ERP系統權限管理

［摘 要］ ERP系統的相關權限是隨著項目的上線而進行統一管理的，因此在ERP系統上線后，應嚴格制定ERP系統相關權限的控制措施，從而保證相關數據訪問安全和操作安全，同時對不同企業崗位設置不同的角色，并對不同用戶角色的權限進行互斥檢測。本文介紹ERP系統的權限管理與設置規則以及ERP系統的權限測試步驟，以期確保ERP在企業中得以有效應用。

［關鍵詞］ ERP 權限管理； 權限互斥； 權限測試； 職責分離

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 03. 027

［中圖分類號］ F270.7；TP315 ［文獻標識碼］ A ［文章編號］ 1673 - 0194（2012）03- 0053- 02

０ 引 言

ＥＲＰ系統權限的管理、運維期間權限的變更，以及角色權限互斥等，都是企業ERP系統上線后面臨的重要的安全保密工作，符合企業利益的權限管理是保障ＥＲＰ系統正常運行的首要條件。企業應遵循權限管理與設置規則，使不相容崗位角色職責分離，進行符合內控需求的權限測試，使企業能夠正常運行。

１ 用戶權限管理與設置規則

用戶權限設置應遵循以下基本原則。

１．１ 職責分離原則

對于同一組不相容權限，任何用戶不能同時具有兩種或兩種以上的權限。

１．２ 未明確允許即禁止

除非用戶有對于權限的需求得到了相關領導的明確批準，否則不應當授予用戶任何權限 。

１．３ 需求導向及最小授權原則

對于用戶的權限，應當以其實際工作需要為依據，且僅應當授予其能夠完成工作任務的最小權限。

２ 用戶權限管理的范圍風險以及職責分離矩陣應用

２．１ 訪問權限

是指用戶能夠訪問哪些資源或執行哪些任務（或功能）的范圍，從控制的角度考慮用戶在系統中所擁有的權限是否超出了其工作需要。

２．２ 職責分離

職責分離是把一個業務（子）流程的工作內容分為幾個職責不相容的部分并由不同的人來完成，避免因一個人擁有操作不相容業務的權限而產生舞弊風險。

２．３ 用戶權限分配不當引起的風險

（1） 用戶如果在系統中具有不符合其實際業務職責的權限，可能導致對業務、財務數據及相關信息不適當的非授權修改。

（2） 用戶如果在系統中具有互斥權限，那么該用戶就具有了在系統中進行舞弊操作的可能。

２．４ 職責分離矩陣應用

職責分離矩陣中定義了業務活動與事務代碼之間的關系。事務代碼與業務活動是從屬關系，如果某兩個業務活動是互斥的，那么它們包含的事務代碼彼此間也是互斥的。

如圖１所示，“創建采購訂單”和“審批采購訂單”是屬于互斥的業務活動，而創建采購訂單需要執行事務代碼ＭＥ２１Ｎ或ＭＥ２２Ｎ，審批采購訂單需要執行事務代碼ＭＥ２８或ＭＥ２９Ｎ，因此ＭＥ２１Ｎ與ＭＥ２８，ＭＥ２１Ｎ與ＭＥ２９Ｎ都是互斥的，同樣ＭＥ２２Ｎ與ＭＥ２８，ＭＥ２２Ｎ與ＭＥ２９Ｎ也是互斥的。因此在給用戶分配權限時，需根據業務活動的互斥關系，來檢查用戶是否具有互斥事務代碼的權限。

對于職責分離矩陣中Ｘ 與Ｘ的區別：

（１） ＥＲＰ系統職責分離矩陣中加粗并標有下劃線的“Ｘ”代表具有重大風險的互斥業務活動，公司在編制自己的職責分離矩陣時，如果這些業務活動符合實際業務情況，那么標有“Ｘ”的業務活動之間必須是互斥的。

（２） 對于其他業務活動，公司可以基于自身業務情況和對風險的考慮來決定是否互斥。公司應對風險進行充分的考慮，并結合自身業務實際情況，同時參照ＥＲＰ系統職責分離矩陣模板建立適用于本單位的職責分離矩陣，同時明確業務活動和事務代碼的對應關系。

公司在編制職責分離矩陣時還需堅持一個原則：主數據維護、財務活動和和其他業務活動（指采購、銷售、庫存等業務活動）之間必須相互分離，例如主數據維護人員不能同時具有財務或其他業務活動的權限，財務人員不能同時具有維護主數據或其他業務活動的權限。

３ 結 論

綜上所述，加強ERＰ系統權限管理，按照職責分離矩陣的要求，進行權限分離，從根本上杜絕了權限互斥，取得了很好的應用效果。通過總體信息系統層面和ＥＲＰ系統應用層面進一步細化相應的權限管理和上線后的權限測試，有效地提升了ＥＲＰ應用效果和企業后續運維管理水平。

主要參考文獻

［１］李存榮，郭順生，等． ＥＲＰ系統用戶權限全動態配置研究及實現［Ｊ］． 機械制造，２００２（６）．