SAP系统实施权限治理方案
一般ERP系统上线后权限管理现状
ERP系统的权限管理依赖于其自身的复杂授权体系,用户账号通过分配角色、事务代码和授权对象在系统中获得权限;同时,对于ERP项目的权限管理也要关注职责互斥的分离,即拥有冲突权限的职责不能由一个用户完成,对于存在的职责互斥不能分离的现状,需要寻找补偿性控制以减少舞弊事件发生的可能;因此,ERP及相关外围系统的权限治理主要是以职责互斥为基础的角色治理和用户权限治理。
角色数据
通过对ERP及相关外围系统中角色管理现状进行了调研,了解现有系统的角色应用情况、角色命名规范、角色变更管理、角色变更过程中的风险分析、业务活动与系统角色的对应关系等方面的内容。
基于对ERP等系统权限数据的初步分析,一般存在如下五点问题:
- 未使用角色比例过高(大于10%以上)。由于组织机构调整,往往需要新派生一套角色满足新的需求,而旧角色没有及时删除;
- 根角色建立标准。在不同单位下根角色所包含事务代码不完全一样,意味着没有在集团层面进行角色标准化设计,部分单位角色设计自成体系;
- 现有角色数量庞大,给最终用户带来挑战,从众多角色选择出自己合适的角色非常困难;
- 给内控工作造成困难,作为职责互斥检查的数据源,导致职责互斥检查工作量巨大,给企业带来风险;
- 给运维人员造成困难,角色数量大,又缺乏有效的职责分离事前检查工具,难以有效防范权限互斥风险的发生。
权限治理存在的风险
通过对ERP系统职责互斥规则的调研可以了解到,可以结合内部控制和外部审计的要求,建立职责互斥的规则,但是一般缺乏职责互斥检查工具,在用户授权过程中,没有工具能够在既定的互斥规则下,检查用户角色互斥,从而避免将互斥权限授予同一个用户。权限治理工作量巨大,在AMS-R产品没有上线时,没有标准的检查工具协助业务顾问进行角色的整改,目前来看,如果在项目实施过程中着手进行权限治理,可能会存在如下风险。
- 没有权限治理工具协助下进行角色治理,可能存在治理不彻底,导致反复整改的困境;
- 影响业务,在治理过程中,如果对用户的角色进行清理,有可能导致用户实际操作中,原有的事务代码不能使用,导致业务操作中断、失效,导致系统数据不及时,不准确;
- 职责互斥规则库的建立不合理或颗粒度过细会影响项目进度,在项目进行过程中,职责互斥规则的确定是治理的关键,如果规则库设计不完善,反复修订,那么根据规则库整改的角色要不断整改,增加了工作量和整改的难度;同时,职责互斥规则又是一个不断完善的过程,根据企业管理管理水平逐步增加和强化的过程,因此在角色设计中要兼顾未来治理的需要;
- 每个用户只能分配312个profile,由于SAP版本限制,分配给单个用户且能被有效读取的参数文件数量最多不能超过312个,如果系统中已经存在用户分配参数文件较多的情况,通过角色拆分后,很可能造成单个用户参数文件数量超过312个;
- 有可能需要新增用户,为了消除用户的职责互斥,可能需要新建新用户来接替现有用户的部分权限(职责互斥的部分权限),增加系统中的用户数量。
权限治理对GRC项目的影响
AMS-R产品是权限治理的工具,能提供权限治理的依据,权限治理的效果完全依赖于该系统的实施结果;根据系统的检查结果进行权限治理,是不断发现问题,改进问题和持续监督的渐进过程,因此如果前期不进行权限数据的清洗和治理,可能会对AMS-R项目本身产生影响。
- 影响项目质量,如果没有AMS-R系统协助进行权限治理,单纯依赖ERP业务顾问的经验,在面对复杂的ERP授权体系时,难免产生遗漏;影响项目的进度,如果等待AMS-R系统上线后进行权限治理,有可能发现的职责互斥问题数量巨大,整改时间过长,项目整改难度大,导致不能按期交付;针对上述风险,我们预先进行AC模块的应用,在AMS-R项目上线前进行权限治理工作,保证项目如期交付;
