摘 要:各地區(qū)公司ERP系統(tǒng)運(yùn)行平穩(wěn)后，權(quán)限管理上的一些問(wèn)題就逐步地顯現(xiàn)出來(lái)了，具體主要表現(xiàn)在以下幾個(gè)方面:

關(guān)鍵詞:ERP

中圖分類號(hào):F239文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1674-098X(2012)08(b)-0038-01

1 角色互斥問(wèn)題

雖然在ERP系統(tǒng)單軌上線前都經(jīng)過(guò)了幾輪權(quán)限測(cè)試和整改，但是由于最初制作角色時(shí)沒(méi)有將權(quán)限互斥問(wèn)題考慮周全或本公司的敏感事物代碼分配規(guī)則里有些遺漏等原因，因而相對(duì)于ERP單軌上線之初，互斥權(quán)限的分離仍會(huì)有遺漏

例子1、根角色互斥:我公司MR015這個(gè)角色，角色的描述為物料報(bào)廢及沖銷，用系統(tǒng)管理員賬號(hào)進(jìn)入系統(tǒng)發(fā)現(xiàn)該角色包含的事務(wù)代碼有MB1A、MB1B和MBST，含有的移動(dòng)類型有101、102、201、202、601、602、801、802等，其中MBST這個(gè)事務(wù)代碼配合出入庫(kù)的移動(dòng)類型那么就可以執(zhí)行出入庫(kù)的沖銷，如果配合報(bào)廢的移動(dòng)類型那么就可以執(zhí)行報(bào)廢的沖銷，而恰恰MR015這個(gè)角色中兩種移動(dòng)類型都有，這樣就意味著MR015這個(gè)角色既能做出入庫(kù)的沖銷，也能做報(bào)廢和報(bào)廢的沖銷，而出入庫(kù)的沖銷在ERP職責(zé)分離矩陣中的業(yè)務(wù)活動(dòng)描述為入庫(kù)或出庫(kù)，報(bào)廢和報(bào)廢的沖銷在ERP職責(zé)分離矩陣中的業(yè)務(wù)活動(dòng)描述為損耗，這兩個(gè)業(yè)務(wù)活動(dòng)是互相排斥的。

例子2、由于敏感事物代碼的遺漏造成的用戶擁有權(quán)限互斥權(quán)限:總部給地區(qū)公司下發(fā)的敏感事物代碼分配規(guī)則模板上成本核算一欄里沒(méi)有CJ88和CJ8G兩個(gè)事務(wù)代碼，我公司ERP系統(tǒng)單軌上線運(yùn)行一段時(shí)間后，發(fā)現(xiàn)這兩個(gè)事物代碼也是敏感事物代碼，因而將它們?cè)鲅a(bǔ)進(jìn)來(lái)。

2 冗余權(quán)限問(wèn)題

例子1、在做ERP項(xiàng)目時(shí)，賦權(quán)過(guò)于廣泛，實(shí)際并不需要許多人都有該權(quán)限:在ERP系統(tǒng)單軌上線之前，關(guān)鍵用戶提出公司機(jī)關(guān)各部門如果有維修的業(yè)務(wù)發(fā)生，則各處室有專人建立工單，處室處長(zhǎng)審批工單，因而顧問(wèn)依據(jù)關(guān)鍵用戶的需求給各處室的相關(guān)人員配置了權(quán)限。但實(shí)際工作中，公司機(jī)關(guān)的維修業(yè)務(wù)統(tǒng)一由機(jī)動(dòng)設(shè)備處專人建立工單，機(jī)動(dòng)設(shè)備處處長(zhǎng)審批工單，因而公司機(jī)關(guān)每個(gè)處室就有兩個(gè)用戶身上擁有冗余的權(quán)限。

例子2、在做ERP項(xiàng)目時(shí)，由于一個(gè)業(yè)務(wù)流程沒(méi)有走通而改走其它業(yè)務(wù)流程，但是針對(duì)沒(méi)有走通的業(yè)務(wù)流程的權(quán)限卻依然保留在相關(guān)用戶身上:在ERP系統(tǒng)上線前，顧問(wèn)考慮到我公司股份和集團(tuán)之間的互供問(wèn)題，制作了MR012這個(gè)角色，后來(lái)因?yàn)槲夜镜墓煞莺图瘓F(tuán)業(yè)務(wù)之間沒(méi)有采用互供的模式，而是采用了外部供應(yīng)商的模式，因而一些用戶雖然擁有MR012這個(gè)角色，但是并沒(méi)有應(yīng)用。

例子3、崗位調(diào)動(dòng)時(shí)原來(lái)崗位的權(quán)限沒(méi)有刪除就增加了新崗位的權(quán)限，結(jié)果造成用戶擁有冗余權(quán)限。

3 權(quán)限不足問(wèn)題

在ERP系統(tǒng)建設(shè)的過(guò)程中，由于考慮不夠周全，因而一些用戶本應(yīng)該擁有的權(quán)限卻并沒(méi)有被賦予。例如:內(nèi)部控制中一個(gè)風(fēng)險(xiǎn)控制 措施的描述為:每月月末電子商務(wù)部計(jì)劃員從ERP系統(tǒng)中導(dǎo)出取消物料憑證的清單，核對(duì)每一筆取消物料的憑證都經(jīng)過(guò)審批并在打印出的清單上簽字確認(rèn)。實(shí)際在ERP系統(tǒng)單軌運(yùn)行后，我們發(fā)現(xiàn)電子商務(wù)部計(jì)劃員根本就不具備從系統(tǒng)中導(dǎo)出取消物料憑證清單的權(quán)限。后經(jīng)與運(yùn)維人員協(xié)商制作了一個(gè)角色賦給電子商務(wù)部人員才解決了該問(wèn)題。

