如何做到ERP系統權限管理真正落地

任澤坤

摘要：本文簡單討論了ERP概念及權限運維的內容和重要性，選擇了兩個典型的案例，深入討論和分析了由于ERP權限管理失控引起公司業務混亂，內控審查困難的產生原因，最后針對權限管理的難題提出了幾種提升管理效率的有效途徑。

關鍵詞：ERP；權限管理；案例；途徑

一、ERP權限管理的概念及其重要性

ERP權限管理的概念及內容。權限管理是ERP上線后系統運維管理的一個重要工作內容，包括用戶管理、角色維護與授權、角色參數維護以及ERP內部控制工作等。系統上線后能安全、高效運行的前提是權限運維必須規范，即用戶管理規范、授權管理清晰，最終用戶的權限設置符合內控部制規范。否則，將產生直接負面影響，輕者業務員無法正常開展業務，重者會導致ERP管理混亂，業務停滯，信息數據泄密，給企業和公司帶來損失。可以說，規范的系統權限管理和有力的管控是保證系統安全運行和數據保密的必要手段。因此，構建高效的權限管控體系和規范的授權業務流程是保證系統安全、高效和數據保密的重中之重。

二、ERP權限管理失控導致公司業務混亂，內控審查困難案例

以下兩個案例來均自于某國有企業下屬某地區公司。案例1. 2011年該地區公司業務人員發現系統中有一筆已建投資項目計劃被更改，同時還存在一筆未知投資項目，引起了領導的高度重視和關注，經層層查找，最終發現以上操作是一個未及時關閉的ERP實施期間的大權限賬號所操作，但已無法查找創建人。慶幸的是以上兩個問題被及時發現和處理，否則將造成了該公司項目投資計劃、預算分配混亂，給該公司帶來嚴重的經濟損失。案例2.公司在接受總部2012年內控檢查時，權限測試結果中發現了互斥及敏感權限達到7萬余條，涉及到的用戶占總用戶數的70%以上，賬號權限互斥非常嚴重，業務和流程混亂。測試結果影響了當年該企業對其下屬的地區公司的內控工作和生產業績考核，當年部分工作總額因此被扣除，導致了職工年終獎金下降。

三、原因分析

以上兩個案例究其原因，都是由于ERP權限運維混亂、授權失控，管理不規范所造成的。案例1主要是因為ERP上線后，沒有規范ERP權限管理，未能及時梳理系統賬號，未及時系統實施賬號和收回諸如投資項目計劃創建之類的受控權限。案例2是由于公司未建立起規范的ERP運維體系，ERP權限管理和內控管理嚴重脫節，用戶賬號授權失去控制和監督，用戶權限設置不符合職責分離原則所造成。

四、優化ERP系統權限管理，提升管控力的有效途徑

（一）建立健全ERP權限管理規章制度。實際上，我們不可能完全通過技術手段來進行權限的維護, 還需要建立起相應的規章制度，理順、理清權限申請和授權的工作流程，以此來規范和約束權限管理，做到管理有理、有據、流程化、規范化，減少用戶和管理員在權限申請和授權過程中主觀意識的負面作用，使授權工作過程可控、授權結果合規。

（二）建立清晰、有效的權限控制解決方案。ERP權限控制從事務代碼級、組織機構級、權限對象字段值級等三個層次進行。（1）事務代碼級控制是授予用戶的權限角色中必須包含具有操作某項系統業務所對應事務代碼，也就是為其分配的具體角色中須在用戶菜單或事務代碼中含有該事務代碼；（2）組織機構級控制是指用戶具有了事務代碼的執行權限，還必須具有相應組織的操作權限才能完成業務。實施中需根據實際設計不同性質的組織架構，通過為角色分配不同的公司代碼值，將用戶的業務限制在不同的公司代碼下；（3）權限對象字段值是指用戶具有了某事務代碼的執行權限和相應組織的操作權限之后，ERP 系統又對相應的操作根據權限對象進一步控制。

