基于大數(shù)據(jù)平臺下的SAP系統(tǒng)權(quán)限風(fēng)險管控

萬永紅

摘要：根據(jù)客戶需求，通過信息化系統(tǒng)自動管控，按崗位職責(zé)固化該崗位的系統(tǒng)事務(wù)權(quán)限，以實現(xiàn)不相容崗位職責(zé)分離機制，明確上級部門或人員對其應(yīng)采取的監(jiān)督措施和應(yīng)負的監(jiān)督責(zé)任。信息系統(tǒng)控制機制建立，充分利用公司信息系統(tǒng)，促進信息系統(tǒng)與財務(wù)內(nèi)部控制流程的有機結(jié)合，崗位職責(zé)與系統(tǒng)權(quán)限自動匹配，建立更為健全、有效的內(nèi)部控制體系，提升權(quán)限管控的自動化管理水平。

關(guān)鍵詞：大數(shù)據(jù);SAP系統(tǒng);不相容職責(zé)分離;內(nèi)部控制;風(fēng)險管控

一、業(yè)務(wù)背景

SAP系統(tǒng)中權(quán)限管理尤其重要，權(quán)限管理科學(xué)、規(guī)范，是系統(tǒng)安全運行的有力保證。SAP 系統(tǒng)中，業(yè)務(wù)人員能否行使其職責(zé)范圍內(nèi)的系統(tǒng)操作是由權(quán)限來控制的，用戶權(quán)限管理的規(guī)范化，能有效的保障SAP 系統(tǒng)各個業(yè)務(wù)流程的正常運行。在業(yè)務(wù)需求中所涉及的詳細程度及與業(yè)務(wù)崗位的匹配程度直接影響到權(quán)限設(shè)計，而最終用戶是權(quán)限的直接使用者，在權(quán)限設(shè)計的過程中，權(quán)限管理人員根據(jù)業(yè)務(wù)流程需要確定最終用戶的崗位職責(zé)、明確業(yè)務(wù)操作以及結(jié)果，最終分配給用戶相應(yīng)的業(yè)務(wù)權(quán)限。[1]

客戶A系本公司長期服務(wù)的客戶，SAP系統(tǒng)是客戶A的核心業(yè)務(wù)系統(tǒng)，貫穿整個公司的財務(wù)、銷售、采購、設(shè)備管理、項目管理、人資管理等各管理環(huán)節(jié)，SAP系統(tǒng)上線初期，公司更為關(guān)注系統(tǒng)的流程設(shè)計、系統(tǒng)的穩(wěn)定運行等目標(biāo)，其中權(quán)限設(shè)計方面沒有得到更多的關(guān)注，系統(tǒng)權(quán)限沒有結(jié)合實際管理業(yè)務(wù)，沒有實現(xiàn)不相容崗位職責(zé)的分離，權(quán)限設(shè)計方面存在問題，不符合內(nèi)部管理控制規(guī)范，存在內(nèi)控風(fēng)險。為此，本著客戶的公司財務(wù)風(fēng)險管控要求，針對 SAP 系統(tǒng)的權(quán)限進行了架構(gòu)重新搭建和不相容性崗位的整合。

二、客戶系統(tǒng)權(quán)限管理現(xiàn)狀及企業(yè)內(nèi)控要求

（一）客戶A 的SAP系統(tǒng)權(quán)限管理現(xiàn)狀

目前SAP系統(tǒng)權(quán)限角色設(shè)計，按財務(wù)、項目管理、設(shè)備管理、物資管理、人資各模塊子功能線建立權(quán)限角色，權(quán)限角色為一系列相關(guān)事務(wù)的集合，每個子功能的操作與查詢事務(wù)通常合在一個權(quán)限角色，未分開建立權(quán)限角色，操作與查詢事務(wù)權(quán)限無法分開進行賦權(quán)。

1.基于目前的系統(tǒng)權(quán)限設(shè)計，無法按員工崗位職責(zé)分配系統(tǒng)權(quán)限，系統(tǒng)所分配權(quán)限通常大于本崗位職責(zé)所需要的權(quán)限，不相容崗位職責(zé)無法進行分離;

2.員工系統(tǒng)權(quán)限申請缺乏有效管理工具及嚴(yán)謹?shù)膶徍藱C制：申請方式通過填寫紙質(zhì)單據(jù)，OA發(fā)送申請，申請審批環(huán)節(jié)不夠嚴(yán)謹;審批流程均為線下，審批時間較長，效率低下，運維人員見單操作賦權(quán)，無法辨別紙質(zhì)申請單的真?zhèn)?，整個權(quán)限管理流于形式;

