基于大数据平台下的SAP系统权限风险管控.docxVIP

基于大数据平台下的SAP系统权限风险管控 摘要：根据客户需求，通过信息化系统自动管控，按岗位职责固化该岗位的系统事务权限，以实现不相容岗位职责分离机制，明确上级部门或人员对其应采取的监督措施和应负的监督责任。信息系统控制机制建立，充分利用公司信息系统，促进信息系统与财务内部控制流程的有机结合，岗位职责与系统权限自动匹配，建立更为健全、有效的内部控制体系，提升权限管控的自动化管理水平。 关键词：大数据;sap系统;不相容职责分离;内部控制;风险管控 一、业务背景 sap系统中权限管理尤其重要，权限管理科学、规范，是系统安全运行的有力保证。sap系统中，业务人员能否行使其职责范围内的系统操作是由权限来控制的，用户权限管理的规范化，能有效的保障sap系统各个业务流程的正常运行。在业务需求中所涉及的详细程度及与业务岗位的匹配程度直接影响到权限设计，而最终用户是权限的直接使用者，在权限设计的过程中，权限管理人员根据业务流程需要确定最终用户的岗位职责、明确业务操作以及结果，最终分配给用户相应的业务权限。[1] 客户a系本公司长期服务的客户，sap系统就是客户a的核心业务系统，横跨整个公司的财务、销售、订货、设备管理、项目管理、人资管理等各管理环节，sap系统上线初期，公司更为高度关注系统的流程设计、系统的平衡运转等目标，其中权限设计方面没获得更多的高度关注，系统权限没结合实际管理业务，没同时实现不相容岗位职责的拆分，权限设计方面存有问题，不合乎内部管理控制规范，存有内控风险。为此，本着客户的公司财务风险管控建议，针对sap系统的权限展开了架构再次构建和不相容性岗位的资源整合。 二、客户系统权限管理现状及企业内控要求 （一）客户a的sap系统权限管理现状 目前sap系统权限角色设计，按财务、项目管理、设备管理、物资管理、人资各模块子功能线建立权限角色，权限角色为一系列相关事务的集合，每个子功能的操作与查询事务通常合在一个权限角色，未分开建立权限角色，操作与查询事务权限无法分开进行赋权。 1.基于目前的系统权限设计，无法按员工岗位职责分配系统权限，系统所分配权限通常大于本岗位职责所须要的权限，不相容岗位职责无法展开拆分; 2.员工系统权限申请缺乏有效管理工具及严谨的审核机制：申请方式通过填写纸质单据，oa发送申请，申请审批环节不够严谨;审批流程均为线下，审批时间较长，效率低下，运维人员见单操作赋权，无法辨别纸质申请单的真伪，整个权限管理流于形式; 3.财务信息系统管理缺少刚性：财务的不相容岗位拆分制度，未在系统中展开强制性约束。 （二）客户a公司内控要求 客户a公司2018年《公司全面風险管理与内部掌控管理办法》规定：1）法人许可、合约许可、资金分级许可等许可审核机制须要创建，避免任何非政府或个人作出打破许可的风险性同意。2）岗位设置遵从内部寄制制度，努力做到不相容岗位职责拆分，对关键岗位设置a、b岗、双职、双责，相互压制制约，明晰该岗位的上级部门或人员的职责，以及对其应当实行的监督措施和负有的监督责任。 因此，建立一套符合客户公司内控的权限角色势在必行。当前客户erp系统权限管理无法满足企业内部控制管理需求，内部控制存在一定的风险，需要对系统权限功能进行整改。 三、按客户单位岗位职责再次构筑设计系统权限 （一）根据客户需求，确定系统实现方案。按岗位职责梳理每个岗位对应的sap系统权限，将每个岗位的权限标准化，在系统中按岗位建立权限角色，并且建立系统功能事务的新增审批机制，严格管控每个岗位的权限，职责与权限相匹配，打破目前系统中按各子功能建立权限角色的格局，避免用户系统赋权大于本身岗位职责的现象。用户权限申请实现线上工作流审批，记录用户岗位工作交接及轮岗记录日志，在审批平台上能有据可查。 （二）展开客户调研，调研单位的各部门岗位设置情况、各岗位所对应的工作内容，首先证实剖析职责不相容的岗位，明晰各个机构与岗位的职责与权限，构成不相容岗位与职责之间能相互监督、相互制约的分权机制。根据工作内容确认所对应的系统事务，融合sap系统各功能标准事务，整理岗位职责与系统权限相匹配的对应表中，最后按各单位岗位布局关系，融合不相容岗位建议，剖析信息系统权限，构成权限布局表中最终稿，获得客户的证实。 （三）创建系统权限角色并分配用户权限，根据调研环节客户确认好的权限配置表，在系统中按岗位进行权限角色设计，权限角色设计采用通用角色继承到本地角色的方式进行创建，按片区设计一个总的通用角色，各市、县公司继承本片区通用角色建立本地角色，按照既定的角色命名规则对各岗位角色进行命名，以利于后期的平台权限自动化管理。 权限角