ERP权限管理(精选六篇)
ERP权限管理 篇1
制造企业的信息化是企业改革和管理创新的重要手段。 ERP软件对有效开发和利用企业信息管理资源, 加速企业信息化步伐起到重要作用。但是, 由于ERP是一个集成的, 多用户共享的系统, 企业用户可能达到成千上万的数量, 当多个子公司的业务已覆盖财务、物流、生产制造等方面, 复杂的业务环境下并存着大量的用户, 系统运维工作的重要性日益凸显, 其中用户权限管理的运维工作占了很大比重。系统上线后能安全、 高效运行的前提是权限运维必须规范, 即用户管理规范、授权管理清晰, 最终用户的权限设置符合内控审查规范。因此, 构建高效的权限管控体系和规范的授权业务流程是保证系统安全、高效和数据保密的重中之重。
1企业ERP用户权限管理的现状及存在的问题
1. 1传统用户权限管理的弊端
1) 权限申请的维护是由系统管理员完成的。因为没有一个清晰的授权原则, 不能确切地说明为何授权或者不授权, 只是通过用户申请, 中间由部门负责人象征性地审批, 导致分配给用户的权限过大, 部门领导审批权限形式化。加之管理员对业务单位部门岗位职责分配及业务操作的熟悉程度有限, 很难确定最终用户提交的权限申请的合理性。
2) 最终用户不了解权限的构成情况, 单从角色描述很难判断角色所包含的具体权限内容, 从而造成最终申请到的权限与所需权限不一致。
3) 用户申请权限时通常都是通过OA或者IT运维平台, 急待处理权限也可通过电话或者电子邮件。随着时间的推移, 人员调动时有发生, 申请变更的数据量逐渐增大, 用户权限有被叠加放大甚至失控的危险, 权限管理变得极其混乱。
4) 权限管理员处理权限申请时, 往往需要反复沟通才能完成最终权限调整并记录归档, 而且在做权限调整时不可避免地产生错误, 使得管理员的工作量大且效率低。
1. 2职责分离体系不能被有效建立和执行
企业的权限管理不仅仅是决定谁有权做什么, 而且还应体现权利间的相互制约关系。比如“裁判员”同时不能做“运动员”是最为著名的权力制约关系。体现在企业管理上, 也有众多制约关系需要在用户权限管理中加以考虑。当然, 这些规则有时也不是绝对的, 企业可以根据自身的情况加以调整, 有些企业不允许的, 另一个企业可能就允许这样授权。也就是说, “职责分离”的粗细, 取决于企业内外部风险管控的需要, 并没有一个绝对的标准。但是, 不管怎样, 每个企业都应建立一套 “职责分离”的规则体系, 然后根据自身管理需求的发展加以调整。
2优化ERP用户权限管理, 提升管控力的有效途径
2. 1建立健全的ERP用户权限管理规章制度
实际上, 我们不可能完全通过技术手段来进行用户权限的管理, 还需要建立起相应的规章制度, 理顺、清理权限申请和授权的工作流程, 以此来规范和约束权限管理, 做到管理有力、有据、流程化、规范化, 减少用户和管理员在权限申请和授权过程中主观意识的负面作用, 使授权工作过程可控、授权结果合规。
2. 2与HCM模块集成
用户权限管理模块与HCM模块集成, 把HCM中的职员信息包括人员的部门、岗位引入到用户管理的用户信息中, 即系统用户与职员一一对应。职员对应的组织单元作为用户管理中的用户组, 这样管理员能够一目了然地知道用户所属组织及岗位, 避免了人工维护的不及时性, 减少了管理员的工作量。 因为用户组和职员对应的组织来源于同一个数据源, 所以用户管理中的用户组能够随HCM系统中的组织结构调整及时变动。当职员调离原岗位, 则系统用户标识自动取消, 相当于把此用户暂时禁用, 避免业务单位不及时反馈用户的权限变更, 造成权限管理失控, 公司业务混乱。
2. 3分组织、分级授权管理
对于制造企业来说, 内部的分工较细, 岗位较多, 同时内部的人员并不固定, 流动性比较大, 如果要管理员来统一管理用户的权限分配, 则给管理员增加了工作量, 用户也不是很方便, 而管理员往往不能对所有组织及分子公司的业务掌握得很透彻。基于以上考虑我们决定采用分组织、分级授权管理。
系统中可将权限分配与管理分为2级: 第1级是管理哪些用户登录本系统并指定子系统管理员, 这部分的权限由系统管理员操作。系统管理员只需对子系统管理员进行授权管理, 定期审查子系统管理员的操作日志; 第2级的权限由子系统管理员进行分配, 这部分的权限主要是管理每个用户到底拥有哪些操作权限。
分组织、分级授权管理首先是把组织细化管理, 这样在每一个组织中系统管理员能够对管辖权限项范围定义角色, 对于制造企业各组织和分子公司就可以根据自身的业务特色细化角色。权限分级管理如图1所示。
在分组织权限管理中还可以结合数据权限, 对用户权限更细化的控制。数据授权可以分为普通数据规则授权和字段授权。普通数据规则授权是对要授权的数据形成一定的规则, 授权能够用一条规则来描述。例如: 采购经理能够审核金额为100万以上的订单, 而采购主管只能审核金额为100万以下的订单。字段授权是对业务对象的某个字段的查看权和修改权进行控制。例如: 仓管员只能查看数量而不能查看单价和金额等。
这种按用户的不同组织范围、职位角色分别授权, 功能权限和数据权限并存, 既满足了企业多组织下业务灵活操作和精确管理的需要, 又保证了数据的安全。
