二、技術(shù)管理 ----------實現(xiàn)系統(tǒng)中的內(nèi)部控制
在項目團(tuán)隊中擁有既了解內(nèi)部控制監(jiān)管環(huán)境,又深諳與SAP相關(guān)的系統(tǒng)控制設(shè)置的技術(shù)骨干是必不可少的。不過��,在實際的SAP實施項目中�,絕大多數(shù)的信息安全部門����,尤其是SAP的控制和安全團(tuán)隊,經(jīng)常是缺少必要的人員而且工作量以及工作難度都被過低地估計了。控制和安全團(tuán)隊在項目中往往被忽略,或者甚至由不了解內(nèi)部控制的技術(shù)人員代替進(jìn)行權(quán)限的設(shè)置以及安全策略的撰寫���。這樣的直接結(jié)果就是SAP系統(tǒng)內(nèi)的控制設(shè)置不足或不符合業(yè)務(wù)流程需要,用戶權(quán)限過大而且職責(zé)沒有完全分離等等。當(dāng)系統(tǒng)上線�����,企業(yè)管理層再發(fā)現(xiàn)SAP內(nèi)部控制問題之后���,再想重新改正,一來“勞民傷財”�,二來“積重難返”,很難通過內(nèi)部和外部的審計�����?�?梢?���,擁有合適的系統(tǒng)安全人員對于SAP項目實施質(zhì)量控制會有多大的作用���。在項目過程中�,控制和安全團(tuán)隊也須經(jīng)常同企業(yè)內(nèi)部審計部門就安全策略和方法進(jìn)行溝通并進(jìn)行一定的文檔撰寫和安全測試。
當(dāng)控制和安全團(tuán)隊同利益方談?wù)揝AP權(quán)限如何實現(xiàn)以及可選的安全控制方案時�����,控制和安全團(tuán)隊必須確保利益方不僅了解可能的權(quán)限限制的結(jié)果�,而且明白如果沒有設(shè)定必要的權(quán)限限制所帶來的風(fēng)險以及對企業(yè)內(nèi)部控制的影響。另外���,職責(zé)分離分析可以基于SAP角色(Role)基礎(chǔ)上����。職責(zé)分離分析可以幫助企業(yè)確定���,分析并列舉用戶訪問企業(yè)敏感區(qū)域的權(quán)限��,并且提供互相沖突的業(yè)務(wù)�。許多SAP職責(zé)分離工具已經(jīng)被開發(fā)出來用以自動地對SAP角色以及用戶權(quán)限進(jìn)行分析來提高效率并減少企業(yè)成本��。國際上較為流行的SAP職責(zé)分離工具包括Virsa及Approva等�����,一些企業(yè)咨詢公司如德勤開發(fā)的專有工具eQSmart也能夠很好地進(jìn)行職責(zé)分離分析。
三��、利益方管理 ---------- 溝通帶來成功
項目實施過程中管理好利益方�,尤其是業(yè)務(wù)用戶經(jīng)常是SAP安全有效實施中最重要但無疑也是最復(fù)雜的一環(huán)。如果控制和安全團(tuán)隊不能和業(yè)務(wù)團(tuán)隊��,技術(shù)人員以及管理層不能有效進(jìn)行溝通的話�����,控制和安全團(tuán)隊也不可能獲得所有的業(yè)務(wù)需求�,更不可能將這些業(yè)務(wù)需求“翻譯"成安全技術(shù)語言在系統(tǒng)內(nèi)加以實現(xiàn)。如果這樣的話�,實施的效果就要打上一個很大的折扣,更不要提IT治理��、內(nèi)部控制和信息安全了���。
從用戶的立場上來看�����,控制和安全有時感覺像捆住了他們的手腳,權(quán)限的限制使得他們不能“為所欲為”地對系統(tǒng)功能進(jìn)行訪問�、修改和操作���,這不難理解。但從內(nèi)控的立場上來看�,安全控制就是保證系統(tǒng)訪問的安全,不能讓用戶“為所欲為”�����。內(nèi)控和用戶對系統(tǒng)的方便使用一直以來都是一個相互制衡的話題�,更多的控制當(dāng)然會限制用戶對系統(tǒng)的方便使用,但對系統(tǒng)過于方便的使用則不利于內(nèi)控的實現(xiàn)���。這就要求控制和安全團(tuán)隊能夠從實際的業(yè)務(wù)需求出發(fā)����,和業(yè)務(wù)團(tuán)隊和管理層進(jìn)行很好的溝通���,以達(dá)到用戶對內(nèi)部控制更多的理解并從實際工作中就注重提高安全和控制的意識�����。
SAP實施項目對每個企業(yè)來說都是一個綜合的龐大工程����,加強(qiáng)項目中安全控制,防范于未然��,才能使企業(yè)在面臨競爭時不會“千里之堤�����,毀于蟻穴”����,才能決勝于千里之外。轉(zhuǎn)貼于:http://m.opto-elec.com.cn