隨著公司治理�����、內(nèi)部控制(例如目前談“薩”色變的薩班斯法案以及上海深圳證券交易所出臺的《上市公司內(nèi)部控制指引》)越來越多地被中國企業(yè)所接受并應(yīng)用�����,信息安全和風(fēng)險控制在企業(yè)信息系統(tǒng)實施項目中(如SAP實施項目)正扮演著越來越重要的角色�����。
作為全球領(lǐng)先的ERP軟件�����,SAP正在為越來越多的大中型企業(yè)所使用�����,并使企業(yè)的整個價值鏈實現(xiàn)高度自動化�����。SAP可全面覆蓋企業(yè)的業(yè)務(wù)運(yùn)作和財務(wù)處理�����,乃至提供豐富的決策支持功能。同時�����,SAP也提供了全面�����、靈活的功能/模塊來強(qiáng)化企業(yè)的內(nèi)部控制�����,使企業(yè)的所有操作均可運(yùn)作在一個高效且可控的應(yīng)用平臺上�����。正是因為SAP的龐大與復(fù)雜�����,如何實現(xiàn)相關(guān)的安全控制及數(shù)據(jù)安全往往是企業(yè)所面臨的一個巨大挑戰(zhàn)�����。
SAP系統(tǒng)控制和安全的實施不是簡單地隨著項目進(jìn)行就能夠自然而然地在系統(tǒng)里實現(xiàn)�����,這些都需要具有一定專業(yè)技能的控制和安全團(tuán)隊通過風(fēng)險評估以及設(shè)計一定的控制框架來完成�����。SAP系統(tǒng)控制和安全的實施也是企業(yè)實現(xiàn)IT治理�����、內(nèi)部控制和信息安全的必要的手段�����。評估企業(yè)是否采取足夠的IT控制方法來減少業(yè)務(wù)流程風(fēng)險也是控制和安全團(tuán)隊的一項重要任務(wù)�����。在SAP實施過程中�����,權(quán)限控制�����、系統(tǒng)配置、職責(zé)分離設(shè)置�����、數(shù)據(jù)校驗以及監(jiān)控報告都是可以采取的IT控制方法�����。
許多中國企業(yè)已經(jīng)開始在SAP實施項目中使用獨(dú)立的控制和安全團(tuán)隊致力于對系統(tǒng)安全的設(shè)計和實現(xiàn)�����。為了有效地進(jìn)行SAP系統(tǒng)控制和安全的實施�����,我們將從三個方面�����,也就是項目管理�����、技術(shù)管理及利益方(Stakeholder)管理三方面加以闡述。
一�����、項目管理——符合利益方的期望
有效的對安全和風(fēng)險控制進(jìn)行項目管理就是要站在利益方的立場上考慮問題����������?刂坪桶踩珗F(tuán)隊負(fù)責(zé)人必須清晰了解利益方重要的信息安全和控制需求�����。因此�����,對重要的利益方從內(nèi)部業(yè)務(wù)流程控制方面進(jìn)行訪談從而了解到哪些是企業(yè)需要保護(hù)的信息不失為一個直接的方法����������?刂坪桶踩珗F(tuán)隊需要保證制定的安全策略和方法來體現(xiàn)企業(yè)目前IT和業(yè)務(wù)方面的變化�����。同樣的�����,控制和安全團(tuán)隊也需要很好地和業(yè)務(wù)流程實施小組進(jìn)行緊密地合作�����。
由于企業(yè)內(nèi)部業(yè)務(wù)流程和對于信息安全的優(yōu)先度考慮不一�����,不同的利益方對于SAP信息控制和安全有著不同的期望�����。了解利益方的業(yè)務(wù)需求會讓控制和安全團(tuán)隊很好地了解項目的復(fù)雜程度以及安全實施的范圍�����,并因此有益于對控制安全設(shè)計的時間和工作量的估計。
SAP信息控制和安全�����,作為業(yè)務(wù)流程控制的“代言人”�����,使得了解業(yè)務(wù)流程成為了控制和安全團(tuán)隊的必修課。舉個例子來說,一個企業(yè)為了防止舞弊�����,設(shè)計了業(yè)務(wù)流程使得同一個用戶不能同時創(chuàng)建以及批準(zhǔn)采購訂單�����,接收入庫單�����,付款�����,以及維護(hù)供應(yīng)商主檔。為了實現(xiàn)這樣的業(yè)務(wù)流程�����,控制和安全團(tuán)隊就需要設(shè)計權(quán)限來限制這些互斥的業(yè)務(wù)操作來達(dá)到職責(zé)分離�����。對一些小的企業(yè)來說�����,做到盡善盡美的職責(zé)分離由于公司人數(shù)過少而變得不可能�����,在這種情況下�����,控制和安全團(tuán)隊就需要設(shè)計一些補(bǔ)償性控制(Compensating Control)來減少職責(zé)過于集中所帶來的風(fēng)險�����。比如說,控制和安全團(tuán)隊需要在SAP系統(tǒng)中考慮設(shè)置一定的“門檻值”�����,一旦超過這個“門檻”�����,相關(guān)的管理層就需要在用戶進(jìn)行業(yè)務(wù)操作前進(jìn)行一定的批準(zhǔn)及授權(quán)�����。職責(zé)分離在內(nèi)部控制監(jiān)管制度�����,尤其是薩班斯法案中對管理層和審計師來說都是焦點(diǎn)之所在�����。