- 职责互斥规则的制定影响项目整改难度,职责互斥规则不合理或颗粒度过细都会影响到整改的进度和结果,会直接导致项目交付困难,因此和业务部门进行职责互斥规则的确认使其符合企业的实际情况非常重要;我们将设计符合内外部合规要求和符合企业实际情况的职责互斥规则,在AC模块使用时,提供职责互斥规则作为治理的前提条件。
权限治理建议
权限治理是根据内外部合规要求对现有的用户权限进行梳理,确保用户的实际权限符合其业务活动需要,同时也要保证职责互斥有效分离,减少舞弊事件发生的可能。
针对ERP及相关外围系统,可以使用AC模块在项目实施过程中进行权限治理,以便在项目交付后减少用户权限治理工作量。
治理前提
权限治理是以职责互斥为基础开展的,通过确定业务流程之间存在的风险区域,在模块内和跨模块/系统之间,制定职责互斥规则,并将职责互斥规则配置到AMS-R系统中,通过运行程序获得检查报告,并根据报告进行针对性的权限整改。
- 职责互斥规则 职责互斥规则是AMS-R系统运转的基础,必须将规则库配置到系统中,才能运行出检查报告,是权限治理的依据。规则库需要业务部门和内控审计部共同确定,要尽量保证规则库的完整性和适用性,在ERP模块内和跨模块的职责互斥需要兼顾,同时兼顾企业的管理现状,既要符合监管要求,又要避免颗粒度过细,造成项目整改难度过大难以推进。
- 系统配置 通过配置AMS-R系统访问控制模块中的AC模块,将收集的职责互斥规则通过技术转换,最终配置到AMS-R系统中,建立起业务活动、事务代码和关键权限对象之间关系,通过后台作业将被管控系统中的权限数据同步到AMS-R系统中后,运行SOD报告,自动识别角色自身和角色间存在的互斥问题。
治理方法
通过对SOD报告结果的分析,找出存在职责互斥的问题,结合所定义的职责互斥检查规则,分析原因,为权限治理提供整改依据。
权限治理包括角色自身存在互斥(角色治理)和角色间存在互斥(权限治理)两种情况,整改的方法首先通过角色治理去除角色自身存在互斥问题,再通过权限治理去除角色间存在互斥的问题。
1.角色治理
角色自身的互斥通过角色拆分实现,将原有角色中赋予过多的事务代码重新分配到其他角色上,如新建角色或利用原有事务代码关联的角色。
- 角色拆分,对于发现存在职责互斥的角色进行拆分,保证职责互斥消除在角色级;如原有角色A拆分成新角色A1和A2…An,原有角色A设置有效期并暂时保留,确保用户权限顺利切换,如果切换后出现问题,可以随时恢复到原来授权状态;在角色拆分过程中,对于存在职责互斥问题的用户,ERP运维团队的业务顾问可根据经验判断是否可以剔除某个角色,如角色拆分后将角色A1授予用户;如果能根据业务活动确定用户不需要A2角色,可以直接剔除,这样处理的优点是在角色治理过程中缩小了用户的权限,同时能保证在权限治理时,减少工作量;如果用户确实需要职责互斥的两个角色,将在权限治理添加补偿控制。
- 角色重建,在治理过程中,原有角色不满足职责互斥要求时,需根据角色命名规范建立新的角色;新建角色配置事务代码并将新建角色分配给用户;
- 角色删除,根据前期调研,未使用角色比例过高,评估这部分角色,如果确定为无用途的角色,应该从生产系统中删除。
2.权限治理
权限治理是是用户存在角色间的职责互斥,即用户被赋予了两个职责互斥的事务代码导致职责互斥,需要根据用户的实际业务活动确定是否剔除掉职责互斥的部分事务代码;对于权限治理需要确定存在职责互斥的用户是否需要互斥权限,如果需要,通过维护补偿规则。
