隨著公司治理�、內(nèi)部控制(例如目前談“薩”色變的薩班斯法案以及上海深圳證券交易所出臺的《上市公司內(nèi)部控制指引》)越來越多地被中國企業(yè)所接受并應用��,信息安全和風險控制在企業(yè)信息系統(tǒng)實施項目中(如SAP實施項目)正扮演著越來越重要的角色��。
作為全球領先的ERP軟件�,SAP正在為越來越多的大中型企業(yè)所使用,并使企業(yè)的整個價值鏈實現(xiàn)高度自動化���。SAP可全面覆蓋企業(yè)的業(yè)務運作和財務處理����,乃至提供豐富的決策支持功能�。同時,SAP也提供了全面���、靈活的功能/模塊來強化企業(yè)的內(nèi)部控制�����,使企業(yè)的所有操作均可運作在一個高效且可控的應用平臺上���。正是因為SAP的龐大與復雜,如何實現(xiàn)相關(guān)的安全控制及數(shù)據(jù)安全往往是企業(yè)所面臨的一個巨大挑戰(zhàn)�。
SAP系統(tǒng)控制和安全的實施不是簡單地隨著項目進行就能夠自然而然地在系統(tǒng)里實現(xiàn)��,這些都需要具有一定專業(yè)技能的控制和安全團隊通過風險評估以及設計一定的控制框架來完成���。SAP系統(tǒng)控制和安全的實施也是企業(yè)實現(xiàn)IT治理、內(nèi)部控制和信息安全的必要的手段����。評估企業(yè)是否采取足夠的IT控制方法來減少業(yè)務流程風險也是控制和安全團隊的一項重要任務。在SAP實施過程中�����,權(quán)限控制�、系統(tǒng)配置����、職責分離設置���、數(shù)據(jù)校驗以及監(jiān)控報告都是可以采取的IT控制方法。
許多中國企業(yè)已經(jīng)開始在SAP實施項目中使用獨立的控制和安全團隊致力于對系統(tǒng)安全的設計和實現(xiàn)�����。為了有效地進行SAP系統(tǒng)控制和安全的實施�,我們將從三個方面,也就是項目管理���、技術(shù)管理及利益方(Stakeholder)管理三方面加以闡述。
一���、項目管理 ---------- 符合利益方的期望
有效的對安全和風險控制進行項目管理就是要站在利益方的立場上考慮問題�?�?刂坪桶踩珗F隊負責人必須清晰了解利益方重要的信息安全和控制需求。因此���,對重要的利益方從內(nèi)部業(yè)務流程控制方面進行訪談從而了解到哪些是企業(yè)需要保護的信息不失為一個直接的方法���。控制和安全團隊需要保證制定的安全策略和方法來體現(xiàn)企業(yè)目前IT和業(yè)務方面的變化����。同樣的��,控制和安全團隊也需要很好地和業(yè)務流程實施小組進行緊密地合作。
由于企業(yè)內(nèi)部業(yè)務流程和對于信息安全的優(yōu)先度考慮不一��,不同的利益方對于SAP信息控制和安全有著不同的期望。了解利益方的業(yè)務需求會讓控制和安全團隊很好地了解項目的復雜程度以及安全實施的范圍,并因此有益于對控制安全設計的時間和工作量的估計����。
SAP信息控制和安全,作為業(yè)務流程控制的“代言人”�����,使得了解業(yè)務流程成為了控制和安全團隊的必修課。舉個例子來說��,一個企業(yè)為了防止舞弊,設計了業(yè)務流程使得同一個用戶不能同時創(chuàng)建以及批準采購訂單�����,接收入庫單���,付款��,以及維護供應商主檔���。為了實現(xiàn)這樣的業(yè)務流程,控制和安全團隊就需要設計權(quán)限來限制這些互斥的業(yè)務操作來達到職責分離�����。對一些小的企業(yè)來說��,做到盡善盡美的職責分離由于公司人數(shù)過少而變得不可能����,在這種情況下,控制和安全團隊就需要設計一些補償性控制(Compensating Control)來減少職責過于集中所帶來的風險。比如說,控制和安全團隊需要在SAP系統(tǒng)中考慮設置一定的“門檻值”��,一旦超過這個“門檻”��,相關(guān)的管理層就需要在用戶進行業(yè)務操作前進行一定的批準及授權(quán)。職責分離在內(nèi)部控制監(jiān)管制度����,尤其是薩班斯法案中對管理層和審計師來說都是焦點之所在�����。
取得高級管理層和業(yè)務所有者(一般而言是那些業(yè)務經(jīng)理)的認同和支持是安全和風險控制項目管理的另一個主要的方面����。同高級管理層就SAP信息安全策略和方法進行探討并取得他們的認同對于建立整個SAP項目團隊的接受度��,所有權(quán)和責任感都是至為關(guān)鍵的����。