任澤坤 楊眉

（1.中國石油川慶鉆探地質(zhì)勘探開發(fā)研究院；2.中國石油西南油氣田公司華油集團四川利能燃氣工程設(shè)計有限公司）

科學(xué)的ERP（企業(yè)資源計劃）實施方法和管理是ERP成功實施的關(guān)鍵，高效的 ERP運維管理體系則是系統(tǒng)安全、高效、穩(wěn)定運行的可靠保障和手段。

ERP系統(tǒng)運行后，其主要管理工作包括運維體系建設(shè)、日常運行維護、應(yīng)急事件處理、系統(tǒng)安全管理、ERP系統(tǒng)內(nèi)部控制及ERP培訓(xùn)和考核等。其中，系統(tǒng)權(quán)限管理和控制是ERP系統(tǒng)日常運行維護工作的重要組成部分，規(guī)范的系統(tǒng)權(quán)限管理和有力的系統(tǒng)權(quán)限管控是保證ERP系統(tǒng)安全運行和數(shù)據(jù)保密的重要手段。但是，由于ERP系統(tǒng)用戶多、分工復(fù)雜，加上人員崗位調(diào)動、離職等情況，難免會造成系統(tǒng)權(quán)限分配混亂的問題，給系統(tǒng)的正常運行和業(yè)務(wù)流程的正常流轉(zhuǎn)帶來較大的隱患。因此，ERP系統(tǒng)的權(quán)限管理和控制顯得尤為重要。

1 ERP系統(tǒng)權(quán)限管理的內(nèi)容與原則

1.1 ERP系統(tǒng)權(quán)限管理內(nèi)容

用戶、角色、角色參數(shù)構(gòu)成了ERP系統(tǒng)權(quán)限管理的3個基本要素。ERP系統(tǒng)運行后的用戶管理、角色與授權(quán)管理及 ERP系統(tǒng)內(nèi)部控制工作均屬于ERP系統(tǒng)權(quán)限管理的范圍和工作內(nèi)容。

1.1.1 用戶管理

用戶管理包括新增用戶賬號（ID）及賬號信息的變更、撤銷、凍結(jié)等工作。用戶是指包括系統(tǒng)管理員在內(nèi)的所有ERP系統(tǒng)的使用人員，每個用戶在系統(tǒng)中具有唯一的 ID。創(chuàng)建 ID時，系統(tǒng)中會同步完成用戶信息注冊，包括用戶姓名、工作單位、部門、職務(wù)、聯(lián)系方式等基本信息。撤銷賬號就是刪除某個用戶在系統(tǒng)中的ID，使之不再有訪問系統(tǒng)的能力。凍結(jié)賬號是暫時鎖定用戶ID，使之暫時失去系統(tǒng)訪問能力，當需要時再開放該用戶訪問系統(tǒng)的權(quán)限。

1.1.2 角色與授權(quán)管理

角色是一組業(yè)務(wù)操作的權(quán)限，用ERP系統(tǒng)角色代碼來描述，角色就是具有一個或多個事務(wù)操作代碼的集合，一個用戶可以分配多個角色，多個用戶也可以授予同一個角色。權(quán)限通過角色分配給用戶，因此，授權(quán)管理是把具有在系統(tǒng)中進行特定的業(yè)務(wù)操作和運行處理事務(wù)權(quán)限的角色授予某個用戶或用戶組。用戶被授予某個角色后，才可以登錄系統(tǒng)，運行其所屬角色中的各種事務(wù)代碼來處理業(yè)務(wù)；當用戶崗位（崗位職責(zé)）調(diào)整或業(yè)務(wù)需求變更后，需要重新進行授權(quán)，包括舊權(quán)限撤銷和新權(quán)限授予。

1.1.3 ERP系統(tǒng)內(nèi)部控制

ERP系統(tǒng)內(nèi)部控制是指根據(jù) ERP系統(tǒng)控制規(guī)范，開展與ERP系統(tǒng)有關(guān)的內(nèi)控工作，定期、不定期地開展ERP系統(tǒng)測試檢查，不斷改進、完善業(yè)務(wù)流程的過程。其中，最重要的是權(quán)限測試，包括訪問權(quán)限測試和職責(zé)分離測試。