2. 4基于角色的授权管理思想
基于角色的权限管理模型是指系统管理员根据需要创建角色, 然后把有关权限赋给此角色, 最后将该角色在一定的组织下赋给合适的用户, 这样用户就可获得该角色所有的权限。 也就是说, 授权是对角色进行的, 而不是直接对用户授权。这样将角色与组织用户绑定, 就避免了因为人员的变化而引起的授权变化, 简化了权限管理。用户、组织、角色三者关系如图2所示。
2. 5建立良好的沟通机制
沟通对于ERP权限管理很重要, 要在管理员与用户之间建立良好的沟通渠道, 并确保各种沟通畅通无阻, 沟通手段包括电话、邮件、OA、IT运维平台等。
另外, 定期的工作例会也是沟通的有效手段。例会便于集中、快速地解决ERP系统管理工作中的各类问题。相关岗位的业务人员、管理人员可以一起共同讨论、互相交流, 便于共性问题的解决和共同提高。
3结语
一个优秀的用户权限管理模块可以有效地管理整个软件系统, 协调好系统用户、权限、角色之间的关系。经过实践证明, 分级授权和基于角色访问控制的分配策略是符合企业的实际情况和行之有效的, 它能够将企业的实际岗位情况与系统中的特定角色较一致地结合起来, 减轻了管理员的工作量, 而且便于统一、敏捷地管理各岗位角色和用户权限。
摘要:简单讨论了ERP用户权限管理的内容和重要性, 深入分析了企业ERP用户权限管理存在的问题及产生的原因, 最后针对权限管理的难题提出了几种提升管理效率的有效途径。
关键词:ERP,用户,权限管理
参考文献
[1]李存荣, 郭顺生, 杨明忠.ERP系统用户权限的全动态配置研究及实现[J].机械制造, 2002 (6) .
ERP权限管理 篇2
关键词:ERP;ERP系统;权限;风险;IT;内部控制
中图分类号:F275 文献标识码:A 文章编号:1006-8937(2015)17-0140-02
1 ERP系统权限管理与内部控制概述
1.1 ERP权限管理概述
ERP是企业资源计划(Enterprise Resources Planning)的简称,主要宗旨是将企业的所有资源通过信息化系统进行科学合理的组织、管理和控制,以求收益、效果最佳化。ERP系统是以软件为载体,为企业采购、生产、库存、销售、财务等业务人员提供的一个统一经营管理工作平台。
企业要把ERP系统用好,必须依照企业内部各部门岗位职责的划分,在ERP系统通过合理的授权,才能在ERP系统完成各部门的业务操作。对每个岗位业务操作的合理、有效授权,即权限管理。
1.2 内部控制概述
内部控制是企业防控内部运营和操作风险的程序、制度、措施和方法的总称,是对企业内部职能部门和业务单位实施管理和控制的系统方法。IT一般性控制就是对所有利用计算机和通信技术进行企业业务集成、转化和提升的信息化管理平台进行风险控制。
一般基于企业业务层面的内部控制是把企业的关键业务按归口管理要求,划分成流程,通过流程内风险控制点的形式加以管控。比如内控货币资金管理、固定资产管理、一般采购管理等流程中,都会考虑IT应用控制的要求。
2 通过ERP系统权限管理实现IT内部控制措施和
手段分析
随着ERP系统被越来越多的企业所认同,企业业务运作更加依赖于ERP系统,导致企业出现了新的业务风险。如何对这些风险进行有效防范,需要在ERP系统授权配置管理上深度融合企业内部风险控制的要求,既要有识别风险的意识,又要有防范风险的措施和手段加以保障。
2.1 配置控制
配置控制指对系统功能启用的控制,主要有两层含义:①保证启用系统自动控制功能,自动实现对业务风险及操作规范性的控制;②按照标准模版要求,统一配置系统。例如:对于物资采购流程,在ERP系统中创建采购申请的权限由物资部门计划人员拥有;根据采购审批制度,在ERP系统中合理配置采购申请的审批流程,要求在系统中至少进行一级审批。
2.2 业务操作控制
业务操作控制是指为了保证用户在系统中能够按照规范的业务流程进行系统操作而设置的相关控制。业务操作控制包含业务流程控制、数据输入控制、数据质量控制等。该环节要防范未经授权非法处理业务、系统处理不正确导致业务无法正常运行风险。例如:销售模块客户主数据维护流程,客户主数据的维护必须经过审批。
2.3 权限控制
权限控制是指为了保证用户职责的有效履行,对其在系统进行操作或数据访问的控制。权限控制包括角色分配管理、关键系统操作授权管理、ERP组织级别管理等。例如:应收帐款管理、信用管理流程,权限控制要求客户信用主数据的维护必须经过审批;在ERP系统中维护客户信用主数据的权限由经授权的财务部门信用主数据维护管理员拥有;基于不相容原则,该人员不能同时负责销售订单创建/维护。
2.4 不相容岗位分离控制
不相容岗位分离控制特指通过系统操作权限分配中的不相容权限控制达到不相容岗位分离的作用。不相容岗位分离是指那些由一个人担任,既可能发生错误和舞弊行为,又可能掩盖其错误和弊端行为的职务、岗位或系统操作权限,不相容岗位分离即对这类行为予以控制。例如:对于物资采购流程,在ERP系统中进行发票校验的权限由财务部门发票校验人员拥有,基于不相容原则,该人员不能同时负责操作收货过账;进行付款的账务处理的权限由财务部门付款账务处理人员拥有,基于不相容原则,该人员不能同时负责付款申请。
