隨著(zhù)公司治理����、內部控制(例如目前談“薩”色變的薩班斯法案以及上海深圳證券交易所出臺的《上市公司內部控制指引》)越來(lái)越多地被中國企業(yè)所接受并應用���,信息安全和風(fēng)險控制在企業(yè)信息系統實(shí)施項目中(如SAP實(shí)施項目)正扮演著(zhù)越來(lái)越重要的角色���。
作為全球領(lǐng)先的ERP軟件���,SAP正在為越來(lái)越多的大中型企業(yè)所使用����,并使企業(yè)的整個(gè)價(jià)值鏈實(shí)現高度自動(dòng)化��。SAP可全面覆蓋企業(yè)的業(yè)務(wù)運作和財務(wù)處理�����,乃至提供豐富的決策支持功能�。同時(shí)����,SAP也提供了全面��、靈活的功能/模塊來(lái)強化企業(yè)的內部控制�����,使企業(yè)的所有操作均可運作在一個(gè)高效且可控的應用平臺上����。正是因為SAP的龐大與復雜�����,如何實(shí)現相關(guān)的安全控制及數據安全往往是企業(yè)所面臨的一個(gè)巨大挑戰�����。
SAP系統控制和安全的實(shí)施不是簡(jiǎn)單地隨著(zhù)項目進(jìn)行就能夠自然而然地在系統里實(shí)現����,這些都需要具有一定專(zhuān)業(yè)技能的控制和安全團隊通過(guò)風(fēng)險評估以及設計一定的控制框架來(lái)完成�。SAP系統控制和安全的實(shí)施也是企業(yè)實(shí)現IT治理�、內部控制和信息安全的必要的手段�����。評估企業(yè)是否采取足夠的IT控制方法來(lái)減少業(yè)務(wù)流程風(fēng)險也是控制和安全團隊的一項重要任務(wù)�。在SAP實(shí)施過(guò)程中����,權限控制�����、系統配置����、職責分離設置�����、數據校驗以及監控報告都是可以采取的IT控制方法�����。
許多中國企業(yè)已經(jīng)開(kāi)始在SAP實(shí)施項目中使用獨立的控制和安全團隊致力于對系統安全的設計和實(shí)現�。為了有效地進(jìn)行SAP系統控制和安全的實(shí)施���,我們將從三個(gè)方面�,也就是項目管理�����、技術(shù)管理及利益方(Stakeholder)管理三方面加以闡述��。
一�、項目管理——符合利益方的期望
有效的對安全和風(fēng)險控制進(jìn)行項目管理就是要站在利益方的立場(chǎng)上考慮問(wèn)題���������?刂坪桶踩珗F隊負責人必須清晰了解利益方重要的信息安全和控制需求�。因此�����,對重要的利益方從內部業(yè)務(wù)流程控制方面進(jìn)行訪(fǎng)談從而了解到哪些是企業(yè)需要保護的信息不失為一個(gè)直接的方法���?刂坪桶踩珗F隊需要保證制定的安全策略和方法來(lái)體現企業(yè)目前IT和業(yè)務(wù)方面的變化����。同樣的���,控制和安全團隊也需要很好地和業(yè)務(wù)流程實(shí)施小組進(jìn)行緊密地合作�。
由于企業(yè)內部業(yè)務(wù)流程和對于信息安全的優(yōu)先度考慮不一���,不同的利益方對于SAP信息控制和安全有著(zhù)不同的期望����。了解利益方的業(yè)務(wù)需求會(huì )讓控制和安全團隊很好地了解項目的復雜程度以及安全實(shí)施的范圍��,并因此有益于對控制安全設計的時(shí)間和工作量的估計����。
SAP信息控制和安全���,作為業(yè)務(wù)流程控制的“代言人”��,使得了解業(yè)務(wù)流程成為了控制和安全團隊的必修課�。舉個(gè)例子來(lái)說(shuō)��,一個(gè)企業(yè)為了防止舞弊���,設計了業(yè)務(wù)流程使得同一個(gè)用戶(hù)不能同時(shí)創(chuàng )建以及批準采購訂單��,接收入庫單���,付款�,以及維護供應商主檔�����。為了實(shí)現這樣的業(yè)務(wù)流程����,控制和安全團隊就需要設計權限來(lái)限制這些互斥的業(yè)務(wù)操作來(lái)達到職責分離�。對一些小的企業(yè)來(lái)說(shuō)��,做到盡善盡美的職責分離由于公司人數過(guò)少而變得不可能�����,在這種情況下�,控制和安全團隊就需要設計一些補償性控制(Compensating Control)來(lái)減少職責過(guò)于集中所帶來(lái)的風(fēng)險��。比如說(shuō)��,控制和安全團隊需要在SAP系統中考慮設置一定的“門(mén)檻值”��,一旦超過(guò)這個(gè)“門(mén)檻”�,相關(guān)的管理層就需要在用戶(hù)進(jìn)行業(yè)務(wù)操作前進(jìn)行一定的批準及授權����。職責分離在內部控制監管制度��,尤其是薩班斯法案中對管理層和審計師來(lái)說(shuō)都是焦點(diǎn)之所在����。
取得高級管理層和業(yè)務(wù)所有者(一般而言是那些業(yè)務(wù)經(jīng)理)的認同和支持是安全和風(fēng)險控制項目管理的另一個(gè)主要的方面�。同高級管理層就SAP信息安全策略和方法進(jìn)行探討并取得他們的認同對于建立整個(gè)SAP項目團隊的接受度�,所有權和責任感都是至為關(guān)鍵的����。
二���、技術(shù)管理——實(shí)現系統中的內部控制
在項目團隊中擁有既了解內部控制監管環(huán)境���,又深諳與SAP相關(guān)的系統控制設置的技術(shù)骨干是必不可少的�����。不過(guò)�,在實(shí)際的SAP實(shí)施項目中��,絕大多數的信息安全部門(mén)�����,尤其是SAP的控制和安全團隊���,經(jīng)常是缺少必要的人員而且工作量以及工作難度都被過(guò)低地估計了������?刂坪桶踩珗F隊在項目中往往被忽略����,或者甚至由不了解內部控制的技術(shù)人員代替進(jìn)行權限的設置以及安全策略的撰寫(xiě)��。這樣的直接結果就是SAP系統內的控制設置不足或不符合業(yè)務(wù)流程需要�����,用戶(hù)權限過(guò)大而且職責沒(méi)有完全分離等等���。當系統上線(xiàn)�,企業(yè)管理層再發(fā)現SAP內部控制問(wèn)題之后���,再想重新改正����,一來(lái)“勞民傷財”�,二來(lái)“積重難返”�,很難通過(guò)內部和外部的審計�����?梢(jiàn)����,擁有合適的系統安全人員對于SAP項目實(shí)施質(zhì)量控制會(huì )有多大的作用��。在項目過(guò)程中����,控制和安全團隊也須經(jīng)常同企業(yè)內部審計部門(mén)就安全策略和方法進(jìn)行溝通并進(jìn)行一定的文檔撰寫(xiě)和安全測試�。
當控制和安全團隊同利益方談?wù)揝AP權限如何實(shí)現以及可選的安全控制方案時(shí)�,控制和安全團隊必須確保利益方不僅了解可能的權限限制的結果��,而且明白如果沒(méi)有設定必要的權限限制所帶來(lái)的風(fēng)險以及對企業(yè)內部控制的影響�����。另外��,職責分離分析可以基于SAP角色(Role)基礎上�����。職責分離分析可以幫助企業(yè)確定���,分析并列舉用戶(hù)訪(fǎng)問(wèn)企業(yè)敏感區域的權限��,并且提供互相沖突的業(yè)務(wù)�����。許多SAP職責分離工具已經(jīng)被開(kāi)發(fā)出來(lái)用以自動(dòng)地對SAP角色以及用戶(hù)權限進(jìn)行分析來(lái)提高效率并減少企業(yè)成本���。國際上較為流行的SAP職責分離工具包括Virsa及Approva等����,一些企業(yè)咨詢(xún)公司如德勤開(kāi)發(fā)的專(zhuān)有工具eQSmart也能夠很好地進(jìn)行職責分離分析�����。
三���、利益方管理——溝通帶來(lái)成功
項目實(shí)施過(guò)程中管理好利益方����,尤其是業(yè)務(wù)用戶(hù)經(jīng)常是SAP安全有效實(shí)施中最重要但無(wú)疑也是最復雜的一環(huán)����。如果控制和安全團隊不能和業(yè)務(wù)團隊��,技術(shù)人員以及管理層不能有效進(jìn)行溝通的話(huà)�,控制和安全團隊也不可能獲得所有的業(yè)務(wù)需求����,更不可能將這些業(yè)務(wù)需求“翻譯"成安全技術(shù)語(yǔ)言在系統內加以實(shí)現�����。如果這樣的話(huà)����,實(shí)施的效果就要打
管理層不能有效進(jìn)行溝通的話(huà)�,控制和安全團隊也不可能獲得所有的業(yè)務(wù)需求���,更不可能將這些業(yè)務(wù)需求“翻譯"成安全技術(shù)語(yǔ)言在系統內加以實(shí)現����。如果這樣的話(huà)�,實(shí)施的效果就要打上一個(gè)很大的折扣���,更不要提IT治理���、內部控制和信息安全了�。
從用戶(hù)的立場(chǎng)上來(lái)看�,控制和安全有時(shí)感覺(jué)像捆住了他們的手腳����,權限的限制使得他們不能“為所欲為”地對系統功能進(jìn)行訪(fǎng)問(wèn)��、修改和操作�����,這不難理解����。但從內控的立場(chǎng)上來(lái)看����,安全控制就是保證系統訪(fǎng)問(wèn)的安全���,不能讓用戶(hù)“為所欲為”����。內控和用戶(hù)對系統的方便使用一直以來(lái)都是一個(gè)相互制衡的話(huà)題���,更多的控制當然會(huì )限制用戶(hù)對系統的方便使用��,但對系統過(guò)于方便的使用則不利于內控的實(shí)現����。這就要求控制和安全團隊能夠從實(shí)際的業(yè)務(wù)需求出發(fā)���,和業(yè)務(wù)團隊和管理層進(jìn)行很好的溝通��,以達到用戶(hù)對內部控制更多的理解并從實(shí)際工作中就注重提高安全和控制的意識�����。
SAP實(shí)施項目對每個(gè)企業(yè)來(lái)說(shuō)都是一個(gè)綜合的龐大工程���,加強項目中安全控制��,防范于未然����,才能使企業(yè)在面臨競爭時(shí)不會(huì )“千里之堤��,毀于蟻穴”����,才能決勝于千里之外��。
