隨著公司治理��、內(nèi)部控制(例如目前談“薩”色變的薩班斯法案以及上海深圳證券交易所出臺的《上市公司內(nèi)部控制指引》)越來越多地被中國企業(yè)所接受并應(yīng)用����,信息安全和風(fēng)險(xiǎn)控制在企業(yè)信息系統(tǒng)實(shí)施項(xiàng)目中(如SAP實(shí)施項(xiàng)目)正扮演著越來越重要的角色。
作為全球領(lǐng)先的ERP軟件,SAP正在為越來越多的大中型企業(yè)所使用�,并使企業(yè)的整個(gè)價(jià)值鏈實(shí)現(xiàn)高度自動化。SAP可全面覆蓋企業(yè)的業(yè)務(wù)運(yùn)作和財(cái)務(wù)處理�����,乃至提供豐富的決策支持功能����。同時(shí),SAP也提供了全面�����、靈活的功能/模塊來強(qiáng)化企業(yè)的內(nèi)部控制�,使企業(yè)的所有操作均可運(yùn)作在一個(gè)高效且可控的應(yīng)用平臺上。正是因?yàn)镾AP的龐大與復(fù)雜��,如何實(shí)現(xiàn)相關(guān)的安全控制及數(shù)據(jù)安全往往是企業(yè)所面臨的一個(gè)巨大挑戰(zhàn)���。
SAP系統(tǒng)控制和安全的實(shí)施不是簡單地隨著項(xiàng)目進(jìn)行就能夠自然而然地在系統(tǒng)里實(shí)現(xiàn)����,這些都需要具有一定專業(yè)技能的控制和安全團(tuán)隊(duì)通過風(fēng)險(xiǎn)評估以及設(shè)計(jì)一定的控制框架來完成��。SAP系統(tǒng)控制和安全的實(shí)施也是企業(yè)實(shí)現(xiàn)IT治理、內(nèi)部控制和信息安全的必要的手段�。評估企業(yè)是否采取足夠的IT控制方法來減少業(yè)務(wù)流程風(fēng)險(xiǎn)也是控制和安全團(tuán)隊(duì)的一項(xiàng)重要任務(wù)。在SAP實(shí)施過程中���,權(quán)限控制���、系統(tǒng)配置、職責(zé)分離設(shè)置�、數(shù)據(jù)校驗(yàn)以及監(jiān)控報(bào)告都是可以采取的IT控制方法。
許多中國企業(yè)已經(jīng)開始在SAP實(shí)施項(xiàng)目中使用獨(dú)立的控制和安全團(tuán)隊(duì)致力于對系統(tǒng)安全的設(shè)計(jì)和實(shí)現(xiàn)����。為了有效地進(jìn)行SAP系統(tǒng)控制和安全的實(shí)施,我們將從三個(gè)方面�����,也就是項(xiàng)目管理����、技術(shù)管理及利益方(Stakeholder)管理三方面加以闡述�����。
一、項(xiàng)目管理 ---------- 符合利益方的期望
有效的對安全和風(fēng)險(xiǎn)控制進(jìn)行項(xiàng)目管理就是要站在利益方的立場上考慮問題�����?���?刂坪桶踩珗F(tuán)隊(duì)負(fù)責(zé)人必須清晰了解利益方重要的信息安全和控制需求。因此���,對重要的利益方從內(nèi)部業(yè)務(wù)流程控制方面進(jìn)行訪談從而了解到哪些是企業(yè)需要保護(hù)的信息不失為一個(gè)直接的方法�����?����?刂坪桶踩珗F(tuán)隊(duì)需要保證制定的安全策略和方法來體現(xiàn)企業(yè)目前IT和業(yè)務(wù)方面的變化���。同樣的,控制和安全團(tuán)隊(duì)也需要很好地和業(yè)務(wù)流程實(shí)施小組進(jìn)行緊密地合作����。
由于企業(yè)內(nèi)部業(yè)務(wù)流程和對于信息安全的優(yōu)先度考慮不一�,不同的利益方對于SAP信息控制和安全有著不同的期望���。了解利益方的業(yè)務(wù)需求會讓控制和安全團(tuán)隊(duì)很好地了解項(xiàng)目的復(fù)雜程度以及安全實(shí)施的范圍�,并因此有益于對控制安全設(shè)計(jì)的時(shí)間和工作量的估計(jì)�����。
SAP信息控制和安全���,作為業(yè)務(wù)流程控制的“代言人”�,使得了解業(yè)務(wù)流程成為了控制和安全團(tuán)隊(duì)的必修課���。舉個(gè)例子來說��,一個(gè)企業(yè)為了防止舞弊��,設(shè)計(jì)了業(yè)務(wù)流程使得同一個(gè)用戶不能同時(shí)創(chuàng)建以及批準(zhǔn)采購訂單�����,接收入庫單,付款����,以及維護(hù)供應(yīng)商主檔��。為了實(shí)現(xiàn)這樣的業(yè)務(wù)流程����,控制和安全團(tuán)隊(duì)就需要設(shè)計(jì)權(quán)限來限制這些互斥的業(yè)務(wù)操作來達(dá)到職責(zé)分離�����。對一些小的企業(yè)來說����,做到盡善盡美的職責(zé)分離由于公司人數(shù)過少而變得不可能,在這種情況下�����,控制和安全團(tuán)隊(duì)就需要設(shè)計(jì)一些補(bǔ)償性控制(Compensating Control)來減少職責(zé)過于集中所帶來的風(fēng)險(xiǎn)��。比如說����,控制和安全團(tuán)隊(duì)需要在SAP系統(tǒng)中考慮設(shè)置一定的“門檻值”,一旦超過這個(gè)“門檻”��,相關(guān)的管理層就需要在用戶進(jìn)行業(yè)務(wù)操作前進(jìn)行一定的批準(zhǔn)及授權(quán)。職責(zé)分離在內(nèi)部控制監(jiān)管制度�,尤其是薩班斯法案中對管理層和審計(jì)師來說都是焦點(diǎn)之所在。
取得高級管理層和業(yè)務(wù)所有者(一般而言是那些業(yè)務(wù)經(jīng)理)的認(rèn)同和支持是安全和風(fēng)險(xiǎn)控制項(xiàng)目管理的另一個(gè)主要的方面��。同高級管理層就SAP信息安全策略和方法進(jìn)行探討并取得他們的認(rèn)同對于建立整個(gè)SAP項(xiàng)目團(tuán)隊(duì)的接受度�����,所有權(quán)和責(zé)任感都是至為關(guān)鍵的����。