3 ERP系统的权限风险分析
3.1 来自系统层面的风险
由于系统管理员、应用管理员等系统维护人员能直接接触数据库软件、熟悉信息系统技术,他们的有意作案或无意的误操作所造成的影响很难估量,所以这些关键技术人员需持证上岗,签订保密协议和授权书,同时必须有严格的管理制度,严格约束。
此外,为防止非法用户和黑客侵入信息系统,可通过设置防火墙、采用身份识别系统等技术防护措施。
3.2 ERP权限设计缺陷带来的风险
主要表现在权限设计不当,存在与用户工作岗位不相称的系统权限,有违背不相容岗位原则的系统用户和角色。这样在出现误操作时,给系统带来的危害是很大的。
3.3 授权不当带来的风险
①超职责范围的授权导致用户权限过大。这种情况一般存在于岗位变迁,权限只增不减,不再负责的业务权限未删除;②人员离职,用户、密码未及时变更;③擅自把用户给非岗位人员使用。
这些权限的不当使用,都会给ERP带来信息泄露,违规操作等业务风险。
3.4 不相容岗位职责不分带来的风险
一个员工拥有多个系统帐号、一人拥有跨模块流程的权限、一人操作多岗位业务,这些都可以造成不相容岗位权限交叉、信息泄密等风险。
4 利用IT内部控制管理规避ERP权限风险的措施
和方法
企业信息化带来的IT风险已经成为企业风险管理的主要方面。在此结合内部控制管理要求,总结规避ERP权限风险的措施和方法。
4.1 实施IT风险评估
企业信息化建设初期,常常会忽视风险评估,随着企业在IT内部控制要求日趋明确化,IT风险评估也就毫无争议的成为企业防范IT风险的必要措施。IT风险评估主要包括IT目标设定、风险识别、风险分析和风险应对。IT目标设定可以理解为IT战略与IT规划,IT风险识别与分析应对包括对信息资产的风险、IT流程的风险以及应用系统的风险识别分析与应对。企业在具体实施方法上可以选择业界口碑好,具有相应资质的第三方公司帮助进行风险评估。经过IT风险评估,信息系统安全问题风险分析和评价、系统安全建设整改建议就一目了然,做到心中有数。
4.2 做好IT控制措施与监督检查
IT控制措施包括IT技术类控制措施和IT管理类控制措施。
①IT技术控制措施主要是对防火墙、防病毒、入侵检测、身份管理等安全设施、软件定期更新,做好安全防护策略;权限管理方面,ERP系统相对于其它的应用系统,其集成性的显著特点,使得ERP系统的权限管理更具代表性。具体规避ERP权限风险的方法建议定期梳理风险权限、不相容权限、敏感权限等,通过定期专项检查、内控审计等方法规避权限风险;目前有的企业通过开发权限风险分析工具辅助人工检查,也一个不错的参考方法。
②IT管理类控制措施,主要是制定相应的管控制度与规定,如开发管理、项目管理、变更管理、安全管理、运营管理、授权审批等;制定规范业务流程,明确岗位职责的相关文件。通过管理制度的落地执行,有效控制风险。
③聘请业界有资质的专业审计公司做IT风险控制检查。
5 结 语
总之,IT一般控制流程是企业内部控制体系不可或缺的内容,ERP系统应用到企业内部控制中,特别是ERP权限管理贯穿于内部控制的所有流程,是企业内部控制日益完善的标志。企业在应用ERP系统的过程中,应该注意防范以上文中分析的各种风险。
参考文献:
[1] 财政部会计司.企业内部控制讲解[M].北京:经济科学出版社,2010.
ERP权限管理 篇3
企业资源计划(Enterprise Resource Planning)是以MRP II(企业制造资源计划)为基础的企业管理软件。 是将企业所有资源进行整合集成管理,包括:物流、资金流、信息流进行全面一体化管理的管理信息系统。 ERP以流程管理的理念,打破了传统以职能管理为核心的管理模式, 把客户需求和企业内部的制造活动以及供应商的制造资源整合在一起, 形成企业一个完整的供应链,其核心管理思想主要体现在以下三个方面:①体现对整个供应链资源进行管理的思想;②体现精益生产、敏捷制造和同步工程的思想;③体现事先计划与事前控制的思想。 任何多用户的系统均不可避免地涉及权限问题,而ERP的权限系统也更为复杂。
1权限总体设计
企业级应用环境中的权限设计主要有三种: 自主性访问控制、强制性访问控制和基于角色的访问控制,其中自主式控制能力太弱、强制式控制太强,两者工作量大且不方便管理,基于角色的访问控制是目前公认的解决大型企业级系统的权限管理的有效方法。 可以有效减少权限管理的复杂性,提供企业权限管理的灵活性。
权限体系引用了账号、角色、参数文件、授权对象、字段等权限概念, 结合系统中企业组织架构及业务处理的配置等对用户进行权限控制。 同时也通过设计大量的数据表记录各事务处理的权限检查情况及系统用户的授权情况。 其中:
用户登录ERP时需输入的用户名称。 用户的创建一般在基本的ID等之外,需要维护包括姓名、身份、通讯信息等。
单一角色简单的说就是一个操作功能的集合。其中包含了控制功能操作的“权限对象”“权限字段”以及允许的操作及允许的值。
复合角色又叫通用角色,即多个单一角色的集合。 复合角色中可以包含多个单一角色, 此复合角色包含了多个单一角色所控制的权限。
2权限实施与管理
ERP的权限管理主要由权限设计、权限测试、权限反向查找和建立权限管理运维制度等几个方面的工作组成。