- 角色间的职责互斥,需要分析用户实际操作的业务活动,与对应角色的事务代码是否一致;对于存在职责互斥的事务代码,如实际工作不需要,即可剔除该事务代码对应的角色;如用户需要职责互斥的事务代码进行业务操作,需要维护补偿规则。
- 角色间的职责互斥的用户权限治理还需要考虑跨模块业务操作的职责互斥,根据职责互斥规则,对于跨模块的事务代码进行检查,整改方法相同。
- 补偿规则,ERP运维团队的业务顾问在梳理用户权限过程中,如果发现由于业务需要导致用户同时拥有职责互斥的权限,需要填写职责互斥补偿控制模板,逐级审批后交与团队维护到系统中。
整改步骤
整改以各个模块为基础,分别进行角色治理,确定整改实施方案后,制定整改计划,控制项目整改的时间,保证项目质量的同时兼顾时间进度,具体的内容参考2.4 组织形式;
1.上线前整改
集中整改可以按照AMS-R上线前整改、上线后整改两个个阶段进行;在上线前的整改可以考虑按照先单一模块整改为样本,后统一整改的方法;根据单一模块整改后的效果,确定和优化其他模块的整改方法,避免了统一整改发现问题难以及时解决,导致整改进度慢,整改效果不佳的困境。
- 以XX模块试点,根据AMS-R系统发现的问题,由ERP运维团队顾问和各单位ERP运维人员,按照先角色治理,再权限治理的整改方案(参考2.2治理方法),制定整改计划,对涉及到的各家公司进行集中整改,整改后总结经验,推广到其他模块;
- 集中整改,其他模块(FICO、PP、TR、PS、PM、WM、HR、MM)等,按照XX模块的经验,完成GRC系统上线前集中整改;一般项目主要的工作都在集中整改阶段,必须引起足够的重视;
- 角色治理用户测试,角色治理过程中,所有角色的拆分工作在开发系统中进行,用户的接受性测试工作在测试系统中进行,拆分、测试完成后保证用户权限与原有权限一致,即原有角色的功能不变;
- 角色治理后权限切换,针对整改方案所制定的策略,角色治理测试完成后,统一传输至生产系统,进行用户权限的切换工作,具体切换过程如下,参照下图中所示的原有互斥角色A和拆分后的角色A1,A2的对应关系,对于已分配给用户的、存在职责互斥的原有角色A,在权限切换时,通过更改互斥角色的有效期,同时将拆分后的角色A1、A2同时分配给原有的用户,以保证用户权限切换的平滑过渡,权限切换完成后,新旧权限同时保留的时间周期为一个月,权限切换后一个月,将删除原有的互斥角色A的用户分配,删除用户分配后一个月,将原有互斥角色A从系统中删除:
- 权限治理,在权限治理过程中,对于用户存在职责互斥的角色,按照业务部门确认的授权数据直接在生产环境进行剔除无关角色,用户的权限在剔除后满足业务操作需要,剔除后通知业务用户进行整改后权限检查,如满足业务需要即视为整改完毕;
- 整理其他外围系统的SOD矩阵,按照上述方法逐步进行外围系统权限整改权限,一般外围系统权限结构相对于ERP来说比较简单,其权限治理依赖于系统集成的结果,待其他外围系统与集成后逐个进行治理,治理的主要步骤参考ERP系统。
2. 系统上线后整改
系统上线后,运行报表检查职责互斥规则和用户授权情况分析,根据发现的问题继续整改,第二阶段的整改工作基本上是在前期整改的基础上完成,对于第一阶段遗留问题,可以统一制定第二阶段的整改计划和目标,进行持续整改,整改的方法和步骤都可以参照上线前整改方法。
参考案例
根据以往的经验,进行用户权限治理难度大,周期长;各企业根据自己实际情况,采用不同的治理方法,经过集中治理和后续持续改进,都取得一定的效果。
- 某大型冶炼型上市公司,通过1.5年的权限治理工作,梳理出1600个标准岗位,初步的结果如下:
- 某大型电子消费类产品上市公司,通过1.2年的权限治理工作,公司未建立标准化岗位,根据系统发现的问题进行整改,梳理用户4000多个,初步的结果如下: