摘要:作为国家电网公司信息化建设及应用的核心组成部分,ERP系统在公司生产经营管理中发挥着重要作用。随着国家电网公司ERP系统建设的不断推进和应用的逐步深化,ERP系统运行维护工作的重要性日益突显。
关键词:SAP- ERP;合同管理;项目计划;
通过用户分组、权限控制以及相应的管理流程和审计功能对系统中各类用户和权限进行严格管理和控制,从而达到在为授权用户提供尽可能方便、同时保障重要数据和敏感信息安全的目的。
一、SAP系统内部权限控制常见问题
1.权限设计及管控要点。企业在使用SAP信息管理系统进行内部控制时,应当采取将系统与人工相结合的方式,利用人工对系统的运行进行分工。根据系统流程建立岗位分离和授权审批制度。首先要对各个环节的职能进行分工,从而对相应岗位的账户进行权限设置,确保不相容职务相互分离,各环节的员工都各司其职。与此同时,还应建立完善的授权审批制度,对系统中角色的变更进行审核,审核通过后才能成功变更角色。企业应将岗位分离同授权审批制度结合起来,分离创建与审批的权限,避免造成权限的失控,影响审批的真实性。
2.注重权限应用过程中的安全性要求。任何信息系统都会存在信息安全风险,如何在权限应用过程中加强安全性要求是必须考虑的问题。为了保障安全性,应做到以下几点:(1)对每个岗位职责所分配的权限加以分析和限制。例如原料采办岗员工可以拥有采购订单的创建、修改和查询权限,但不能具有采购订单审批的权限,审批权限应该控制至领导岗位。(2)重视角色的不相容性。部分权限按照审计和内控管理条例不能出现在同一岗位上,例如常见的采办和销售不能由同一岗位执行,避免造成自采自销等管控问题。(3)注重对重要权限的控制。对系统中一些重要的权限必须加以控制,例如采办审批权限、信用解锁权限、开发权限、超级用户权限等,这些权限一旦泄露,将会对企业信息安全带来巨大风险。
二、权限管理模式
随着ERP系统的运行和应用逐渐顺畅和深入,用户对系统的依赖不断加强,对业务的应用不断提高。例如,用户会不断的提出新的业务需求,对新增的业务功能点要求开通相应的功能权限等。当系统管理员面对大量增加权限的申请时,如何判断是否合理,或依据何种标准来判断。
1.最终用户权限管理模式,最终用户的权限通过需求分析、蓝图设计和差异调研后已经形成明确的岗位需求和设计依据。通过制定模板角色、本地角色和岗位角色间的对应关系表,可以很容易的找到某个岗位应该分配何种角色。并且最终用户的权限范围仅涉及业务操作,管理起来相对简单。而最终用户的创建和权限分配则通过用户变更流程来完成。
2.支持用户权限管理模式。而对于湖北公司ERP系统运维工作和项目实施并存的特殊现状,还需对系统中的支持用户进行管理。支持用户又分为顾问用户和运维用户,虽然用户量很少,但管理起来比较复杂。主要原因是此类用户的权限设计系统层面较多,如用户权限查看、程序运行检查、数据库表浏览等。如果管理不善可能会对系统或敏感信息的安全造成威胁。对于此类用户的权限分配由顾问或运维人员提出需求,如需要的权限不在角色关系对应表中,可以通过SAP提供的角色模板来设计角色。需要注意的是生产系统中应遵循权限分配最小化的原则,即赋给用户的角色应小于或刚好等于用户的权限需求,通常是将授权对象中不必要的功能屏蔽。如果用户在测试过程中发现没有权限操作,再利用事物代码SU53来追踪缺少的权限并填加。
期刊文章分类查询,尽在期刊图书馆
三、SAP信息系统下内部权限控制具体措施