訪問權(quán)限測試是確定用戶能夠訪問系統(tǒng)中資源和功能的范圍，從控制的角度查找用戶在系統(tǒng)中所擁有的權(quán)限是否超出了其工作需要。如，ERP系統(tǒng)權(quán)限管理員分為普通管理員、高級管理員和超級管理員，一般情況下，普通管理員被授予用戶ID顯示、凍結(jié)、解鎖、角色分配和刪除等權(quán)限；高級管理員除普通管理員職能外，還被授予用戶ID創(chuàng)建和修改權(quán)限；超級管理員除普通管理員和高級管理員權(quán)限外，還具備用戶ID刪除的權(quán)限。根據(jù)系統(tǒng)訪問權(quán)限有別的原則，普通管理員不能訪問高級管理員和超級管理員特有的權(quán)限，同樣，高級管理員不能具備超級管理員的用戶ID刪除權(quán)限。

職責(zé)分離測試是根據(jù)業(yè)務(wù)流程中不相容的業(yè)務(wù)功能必須由不同的人來完成的原則，檢查系統(tǒng)用戶在權(quán)限分配上是否存在具備處理不相容業(yè)務(wù)功能的漏洞和問題，即，權(quán)限互斥檢查，避免因一人具有操作不相容業(yè)務(wù)的權(quán)限而產(chǎn)生舞弊風(fēng)險。如，在物料需求計劃處理業(yè)務(wù)流程中，需求計劃的創(chuàng)建功能和需求計劃審批功能是不相容的，或者說是互斥的2個業(yè)務(wù)操作，根據(jù)崗位職責(zé)分離原則，這 2個功能必須分別由2個人來承擔，一旦違背該原則，勢必造成權(quán)限分配失控。

1.2 ERP系統(tǒng)權(quán)限管理原則

1.2.1 職責(zé)分離原則

職責(zé)分離原則是ERP系統(tǒng)權(quán)限管理最基本也是最重要的原則。賦給用戶的權(quán)限不能存在不相容的操作權(quán)限，以避免因一人擁有操作不相容業(yè)務(wù)的權(quán)限而產(chǎn)生舞弊風(fēng)險和非授權(quán)修改業(yè)務(wù)、財務(wù)數(shù)據(jù)及相關(guān)信息的情況。

1.2.2 以業(yè)務(wù)為驅(qū)動的原則

ERP系統(tǒng)的實施應(yīng)用，極大地提高了企業(yè)運營信息的加工和傳遞效率。但是，若不受限制地給用戶授權(quán)，則大大增加了企業(yè)運行信息泄密的風(fēng)險，同時，增加了業(yè)務(wù)混亂和管理失控的可能。

1.2.3 先測試后授權(quán)的原則

為了避免用戶權(quán)限在系統(tǒng)中出現(xiàn)角色互斥和業(yè)務(wù)不相容的情況，必須先在ERP系統(tǒng)內(nèi)控工作要求下進行權(quán)限互斥和敏感權(quán)限測試，測試通過后，再報送領(lǐng)導(dǎo)審批，最后，給用戶分配角色。若測試不通過，則不能授權(quán)。

1.2.4 用戶權(quán)限按需分配及權(quán)限設(shè)置最小化原則

用戶權(quán)限申請應(yīng)符合本職崗位業(yè)務(wù)需求，不能超越自身真實的崗位和職責(zé)范圍，以避免造成用戶權(quán)限互斥和混亂的情況。

2 權(quán)限管理流程及關(guān)鍵風(fēng)險點分析

圖1 ERP系統(tǒng)權(quán)限實施流程

2.1 系統(tǒng)權(quán)限角色設(shè)計漏洞（控制點A）

在ERP系統(tǒng)中，用事務(wù)碼表示一個用戶能干的事情，即權(quán)限。角色是系統(tǒng)中一個或多個事務(wù)碼的集合，具有一個事務(wù)碼的角色稱為單一角色，多個單一角色集合起來就是復(fù)合角色。復(fù)合角色中包含有多個事務(wù)代碼，若賦給用戶的角色中存在互斥的事務(wù)代碼，即，角色授權(quán)漏洞，則在業(yè)務(wù)上勢必造成業(yè)務(wù)互斥和沖突。

2.2 用戶身份驗證（控制點B）

若缺乏賬號申請或持有人的身份驗證，則無法保證用戶身份的合法性。一旦在系統(tǒng)中開通了非法用戶的賬號和權(quán)限，對系統(tǒng)的訪問安全、信息安全和業(yè)務(wù)安全存在重大風(fēng)險。

2.3 用戶賬號管理（控制點C）

若用戶賬號申請缺少經(jīng)過有效審批的實施證據(jù)表單，則不符合內(nèi)控管理要求。另外，若無節(jié)制地申請賬號，導(dǎo)致賬號空置率高，以及未能及時凍結(jié)不用的賬號和關(guān)閉權(quán)限，則勢必造成ERP系統(tǒng)業(yè)務(wù)混亂，對數(shù)據(jù)保密形成威脅。

