二、技術(shù)管理 ----------實(shí)現(xiàn)系統(tǒng)中的內(nèi)部控制
在項(xiàng)目團(tuán)隊(duì)中擁有既了解內(nèi)部控制監(jiān)管環(huán)境�����,又深諳與SAP相關(guān)的系統(tǒng)控制設(shè)置的技術(shù)骨干是必不可少的�。不過(guò),在實(shí)際的SAP實(shí)施項(xiàng)目中��,絕大多數(shù)的信息安全部門(mén)��,尤其是SAP的控制和安全團(tuán)隊(duì)�����,經(jīng)常是缺少必要的人員而且工作量以及工作難度都被過(guò)低地估計(jì)了�����?���?刂坪桶踩珗F(tuán)隊(duì)在項(xiàng)目中往往被忽略,或者甚至由不了解內(nèi)部控制的技術(shù)人員代替進(jìn)行權(quán)限的設(shè)置以及安全策略的撰寫(xiě)���。這樣的直接結(jié)果就是SAP系統(tǒng)內(nèi)的控制設(shè)置不足或不符合業(yè)務(wù)流程需要�,用戶(hù)權(quán)限過(guò)大而且職責(zé)沒(méi)有完全分離等等����。當(dāng)系統(tǒng)上線,企業(yè)管理層再發(fā)現(xiàn)SAP內(nèi)部控制問(wèn)題之后����,再想重新改正,一來(lái)“勞民傷財(cái)”����,二來(lái)“積重難返”�����,很難通過(guò)內(nèi)部和外部的審計(jì)����?�?梢?jiàn)�,擁有合適的系統(tǒng)安全人員對(duì)于SAP項(xiàng)目實(shí)施質(zhì)量控制會(huì)有多大的作用。在項(xiàng)目過(guò)程中��,控制和安全團(tuán)隊(duì)也須經(jīng)常同企業(yè)內(nèi)部審計(jì)部門(mén)就安全策略和方法進(jìn)行溝通并進(jìn)行一定的文檔撰寫(xiě)和安全測(cè)試�。
當(dāng)控制和安全團(tuán)隊(duì)同利益方談?wù)揝AP權(quán)限如何實(shí)現(xiàn)以及可選的安全控制方案時(shí),控制和安全團(tuán)隊(duì)必須確保利益方不僅了解可能的權(quán)限限制的結(jié)果����,而且明白如果沒(méi)有設(shè)定必要的權(quán)限限制所帶來(lái)的風(fēng)險(xiǎn)以及對(duì)企業(yè)內(nèi)部控制的影響。另外�,職責(zé)分離分析可以基于SAP角色(Role)基礎(chǔ)上。職責(zé)分離分析可以幫助企業(yè)確定�,分析并列舉用戶(hù)訪問(wèn)企業(yè)敏感區(qū)域的權(quán)限,并且提供互相沖突的業(yè)務(wù)�。許多SAP職責(zé)分離工具已經(jīng)被開(kāi)發(fā)出來(lái)用以自動(dòng)地對(duì)SAP角色以及用戶(hù)權(quán)限進(jìn)行分析來(lái)提高效率并減少企業(yè)成本。國(guó)際上較為流行的SAP職責(zé)分離工具包括Virsa及Approva等,一些企業(yè)咨詢(xún)公司如德勤開(kāi)發(fā)的專(zhuān)有工具eQSmart也能夠很好地進(jìn)行職責(zé)分離分析���。
三、利益方管理 ---------- 溝通帶來(lái)成功
項(xiàng)目實(shí)施過(guò)程中管理好利益方�,尤其是業(yè)務(wù)用戶(hù)經(jīng)常是SAP安全有效實(shí)施中最重要但無(wú)疑也是最復(fù)雜的一環(huán)。如果控制和安全團(tuán)隊(duì)不能和業(yè)務(wù)團(tuán)隊(duì)�����,技術(shù)人員以及管理層不能有效進(jìn)行溝通的話����,控制和安全團(tuán)隊(duì)也不可能獲得所有的業(yè)務(wù)需求,更不可能將這些業(yè)務(wù)需求“翻譯"成安全技術(shù)語(yǔ)言在系統(tǒng)內(nèi)加以實(shí)現(xiàn)�。如果這樣的話,實(shí)施的效果就要打上一個(gè)很大的折扣�����,更不要提IT治理����、內(nèi)部控制和信息安全了。
從用戶(hù)的立場(chǎng)上來(lái)看�,控制和安全有時(shí)感覺(jué)像捆住了他們的手腳,權(quán)限的限制使得他們不能“為所欲為”地對(duì)系統(tǒng)功能進(jìn)行訪問(wèn)、修改和操作�����,這不難理解�����。但從內(nèi)控的立場(chǎng)上來(lái)看�,安全控制就是保證系統(tǒng)訪問(wèn)的安全,不能讓用戶(hù)“為所欲為”�。內(nèi)控和用戶(hù)對(duì)系統(tǒng)的方便使用一直以來(lái)都是一個(gè)相互制衡的話題,更多的控制當(dāng)然會(huì)限制用戶(hù)對(duì)系統(tǒng)的方便使用���,但對(duì)系統(tǒng)過(guò)于方便的使用則不利于內(nèi)控的實(shí)現(xiàn)���。這就要求控制和安全團(tuán)隊(duì)能夠從實(shí)際的業(yè)務(wù)需求出發(fā),和業(yè)務(wù)團(tuán)隊(duì)和管理層進(jìn)行很好的溝通��,以達(dá)到用戶(hù)對(duì)內(nèi)部控制更多的理解并從實(shí)際工作中就注重提高安全和控制的意識(shí)��。
SAP實(shí)施項(xiàng)目對(duì)每個(gè)企業(yè)來(lái)說(shuō)都是一個(gè)綜合的龐大工程�����,加強(qiáng)項(xiàng)目中安全控制,防范于未然���,才能使企業(yè)在面臨競(jìng)爭(zhēng)時(shí)不會(huì)“千里之堤�����,毀于蟻穴”,才能決勝于千里之外���。轉(zhuǎn)貼于:http://m.opto-elec.com.cn