1.SAP系统权限设计思路。为了便于分析介绍,本文将以中海油SAP系统权限控制为例进行讲解。SAP系统应用是以前台操作的各种各样不同TCODE所组成的,每一个TCODE都对应到一个固定的操作页面中。中海油大多单位SAP系统权限控制都采用的根角色、本地角色、岗位角色和用户账号权限分配来进行权限设计的。根角色即假定用户为实际业务岗位,其对应事务代码为该岗位相关操作的组合,即最小事务代码组合,换句话说,根角色是通过用户与事务代码的关系而生成。根角色的定位为保障某项业务操作被成功执行的最小事务代码都被包含,且能被成功执行,根据色不直接分配用户,仅作为管理模板存在于系统中。在系统创建完根角色的基础上,本地角色从根角色派生而成,本地角色仅对本地限定字段值进行设计,按不同公司实施模块及实际业务差异分别设定,保障所包含的事务代码和授权对象和根角色都保持完全一致。岗位角色则是本地角色的复合,各家公司岗位及业务职能差异较大,故需各公司分别设计。通过技术工具,利用“用户与原角色”、“原角色与本地角色”的关系,生成技术版的“用户与本地角色的最小组合单元”。在岗位角色明确之后,就可以为用户分配和其工作职责相对应岗位角色了,该环节完成后,用户便能登录系统,通过一段时间的系统应用,用户可以对自身权限进行验证是否满足需求。
2.建立严格的权限管控体系。根据SAP权限设计思路,为了保障系统稳定应用,即便在人员离职等情况下也能合理的保障系统操作权限的安全、平稳过渡,因此,必须建立高效、严密的权限管控体系。当面临员工换岗或者离职的情况,系统需要变更用户权限或是新增用户账号,这也就意味着需要进行用户权限的调整工作,这时就需要制定一个规范的权限管控流程。中海油在权限管控方面建立了严格的权限规范流程和要求,每次变更必须按照权限管控要求进行申请,在申请之前,任何权限变更都必须经过对应本人、部门领导及公司领导审批,审批签署之后才能提交工单至ITSM平台,经过权限组的安全审核之后,最终流转至权限顾问进行相应的创建工作,创建完成再下发至申请人进行测试。这种严格的权限管控体系的建立和执行,在最大程度保证了权限的合理性和系统的安全性。
四、流程及质量管控
为保证流程的流转效率和执行力,还依靠问题管理系统和Solution Manager等软件平台来进行流程闭环管理的质量控制。为每个流程制定了相应的表单,如用户账号及权限申请表、用户加解锁及密码初始化申请表、权限变更传输申请表等。同时,为规范流程中的每个节点,实行阶段控制,分级审批机制。还将用户变更类流程大致分为需求提出、需求受理、需求变更、需求测试、信息反馈等5个环节。根据每个环节节点的需求内容和审批机制来设计对应的申请表单,相应的审批通过后才能进入流程的下个环节,而所有表单的流转和管理均在Solution Manager里实现。如此一来,不但可以集中建立和管理各个流程的文档和表单,更是实现变更流程管理、控制和监督的唯一可见方式。为更好的进行流程管理,还设置管理专责进行流程管控。主要内容为:督导运维流程执行、负责资料归档、记录和管理用户投诉、定期进行满意度调查、负责用户运维工作的统计分析、提出流程优化方案。通过这些举措将管理节点前移,加强关键节点管控,实现流程精细化闭环管理。
ERP系统在企业经营、生产的运作过程中扮演着愈来愈重要的角色,任何数据、后台配置、系统参数的更改,或者企业机密、敏感信息的透露都会对整个企业的数据流、业务流和信息安全产生很大的影响。因此,对于ERP系统上线以后的用户出口一定要制定严格的策略进行管控。随着国家电网公司对信息化建设的不断深入,日益严苛的合规性要求和企业控制风险的需求,使ERP系统的用户管理日趋复杂和严格。如何结合ERP系统应用现状,积极探索适合自己的运维管理模式,是今后追求和探索的方向。
参考文献:
[1]张志鹏.SAP ERP系统用户权限实施和管理浅谈.2016.
[2]刘发武.浅谈SAP-ERP系统合同管理常见问题探讨.2017.
论文作者:朱爱霞
论文发表刊物:《基层建设》2018年第28期
论文发表时间:2018/11/14
标签:权限论文; 系统论文; 角色论文; 用户论文; 流程论文; 岗位论文; 需求论文; 《基层建设》2018年第28期论文;