2.1 权限设计
ERP项目的权限设计严格遵守ERP系统的权限设计标准,其步骤如图1 所示。
(1) 从客户需求出发, 根据前期的业务蓝图成果, 明确各部门、岗位的职责。
(2)根据岗位职责进行通用角色权限设计,如工资数据维护角色、合同信息查询角色。
(3)根据通用角色权限设计进行复合角色设计,如人力资源部劳动组织专责角色。
(4) 根据复合角色结果提供权限模板, 进行用户收集, 并将用户名与角色匹配。
在设计的过程中,注意以下关键点:
(1) 下级不能查看上级的各类信息, 而上级可查看下级的,同级不可互看。
(2)在人员管理范围上,按照企业管理的职务级别分层次管理。
(3) 在人事信息类型管理上, 本着 “ 谁管理谁维护” 的原则,在保证各部门、各岗位必需的权限的同时,尽量紧缩角色授权。
(4)对部分高度保密的信息,如后备干部、人员薪资等信息,确保授权与实际岗位职责准确匹配。
2.2 权限测试
(1)针对通用角色和复合角色,重点考察其配置结果是否符合预期设计,能否实现要求的业务操作。
(2)针对最终用户岗位角色,重点考察其不应当具备哪些权限,然后测试在应当具备的权限中是否能正常执行业务操作。
(3) 从信息类型的角度, 重点考察后备干部信息、 薪资信息等保密性强的信息类型,测试拥有该信息类型的用户是否恰当。
(4)为保证测试更全面、准确要学会利用反过来查找有哪些用户拥有这些命令和信息查看的权限。
3权限运行与管理
在ERP上线后, 需要通过如下措施监控权限变更情况以及系统数据的访问情况,确保数据安全和权限严格管理。
(1)ERP用户审计。 在ERP生产系统中, 启用用户审计机制,对所有用户执行的交易代码和报表进行记录,对发现的异常及时处理, 并检查同类用户的权限设计是否合适以及权限管理流程的合理性。
(2)ERP敏感表更改记录。 在ERP生产系统中,启用ERP敏感表的更改记录机制, 对设定的某些ERP的表的更改进行日志记录,可以用作日常的运维报告和以后的查询。 针对异常检查开发及运维角色的权限管理是否存在漏洞。
(3)权限和用户变更记录。运维人员可以通过ERP的权限和用户变更记录工具,随时查询用户和权限的变更时间、变更内容和变更人员。
(4)对照权限设计文档检查此用户权限是否正常。
(5) 如果不正常, 通过权限和用户变更记录, 查找变更情况和变更人。
(6)查看变更记录单。
(7)查看权限变更人员操作记录。
4结语
ERP权限的重要性是毋庸置疑的,但在运行过程中,大多不太重视权限, 主要的原因是在上线期间以及上线后的短期内负面效果往往体现不出来,突发的权限问题也可以立即处理掉。这样做很可能在一段时间之后ERP系统的权限管理者会忽然发现在不知不觉中权限管理已经变成了无序的状态, 各种流程也变成了一种形式。在ERP的实施过程中多投入一点儿关注,就会为以后系统的健康使用打下良好的基础。
摘要:本文通过企业资源管理系统(ERP)项目实施的总结和汇总,对ERP的权限管理进行规范化的管理实施策略,形成一套比较成熟并长期可用的数据安全保障屏障。本文介绍ERP在权限管理的架构,设计思路,实施方法和整体权限的策略。讨论了ERP的权限工作日常需严格遵守的实施标准和比较优秀的做法,并根据系统建立一套由用户、运维人员、业务专业人员和技术专业人员共同参与的权限管理机制。
浅谈集团企业ERP系统权限管理 篇4
ERP是一个集成的, 多用户共享的系统。集团型企业ERP系统用户可能达到成千上万的用户数。当多个子公司的业务已覆盖财务、物流、生产制造等方面, 复杂的业务环境下并存着大量的用户, 系统运维工作的重要性日益凸显, 其中用户管理的运维工作占了很大比重, 面对大量的终端用户, 每天都会发生用户权限、角色、账号变更等各种运维业务。系统管理员需要严格地保护数据, 同时又要为需授权用户提供方便, 有效地管理用户权限是系统管理中很重要的环节。
1存在的问题
1.1 用户权限管理不及时清理
随着ERP系统运行越来越顺畅, 使用者渐渐感受到了系统所带来的价值, 于是大家便会要求给自已开通更多的功能权限。对于系统权限管理人员来说, 面对大量增加权限的申请, 究竟是开通还是不开通, 似乎并不能找到一个清晰的标准, 只能凭借系统管理员的经验进行判断。集团型企业的岗位一般分工较细, 系统管理员很难清楚每个岗位所具备的职责, 只能粗略地对某一类岗位进行划分, 归集岗位类对其进行角色定义。
ERP用户管理对系统管理员来说较为被动, 权限控制为事后控制, 用户的新增与用户权限的变更需要各业务部门主动向系统管理员提出申请, 这样造成有些业务部门只对用户新增权限会及时向系统管理员提出申请, 而一些岗位已发生调整或离职, 用户权限需要注销的情况不予反馈, 或反馈不及时, 对用户的权限控制会有一定风险。
1.2 用户权限逐渐放大甚至失控
ERP系统内的权限管理是以“角色”这一概念展开的, 一个“角色”上分配了体现权力的一组功能及体现限制的授权条件。举一个极端的例子, 如果在ERP系统中给每一位员工建立一个角色, 并且此角色只分配给一个员工, 那么某一角色内的某一个权限的变动也就不会对他人的权限产生任何影响。但是, 一般企业都不会这样做, 对于集团型企业来说, ERP系统中的角色体系就会过于庞杂。一个ERP系统角色可能会分配给多个用户, 此时因为某个人的需求而改动某一角色内的权限就可能会影响到此角色所对应的其他用户的权限。即此角色所对应的所有用户都会同时增大或减少权限。
