二��、技術(shù)管理 ----------實(shí)現(xiàn)系統(tǒng)中的內(nèi)部控制
在項(xiàng)目團(tuán)隊(duì)中擁有既了解內(nèi)部控制監(jiān)管環(huán)境�,又深諳與SAP相關(guān)的系統(tǒng)控制設(shè)置的技術(shù)骨干是必不可少的��。不過�,在實(shí)際的SAP實(shí)施項(xiàng)目中���,絕大多數(shù)的信息安全部門�����,尤其是SAP的控制和安全團(tuán)隊(duì)�,經(jīng)常是缺少必要的人員而且工作量以及工作難度都被過低地估計(jì)了����?���?刂坪桶踩珗F(tuán)隊(duì)在項(xiàng)目中往往被忽略�����,或者甚至由不了解內(nèi)部控制的技術(shù)人員代替進(jìn)行權(quán)限的設(shè)置以及安全策略的撰寫�。這樣的直接結(jié)果就是SAP系統(tǒng)內(nèi)的控制設(shè)置不足或不符合業(yè)務(wù)流程需要,用戶權(quán)限過大而且職責(zé)沒有完全分離等等�����。當(dāng)系統(tǒng)上線����,企業(yè)管理層再發(fā)現(xiàn)SAP內(nèi)部控制問題之后,再想重新改正��,一來“勞民傷財(cái)”�����,二來“積重難返”����,很難通過內(nèi)部和外部的審計(jì)?���?梢姡瑩碛泻线m的系統(tǒng)安全人員對于SAP項(xiàng)目實(shí)施質(zhì)量控制會有多大的作用�。在項(xiàng)目過程中,控制和安全團(tuán)隊(duì)也須經(jīng)常同企業(yè)內(nèi)部審計(jì)部門就安全策略和方法進(jìn)行溝通并進(jìn)行一定的文檔撰寫和安全測試���。
當(dāng)控制和安全團(tuán)隊(duì)同利益方談?wù)揝AP權(quán)限如何實(shí)現(xiàn)以及可選的安全控制方案時(shí)��,控制和安全團(tuán)隊(duì)必須確保利益方不僅了解可能的權(quán)限限制的結(jié)果����,而且明白如果沒有設(shè)定必要的權(quán)限限制所帶來的風(fēng)險(xiǎn)以及對企業(yè)內(nèi)部控制的影響���。另外����,職責(zé)分離分析可以基于SAP角色(Role)基礎(chǔ)上����。職責(zé)分離分析可以幫助企業(yè)確定��,分析并列舉用戶訪問企業(yè)敏感區(qū)域的權(quán)限����,并且提供互相沖突的業(yè)務(wù)��。許多SAP職責(zé)分離工具已經(jīng)被開發(fā)出來用以自動地對SAP角色以及用戶權(quán)限進(jìn)行分析來提高效率并減少企業(yè)成本�。國際上較為流行的SAP職責(zé)分離工具包括Virsa及Approva等,一些企業(yè)咨詢公司如德勤開發(fā)的專有工具eQSmart也能夠很好地進(jìn)行職責(zé)分離分析�。
三、利益方管理 ---------- 溝通帶來成功
項(xiàng)目實(shí)施過程中管理好利益方�,尤其是業(yè)務(wù)用戶經(jīng)常是SAP安全有效實(shí)施中最重要但無疑也是最復(fù)雜的一環(huán)。如果控制和安全團(tuán)隊(duì)不能和業(yè)務(wù)團(tuán)隊(duì)����,技術(shù)人員以及管理層不能有效進(jìn)行溝通的話,控制和安全團(tuán)隊(duì)也不可能獲得所有的業(yè)務(wù)需求�,更不可能將這些業(yè)務(wù)需求“翻譯"成安全技術(shù)語言在系統(tǒng)內(nèi)加以實(shí)現(xiàn)。如果這樣的話���,實(shí)施的效果就要打上一個(gè)很大的折扣�,更不要提IT治理�、內(nèi)部控制和信息安全了。
從用戶的立場上來看����,控制和安全有時(shí)感覺像捆住了他們的手腳,權(quán)限的限制使得他們不能“為所欲為”地對系統(tǒng)功能進(jìn)行訪問�、修改和操作,這不難理解�����。但從內(nèi)控的立場上來看�,安全控制就是保證系統(tǒng)訪問的安全,不能讓用戶“為所欲為”�����。內(nèi)控和用戶對系統(tǒng)的方便使用一直以來都是一個(gè)相互制衡的話題�����,更多的控制當(dāng)然會限制用戶對系統(tǒng)的方便使用����,但對系統(tǒng)過于方便的使用則不利于內(nèi)控的實(shí)現(xiàn)。這就要求控制和安全團(tuán)隊(duì)能夠從實(shí)際的業(yè)務(wù)需求出發(fā)����,和業(yè)務(wù)團(tuán)隊(duì)和管理層進(jìn)行很好的溝通���,以達(dá)到用戶對內(nèi)部控制更多的理解并從實(shí)際工作中就注重提高安全和控制的意識。
SAP實(shí)施項(xiàng)目對每個(gè)企業(yè)來說都是一個(gè)綜合的龐大工程����,加強(qiáng)項(xiàng)目中安全控制,防范于未然���,才能使企業(yè)在面臨競爭時(shí)不會“千里之堤���,毀于蟻穴”,才能決勝于千里之外�。轉(zhuǎn)貼于:http://opto-elec.com.cn