3.財務(wù)信息系統(tǒng)管理缺乏剛性：財務(wù)的不相容崗位分離制度，未在系統(tǒng)中進行強制約束。

（二）客戶A公司內(nèi)控要求

客戶A公司2018年《公司全面風(fēng)險管理與內(nèi)部控制管理辦法》規(guī)定：1）法人授權(quán)、合同授權(quán)、資金分級授權(quán)等授權(quán)審批機制需要建立，防止任何組織或個人做出超越授權(quán)的風(fēng)險性決定。2）崗位設(shè)置遵循內(nèi)部寄制制度，做到不相容崗位職責(zé)分離，對重要崗位設(shè)置A、B崗、雙職、雙責(zé)，相互牽制制約，明確該崗位的上級部門或人員的職責(zé)，以及對其應(yīng)采取的監(jiān)督措施和應(yīng)負的監(jiān)督責(zé)任。

因此，建立一套符合客戶公司內(nèi)控的權(quán)限角色勢在必行。當(dāng)前客戶ERP系統(tǒng)權(quán)限管理無法滿足企業(yè)內(nèi)部控制管理需求，內(nèi)部控制存在一定的風(fēng)險，需要對系統(tǒng)權(quán)限功能進行整改。

三、按客戶單位崗位職責(zé)重新構(gòu)建設(shè)計系統(tǒng)權(quán)限

（一）根據(jù)客戶需求，確定系統(tǒng)實現(xiàn)方案。按崗位職責(zé)梳理每個崗位對應(yīng)的SAP系統(tǒng)權(quán)限，將每個崗位的權(quán)限標(biāo)準(zhǔn)化，在系統(tǒng)中按崗位建立權(quán)限角色，并且建立系統(tǒng)功能事務(wù)的新增審批機制，嚴(yán)格管控每個崗位的權(quán)限，職責(zé)與權(quán)限相匹配，打破目前系統(tǒng)中按各子功能建立權(quán)限角色的格局，避免用戶系統(tǒng)賦權(quán)大于本身崗位職責(zé)的現(xiàn)象。用戶權(quán)限申請實現(xiàn)線上工作流審批，記錄用戶崗位工作交接及輪崗記錄日志，在審批平臺上能有據(jù)可查。

（二）進行客戶調(diào)研，調(diào)研單位的各部門崗位設(shè)置情況、各崗位所對應(yīng)的工作內(nèi)容，首先確認梳理職責(zé)不相容的崗位，明確各個機構(gòu)與崗位的職責(zé)與權(quán)限，形成不相容崗位與職責(zé)之間能夠相互監(jiān)督、相互制約的制衡機制。根據(jù)工作內(nèi)容確定所對應(yīng)的系統(tǒng)事務(wù)，結(jié)合SAP系統(tǒng)各功能標(biāo)準(zhǔn)事務(wù)，整理崗位職責(zé)與系統(tǒng)權(quán)限匹配的對應(yīng)表，最后按各單位崗位配置關(guān)系，結(jié)合不相容崗位要求，梳理信息系統(tǒng)權(quán)限，形成權(quán)限配置表最終稿，得到客戶的確認。

（三）創(chuàng)建系統(tǒng)權(quán)限角色并分配用戶權(quán)限，根據(jù)調(diào)研環(huán)節(jié)客戶確認好的權(quán)限配置表，在系統(tǒng)中按崗位進行權(quán)限角色設(shè)計，權(quán)限角色設(shè)計采用通用角色繼承到本地角色的方式進行創(chuàng)建，按片區(qū)設(shè)計一個總的通用角色，各市、縣公司繼承本片區(qū)通用角色建立本地角色，按照既定的角色命名規(guī)則對各崗位角色進行命名，以利于后期的平臺權(quán)限自動化管理。

權(quán)限角色建好后，在SAP系統(tǒng)開發(fā)環(huán)境與測試環(huán)境進行測試，對測試用戶賦予新權(quán)限角色進行一一測試，測試檢查權(quán)限是否滿足各崗位的功能，同時也檢查權(quán)限是否過大，反復(fù)測試無誤后傳到生產(chǎn)環(huán)境。將已設(shè)計好的崗位權(quán)限角色提供各單位，收集各單位提供的崗位用戶分配清單，PFCG對應(yīng)崗位權(quán)限角色，對用戶進行批量維護權(quán)限。