1.3 权责约束无法有效执行, 无法满足审计
ERP系统是已实施企业的核心业务系统, 所以已经被越来越多地纳入企业审计工作的范畴。除请外部机构进行审计外, 企业内部也会定期对系统进行用户安全和权限审计, 以发现不再合适的授权、不再合理的权限设计, 从而达到可持续优化、控制风险的目的。ERP系统中具有大量的用户人数, 同时其权限分配机制较为复杂, 仅依靠手工的方式难以对ERP系统用户权限进行权责互斥复核以减少相应的风险。
2解决方案
2.1 与人力资源模块集成
系统权限管理模块与人力资源模块集成, 把人力资源中的职员信息包括人员的岗位、部门引入到用户管理中的用户信息中, 即系统用户与职员一一对应。在用户管理中由参数控制哪些职员是系统用户。职员对应的组织单元作为用户管理中的用户组, 这样管理员能够一目了然知道哪些用户所属组织及岗位, 避免了人工维护的不及时性, 减少了管理员的工作量。因为用户组与职员对应的组织来源于一个数据源, 所以用户管理中的用户组能够随人力资源系统中的组织结构调整及时变动。当职员调离了原岗位, 则系统用户信息中判断是否为系统用户的标识自动取消, 相当于把此用户的所有权限取消, 避免业务单位不及时反馈用户的权限变更。
一般信息系统都会采用基于角色的访问控制技术, 它使用角色来管理用户访问权限, 角色定义了一组访问权限并将其分配给用户, 从而将用户和访问权限在逻辑上分开, 可将应用资源的访问权限授予角色, 并通过会话激活角色集合。这样, 就使属于某角色的用户, 也就获得了此角色的访问权限。也就是说, 授权是对角色进行的, 而不是直接对用户授权。这样, 将角色与用户组绑定, 即每个岗位对应相应的角色权限, 这就避免了因为人员的变化而引起的授权变化, 简化了权限的管理。用户、用户组、角色三者关系见图1。
2.2 分组织、分级授权管理
对于集团型企业来说, ERP系统是一个集成的、资源共享、用户数庞大的系统, 若统一集中在一个系统管理员管理, 系统管理员的工作量巨大, 且系统管理员往往不能对所有组织及分公司的业务掌握得很透彻, 更有效的管理应该是用户可以分组织、分级授权管理。系统中可对用户分别设多级管理员, 给多级管理员分配相应的管辖组织及管辖权限项范围。下级管理员只能在其管辖权限项范围内对其管辖组织的用户进行管理。一级系统管理员只需对下级管理员进行授权管理, 定期审查下级管理员的操作日志。分组织、分级授权管理首先是把组织细化管理, 这样在每一个组织中系统管理员能够对管辖权限项范围定义角色, 对于集团型企业各组织和分公司就可以根据自身的业务特色细化角色。权限分级管理如图2所示。
在分组织中权限管理中还可以结合数据权限, 能够对用户权限更细化的控制。数据授权可以分为普通数据规则授权和字段授权。普通数据规则授权是对要授权的数据成一定规则的授权, 能够用一条规则描述。例如采购经理能够审核金额为100万以上的订单, 采购主管只能审核100万以下的订单。字段授权是对业务对象的某个字段的查看权和修改权进行控制, 为更细颗粒度的权限控制。例如仓管员只能查看数量不能查看单价和金额等。
这种按用户的不同组织范围、职位角色分别授权, 功能权限和数据权限并存, 既满足了集团多组织下业务灵活操作和精确管理的需要, 又保证了数据的安全。用户多维度权限如图3所示。
3权责互斥动态配置
企业的权限管理不仅仅是决定谁有权做什么, 而且还应体现权力间的相互制约关系。ERP系统应做到事前控制, 系统设计时应考虑系统功能项在生产应用场景中的功能互斥情况的出现, 能够分析各功能互斥进行系统参数设计, 即各个功能点能够动态配置互斥功能点, 如制单人与审核人不能为同一人, 采购业务与结算付款业务的操作不能为同一人等, 在实施过程中, 这些规则有时也不是绝对的, 权责互斥的粗细, 取决于企业内外部风险管控的需要, 并没有一个绝对的标准。集团型企业中的分公司能够根据自身的实际业务及管理需求进行动态的参数配置, 能够严格控制。集团型企业对于功能互斥参数应集中控制, 分公司及下一级组织提需求, 由一级系统管理员进行分组织设置。系统管理员可以从互斥功能参数中清晰地管理互斥功能, 达到可持续化、控制风险的目的, 也能满足审计要求。
4结语
本文提出集团企业ERP系统权限管理主要针对集团型企业ERP系统用户庞大, 权限复杂情况下出现问题而提出的相应解决方案。方案表明与人力资源管理相集成, 分组织、分级管理可极大地减轻系统管理员的权限维护工作量, 提高系统的运行效率;权责互斥动态配置使企业信息系统的安全性能得到了提高, 并满足了企业内外部的审计要求。随着各种安全模式的不断发展以及各种集成手段、授权技术的改进, 企业ERP系统中的权限分配的便利性、灵活性和系统的安全性及通用性也将随之进一步提高。
参考文献
[1]李存荣, 郭顺生, 杨明忠.ERP系统用户权限的全动态配置研究及实现[J].机械制造, 2009.
