用戶授權(quán)及合規(guī)性管理信息系統(tǒng)研究

信息化工程的建設(shè)在為神華帶來巨大經(jīng)濟績效的同時，也對神華的管理、協(xié)調(diào)、運營和可持續(xù)發(fā)展提出了巨大的挑戰(zhàn)。作為信息化管理的眾多內(nèi)容之一，信息系統(tǒng)用戶業(yè)務(wù)授權(quán)及合規(guī)性控制管理是其中非常重要的一個管控環(huán)節(jié)，一旦用戶業(yè)務(wù)授權(quán)存在風(fēng)險可能會出現(xiàn)多種問題，影響非常大。用戶業(yè)務(wù)授權(quán)管理關(guān)注的核心包括很多，如：用戶在系統(tǒng)內(nèi)所授予的授權(quán)是否合理（授權(quán)最小化、以崗定權(quán)、不相容業(yè)務(wù)操作是否分離）；系統(tǒng)中關(guān)鍵、敏感的操作或數(shù)據(jù)是否只能夠被限定的人員所訪問等。此外信息系統(tǒng)中用戶業(yè)務(wù)授權(quán)相關(guān)缺陷或問題也是內(nèi)外部審計機構(gòu)關(guān)注的重點，因此如何確認(rèn)用戶業(yè)務(wù)授權(quán)的合規(guī)性，加強用戶業(yè)務(wù)授權(quán)的管理，已是當(dāng)前神華面臨的重要管理課題與挑戰(zhàn)。用戶業(yè)務(wù)授權(quán)及合規(guī)性控制管理系統(tǒng)項目（以下簡稱：用戶授權(quán)及合規(guī)性系統(tǒng)項目）為神華集團用戶授權(quán)及合規(guī)性管理奠定了堅實的基礎(chǔ)。

用戶授權(quán)及合規(guī)性系統(tǒng)與實現(xiàn)

用戶授權(quán)及合規(guī)性系統(tǒng)項目根據(jù)中央巡視組、國資委、內(nèi)外部審計要求，以加強集團內(nèi)控體系建設(shè)，提升信息系統(tǒng)用戶業(yè)務(wù)授權(quán)、合規(guī)性控制的管理能力與水平，實現(xiàn)“管控系統(tǒng)化、風(fēng)控集成化、運營高效化、操作自動化”為目標(biāo)進行實施。通過本項目建設(shè)，有針對性地補充了制度流程，提高集團的整體風(fēng)險防范水平；建立了完善的集團用戶授權(quán)及合規(guī)性控制管理體系，規(guī)范各層級管理和業(yè)務(wù)人員的行為，有效防止舞弊事件發(fā)生。

在建設(shè)過程中，為提升企業(yè)信息化應(yīng)用系統(tǒng)角色的規(guī)范化管理，對現(xiàn)有管理體系進行補充和完善，使其更加標(biāo)準(zhǔn)化，更能有效防范經(jīng)營中的風(fēng)險，建立既符合內(nèi)外部審計及管理部門要求又符合集團實際的權(quán)限管理相關(guān)管控體系。

建立集團統(tǒng)一的職責(zé)互斥規(guī)則庫

根據(jù)外部監(jiān)管、審計機構(gòu)對于用戶授權(quán)及合規(guī)性的要求及職責(zé)互斥的要求，結(jié)合集團信息化應(yīng)用系統(tǒng)現(xiàn)有的業(yè)務(wù)流程，梳理了各項業(yè)務(wù)活動間職責(zé)互斥可能帶來的舞弊事件，最終設(shè)計了集團統(tǒng)一的一套職責(zé)互斥規(guī)則庫。對于業(yè)務(wù)流程中相關(guān)業(yè)務(wù)活動存在職責(zé)互斥帶來的風(fēng)險不同，在職責(zé)互斥矩陣確定了存在風(fēng)險的屬性，即高、中和低三種類型；同時，由于幾個低風(fēng)險的職責(zé)互斥權(quán)限授予同一個用戶時，可能導(dǎo)致高風(fēng)險的舞弊事件發(fā)生的可能性增大。