2.4 權(quán)限申請、變更及授權(quán)（控制點D）

在此環(huán)節(jié)，若權(quán)限申請、變更及授權(quán)不符合權(quán)限管理工作原則，或者不具有完備的經(jīng)過有效審批的實施證據(jù)表單，則不符合內(nèi)控管理工作要求。

3 ERP系統(tǒng)與企業(yè)內(nèi)部控制

3.1 ERP系統(tǒng)與企業(yè)內(nèi)部控制的關(guān)系

內(nèi)部控制是企業(yè)管理中重要的一環(huán)。內(nèi)部控制工作引入ERP系統(tǒng)是內(nèi)部控制的革新，并通過它改善了企業(yè)內(nèi)部控制的方式，優(yōu)化了企業(yè)內(nèi)部控制系統(tǒng)和范圍，使企業(yè)內(nèi)部控制由命令與控制向集中與協(xié)調(diào)轉(zhuǎn)變，大幅度提升了內(nèi)部控制的效率?？梢?，ERP系統(tǒng)已成為企業(yè)內(nèi)部控制的重要工具和手段。

信息系統(tǒng)是信息內(nèi)部傳遞和對外報告的技術(shù)手段，是企業(yè)利用計算機和通信技術(shù)，對內(nèi)部控制進行集成、轉(zhuǎn)化和提升所形成的信息化管理平臺，同時，信息系統(tǒng)自身也存在風(fēng)險，需要加強管理和控制。因此，信息系統(tǒng)本身也是內(nèi)部控制的客體。

3.2 ERP系統(tǒng)權(quán)限管理對企業(yè)內(nèi)部控制工作的影響

根據(jù)ERP系統(tǒng)用戶權(quán)限設(shè)置原則，用戶對系統(tǒng)的應(yīng)用需求、訪問需求、操作系統(tǒng)和處理業(yè)務(wù)的需求都直接受ERP系統(tǒng)權(quán)限控制。在權(quán)限授權(quán)工作中，若違背授權(quán)原則的規(guī)定，勢必造成系統(tǒng)操作混亂、業(yè)務(wù)混亂，操作舞弊、業(yè)務(wù)數(shù)據(jù)和財務(wù)數(shù)據(jù)等被非法篡改的潛在風(fēng)險大大增加，帶來的后果必然是管理失控。因此，權(quán)限管理作為ERP系統(tǒng)運維的一項最重要的工作內(nèi)容，直接影響著ERP系統(tǒng)是否能安全、高效、穩(wěn)定運行，也影響著企業(yè)內(nèi)部控制工作的質(zhì)量。

4 ERP系統(tǒng)權(quán)限管理失控案例及影響

一是，ERP系統(tǒng)權(quán)限賬號混亂造成系統(tǒng)業(yè)務(wù)混亂。某公司ERP系統(tǒng)運行后，未能及時對ERP系統(tǒng)賬號進行梳理和權(quán)限清理，當該公司下屬單位進行投資預(yù)決算工作時發(fā)現(xiàn)，系統(tǒng)中有一筆未知投資項目，經(jīng)查找，發(fā)現(xiàn)該項目是ERP系統(tǒng)運行后未及時關(guān)閉的超級系統(tǒng)應(yīng)用權(quán)限賬號所創(chuàng)建。另外，在實際運營中，還發(fā)現(xiàn)下屬部分單位的個別用戶由于具有受控權(quán)限，而擅自在系統(tǒng)中創(chuàng)建利潤中心、更改庫存地點和投資項目計劃等。由于權(quán)限管理失控，造成了該公司項目投資計劃、預(yù)算分配、業(yè)務(wù)流程的混亂，給企業(yè)內(nèi)部控制工作帶來了不利的影響。

二是，權(quán)限管理混亂嚴重影響公司內(nèi)控檢查結(jié)果和內(nèi)部控制工作考核。某公司ERP系統(tǒng)權(quán)限管理不規(guī)范，與內(nèi)控管理要求嚴重脫節(jié)，致使ERP系統(tǒng)權(quán)限管理失控，部分賬號權(quán)限互斥嚴重，一人多崗、敏感權(quán)限現(xiàn)象突出。在對該地區(qū)公司進行內(nèi)部控制工作檢查中，發(fā)現(xiàn)權(quán)限測試結(jié)果互斥及敏感權(quán)限達3萬條之多，涉及的用戶數(shù)量約占總用戶數(shù)的70%，直接影響了該公司的內(nèi)控工作考核結(jié)果和生產(chǎn)業(yè)績考核。