ERP权限管理 篇5
按照企业内控制度要求, 企业的关键管理岗位必须采取制约机制防控风险。ERP系统是企业经营管理基础工作平台, 覆盖着全部或大部分管理业务, ERP系统的用户权限直接对应于实际工作岗位。ERP系统操作授权怎样才能符合内控要求, 这就要求企业在实施和维护ERP系统过程中, 结合实际制定出切实可行的权限控制策略, 建立权限职责分离矩阵就是非常有效的方法。权限职责分离矩阵是在对ERP系统业务活动之间关系进行判断的基础上, 依据ERP系统角色不相容原理而确立的体现权限对象相互关系 (互斥或相容) ERP系统赋权管理模型。依据权限职责分离矩阵, ERP系统管理人员在给相关岗位人员赋权时, 可以随时对授权对象互斥关系进行对比甄别, 确定无误后再进行授权操作。
2 制定权限职责分离矩阵的原则
企业在制定ERP系统权限职责分离矩阵时, 应主要遵循以下原则:
原则1:业务批准与业务执行相分离。例如“创建采购订单”和“审批采购订单”是属于互斥的业务活动, 必须相分离, 不能赋予同一用户。
原则2:业务执行职能与业务检查职能相分离。例如有“库存出入库”操作权限的人, 不应拥有“录入盘点结果”“存货入库”活动与“存货入库复核”活动的操作功能。
原则3:不相容职务不能一人兼任。不相容职务是指由一个部门或人员办理, 既能弄虚作假, 又可以自己掩饰作弊的两项或几项职务。例如:出纳职务与会计职务分离, 钱账分管;账物分管等等。
原则4:主数据维护与其他业务活动相分离。例如, 进行“客户主数据管理”的人不能同时拥有“客户订单维护”的功能。
原则5:财务活动与其他业务活动相分离。财务活动和其他业务活动 (指采购、销售、库存等业务活动) 之间必须两两分离, 财务人员不能同时具有维护主数据或其他业务活动的权限。
原则6:系统管理人员不能处理相关业务及数据。ERP系统管理人员未经允许, 不能拥有ERP系统相关业务及数据的处理权限。
上述规则并不是绝对的, 职责分离的精细程度, 取决于企业内外部风险管控的需要, 企业可以根据自身的特点, 进行适当的调整。可以明确职责分离矩阵的例外事项, 也可以使用不适用原则和下放原则。但都应该规避由拥有该互斥权限造成的风险, 采取独立复核控制。
3 权限职责分离矩阵的主要内容
权限职责分离矩阵应该按照企业ERP系统所包含的业务模块来确定不同的业务活动。一般情况下, FICO (财务成本管理) 模块应该包括会计科目主数据维护、财务专用供应商主数据维护、财务专用客户主数据维护、总账管理、发票校验、开关账管理、成本主数据维护、成本核算等业务活动, MM (物资管理) 模块应该包括供应商主数据维护、物料主数据维护、价格主数据维护、创建采购申请、维护采购申请、审批采购申请、创建采购订单、维护采购订单、审批采购申请、创建入库单、审核入库单、发票预制、创建出库单、审核出库单、创建移库单等业务活动, PS (项目管理) 模块应该包括项目创建、项目维护、进度确认等业务活动, PP (生产计划管理) 模块包括BOM创建、BOM维护、生产计划的创建、生产计划的维护、产成品入库等业务活动, PM (设备管理) 模块应该包括维修工单的创建、维修工单的审批、维修工单的维护、设备档案的创建、设备档案的维护等业务活动, SD (销售与分销管理) 模块应该包括客户主数据的创建、客户主数据的维护、销售订单的创建、销售订单的维护、销售订单的审批、外向交货、创建发票、发票过账等业务活动。
不同的企业实施的ERP业务模块不尽相同, 各模块的具体业务也不一样, 因此, 权限职责分离矩阵所包含的具体内容需要根据企业实际情况进行分析确定。图1是某企业ERP系统权限职责分离矩阵, 其中, “X”表示相对应的两个业务活动存在互斥关系。
4 权限职责分离的实现
在ERP系统中, 权限职责分离是通过控制成员的分配、权限的分配、角色的激活和使用来实现的。互斥实体职责分离最终是为了防止用户获得过多权力, 分析互斥权限、互斥用户和互斥角色在分配关系上的各种约束, 避免系统管理员随意分配权限、角色。合理限制用户、角色和权限之间的联系能够保证实现职责分离, 因此在给用户分配权限时, 需根据业务活动的互斥关系, 来检查用户是否具有互斥事务代码的权限。
在进行ERP系统的权限—角色、角色—用户分配时, 需要重点关注以下基本原则:
(1) 互斥权限不能授予同一个角色。即角色内互斥, 这是在角色设计时应该坚决杜绝的, 不然分配了该角色的用户权限就存在互斥关系。
(2) 互斥角色不能分配同一用户。由于两个或两个以上的角色间存在互斥权限, 如果用户同时拥有了这些角色, 就会通过这些互斥角色拥有互斥权限。
(3) 互斥角色不能派生新角色。如果角色之间存在互斥关系, 那么不能通过继承方式派生新的角色, 否则新派生角色就成为了互斥角色。
(4) 权限分配前要进行互斥判断, 用户权限分配时要对用户现有的角色和新增的角色进行互斥判断, 人工判断会费时费工, 并且容易出错, 最好是做一个小工具, 将用户现有的角色和新增的角色导入后进行程序判断, 这样效率和质量都有保障。
(5) 定期检查用户权限是否互斥。企业内控部门要定期将系统中的用户权限导出, 进行互斥检查, 避免因管理员操作失误或人工判断出错, 造成用户越权使用系统。
5 结束语
在ERP环境下, 企业管理的风险控制点已经固化在ERP系统上, ERP系统风险防控程度即代表着企业管理水平, ERP系统授权管理是否安全可控至关重要。结合企业实际制定好ERP系统权限职责分离矩阵, 并基于职责分离矩阵做好ERP系统日常维护工作, 是提升企业管理水平的基础保障。
参考文献
[1]李若山.企业内控管理[M].北京:中国科学文化音像出版社, 2010.
