基于大數據平臺下的SAP系統權限風險管控

萬永紅

摘要：根據客戶需求，通過信息化系統自動管控，按崗位職責固化該崗位的系統事務權限，以實現不相容崗位職責分離機制，明確上級部門或人員對其應采取的監督措施和應負的監督責任。信息系統控制機制建立，充分利用公司信息系統，促進信息系統與財務內部控制流程的有機結合，崗位職責與系統權限自動匹配，建立更為健全、有效的內部控制體系，提升權限管控的自動化管理水平。

關鍵詞：大數據;SAP系統;不相容職責分離;內部控制;風險管控

一、業務背景

SAP系統中權限管理尤其重要，權限管理科學、規范，是系統安全運行的有力保證。SAP 系統中，業務人員能否行使其職責范圍內的系統操作是由權限來控制的，用戶權限管理的規范化，能有效的保障SAP 系統各個業務流程的正常運行。在業務需求中所涉及的詳細程度及與業務崗位的匹配程度直接影響到權限設計，而最終用戶是權限的直接使用者，在權限設計的過程中，權限管理人員根據業務流程需要確定最終用戶的崗位職責、明確業務操作以及結果，最終分配給用戶相應的業務權限。[1]

客戶A系本公司長期服務的客戶，SAP系統是客戶A的核心業務系統，貫穿整個公司的財務、銷售、采購、設備管理、項目管理、人資管理等各管理環節，SAP系統上線初期，公司更為關注系統的流程設計、系統的穩定運行等目標，其中權限設計方面沒有得到更多的關注，系統權限沒有結合實際管理業務，沒有實現不相容崗位職責的分離，權限設計方面存在問題，不符合內部管理控制規范，存在內控風險。為此，本著客戶的公司財務風險管控要求，針對 SAP 系統的權限進行了架構重新搭建和不相容性崗位的整合。

二、客戶系統權限管理現狀及企業內控要求

（一）客戶A 的SAP系統權限管理現狀

目前SAP系統權限角色設計，按財務、項目管理、設備管理、物資管理、人資各模塊子功能線建立權限角色，權限角色為一系列相關事務的集合，每個子功能的操作與查詢事務通常合在一個權限角色，未分開建立權限角色，操作與查詢事務權限無法分開進行賦權。

1.基于目前的系統權限設計，無法按員工崗位職責分配系統權限，系統所分配權限通常大于本崗位職責所需要的權限，不相容崗位職責無法進行分離;

2.員工系統權限申請缺乏有效管理工具及嚴謹的審核機制：申請方式通過填寫紙質單據，OA發送申請，申請審批環節不夠嚴謹;審批流程均為線下，審批時間較長，效率低下，運維人員見單操作賦權，無法辨別紙質申請單的真偽，整個權限管理流于形式;

3.財務信息系統管理缺乏剛性：財務的不相容崗位分離制度，未在系統中進行強制約束。

（二）客戶A公司內控要求

客戶A公司2018年《公司全面風險管理與內部控制管理辦法》規定：1）法人授權、合同授權、資金分級授權等授權審批機制需要建立，防止任何組織或個人做出超越授權的風險性決定。2）崗位設置遵循內部寄制制度，做到不相容崗位職責分離，對重要崗位設置A、B崗、雙職、雙責，相互牽制制約，明確該崗位的上級部門或人員的職責，以及對其應采取的監督措施和應負的監督責任。

因此，建立一套符合客戶公司內控的權限角色勢在必行。當前客戶ERP系統權限管理無法滿足企業內部控制管理需求，內部控制存在一定的風險，需要對系統權限功能進行整改。

三、按客戶單位崗位職責重新構建設計系統權限

（一）根據客戶需求，確定系統實現方案。按崗位職責梳理每個崗位對應的SAP系統權限，將每個崗位的權限標準化，在系統中按崗位建立權限角色，并且建立系統功能事務的新增審批機制，嚴格管控每個崗位的權限，職責與權限相匹配，打破目前系統中按各子功能建立權限角色的格局，避免用戶系統賦權大于本身崗位職責的現象。用戶權限申請實現線上工作流審批，記錄用戶崗位工作交接及輪崗記錄日志，在審批平臺上能有據可查。

