃模塊（PPDS和銷售與分銷（SD模

10、塊。7）生產下線后，生產管理系統將信息傳遞給SAP的物料管理模塊（MM,然后傳遞2控制模塊（CO。控制模塊（CO根據BOM言息進行物料的扣料并計算相應的生產成本。8）財務模塊（FI）根據物料管理模塊（MM的采購定單、銷售訂單以及控制模塊（CO的成本信息進行采購業務、銷售業務、生產成本結轉等業務會計入帳處理；根據供應商提交的發票三單匹配后付款。因此，從上述流程來看，上海通用的所有操作都是在信息系統中進行，一旦權限分配不合理，職責不分離，將蘊含著重大的內控風險，可能產生嚴重的后果。故定期對職責分離進行測試，檢查集成于信息系統中的控制是否真實存在，且有效運行顯得尤為重要。三、職責分離的構建與測試1、

11、職責分離沖突矩陣的構建職責劃分并不是越細越好，必須兼顧業務的固有風險、管理層的控制要求、以及控制的成本與收益來進行劃分。在SAP環境下，職責劃分的最基本原則是數據維護、業務操作、財務記錄必須分離。上海通用分析研究后，將銷售與收款、采購與付款、存貨管理等5大關鍵業務循環，識別出40多個不相容的業務活動。下面以銷售與收款為例，分析如何識別關鍵控制點，構建職責沖突矩陣。上海通用實行授權銷售的商業模式，采取零賒銷的信用政策。也就是說，所有的經銷商需經授權批準，且拷車前必須預付拷車所需的全部價款。經過授權的經銷商由市場部和財務部專人在經銷商管理系統（DOL和SAP系統進行客戶主數據維護。經銷商在DOLT

12、訂單時，DO總自動檢查經銷商的資金池。若資金池余額足夠，DOL將訂單傳至SAP銷售與分銷模塊（SDDoSAP系統會再次進行資金池余額檢查，符合上海通用的信用政策后，生成銷售訂單。汽車生產下線后，物流部根據訂單發貨，并通知第三方物流進行運輸；財務進行開票、收入確認等帳務處理。SAP系統相關的職責劃分如下表1所示。在該業務中，職責分離控制轉化為這些手工業務活動是否符公司職責分離控制要求。因此在沖突矩陣中，我們僅將涉及手工操作的業務活動納入到沖突矩陣中，將銷售與收款業務分為客戶主數據維護、信用額度維護、價格維護等8個業務活動。按職責分離控制的要求，對這8個業務活動的進行分析，存在權限沖突的標記“X,

13、如表2所示。例如，上海通用要求客戶主數據維護由SAP系統支持人員維護，同時規定SAP系統支持人員不得進行如銷售價格維護、銷售訂單創建等其他業務活動的操作。因此客戶主數據維護與其他所有業務活動均為沖突活動，標記”X“。2、沖突矩陣在SAP系統的轉化導出SAP中所有財務相關的操作性T-Code,分析T-Code的具體功能，并根據T-Code功能與沖突矩陣中的業務活動建立映射關系，從而將業務活動層級的沖突矩陣轉化成T-Code層級的沖突矩陣。這時若某一用戶在SAP中同時擁有T-code層級沖突矩陣中的兩個T-Code,則認為該用戶的權限存在沖突。比如根據表2沖突矩陣，客戶主數據維護、銷售訂單創建與修

14、改為沖突權限，轉化到SAP后表示XD01和VA01為一對沖突權限。若某一用戶擁有這2個T-Code,表示該用戶既可以進行客戶主數據維護，也可以創建銷售訂單或修改銷售訂單。這可能出現財務KBU銷售創建未經授權的經銷商的風險，不符合上海通用的職責分離。3、沖突報告分析上海通用由內部控制人員、SAP支持人員、SAP顧問組成沖突分析小組，從業務需求、管理層控制要求出發對沖突報告中每個用戶每對沖突權限進行分析。基于T-Code層級的沖突矩陣，可能存在誤報。故上海通用針對每對沖突結果分為誤報、有效沖突，其中有效沖突采取保留或修改用戶SAP權限等應對措施。對于保留的關鍵沖突權限，進一步實施補償控制執行的有效性復核。四、經驗總結首先，在系統開發和日常權限維護時加強職責分離的管控，做到事前控制。我們分析發現權限沖突主要產生于系統的后續開發、系統升級、輪崗未及時刪除老權限等原因。這與系統開發人員、IT人員、業務部門KBU?往往更關注于系統功能的實現，忽視職責分離的內控要求有關。再次，SAP的測試無法識別跨系統的職責分離沖突。比如上海