ERP权限管理 篇6
华北油田公司的ERP项目自2011年9月单轨运行, 目前已经有效运行了三年多了。截止到2014年年底, 系统用户数量达到2651个, 涉及到全油田公司上市、未上市和矿区服务的所有单位, 包括财务管理、物资管理、项目管理、设备管理和销售管理这五个模块的相关用户, 不同二级单位内员工的岗位设置也不同。有部分信息只允许本单位及关联部门访问, 而不允许其他人访问。有部分信息信息只允许指定的人员访问但同时并不允许其进行修改, 只有特定的分配给修改权限的人员才能修改, 所以一个安全可靠的操作环境对于公司的系统用户来说是十分必要的, 因此ERP系统的上线实施后, 我们首先应该重点关注的就是ERP系统的权限控制部分。
一、华北油田权限控制存在的问题
根据《股份公司内控手册》信息系统总体控制关键控制点“GIT-ERP-6.1”对权限申请、变更及撤销的相关要求:ERP应用系统的帐号及权限的申请、变更及撤销需要经过有效的审批或授权, 审批时应根据用户的岗位职责分配相应的系统权限;并应对照《地区公司ERP系统的职责分离矩阵》来进行ERP系统内的职责分离检查, 确保系统用户的权限申请及变更符合职责分离矩阵中的职责分离要求。目前华北油田ERP的权限控制还是存在着很多问题。
(1) 权限变更不及时。经过调查发现很多用户在更换工作岗位或者离职离岗后, 没有相关部门进行ERP权限清理的监督, ERP运维目前也没有有效的手段得知用户的岗位变动信息, 并未对其ERP的权限进行清理, 存在安全的隐患, 尤其调动工作岗位后不再使用ERP权限时更是如此。
(2) 用户权限冗余。造成这一情况的原因有很多。例如, 新增用户和用户变更权限时, 往往是比照着某一用户的权限进行变更, 并未实际分析其的权限是否都是其所需要的权限;部分人员岗位调整, 仅因为工作需要申请需要权限, 没有将原岗位权限列出并进行删除, 造成权限过大。
(3) 权限互斥问题。其一, 目前ERP的系统权限互斥检查没有一个事前检测的工具。一般都是事后检查, 每三个月利用集团统一下发的ACCESS工具进行一次权限互斥检查, 其数据源只能通过定期向北京二级运维申请才能获得, 各地区管理员并没有调取相关数据源的权利, 还得对其结果进行人工的判断分析, 是否为真互斥, 确定为真互斥后再进行整改, 往往时间过长, 这期间不能避免违规操作的问题, 从而并不能在根源上杜绝权限互斥问题。
其二, 经过调查发现, 目前华北的ERP权限中, 系统很多角色本身设置不合理, 造成很多自互斥现象。
二、华北油田ERP实施的改进对策
ERP系统的权限控制是其系统上线后运维管理的一个重要的工作内容, 主要包括系统用户账号管理、角色参数维护及授权和ERP运维的内部控制等等。只有规范权限的管理、规范账号的管理、明确授权管理、按照内部控制的要求规范最终用户的权限设置, 才能真正解决ERP系统上线实施后出现的权限控制问题。而也只有真正解决ERP系统的权限控制问题, 才能保障ERP系统上线实施后能够长期安全地、有效地运行。不然, 将会直接产生负面影响, 轻则业务人员无法正常进行业务操作, 重则导致关键业务的全线停滞, 企业管理整体混乱, 专业保密数据外泄, 给公司带来严重的经济损失。因此, 为了保障ERP系统的安全、高效的运行、专业信息数据的完整机密性, 我们必须要搭建高效的ERP系统权限控制管理体系。
(1) 建立健全ERP的权限管控制度。在实际权限控制管理工作中, 我们不能仅仅是通过一定地信息技术手段来维护ERP权限, 同时还必须要理顺ERP系统中相关权限的申请及授权的全部工作流程, 并建立明确的权限管理方面的规章制度, 以此来全面地规范并约束ERP系统内的权限管理。通过所有管理流程的规范化, 来有理有据地进行权限管理, 从而大大削弱系统相关用户和权限管理员在申请系统权限和权限授权的过程中其主观意识所带来的负面作用。
其中, ERP系统中相关权限的申请及授权的工作流程主要包括:口令重置及解锁流程、用户权限变更流程、特权用户增删改流程、用户账号撤销流程、用户账号新增流程、问题处理流程、系统变更流程、系统用户角色变更流程等。在新增、撤消和变更用户权限时, 要严格按照《华北油田ERP系统职责分离矩阵》和《华北油田ERP系统敏感事务及分配规则》进行权限分配, 避免产生权限互斥情况的发生。当用户调岗或因实际业务需要, 提出用户权限变更申请时, 在权限变更申请原因及内容里需要详细填写, 以便及时准确进行权限变更。
(2) 制定合理的ERP权限控制解决方案。第一, 我们应该明白一个用户所拥有的每一条权限, 都是由于这个用户先具有了操作某项系统业务所对应的事务代码对相应组织的操作权限, 同时ERP系统还通过权限对象的字段值对相应的操作进一步的权限控制。遵循能够满足用户日常工作的对系统资源的需求的最小的授权原则来进行ERP系统用户权限的分配。并应根据不同单位不同用户的岗位职责, 制定适用的岗位与ERP系统中角色的对应规则, 为用户分配角色提供合理性判断的依据。
