淺談ERP系統的權限管理

摘 要:各地區公司ERP系統運行平穩后，權限管理上的一些問題就逐步地顯現出來了，具體主要表現在以下幾個方面:

關鍵詞:ERP

中圖分類號:F239文獻標識碼:A文章編號:1674-098X(2012)08(b)-0038-01

1 角色互斥問題

雖然在ERP系統單軌上線前都經過了幾輪權限測試和整改，但是由于最初制作角色時沒有將權限互斥問題考慮周全或本公司的敏感事物代碼分配規則里有些遺漏等原因，因而相對于ERP單軌上線之初，互斥權限的分離仍會有遺漏

例子1、根角色互斥:我公司MR015這個角色，角色的描述為物料報廢及沖銷，用系統管理員賬號進入系統發現該角色包含的事務代碼有MB1A、MB1B和MBST，含有的移動類型有101、102、201、202、601、602、801、802等，其中MBST這個事務代碼配合出入庫的移動類型那么就可以執行出入庫的沖銷，如果配合報廢的移動類型那么就可以執行報廢的沖銷，而恰恰MR015這個角色中兩種移動類型都有，這樣就意味著MR015這個角色既能做出入庫的沖銷，也能做報廢和報廢的沖銷，而出入庫的沖銷在ERP職責分離矩陣中的業務活動描述為入庫或出庫，報廢和報廢的沖銷在ERP職責分離矩陣中的業務活動描述為損耗，這兩個業務活動是互相排斥的。

例子2、由于敏感事物代碼的遺漏造成的用戶擁有權限互斥權限:總部給地區公司下發的敏感事物代碼分配規則模板上成本核算一欄里沒有CJ88和CJ8G兩個事務代碼，我公司ERP系統單軌上線運行一段時間后，發現這兩個事物代碼也是敏感事物代碼，因而將它們增補進來。

2 冗余權限問題

例子1、在做ERP項目時，賦權過于廣泛，實際并不需要許多人都有該權限:在ERP系統單軌上線之前，關鍵用戶提出公司機關各部門如果有維修的業務發生，則各處室有專人建立工單，處室處長審批工單，因而顧問依據關鍵用戶的需求給各處室的相關人員配置了權限。但實際工作中，公司機關的維修業務統一由機動設備處專人建立工單，機動設備處處長審批工單，因而公司機關每個處室就有兩個用戶身上擁有冗余的權限。

例子2、在做ERP項目時，由于一個業務流程沒有走通而改走其它業務流程，但是針對沒有走通的業務流程的權限卻依然保留在相關用戶身上:在ERP系統上線前，顧問考慮到我公司股份和集團之間的互供問題，制作了MR012這個角色，后來因為我公司的股份和集團業務之間沒有采用互供的模式，而是采用了外部供應商的模式，因而一些用戶雖然擁有MR012這個角色，但是并沒有應用。

例子3、崗位調動時原來崗位的權限沒有刪除就增加了新崗位的權限，結果造成用戶擁有冗余權限。

3 權限不足問題

在ERP系統建設的過程中，由于考慮不夠周全，因而一些用戶本應該擁有的權限卻并沒有被賦予。例如:內部控制中一個風險控制 措施的描述為:每月月末電子商務部計劃員從ERP系統中導出取消物料憑證的清單，核對每一筆取消物料的憑證都經過審批并在打印出的清單上簽字確認。實際在ERP系統單軌運行后，我們發現電子商務部計劃員根本就不具備從系統中導出取消物料憑證清單的權限。后經與運維人員協商制作了一個角色賦給電子商務部人員才解決了該問題。

4 解決方案

4.1 針對權限互斥問題

通常情況下的根角色互斥在上線之初就解決掉了，而有一類根角色互斥表現比較隱蔽，并不容易看出來，這類角色中包含一類事物代碼，這類事務代碼配合不同的移動類型就執行不同的功能，目前為止只發現兩個事物代碼是這樣的，一個是MBST，另一個是MB1A。我公司的MR015這個角色的根角色互斥主要表現為MBST這個事物代碼的移動類型配多了，因而該角色既能執行出入庫的沖銷也能執行報廢的沖銷，造成了根角色的互斥。我們的解決方案是:將MR015這個角色拆分為兩個角色，一個角色只配有MBST事務代碼，并配有出入庫的移動類型，這樣該角色就只能做出入庫的沖銷，另一個角色還保留原來的MB1A、MB1B和MBST三個移動類型，但是把除報廢之外的移動類型均刪除，這樣該角色就只能做報廢和報廢的沖銷，這樣就滿足了的職責分離的要求。

MB1A這個事務代碼的根角色互斥雖然沒有在我公司發現，但是并不一定不會發生在其他的地區公司。該事務代碼的功能描述為發貨，如果它配合101、102移動類型就執行發貨，如果配合801、802移動類型就執行損耗，而發貨和損耗在ERP職責分離上是互斥的。如果其他公司發現有的角色含有MB1A的事務代碼的根角色互斥現象，那么我們的解決辦法是:剝離互斥的移動類型，這樣這一類問題就解決了。

針對敏感事物代碼的遺漏問題，權限管理人員可定期通過與總部運維人員或與同板塊其它地區公司權限管理人員的及時溝通來做到敏感事物代碼的增補，另外在每次敏感崗位人員的權限變動時，權限管理人員將崗位人員的敏感權限與本公司的敏感事物代碼訪問規則進行對照，也可以累積做到上述這一點。

4.2 針對冗余權限問題

每季度在各單位和部門確認崗位與角色對照關系表的時候，權限管理人員可通過要求各單位關鍵用戶對照本單位用戶的權限，同時上報本單位ERP用戶從上線到現在從沒應用過的角色，然后權限管理人員可酌情對其刪除，這樣就可逐步解決未上線前ERP的賦權過于廣泛的問題。

而對于崗位調動，新崗位增加了權限舊崗位權限并沒有刪除的問題，權限管理人員可通過要求權限變動人員同時提交刪除舊崗位權限和增加新崗位權限的申請來解決。

4.3 權限不足問題的解決

ERP系統上線有些時日了，如果用戶這時候才發現自己的權限有不足，那么該權限一定是不常用的權限，從權限管理最小賦權的原則來看，權限管理者不需主動去給用戶來解決權限不足的問題，而要由用戶自己提出，管理者只需審查通過即可賦權。

5 結語

綜上所述，我們可得出結論，權限管理其實主要解決的是兩部分問題，一部分是前期建設時期遺留的問題，權限管理人員可通過進入系統后臺逐步排查特殊敏感權限或增補敏感事物代碼分配規則來逐步解決，這樣的問題會隨著ERP系統的應用越來越少直至沒有;另一部分是在ERP系統的應用中，ERP用戶的權限變動產生的，這類問題可通過ERP信息系統總體控制的相關控制措施來實現控制的目的，如每次用戶的權限變動要進行權限互斥的檢查，每季度檢查崗位與角色的匹配等。