任澤坤

摘要：本文簡單討論了ERP概念及權(quán)限運維的內(nèi)容和重要性，選擇了兩個典型的案例，深入討論和分析了由于ERP權(quán)限管理失控引起公司業(yè)務混亂，內(nèi)控審查困難的產(chǎn)生原因，最后針對權(quán)限管理的難題提出了幾種提升管理效率的有效途徑。

關(guān)鍵詞：ERP；權(quán)限管理；案例；途徑

一、ERP權(quán)限管理的概念及其重要性

ERP權(quán)限管理的概念及內(nèi)容。權(quán)限管理是ERP上線后系統(tǒng)運維管理的一個重要工作內(nèi)容，包括用戶管理、角色維護與授權(quán)、角色參數(shù)維護以及ERP內(nèi)部控制工作等。系統(tǒng)上線后能安全、高效運行的前提是權(quán)限運維必須規(guī)范，即用戶管理規(guī)范、授權(quán)管理清晰，最終用戶的權(quán)限設(shè)置符合內(nèi)控部制規(guī)范。否則，將產(chǎn)生直接負面影響，輕者業(yè)務員無法正常開展業(yè)務，重者會導致ERP管理混亂，業(yè)務停滯，信息數(shù)據(jù)泄密，給企業(yè)和公司帶來損失?？梢哉f，規(guī)范的系統(tǒng)權(quán)限管理和有力的管控是保證系統(tǒng)安全運行和數(shù)據(jù)保密的必要手段。因此，構(gòu)建高效的權(quán)限管控體系和規(guī)范的授權(quán)業(yè)務流程是保證系統(tǒng)安全、高效和數(shù)據(jù)保密的重中之重。

二、ERP權(quán)限管理失控導致公司業(yè)務混亂，內(nèi)控審查困難案例

以下兩個案例來均自于某國有企業(yè)下屬某地區(qū)公司。案例1. 2011年該地區(qū)公司業(yè)務人員發(fā)現(xiàn)系統(tǒng)中有一筆已建投資項目計劃被更改，同時還存在一筆未知投資項目，引起了領(lǐng)導的高度重視和關(guān)注，經(jīng)層層查找，最終發(fā)現(xiàn)以上操作是一個未及時關(guān)閉的ERP實施期間的大權(quán)限賬號所操作，但已無法查找創(chuàng)建人。慶幸的是以上兩個問題被及時發(fā)現(xiàn)和處理，否則將造成了該公司項目投資計劃、預算分配混亂，給該公司帶來嚴重的經(jīng)濟損失。案例2.公司在接受總部2012年內(nèi)控檢查時，權(quán)限測試結(jié)果中發(fā)現(xiàn)了互斥及敏感權(quán)限達到7萬余條，涉及到的用戶占總用戶數(shù)的70%以上，賬號權(quán)限互斥非常嚴重，業(yè)務和流程混亂。測試結(jié)果影響了當年該企業(yè)對其下屬的地區(qū)公司的內(nèi)控工作和生產(chǎn)業(yè)績考核，當年部分工作總額因此被扣除，導致了職工年終獎金下降。

三、原因分析

以上兩個案例究其原因，都是由于ERP權(quán)限運維混亂、授權(quán)失控，管理不規(guī)范所造成的。案例1主要是因為ERP上線后，沒有規(guī)范ERP權(quán)限管理，未能及時梳理系統(tǒng)賬號，未及時系統(tǒng)實施賬號和收回諸如投資項目計劃創(chuàng)建之類的受控權(quán)限。案例2是由于公司未建立起規(guī)范的ERP運維體系，ERP權(quán)限管理和內(nèi)控管理嚴重脫節(jié)，用戶賬號授權(quán)失去控制和監(jiān)督，用戶權(quán)限設(shè)置不符合職責分離原則所造成。