（三）建立起清晰的用戶崗位職責體系。如何才能快速、高效地解決企業權限管理混亂的現狀，就必須在系統中的用戶賬號和權限申請及權限分配按照“一人一崗”的原則進行。事實上，企業不斷追求人力資源最小化，一人承擔多個崗位工作是必然的，這種管理現實勢必造成人員職責交叉，權限設置混亂就是必然結果。因此，如果沒有清晰的崗位職責體系，就無法合理劃分各個崗位的職責分工，無法保障用戶在工作崗位職責劃分合理、合規，符合內部控制規范。最終會出現兩種結果，一是為了符合內控規定，系統中授予用戶的業務處理權限無法滿足用戶需求，導致企業生產經營停滯和業務中斷；二是為了能維持企業生產經營和業務流程正常進行，用戶就會無約束的申請權限，而管理員也無約束的給用戶授權，最終導致用戶權限分配失控。所以在系統中建立起合理、清晰的崗位設置和職責體系對于解決ERP權限管理混亂的情況是非常重要的。

（四）強化“三部門”溝通協調，暢通用戶信息反饋渠道 “三部門”是指ERP系統應用部分、權限運維支持部門。以及人事管理部門。實際上，崗位、職責、權限三者之間的關系是環環相扣的，人員崗位變動引起職責變化，職責變化就意味著權限需要調整，反過來，用戶權限調整了就意味著他的崗位和職責發生了變化。這是因為ERP系統用戶賬號與用戶實際崗位和職責綁定的，用戶的崗位和業務職責決定了其賬號在系統中應分配的角色和權限。但人事崗位調整和分工是由人事管理部門具體操作，業務部門只有建議權，沒有處理權，所以在這種情況下，

ERP應用業務部門、人事管理部門和ERP運維支持部門需要建立起有效的溝通協調體系。人事部門和業務部門介入ERP系統的權限管理工作中，一方面人事部門可以及時協調處理人事崗位、職責調整的信息反饋，形成暢通的人事信息反饋機制，當有人員崗位和職責分工調整的情況時，人事管理部門可以及時將相關信息反饋到業務部門和權限管理部門，以便業務部門和權限管理部門能迅速作出反應，及時撤銷應該撤銷的用戶ID，凍結該凍結的ID，變更該變更的業務權限，刪除該刪除的權限，保證系統運營風險最小化；另一方面人事部門與業務部門可以通過有效的溝通系統，不斷梳理、調整、優化部門崗位設置和人員職分工，達到合理分配人力資源。

（五）定期開展ERP賬號梳理。ERP用戶賬號管理是權限管理工作中最基礎的工作，因為沒有用戶賬號，根本就不用考慮該業務人員崗位職責是否互相沖突，業務處理權限是否互斥。所以要做好ERP權限管理工作，保證管理程序上清晰、規范，首先就要做好賬號管理的規范，因此按照ERP內部控制規范，定期開展ERP賬號梳理。這樣做可以取得兩個方面的好處，一是可以及時關閉和撤銷不再需要的用戶賬號，降低用戶賬號的閑置率，有效提升賬號利用率，減少企業因為存在大量閑置賬號而承擔不必要的運維費用；二是可以及時清理出存在權限互斥的賬號，及時向業務部門反饋，并及時處理，將ERP內控管理要求落實在日常管理中，而不至于在開展內控檢查工作前手忙腳亂、頭痛以頭、腳痛醫腳的狀況。

（六）內控工作部門全程參與ERP權限管理。內控管理部門在業務上具有業務指導和協助管理的工作職責。國內大多數實施了ERP的企業或公司后，權限運維管理面臨一個怪現狀，內控管理部門基本上根本未參與ERP權限管理工作，完全脫離ERP內控工作，根本不會關注運維部門具體的執行過程，重點只關注每年的內控審查結果。沒有檢查就不會關注執行部門是否把ERP內控工作執行的到底怎么樣，給用戶授權的過程是否可控，用戶授權權限是否合規，角色分配是否符合職責分離原則等，往往在內控測試檢查出問題后，再要求執行部門去整改。因此，內控管理部門參與到ERP權限管理工作中，做好權限內控測試，把好用戶權限申請的第一關是必須的。

綜上所述，在ERP系統用戶權限設定上，就要充分考慮崗位設置的合理性，對崗位的職能，職責進行科學的區分，優化人力資源合理配置，才能真正做到合理分配用戶操作權限和限制用戶操作范圍，從而保證系統的安全性，數據的完整性。

參考文獻：

[1] 孫士學.蘇瑞. SAP權限管理淺談.電腦知識與技術，2011，7(11)：2527-2537.

[2] 張震.張巍鐘. ERP 系統權限管理.中國管理信息化，2012，15 (3):53-54.

endprint