職責(zé)互斥規(guī)則庫是識別業(yè)務(wù)流程中是否存在的風(fēng)險的依據(jù)、是信息化應(yīng)用系統(tǒng)業(yè)務(wù)操作規(guī)范性的標(biāo)準(zhǔn)、是信息化應(yīng)用系統(tǒng)用戶權(quán)限合規(guī)性治理的基礎(chǔ)，根據(jù)內(nèi)外部監(jiān)管、審計要求及企業(yè)管理水平提升，職責(zé)互斥規(guī)則庫也需要進行相應(yīng)調(diào)整。

實現(xiàn)集團信息化應(yīng)用系統(tǒng)角色標(biāo)準(zhǔn)化

角色標(biāo)準(zhǔn)化工作是用戶權(quán)限合規(guī)性治理、業(yè)務(wù)活動體系建設(shè)工作的前提，為進一步更好地推動后續(xù)工作的開展，完成角色標(biāo)準(zhǔn)化治理工作，將10228個角色進行規(guī)范、整改。確定各應(yīng)用系統(tǒng)角色命名及描述規(guī)范、建立角色管理標(biāo)準(zhǔn)化方案、并以職責(zé)互斥和最小授權(quán)的原則為標(biāo)準(zhǔn)，確保系統(tǒng)中單個角色的權(quán)限符合其業(yè)務(wù)操作需求的同時保持規(guī)范性和標(biāo)準(zhǔn)化。

信息化應(yīng)用系統(tǒng)用戶權(quán)限治理

權(quán)限治理是以定義在合規(guī)性系統(tǒng)中的職責(zé)互斥規(guī)則庫為標(biāo)準(zhǔn)和原則開展的，通過運行風(fēng)險分析報告查詢出各信息化應(yīng)用系統(tǒng)內(nèi)及系統(tǒng)之間系統(tǒng)業(yè)務(wù)操作上存在的互斥風(fēng)險點。依照互斥分析結(jié)果中存在的風(fēng)險點，進行相應(yīng)系統(tǒng)用戶的互斥職責(zé)和敏感權(quán)限治理，確保職責(zé)互斥規(guī)則庫合規(guī)、合理、有效的實現(xiàn)管控及合規(guī)性管理目標(biāo)，滿足外部監(jiān)管機構(gòu)監(jiān)督和內(nèi)部控制管理提升的要求。

完成集團信息化應(yīng)用系統(tǒng)業(yè)務(wù)活動體系設(shè)計工作

為便于用戶申請信息化應(yīng)用系統(tǒng)權(quán)限，建立了一套統(tǒng)一的業(yè)務(wù)活動體系。該體系基于各系統(tǒng)業(yè)務(wù)流程的梳理、現(xiàn)有的技術(shù)角色，梳理出業(yè)務(wù)活動的清單，并通過合規(guī)性系統(tǒng)將其與技術(shù)角色進行關(guān)聯(lián)。方便用戶在申請授權(quán)時通過選擇業(yè)務(wù)活動在系統(tǒng)中準(zhǔn)確定位所需的本單位角色，提升權(quán)限管理效率，實現(xiàn)用戶快速、準(zhǔn)確及自動授權(quán)。

用戶業(yè)務(wù)授權(quán)及合規(guī)性管理系統(tǒng)核心功能

用戶授權(quán)及合規(guī)性系統(tǒng)通過角色標(biāo)準(zhǔn)化整改、建立職責(zé)互斥規(guī)則庫、權(quán)限治理、業(yè)務(wù)活動梳理作為項目數(shù)據(jù)標(biāo)準(zhǔn)及規(guī)范化依據(jù)，針對合規(guī)性控制管理、系統(tǒng)角色管理、用戶授權(quán)管理、緊急訪問管理這四大管理領(lǐng)域業(yè)務(wù)流程進行細(xì)分，優(yōu)化并制定出每一個業(yè)務(wù)子流程在未來系統(tǒng)產(chǎn)品中的解決方案以及所對應(yīng)的用戶類型，解決跨組織訪問、崗位角色映射等重點難點問題。其核心功能如下：