（四）項目成果：本項目第一階段完成了客戶A10家子公司的財務(wù)崗位權(quán)限角色，共創(chuàng)建了430個財務(wù)角色。財務(wù)崗位共有18個操作性質(zhì)的崗位角色，針對這個18個崗位編寫配套的崗位指導(dǎo)書，崗位指導(dǎo)書的內(nèi)容包括該崗位的業(yè)務(wù)指導(dǎo)以及系統(tǒng)所賦予的事務(wù)操作指導(dǎo)，對用戶起到一定的指引作用。

（五）分步實施，全省各業(yè)務(wù)線推廣：后續(xù)將在全省范圍內(nèi)推廣所有單位財務(wù)線按崗位職責(zé)配置權(quán)限，其次再實現(xiàn)其他業(yè)務(wù)線崗位職責(zé)與系統(tǒng)權(quán)限相匹配的全面整改。

四、依托大數(shù)據(jù)工作流技術(shù)建立系統(tǒng)財務(wù)權(quán)限管理平臺

大數(shù)據(jù)、云計算的不斷發(fā)展，引發(fā)了企業(yè)財務(wù)內(nèi)部控制變革。當(dāng)前，企業(yè)借助大數(shù)據(jù)技術(shù)，提供給企業(yè)財務(wù)人員較多的相關(guān)數(shù)據(jù)，保證財務(wù)數(shù)據(jù)準(zhǔn)確無誤，進而使有關(guān)財務(wù)的工作可以有效開展。[2]

基于客戶A全業(yè)務(wù)數(shù)據(jù)中心開發(fā)服務(wù)窗口平臺，采用大數(shù)據(jù)技術(shù)集成ERP系統(tǒng)，設(shè)置權(quán)限申請工作流及崗位權(quán)限查詢報表，實現(xiàn)權(quán)限申請單的線上填寫提交、審批，支持佐證材料等附件的掛接、查看。審批界面友好直觀，審批日志完整可追溯，審批通過后自動完成ERP系統(tǒng)用戶賬號新建及權(quán)限維護。

（一）在大數(shù)據(jù)平臺固化財務(wù)崗位權(quán)限配置

依據(jù)標(biāo)準(zhǔn)崗位權(quán)限配置表，對財務(wù)崗位權(quán)限進行固化，保障了什么職責(zé)有權(quán)干什么事的內(nèi)控要求。

（二）建立權(quán)限在線申請流程

新建用戶賬號的流程由人資部審批后再經(jīng)財務(wù)部、信息通信部三級節(jié)點審批;不需新建用戶賬號只分配權(quán)限的流程只需財務(wù)部和信息通信部兩級審批，審批節(jié)點及人員可靈活配置。新建賬號經(jīng)過人資部門審批時，系統(tǒng)自動校驗人資主數(shù)據(jù)的完整性，人事主數(shù)據(jù)不完整流程無法審批通過。

（三）后臺設(shè)定不相容崗位規(guī)則，申請人申請權(quán)限涉及到不相容崗位，審批環(huán)節(jié)系統(tǒng)進行自動校驗，提示存在不相容崗位權(quán)限申請，審批人予以拒絕退回。

五、建設(shè)成效

系統(tǒng)嚴(yán)格按照不相容崗位職責(zé)設(shè)計權(quán)限角色，設(shè)置的崗位權(quán)限不交叉，不重疊，不同時賦權(quán)于同一人。針對某些子公司財務(wù)人手不足，有些子公司未配置副主任，財務(wù)部副主任兼任其他崗位，財務(wù)人員基本都是一人多崗等情況，按照本項目梳理的不相容崗位清單，根據(jù)新配置的崗位權(quán)限角色，嚴(yán)格按要求保持財務(wù)部主任、出納工作的獨立性，合理配置資金管理崗，確保了不相容崗位符合《公司全面風(fēng)險管理與內(nèi)部控制管理辦法》等有關(guān)規(guī)定。

權(quán)限維護審批流程轉(zhuǎn)為線上審批，系統(tǒng)自動賦權(quán)，體現(xiàn)了高效性與先進性，風(fēng)險可控，同時也大大提高了系統(tǒng)運維人員的工作效率。

參考文獻：

[1]周茜.ERP 大集中權(quán)限的設(shè)計及維護[J].計算機工程應(yīng)用技術(shù)，2017 （16）：69-71+81.

[2]毛松英.基于制造業(yè)企業(yè)的內(nèi)部控制管理分析[J].中國市場，2019 （08）：126-127.