四、優(yōu)化ERP系統(tǒng)權(quán)限管理，提升管控力的有效途徑

（一）建立健全ERP權(quán)限管理規(guī)章制度。實際上，我們不可能完全通過技術(shù)手段來進行權(quán)限的維護, 還需要建立起相應的規(guī)章制度，理順、理清權(quán)限申請和授權(quán)的工作流程，以此來規(guī)范和約束權(quán)限管理，做到管理有理、有據(jù)、流程化、規(guī)范化，減少用戶和管理員在權(quán)限申請和授權(quán)過程中主觀意識的負面作用，使授權(quán)工作過程可控、授權(quán)結(jié)果合規(guī)。

（二）建立清晰、有效的權(quán)限控制解決方案。ERP權(quán)限控制從事務代碼級、組織機構(gòu)級、權(quán)限對象字段值級等三個層次進行。（1）事務代碼級控制是授予用戶的權(quán)限角色中必須包含具有操作某項系統(tǒng)業(yè)務所對應事務代碼，也就是為其分配的具體角色中須在用戶菜單或事務代碼中含有該事務代碼；（2）組織機構(gòu)級控制是指用戶具有了事務代碼的執(zhí)行權(quán)限，還必須具有相應組織的操作權(quán)限才能完成業(yè)務。實施中需根據(jù)實際設(shè)計不同性質(zhì)的組織架構(gòu)，通過為角色分配不同的公司代碼值，將用戶的業(yè)務限制在不同的公司代碼下；（3）權(quán)限對象字段值是指用戶具有了某事務代碼的執(zhí)行權(quán)限和相應組織的操作權(quán)限之后，ERP 系統(tǒng)又對相應的操作根據(jù)權(quán)限對象進一步控制。

（三）建立起清晰的用戶崗位職責體系。如何才能快速、高效地解決企業(yè)權(quán)限管理混亂的現(xiàn)狀，就必須在系統(tǒng)中的用戶賬號和權(quán)限申請及權(quán)限分配按照“一人一崗”的原則進行。事實上，企業(yè)不斷追求人力資源最小化，一人承擔多個崗位工作是必然的，這種管理現(xiàn)實勢必造成人員職責交叉，權(quán)限設(shè)置混亂就是必然結(jié)果。因此，如果沒有清晰的崗位職責體系，就無法合理劃分各個崗位的職責分工，無法保障用戶在工作崗位職責劃分合理、合規(guī)，符合內(nèi)部控制規(guī)范。最終會出現(xiàn)兩種結(jié)果，一是為了符合內(nèi)控規(guī)定，系統(tǒng)中授予用戶的業(yè)務處理權(quán)限無法滿足用戶需求，導致企業(yè)生產(chǎn)經(jīng)營停滯和業(yè)務中斷；二是為了能維持企業(yè)生產(chǎn)經(jīng)營和業(yè)務流程正常進行，用戶就會無約束的申請權(quán)限，而管理員也無約束的給用戶授權(quán)，最終導致用戶權(quán)限分配失控。所以在系統(tǒng)中建立起合理、清晰的崗位設(shè)置和職責體系對于解決ERP權(quán)限管理混亂的情況是非常重要的。

（四）強化“三部門”溝通協(xié)調(diào)，暢通用戶信息反饋渠道 “三部門”是指ERP系統(tǒng)應用部分、權(quán)限運維支持部門。以及人事管理部門。實際上，崗位、職責、權(quán)限三者之間的關(guān)系是環(huán)環(huán)相扣的，人員崗位變動引起職責變化，職責變化就意味著權(quán)限需要調(diào)整，反過來，用戶權(quán)限調(diào)整了就意味著他的崗位和職責發(fā)生了變化。這是因為ERP系統(tǒng)用戶賬號與用戶實際崗位和職責綁定的，用戶的崗位和業(yè)務職責決定了其賬號在系統(tǒng)中應分配的角色和權(quán)限。但人事崗位調(diào)整和分工是由人事管理部門具體操作，業(yè)務部門只有建議權(quán)，沒有處理權(quán)，所以在這種情況下，