三是，權(quán)限角色不受控，出現(xiàn)代碼分配漏洞，導(dǎo)致用戶角色互斥。某公司對某次ERP系統(tǒng)權(quán)限自我內(nèi)部控制測試結(jié)果進行分析，發(fā)現(xiàn)角色權(quán)限互斥中，多數(shù)用戶均出現(xiàn)創(chuàng)建采購訂單、更改采購訂單與審批采購訂單互斥。經(jīng)過對具有以上事務(wù)代碼的角色進行分析，該問題屬于角色定義錯誤，這些事務(wù)代碼存在于一個角色中，在設(shè)計上存在漏洞。

5 ERP系統(tǒng)權(quán)限管理和管控優(yōu)化

一是，分別設(shè)置系統(tǒng)管理員、系統(tǒng)審計員和系統(tǒng)保密員，各司其職，保證系統(tǒng)安全。系統(tǒng)管理員負責(zé)響應(yīng)來自最終用戶的需求，并在系統(tǒng)中進行相應(yīng)操作，包括賬號申請、賬號加鎖及解鎖、權(quán)限授權(quán)與變更；同時，負責(zé)實施證據(jù)表單的規(guī)范性審查和管理，確保表單經(jīng)過有效審批。系統(tǒng)審計員負責(zé)權(quán)限互斥測試檢查，確保所申請的權(quán)限符合內(nèi)控管理規(guī)定及權(quán)限管理原則；同時，負責(zé)收集整理用戶流動信息和崗位變動動態(tài)，梳理出業(yè)務(wù)職責(zé)，并根據(jù)用戶動態(tài)，協(xié)助系統(tǒng)管理員開展用戶賬號梳理及權(quán)限清理工作，及時關(guān)閉、撤銷或凍結(jié)不需要的閑置賬號，及時刪除用戶的舊權(quán)限，并添加新權(quán)限。系統(tǒng)保密員負責(zé)用戶身份合法性驗證，確保不為非法的申請人開通賬號，從而保證系統(tǒng)的訪問安全、信息安全和業(yè)務(wù)安全。

二是，建立規(guī)范的ERP系統(tǒng)權(quán)限管理體系，加強權(quán)限授權(quán)管控，做到權(quán)限申請流程清晰，權(quán)限分配合理、合規(guī)、可控。ERP系統(tǒng)運行后，建立起成熟的ERP系統(tǒng)權(quán)限運維管理體系，對ERP系統(tǒng)管理是非常重要的。在實際工作中，不能完全通過技術(shù)手段來進行權(quán)限的維護，還需要建立起相應(yīng)的權(quán)限管理制度來規(guī)范權(quán)限管理，做到管理流程化、規(guī)范化。用管理制度來約束權(quán)限管理工作，減少用戶和管理員主觀意識的負面作用。

三是，設(shè)計權(quán)限控制解決方案。ERP系統(tǒng)權(quán)限控制分為事務(wù)代碼級、組織機構(gòu)級和權(quán)限對象字段值級3個層次。用戶進行業(yè)務(wù)操作，必須具有對應(yīng)的事務(wù)代碼執(zhí)行權(quán)限，同時，還必須具有相應(yīng)組織的操作權(quán)限才能完成業(yè)務(wù)。按照企業(yè)的實際情況，在ERP系統(tǒng)中根據(jù)業(yè)務(wù)特點設(shè)計了不同性質(zhì)的組織架構(gòu)，系統(tǒng)中最高的組織級別為公司代碼，可以通過為角色分配不同的公司代碼值，將用戶的業(yè)務(wù)限制在不同的公司代碼下。用戶具有了事務(wù)代碼的執(zhí)行權(quán)限和相應(yīng)的組織操作權(quán)限后，系統(tǒng)根據(jù)權(quán)限對象進一步控制相應(yīng)操作，如，增加、修改、刪除等。因此，必須對每一個授權(quán)對象進行具體設(shè)置，以完成權(quán)限的最終控制。

四是，建立起清晰的用戶崗位職責(zé)體系，保證用戶崗位職責(zé)劃分合理、有序、無沖突，業(yè)務(wù)處理權(quán)限無互斥。若在ERP系統(tǒng)中按照“一人一崗”的原則對用戶賬號、權(quán)限申請及權(quán)限分配進行管理，可快速、高效地解決用戶權(quán)限授權(quán)混亂和角色互斥嚴重的現(xiàn)狀。事實上，在企業(yè)不斷追求管理精細化、扁平化，以及人力資源成本最小化、效益最大化的情況下，“一人多崗”的現(xiàn)象非常普遍，用戶的崗位職責(zé)沖突、業(yè)務(wù)處理權(quán)限互斥的現(xiàn)象不可避免。因此，若沒有清晰的崗位職責(zé)體系，則無法保證用戶在工作崗位職責(zé)方面劃分合理、合規(guī)，最終將導(dǎo)致用戶權(quán)限分配失控，管理混亂。