4 解決方案

4.1 針對(duì)權(quán)限互斥問(wèn)題

通常情況下的根角色互斥在上線之初就解決掉了，而有一類根角色互斥表現(xiàn)比較隱蔽，并不容易看出來(lái)，這類角色中包含一類事物代碼，這類事務(wù)代碼配合不同的移動(dòng)類型就執(zhí)行不同的功能，目前為止只發(fā)現(xiàn)兩個(gè)事物代碼是這樣的，一個(gè)是MBST，另一個(gè)是MB1A。我公司的MR015這個(gè)角色的根角色互斥主要表現(xiàn)為MBST這個(gè)事物代碼的移動(dòng)類型配多了，因而該角色既能執(zhí)行出入庫(kù)的沖銷也能執(zhí)行報(bào)廢的沖銷，造成了根角色的互斥。我們的解決方案是:將MR015這個(gè)角色拆分為兩個(gè)角色，一個(gè)角色只配有MBST事務(wù)代碼，并配有出入庫(kù)的移動(dòng)類型，這樣該角色就只能做出入庫(kù)的沖銷，另一個(gè)角色還保留原來(lái)的MB1A、MB1B和MBST三個(gè)移動(dòng)類型，但是把除報(bào)廢之外的移動(dòng)類型均刪除，這樣該角色就只能做報(bào)廢和報(bào)廢的沖銷，這樣就滿足了的職責(zé)分離的要求。

MB1A這個(gè)事務(wù)代碼的根角色互斥雖然沒(méi)有在我公司發(fā)現(xiàn)，但是并不一定不會(huì)發(fā)生在其他的地區(qū)公司。該事務(wù)代碼的功能描述為發(fā)貨，如果它配合101、102移動(dòng)類型就執(zhí)行發(fā)貨，如果配合801、802移動(dòng)類型就執(zhí)行損耗，而發(fā)貨和損耗在ERP職責(zé)分離上是互斥的。如果其他公司發(fā)現(xiàn)有的角色含有MB1A的事務(wù)代碼的根角色互斥現(xiàn)象，那么我們的解決辦法是:剝離互斥的移動(dòng)類型，這樣這一類問(wèn)題就解決了。

針對(duì)敏感事物代碼的遺漏問(wèn)題，權(quán)限管理人員可定期通過(guò)與總部運(yùn)維人員或與同板塊其它地區(qū)公司權(quán)限管理人員的及時(shí)溝通來(lái)做到敏感事物代碼的增補(bǔ)，另外在每次敏感崗位人員的權(quán)限變動(dòng)時(shí)，權(quán)限管理人員將崗位人員的敏感權(quán)限與本公司的敏感事物代碼訪問(wèn)規(guī)則進(jìn)行對(duì)照，也可以累積做到上述這一點(diǎn)。

4.2 針對(duì)冗余權(quán)限問(wèn)題

每季度在各單位和部門確認(rèn)崗位與角色對(duì)照關(guān)系表的時(shí)候，權(quán)限管理人員可通過(guò)要求各單位關(guān)鍵用戶對(duì)照本單位用戶的權(quán)限，同時(shí)上報(bào)本單位ERP用戶從上線到現(xiàn)在從沒(méi)應(yīng)用過(guò)的角色，然后權(quán)限管理人員可酌情對(duì)其刪除，這樣就可逐步解決未上線前ERP的賦權(quán)過(guò)于廣泛的問(wèn)題。

而對(duì)于崗位調(diào)動(dòng)，新崗位增加了權(quán)限舊崗位權(quán)限并沒(méi)有刪除的問(wèn)題，權(quán)限管理人員可通過(guò)要求權(quán)限變動(dòng)人員同時(shí)提交刪除舊崗位權(quán)限和增加新崗位權(quán)限的申請(qǐng)來(lái)解決。

4.3 權(quán)限不足問(wèn)題的解決

ERP系統(tǒng)上線有些時(shí)日了，如果用戶這時(shí)候才發(fā)現(xiàn)自己的權(quán)限有不足，那么該權(quán)限一定是不常用的權(quán)限，從權(quán)限管理最小賦權(quán)的原則來(lái)看，權(quán)限管理者不需主動(dòng)去給用戶來(lái)解決權(quán)限不足的問(wèn)題，而要由用戶自己提出，管理者只需審查通過(guò)即可賦權(quán)。

5 結(jié)語(yǔ)

綜上所述，我們可得出結(jié)論，權(quán)限管理其實(shí)主要解決的是兩部分問(wèn)題，一部分是前期建設(shè)時(shí)期遺留的問(wèn)題，權(quán)限管理人員可通過(guò)進(jìn)入系統(tǒng)后臺(tái)逐步排查特殊敏感權(quán)限或增補(bǔ)敏感事物代碼分配規(guī)則來(lái)逐步解決，這樣的問(wèn)題會(huì)隨著ERP系統(tǒng)的應(yīng)用越來(lái)越少直至沒(méi)有;另一部分是在ERP系統(tǒng)的應(yīng)用中，ERP用戶的權(quán)限變動(dòng)產(chǎn)生的，這類問(wèn)題可通過(guò)ERP信息系統(tǒng)總體控制的相關(guān)控制措施來(lái)實(shí)現(xiàn)控制的目的，如每次用戶的權(quán)限變動(dòng)要進(jìn)行權(quán)限互斥的檢查，每季度檢查崗位與角色的匹配等。