（二）進行客戶調研，調研單位的各部門崗位設置情況、各崗位所對應的工作內容，首先確認梳理職責不相容的崗位，明確各個機構與崗位的職責與權限，形成不相容崗位與職責之間能夠相互監督、相互制約的制衡機制。根據工作內容確定所對應的系統事務，結合SAP系統各功能標準事務，整理崗位職責與系統權限匹配的對應表，最后按各單位崗位配置關系，結合不相容崗位要求，梳理信息系統權限，形成權限配置表最終稿，得到客戶的確認。

（三）創建系統權限角色并分配用戶權限，根據調研環節客戶確認好的權限配置表，在系統中按崗位進行權限角色設計，權限角色設計采用通用角色繼承到本地角色的方式進行創建，按片區設計一個總的通用角色，各市、縣公司繼承本片區通用角色建立本地角色，按照既定的角色命名規則對各崗位角色進行命名，以利于后期的平臺權限自動化管理。

權限角色建好后，在SAP系統開發環境與測試環境進行測試，對測試用戶賦予新權限角色進行一一測試，測試檢查權限是否滿足各崗位的功能，同時也檢查權限是否過大，反復測試無誤后傳到生產環境。將已設計好的崗位權限角色提供各單位，收集各單位提供的崗位用戶分配清單，PFCG對應崗位權限角色，對用戶進行批量維護權限。

（四）項目成果：本項目第一階段完成了客戶A10家子公司的財務崗位權限角色，共創建了430個財務角色。財務崗位共有18個操作性質的崗位角色，針對這個18個崗位編寫配套的崗位指導書，崗位指導書的內容包括該崗位的業務指導以及系統所賦予的事務操作指導，對用戶起到一定的指引作用。

（五）分步實施，全省各業務線推廣：后續將在全省范圍內推廣所有單位財務線按崗位職責配置權限，其次再實現其他業務線崗位職責與系統權限相匹配的全面整改。

四、依托大數據工作流技術建立系統財務權限管理平臺

大數據、云計算的不斷發展，引發了企業財務內部控制變革。當前，企業借助大數據技術，提供給企業財務人員較多的相關數據，保證財務數據準確無誤，進而使有關財務的工作可以有效開展。[2]

基于客戶A全業務數據中心開發服務窗口平臺，采用大數據技術集成ERP系統，設置權限申請工作流及崗位權限查詢報表，實現權限申請單的線上填寫提交、審批，支持佐證材料等附件的掛接、查看。審批界面友好直觀，審批日志完整可追溯，審批通過后自動完成ERP系統用戶賬號新建及權限維護。

（一）在大數據平臺固化財務崗位權限配置

依據標準崗位權限配置表，對財務崗位權限進行固化，保障了什么職責有權干什么事的內控要求。

（二）建立權限在線申請流程

新建用戶賬號的流程由人資部審批后再經財務部、信息通信部三級節點審批;不需新建用戶賬號只分配權限的流程只需財務部和信息通信部兩級審批，審批節點及人員可靈活配置。新建賬號經過人資部門審批時，系統自動校驗人資主數據的完整性，人事主數據不完整流程無法審批通過。

（三）后臺設定不相容崗位規則，申請人申請權限涉及到不相容崗位，審批環節系統進行自動校驗，提示存在不相容崗位權限申請，審批人予以拒絕退回。

五、建設成效

系統嚴格按照不相容崗位職責設計權限角色，設置的崗位權限不交叉，不重疊，不同時賦權于同一人。針對某些子公司財務人手不足，有些子公司未配置副主任，財務部副主任兼任其他崗位，財務人員基本都是一人多崗等情況，按照本項目梳理的不相容崗位清單，根據新配置的崗位權限角色，嚴格按要求保持財務部主任、出納工作的獨立性，合理配置資金管理崗，確保了不相容崗位符合《公司全面風險管理與內部控制管理辦法》等有關規定。

權限維護審批流程轉為線上審批，系統自動賦權，體現了高效性與先進性，風險可控，同時也大大提高了系統運維人員的工作效率。

參考文獻：

[1]周茜.ERP 大集中權限的設計及維護[J].計算機工程應用技術，2017 （16）：69-71+81.

[2]毛松英.基于制造業企業的內部控制管理分析[J].中國市場，2019 （08）：126-127.