取得高級管理層和業(yè)務(wù)所有者(一般而言是那些業(yè)務(wù)經(jīng)理)的認(rèn)同和支持是安全和風(fēng)險控制項目管理的另一個主要的方面�����。同高級管理層就SAP信息安全策略和方法進(jìn)行探討并取得他們的認(rèn)同對于建立整個SAP項目團(tuán)隊的接受度�����,所有權(quán)和責(zé)任感都是至為關(guān)鍵的�����。
二�����、技術(shù)管理——實現(xiàn)系統(tǒng)中的內(nèi)部控制
在項目團(tuán)隊中擁有既了解內(nèi)部控制監(jiān)管環(huán)境�����,又深諳與SAP相關(guān)的系統(tǒng)控制設(shè)置的技術(shù)骨干是必不可少的�����。不過�����,在實際的SAP實施項目中�����,絕大多數(shù)的信息安全部門,尤其是SAP的控制和安全團(tuán)隊�����,經(jīng)常是缺少必要的人員而且工作量以及工作難度都被過低地估計了����������?刂坪桶踩珗F(tuán)隊在項目中往往被忽略�����,或者甚至由不了解內(nèi)部控制的技術(shù)人員代替進(jìn)行權(quán)限的設(shè)置以及安全策略的撰寫�����。這樣的直接結(jié)果就是SAP系統(tǒng)內(nèi)的控制設(shè)置不足或不符合業(yè)務(wù)流程需要�����,用戶權(quán)限過大而且職責(zé)沒有完全分離等等�����。當(dāng)系統(tǒng)上線�����,企業(yè)管理層再發(fā)現(xiàn)SAP內(nèi)部控制問題之后�����,再想重新改正�����,一來“勞民傷財”�����,二來“積重難返”�����,很難通過內(nèi)部和外部的審計�����。可見�����,擁有合適的系統(tǒng)安全人員對于SAP項目實施質(zhì)量控制會有多大的作用�����。在項目過程中�����,控制和安全團(tuán)隊也須經(jīng)常同企業(yè)內(nèi)部審計部門就安全策略和方法進(jìn)行溝通并進(jìn)行一定的文檔撰寫和安全測試�����。
當(dāng)控制和安全團(tuán)隊同利益方談?wù)揝AP權(quán)限如何實現(xiàn)以及可選的安全控制方案時�����,控制和安全團(tuán)隊必須確保利益方不僅了解可能的權(quán)限限制的結(jié)果�����,而且明白如果沒有設(shè)定必要的權(quán)限限制所帶來的風(fēng)險以及對企業(yè)內(nèi)部控制的影響�����。另外�����,職責(zé)分離分析可以基于SAP角色(Role)基礎(chǔ)上�����。職責(zé)分離分析可以幫助企業(yè)確定�����,分析并列舉用戶訪問企業(yè)敏感區(qū)域的權(quán)限�����,并且提供互相沖突的業(yè)務(wù)�����。許多SAP職責(zé)分離工具已經(jīng)被開發(fā)出來用以自動地對SAP角色以及用戶權(quán)限進(jìn)行分析來提高效率并減少企業(yè)成本�����。國際上較為流行的SAP職責(zé)分離工具包括Virsa及Approva等,一些企業(yè)咨詢公司如德勤開發(fā)的專有工具eQSmart也能夠很好地進(jìn)行職責(zé)分離分析�����。
三�����、利益方管理——溝通帶來成功
項目實施過程中管理好利益方�����,尤其是業(yè)務(wù)用戶經(jīng)常是SAP安全有效實施中最重要但無疑也是最復(fù)雜的一環(huán)�����。如果控制和安全團(tuán)隊不能和業(yè)務(wù)團(tuán)隊�����,技術(shù)人員以及管理層不能有效進(jìn)行溝通的話�����,控制和安全團(tuán)隊也不可能獲得所有的業(yè)務(wù)需求�����,更不可能將這些業(yè)務(wù)需求“翻譯"成安全技術(shù)語言在系統(tǒng)內(nèi)加以實現(xiàn)�����。如果這樣的話�����,實施的效果就要打
管理層不能有效進(jìn)行溝通的話�����,控制和安全團(tuán)隊也不可能獲得所有的業(yè)務(wù)需求�����,更不可能將這些業(yè)務(wù)需求“翻譯"成安全技術(shù)語言在系統(tǒng)內(nèi)加以實現(xiàn)�����。如果這樣的話�����,實施的效果就要打上一個很大的折扣,更不要提IT治理�����、內(nèi)部控制和信息安全了�����。
從用戶的立場上來看�����,控制和安全有時感覺像捆住了他們的手腳�����,權(quán)限的限制使得他們不能“為所欲為”地對系統(tǒng)功能進(jìn)行訪問�����、修改和操作�����,這不難理解。但從內(nèi)控的立場上來看�����,安全控制就是保證系統(tǒng)訪問的安全�����,不能讓用戶“為所欲為”�����。內(nèi)控和用戶對系統(tǒng)的方便使用一直以來都是一個相互制衡的話題�����,更多的控制當(dāng)然會限制用戶對系統(tǒng)的方便使用�����,但對系統(tǒng)過于方便的使用則不利于內(nèi)控的實現(xiàn)�����。這就要求控制和安全團(tuán)隊能夠從實際的業(yè)務(wù)需求出發(fā)�����,和業(yè)務(wù)團(tuán)隊和管理層進(jìn)行很好的溝通�����,以達(dá)到用戶對內(nèi)部控制更多的理解并從實際工作中就注重提高安全和控制的意識�����。
SAP實施項目對每個企業(yè)來說都是一個綜合的龐大工程�����,加強(qiáng)項目中安全控制�����,防范于未然�����,才能使企業(yè)在面臨競爭時不會“千里之堤�����,毀于蟻穴”,才能決勝于千里之外�����。