ERP應用業(yè)務部門、人事管理部門和ERP運維支持部門需要建立起有效的溝通協(xié)調(diào)體系。人事部門和業(yè)務部門介入ERP系統(tǒng)的權(quán)限管理工作中，一方面人事部門可以及時協(xié)調(diào)處理人事崗位、職責調(diào)整的信息反饋，形成暢通的人事信息反饋機制，當有人員崗位和職責分工調(diào)整的情況時，人事管理部門可以及時將相關(guān)信息反饋到業(yè)務部門和權(quán)限管理部門，以便業(yè)務部門和權(quán)限管理部門能迅速作出反應，及時撤銷應該撤銷的用戶ID，凍結(jié)該凍結(jié)的ID，變更該變更的業(yè)務權(quán)限，刪除該刪除的權(quán)限，保證系統(tǒng)運營風險最小化；另一方面人事部門與業(yè)務部門可以通過有效的溝通系統(tǒng)，不斷梳理、調(diào)整、優(yōu)化部門崗位設(shè)置和人員職分工，達到合理分配人力資源。

（五）定期開展ERP賬號梳理。ERP用戶賬號管理是權(quán)限管理工作中最基礎(chǔ)的工作，因為沒有用戶賬號，根本就不用考慮該業(yè)務人員崗位職責是否互相沖突，業(yè)務處理權(quán)限是否互斥。所以要做好ERP權(quán)限管理工作，保證管理程序上清晰、規(guī)范，首先就要做好賬號管理的規(guī)范，因此按照ERP內(nèi)部控制規(guī)范，定期開展ERP賬號梳理。這樣做可以取得兩個方面的好處，一是可以及時關(guān)閉和撤銷不再需要的用戶賬號，降低用戶賬號的閑置率，有效提升賬號利用率，減少企業(yè)因為存在大量閑置賬號而承擔不必要的運維費用；二是可以及時清理出存在權(quán)限互斥的賬號，及時向業(yè)務部門反饋，并及時處理，將ERP內(nèi)控管理要求落實在日常管理中，而不至于在開展內(nèi)控檢查工作前手忙腳亂、頭痛以頭、腳痛醫(yī)腳的狀況。

（六）內(nèi)控工作部門全程參與ERP權(quán)限管理。內(nèi)控管理部門在業(yè)務上具有業(yè)務指導和協(xié)助管理的工作職責。國內(nèi)大多數(shù)實施了ERP的企業(yè)或公司后，權(quán)限運維管理面臨一個怪現(xiàn)狀，內(nèi)控管理部門基本上根本未參與ERP權(quán)限管理工作，完全脫離ERP內(nèi)控工作，根本不會關(guān)注運維部門具體的執(zhí)行過程，重點只關(guān)注每年的內(nèi)控審查結(jié)果。沒有檢查就不會關(guān)注執(zhí)行部門是否把ERP內(nèi)控工作執(zhí)行的到底怎么樣，給用戶授權(quán)的過程是否可控，用戶授權(quán)權(quán)限是否合規(guī)，角色分配是否符合職責分離原則等，往往在內(nèi)控測試檢查出問題后，再要求執(zhí)行部門去整改。因此，內(nèi)控管理部門參與到ERP權(quán)限管理工作中，做好權(quán)限內(nèi)控測試，把好用戶權(quán)限申請的第一關(guān)是必須的。

綜上所述，在ERP系統(tǒng)用戶權(quán)限設(shè)定上，就要充分考慮崗位設(shè)置的合理性，對崗位的職能，職責進行科學的區(qū)分，優(yōu)化人力資源合理配置，才能真正做到合理分配用戶操作權(quán)限和限制用戶操作范圍，從而保證系統(tǒng)的安全性，數(shù)據(jù)的完整性。

參考文獻：

[1] 孫士學.蘇瑞. SAP權(quán)限管理淺談.電腦知識與技術(shù)，2011，7(11)：2527-2537.

[2] 張震.張巍鐘. ERP 系統(tǒng)權(quán)限管理.中國管理信息化，2012，15 (3):53-54.

endprint