五是，ERP系統(tǒng)應(yīng)用部門和權(quán)限管理部門，要與人事管理部門建立起有效的溝通協(xié)調(diào)體系，形成暢通的用戶信息反饋機制。ERP系統(tǒng)用戶賬號與用戶實際崗位相對應(yīng)，用戶的崗位和業(yè)務(wù)職責(zé)決定了其賬號在系統(tǒng)中應(yīng)分配的角色和權(quán)限。因此，業(yè)務(wù)部門與人事管理部門需要建立起有效的溝通協(xié)調(diào)體系和信息反饋機制，在人員崗位和職責(zé)分工調(diào)整時，人事管理部門要及時將相關(guān)信息反饋到業(yè)務(wù)部門和權(quán)限管理部門，以便業(yè)務(wù)部門和權(quán)限管理部門能迅速作出反應(yīng)，及時對用戶ID進行撤銷、凍結(jié)，或者對用戶權(quán)限進行變更或刪除，以保證系統(tǒng)運營風(fēng)險最小化。

六是，按照ERP系統(tǒng)內(nèi)部控制規(guī)范，定期開展ERP系統(tǒng)賬號梳理，提升賬號有效利用率。ERP系統(tǒng)用戶賬號管理是權(quán)限管理工作中最基礎(chǔ)的工作。要做好ERP系統(tǒng)權(quán)限管理工作，保證管理程序上清晰、規(guī)范，首先要做好賬號管理的規(guī)范。因此，按照 ERP系統(tǒng)內(nèi)部控制規(guī)范，定期開展ERP系統(tǒng)賬號梳理，提升賬號有效利用率是非常必要的。

七是，內(nèi)控管理部門介入ERP系統(tǒng)權(quán)限管理，從內(nèi)控管理制度層面上控制ERP系統(tǒng)授權(quán)管理。內(nèi)控管理部門是ERP系統(tǒng)內(nèi)控管理工作的業(yè)務(wù)指導(dǎo)部門，在ERP系統(tǒng)運維業(yè)務(wù)上，內(nèi)控管理部門具有協(xié)助職責(zé)。但是，按照目前的 ERP系統(tǒng)運維管理現(xiàn)狀，內(nèi)控部門基本上脫離了ERP系統(tǒng)的運維工作，往往在內(nèi)控測試檢查出問題后，再要求執(zhí)行部門去整改。因此，內(nèi)控管理部門應(yīng)履行協(xié)助職責(zé)，真正參與ERP系統(tǒng)權(quán)限的管理。

6 結(jié)語

ERP系統(tǒng)的內(nèi)部控制工作，對企業(yè)內(nèi)部控制工作的成效影響較大，若ERP系統(tǒng)權(quán)限管理失控，將對內(nèi)控工作造成嚴重的負面影響，同時，也給企業(yè)經(jīng)營帶來重大的安全風(fēng)險。

ERP系統(tǒng)的內(nèi)控工作要堅持以業(yè)務(wù)為驅(qū)動、最小化授權(quán)為準則，優(yōu)先進行權(quán)限測試，從而真正做到合理分配用戶操作權(quán)限和限制用戶操作范圍，以保證系統(tǒng)的安全性及數(shù)據(jù)的完整性。

[1] 李輝，張蓉，邱露.信息系統(tǒng)控制在 ERP系統(tǒng)實施過程中的應(yīng)用研究[J].計算機科學(xué)，2012，39(10)：135-138.

[2] 張震，張巍鐘.ERP系統(tǒng)權(quán)限管理[J].中國管理信息化，2012，15(3)： 53-54.

[3] 季紅巖.SAP物料管理模塊權(quán)限的實施與研究[J].電大理工，2012(3)： 13-14.

[4] 靳誼，蘭鳳霞，譚鵬云，等.SAP系統(tǒng)在生產(chǎn)計劃管理中的應(yīng)用[J].河南冶金，2012，20(1)： 54-56.

[5] 周陽，郭順生.細粒度 RBAC模型在 ERP權(quán)限管理中的研究與應(yīng)用[J].機械制造，2009，47(10)： 13-15.

[6] 楊報麗，趙海濤，陳酥政，等.應(yīng)用 ARIS業(yè)務(wù)管理系統(tǒng)對企業(yè)業(yè)務(wù)流程的整合[J].甘肅科技，2010，26(19)： 28-30.