隨著公司治理����、內(nèi)部控制(例如目前談“薩”色變的薩班斯法案以及上海深圳證券交易所出臺的《上市公司內(nèi)部控制指引》)越來越多地被中國企業(yè)所接受并應(yīng)用,信息安全和風(fēng)險控制在企業(yè)信息系統(tǒng)實施項目中(如SAP實施項目)正扮演著越來越重要的角色����。
作為全球領(lǐng)先的ERP軟件,SAP正在為越來越多的大中型企業(yè)所使用���,并使企業(yè)的整個價值鏈實現(xiàn)高度自動化�。SAP可全面覆蓋企業(yè)的業(yè)務(wù)運作和財務(wù)處理����,乃至提供豐富的決策支持功能。同時�����,SAP也提供了全面��、靈活的功能/模塊來強(qiáng)化企業(yè)的內(nèi)部控制����,使企業(yè)的所有操作均可運作在一個高效且可控的應(yīng)用平臺上���。正是因為SAP的龐大與復(fù)雜,如何實現(xiàn)相關(guān)的安全控制及數(shù)據(jù)安全往往是企業(yè)所面臨的一個巨大挑戰(zhàn)�����。
SAP系統(tǒng)控制和安全的實施不是簡單地隨著項目進(jìn)行就能夠自然而然地在系統(tǒng)里實現(xiàn)��,這些都需要具有一定專業(yè)技能的控制和安全團(tuán)隊通過風(fēng)險評估以及設(shè)計一定的控制框架來完成�����。SAP系統(tǒng)控制和安全的實施也是企業(yè)實現(xiàn)IT治理�����、內(nèi)部控制和信息安全的必要的手段���。評估企業(yè)是否采取足夠的IT控制方法來減少業(yè)務(wù)流程風(fēng)險也是控制和安全團(tuán)隊的一項重要任務(wù)。在SAP實施過程中�,權(quán)限控制、系統(tǒng)配置�����、職責(zé)分離設(shè)置、數(shù)據(jù)校驗以及監(jiān)控報告都是可以采取的IT控制方法����。
許多中國企業(yè)已經(jīng)開始在SAP實施項目中使用獨立的控制和安全團(tuán)隊致力于對系統(tǒng)安全的設(shè)計和實現(xiàn)。為了有效地進(jìn)行SAP系統(tǒng)控制和安全的實施�����,我們將從三個方面�����,也就是項目管理����、技術(shù)管理及利益方(Stakeholder)管理三方面加以闡述。
一����、項目管理 ---------- 符合利益方的期望
有效的對安全和風(fēng)險控制進(jìn)行項目管理就是要站在利益方的立場上考慮問題?��?刂坪桶踩珗F(tuán)隊負(fù)責(zé)人必須清晰了解利益方重要的信息安全和控制需求��。因此����,對重要的利益方從內(nèi)部業(yè)務(wù)流程控制方面進(jìn)行訪談從而了解到哪些是企業(yè)需要保護(hù)的信息不失為一個直接的方法?�?刂坪桶踩珗F(tuán)隊需要保證制定的安全策略和方法來體現(xiàn)企業(yè)目前IT和業(yè)務(wù)方面的變化����。同樣的,控制和安全團(tuán)隊也需要很好地和業(yè)務(wù)流程實施小組進(jìn)行緊密地合作����。
由于企業(yè)內(nèi)部業(yè)務(wù)流程和對于信息安全的優(yōu)先度考慮不一,不同的利益方對于SAP信息控制和安全有著不同的期望����。了解利益方的業(yè)務(wù)需求會讓控制和安全團(tuán)隊很好地了解項目的復(fù)雜程度以及安全實施的范圍,并因此有益于對控制安全設(shè)計的時間和工作量的估計���。
SAP信息控制和安全�����,作為業(yè)務(wù)流程控制的“代言人”,使得了解業(yè)務(wù)流程成為了控制和安全團(tuán)隊的必修課。舉個例子來說�,一個企業(yè)為了防止舞弊,設(shè)計了業(yè)務(wù)流程使得同一個用戶不能同時創(chuàng)建以及批準(zhǔn)采購訂單����,接收入庫單,付款�����,以及維護(hù)供應(yīng)商主檔�����。為了實現(xiàn)這樣的業(yè)務(wù)流程�,控制和安全團(tuán)隊就需要設(shè)計權(quán)限來限制這些互斥的業(yè)務(wù)操作來達(dá)到職責(zé)分離。對一些小的企業(yè)來說���,做到盡善盡美的職責(zé)分離由于公司人數(shù)過少而變得不可能�����,在這種情況下�����,控制和安全團(tuán)隊就需要設(shè)計一些補(bǔ)償性控制(Compensating Control)來減少職責(zé)過于集中所帶來的風(fēng)險�。比如說,控制和安全團(tuán)隊需要在SAP系統(tǒng)中考慮設(shè)置一定的“門檻值”����,一旦超過這個“門檻”,相關(guān)的管理層就需要在用戶進(jìn)行業(yè)務(wù)操作前進(jìn)行一定的批準(zhǔn)及授權(quán)�。職責(zé)分離在內(nèi)部控制監(jiān)管制度,尤其是薩班斯法案中對管理層和審計師來說都是焦點之所在����。
取得高級管理層和業(yè)務(wù)所有者(一般而言是那些業(yè)務(wù)經(jīng)理)的認(rèn)同和支持是安全和風(fēng)險控制項目管理的另一個主要的方面。同高級管理層就SAP信息安全策略和方法進(jìn)行探討并取得他們的認(rèn)同對于建立整個SAP項目團(tuán)隊的接受度����,所有權(quán)和責(zé)任感都是至為關(guān)鍵的。