第二, ERP应用系统中角色的申请、变更及撤销需要经过有效的审批或授权, 审批时应确定角色变更是否符合业务需要;更应该对照ERP系统职责分离矩阵进行职责分离检查, 以确保角色变更符合职责分离要求。并同时对照ERP系统敏感事务访问权限设置规则, 进行敏感事务授权检查, 确保有关敏感事务的授权符合规则要求。作为依据的职责分离矩阵和敏感事务访问权限设置规则更应该定期进行维护, 以确保当业务流程及事务代码发生变更时能得到及时的修订。
第三, ERP系统中的用户账号分配应遵循以下基本原则, 系统所有用户都应拥有个人专用的唯一账号, 注意不得泄露本人或他人的用户名和密码, 禁止把自己的系统账号转借他人使用, 以便在系统内的所有操作都能够追溯到具体的责任人。所有用户都应归属于按其所在二级单位归为不同的用户组, 当员工岗位发生变动时, 也应及时调整, 以便有效地进行用户管理。所有临时账号和临时系统权限都应该根据业务的实际需求设置有效期限限制。
(3) 强化部门间的沟通协调, 畅通用户信息的反馈渠道。在三年多的ERP系统的应用过程中发现系统用户的工作岗位, 工作职责及系统权限这三者之间的关系是环环相扣密不可分的。当变动某个系统用户的工作岗位时, 这个用户的工作职责就会随之发生相应的变化, 这就意味着这个用户在ERP系统内所拥有的系统权限也必须进行相应的调整。反过来说, 如果某个系统用户的系统权限调整了, 其工作岗位和工作职责必然也发生了变化, 它们之间是息息相关的。这是因为用户实际的工作岗位和其工作职责决定了在ERP系统中应分配的角色和权限。
但人事岗位的调整和分工是由人事部门负责操作的, 业务主管部门有建议权, 而ERP权限管理部门只有处理在ERP系统中应分配的角色和权限的权利。在这种情况下, ERP的权限管理部门应该和人事部门及各相关业务部门建立有效的沟通协调机制。一方面, 在调整相关模块的业务人员的工作岗位和工作职责的时候, 其所在的人事管理部门如果能够将相关变动信息及时反馈到各专业业务主管部门和权限管理部门的话, 其专业业务主管部门和权限管理部门就可以迅速做出应对反应, 变更应该变更的业务权限或及时撤销应该撤销的系统用户账号, 从而保障ERP系统的运行风险降到最低;另一方面, 通过人事管理部门和各相关业务部门之间搭建的有效的沟通渠道, 公司也可以通过优化调整各相关业务部门的岗位设置来合理分配人力资源。
(4) 定期梳理ERP系统的用户账号。ERP系统权限管理中的最基础的工作就是系统用户账号的管理。如果业务人员在ERP系统中并未创建系统用户账号, 就根本不用考虑他的工作职责与他的工作岗位是否存在冲突, 他处理业务的权限是否存在互斥。因此, 如果想明确ERP系统内的管理程序及规范, 做好权限管理工作, 我们必须以规范账号的管理为前提, 按照ERP内部控制规范的要求, 定期梳理ERP系统的用户账户。
定期梳理ERP系统的用户账号有以下两个方面的好处:一是, 通过定期梳理系统账号可以整理出虽未提交撤销账号申请但实际工作中已经不再需要的用号户账号, 从而降低系统账号的闲置率, 提升系统账号的有效利用率, 大大减少公司因为存在闲置的账号所承担的不额外的系统运维费用;二是, 账号梳理后, 通过及时向各相关业务部门反馈, 然后及时清理存在互斥权限的系统账号, 就能够把中石油集团公司和华北油田公司对ERP系统的下达的内控管理要求全面落实到运维的日常工作中, 而不至于在面临集团或公司内部的内控检查前手忙脚乱, 从而大大改善“头痛以头、脚痛医脚”的内控检查状况。
(5) 内控管理部门全程参与ERP系统的权限管理。ERP系统自打上线以来, 权限管理就是中石油集团公司和华北油田公司的重点内控检查对象之一, 只有公司内控管理部门全程监控ERP系统的权限管理, 指导相关的业务操作, 随时关注各相关业务执行部门的涉及到的内控流程是否真正执行到位, 并协助管理ERP运维部门的具体执行过程, 包括用户授权过程是否可控, 授权是否合理合规, 用户角色分配是否符合华北油田公司职责分离原则等, 把好ERP系统用户权限申请的第一关, 随时做好权限方面的内控管理, 才能真正的控制好权限的内控风险。
参考文献
[1]杨艳萍.ERP探讨之二大中型企业ERP运维管理存在的问题[J].现代国企研究, 2011, 08:27-29.
[2]谢筠.企业有效实施ERP系统保障措施探讨[J].中国管理信息化, 2012, 11:48-49.
[3]任泽坤.如何做到ERP系统权限管理真正落地[J].企业导报, 2014, 08:112-113.
[4]王爱玲.利用ERP系统提高石油企业管控能力[J].石油规划设计, 2009, 04:32-33+40+49.
[5]孙艳玲, 谢言.ERP实施中的进阶问题及影响因素研究[A].中国软科学研究会.第七届软科学国际研讨会论文集中国卷 (下) [C].中国软科学研究会:, 2012:9.