安永 ERP数据安全与合规解决方案帮助海上企业走得更稳

　　随着信息技术对企业管理影响的深入，集信息技术和现代管理思想为一体的ERP逐渐被业界广为应用，持续深化数据使用场景。后疫情时代，中资企业出海增势不减，国际化运营迫切需要运用全球ERP系统实现资源跨区域、跨事业部、跨部门的一体化管控和集成化运行。

　　与此同时，随着数字经济变革进入以信息载体为中心的阶段，世界各国逐渐从依靠信息技术、综合国力等外在因素进行资源抢占的斗争格局，走向依靠立法选择正确性、规范技术精细化等内在因素进行资源利用和创造的竞争格局及合作姿态。各国纷纷基于自身价值选择构建本国数据主权和隐私保护法案，这不仅使出海企业面临更加复杂的合规监管形势，还给涉及大量跨境数据传输的全球ERP项目实施带来巨大挑战。

　　安永ERP实施团队通过项目管理、系统功能、技术架构和网络安全等领域的创新和探索，将数据安全合规设计方案嵌入流程和系统当中，成功塑造数据信任DNA，护航中企出海行稳致远，保障跨境经营长治久安。

　　ERP项目管理挑战与应对

　　相比传统ERP项目组织结构，数据安全合规监管环境下的全球ERP项目组新增了专业数据合规组。由于海外合规政策的识别、跨境数据风险评估、方案实施确认等项目工作，均需要获得专业法律顾问的协作，多方沟通确认机制几乎贯穿ERP项目实施的全过程，这成倍增加了项目管理的复杂程度。对此，安永ERP团队持续探索项目管理创新。

　　► 组织机构方面：组建联合工作团队，纳入客户法律合规部、区域公司/项目公司法务人员，以及第三方法务咨询顾问，确保各项工作在合规前提下进行。

　　► 变更管理方面：主动识别项目合规的关键控制点，结合项目计划进行跨区域、跨领域前瞻宣贯，确保合规意识、合规控制点深入人心。

　　► 项目实施方面：适当调整和优化实施方法，将整个项目的合规内容与传统项目实施方法论进行匹配和融合。

　　► 管理工具方面：充分融合合规管理制度、流程和数字化管理工具，让相关方在统一项目管理平台上高效协作，追求项目管理的智能合规。

　　ERP系统功能挑战与应对

　　各国多样化的数据传输限制，使ERP系统功能不得不进行多样化的设计，以应对个人信息数据和商业数据传输的不同监管要求。

　　► 人力资源：由于数据安全监管非常重视个人隐私保护，ERP人力资源管理方案设计需要针对数据传输限制调整相应的数据存储范围。比如由于中国法规将个人差旅信息也纳入了隐私保护范围内，因此人力资源管理系统不存放中国境内员工的个人隐私数据，差旅报销管理系统也不存放中国境内员工的差旅信息。

　　►财务管理：在进行ERP系统财务管理方案设计时，需要关注不同国家/地区对不同财务数据类型的传输和存储限制。对于个人数据，应采用“最小化”原则，不传输和存储个人敏感信息；对于经营数据，应在满足数据输出国家/地区合规要求后再进行传输。

　　► 物资管理：为应对跨境数据传输各地区法律法规的要求，ERP采购与物资管理方案重点加强业务流数据的管理，尽量减少跨境数据中关于个人信息的处理，提高数据的合规性，满足各地区数据跨境传输要求。

　　ERP技术架构挑战与应对

　　在各国数据安全监管政策多样导致数据传输存在多类限制的条件下，ERP基础架构和集成架构均需要做出相应的跨境部署调整。

　　► 基础架构需要权衡数据存储部署方案，以保证便利地满足合规数据传输的要求。对于中国出海企业来说，既要考虑跨境业务的统一管控，又要实现境内、境外人财物数据的存储合规，可以考虑在数据保护法规要求方面更符合国际要求的地区建立互联网数据中心（IDC）,如中国香港，并部署总部与区域公司共用的ERP系统。针对其他业务系统，如差旅报销，因中国和国际的数据安全法规要求差异较大，可考虑在境内境外分别部署系统，对用户使用和数据存储进行物理区分。境外系统的部署地点也较为考究，应选取同时能满足各个海外公司所在地法律要求的地点。

　　► 集成架构方面：为了遵从跨境数据传输合规要求，系统集成架构需要不同程度的简化，采用本地与云端“双接口平台架构”。本地部署内部系统集成在IDC内部建设的本地接口平台实现，避免数据跨境；云系统间以及云与本地系统间的集成，则需要使用云接口平台实现。

　　ERP网络安全挑战与应对

　　跨境ERP系统的复杂性将会大大增加数据传输安全风险，对网络安全设计提出巨大挑战。

　　► ERP系统功能组件数据分别存储在不同国家的数据中心，需满足信息系统等级保护中对于安全计算环境、安全区域边界和安全通信网络的安全要求；ERP系统不同功能模块的数据分别存放在不同国家的多个数据中心，需重视数据跨境传输要求。

　　► 在跨境传输过程中，数据可能会遭遇中间人的攻击，被拦截或伪造，造成窃听、假冒、篡改和事后否认等数据安全问题。ERP系统需要使用传输内容进行加密的手段来解决第三方“窃听”的问题，使用消息认证码或数字签名解决“假冒”“篡改”“事后否认”的问题。

　　本文是为提供一般信息的用途所撰写，并非旨在成为可依赖的会计、税务、法律或其他专业意见。请向您的顾问获取具体意见。