合規(guī)性控制管理

梳理被管控系統(tǒng)相關(guān)職責(zé)分離規(guī)則以及敏感訪問規(guī)則，在用戶授權(quán)及合規(guī)性管理系統(tǒng)中定義這些規(guī)則以及例外處理，報表的形式為公司管理層展現(xiàn)目前企業(yè)ERP等核心應(yīng)用系統(tǒng)中職責(zé)分離潛在的風(fēng)險，并通過其特有的模擬機制，為公司相關(guān)人員在給用戶分配權(quán)限之前提供預(yù)警（預(yù)防型控制）。對預(yù)警結(jié)果采取系統(tǒng)授權(quán)變更、手工補償控制、問題接受等不同的策略應(yīng)對，滿足用戶的授權(quán)需求，同時滿足內(nèi)外部監(jiān)管審計要求。建立起職責(zé)互斥規(guī)則庫、Basis敏感事務(wù)補償規(guī)則分配、新增補償需求、分配補償?shù)纫幌盗械木S護和管控流程，全面的保持系統(tǒng)用戶的合規(guī)性管理要求。

系統(tǒng)角色管理

對角色的詳細(xì)權(quán)限（事務(wù)代碼和授權(quán)對象的組合）進行分析，識別風(fēng)險，對風(fēng)險所產(chǎn)生的源頭進行有效的管控；對角色的命名進行有效規(guī)范，解決角色創(chuàng)建和維護過程中命名混亂的問題。在角色創(chuàng)建過程中實現(xiàn)事前風(fēng)險分析、角色命名標(biāo)準(zhǔn)化控制，保證各被管控信息化應(yīng)用系統(tǒng)角色的標(biāo)準(zhǔn)性、規(guī)范性、統(tǒng)一性。

用戶授權(quán)管理

用戶授權(quán)新建、變更、凍結(jié)、解凍、復(fù)核操作與合規(guī)性控制管理模塊緊密結(jié)合，利用該模塊中定義的職責(zé)分離控制和敏感訪問規(guī)則，在用戶申請授權(quán)階段對用戶所需要的權(quán)限集合進行分析，在第一時間為相關(guān)人員提供風(fēng)險預(yù)警。同時，在授權(quán)申請、凍結(jié)/解凍申請過程中，對于用戶跨單位、跨模塊的操作進行提醒，防止誤操作的發(fā)生，提高授權(quán)類運維管理的準(zhǔn)確性。通過針對企業(yè)用戶業(yè)務(wù)授權(quán)管理需求進行分析，提供用戶便捷、自主、快速的權(quán)限選擇方案，并在合規(guī)性系統(tǒng)予以實現(xiàn)，簡化并規(guī)范各應(yīng)用系統(tǒng)權(quán)限管理，提升運維權(quán)限管理效率，實現(xiàn)用戶快速、準(zhǔn)確、自動授權(quán)管理。

緊急訪問管理

對于需要臨時使用敏感權(quán)限的情況，可以申請使用緊急訪問，系統(tǒng)實現(xiàn)了緊急賬號訪問申請、審批、使用、監(jiān)控、復(fù)核等系統(tǒng)管控功能，在緊急賬號系統(tǒng)操作過程進行事前審核、事中監(jiān)控、事后審計。

意義與價值

用戶授權(quán)及合規(guī)性管理是解決企業(yè)信息化實施風(fēng)險防范及管理水平提升的必由之路。合規(guī)性系統(tǒng)最終實現(xiàn)了用戶業(yè)務(wù)授權(quán)及合規(guī)性管理模式的成功轉(zhuǎn)型，系統(tǒng)建立以統(tǒng)一的職責(zé)互斥規(guī)則庫管控準(zhǔn)則、標(biāo)準(zhǔn)化角色技術(shù)控制規(guī)范、定制化業(yè)務(wù)角色體系為基礎(chǔ)，并完成與企業(yè)信息化非SAP系統(tǒng)間的無縫接口，是目前國內(nèi)用戶業(yè)務(wù)授權(quán)及合規(guī)性控制管理項目中應(yīng)用系統(tǒng)功能最全面、管控系統(tǒng)范圍最廣的，可以作為行業(yè)內(nèi)、國內(nèi)各大央企的標(biāo)桿項目，并且提升企業(yè)合規(guī)性管控水平、風(fēng)險防范水平，為企業(yè)的進一步發(fā)展保駕護航。

10.3969/j.issn.1001- 8972.2016.19.001