SAP實施項目中的風險控制和安全管理

1、SAP實施項目中的風險控制和安全管理 隨著公司治理、內部掌握（例如目前談“薩”色變的薩班斯法案以及X市深圳證券交易所出臺的上市公司內部掌握指引）越來越多地被中國企業(yè)所接受并應用，信息安全和風險掌握在企業(yè)信息系統(tǒng)實施項目中（如SAP實施項目）正扮演著越來越重要的角色。 作為全球領先的ERP軟件，SAP正在為越來越多的大中型企業(yè)所使用，并使企業(yè)的整個價值鏈實現(xiàn)高度自動化。SAP可全面掩蓋企業(yè)的業(yè)務運作和財務處理，乃至供應豐富的決策支持功能。同時，SAP也供應了全面、敏捷的功能/模塊來強化企業(yè)的內部掌握，使企業(yè)的全部操作均可運作在一個高效且可控的應用平臺上。正是因為SAP的浩大與復雜，如何實現(xiàn)相關的

2、安全掌握及數(shù)據(jù)安全往往是企業(yè)所面臨的一個巨大挑戰(zhàn)。 SAP系統(tǒng)掌握和安全的實施不是簡潔地隨著項目進行就能夠自然而然地在系統(tǒng)里實現(xiàn)，這些都需要具有一定專業(yè)技能的掌握和安全團隊通過風險評估以及設計一定的掌握框架來完成。SAP系統(tǒng)掌握和安全的實施也是企業(yè)實現(xiàn)IT治理、內部掌握和信息安全的必要的手段。評估企業(yè)是否采取足夠的IT掌握方法來削減業(yè)務流程風險也是掌握和安全團隊的一項重要任務。在SAP實施過程中，權限掌握、系統(tǒng)配置、職責分別設置、數(shù)據(jù)校驗以及監(jiān)控報告都是可以采取的IT掌握方法。 很多中國企業(yè)已經開頭在SAP實施項目中使用獨立的掌握和安全團隊致力于對系統(tǒng)安全的設計和實現(xiàn)。為了有效地進行SAP系統(tǒng)

3、掌握和安全的實施，我們將從三個方面，也就是項目管理、技術管理及利益方（Stakeholder）管理三方面加以闡述。 一、項目管理 - 符合利益方的期望 有效的對安全和風險掌握進行項目管理就是要站在利益方的立場上考慮問題。掌握和安全團隊負責人必需清楚了解利益方重要的信息安全和掌握需求。因此，對重要的利益方從內部業(yè)務流程掌握方面進行訪談從而了解到哪些是企業(yè)需要保護的信息不失為一個直接的方法。掌握和安全團隊需要保證制定的安全策略和方法來體現(xiàn)企業(yè)目前IT和業(yè)務方面的變化。同樣的，掌握和安全團隊也需要很好地和業(yè)務流程實施小組進行緊密地合作。 由于企業(yè)內部業(yè)務流程和對于信息安全的優(yōu)先度考慮不一，不同的利益

4、方對于SAP信息掌握和安全有著不同的期望。了解利益方的業(yè)務需求會讓掌握和安全團隊很好地了解項目的復雜程度以及安全實施的范圍，并因此有益于對掌握安全設計的時間和工作量的估計。 SAP信息掌握和安全，作為業(yè)務流程掌握的“代言人”，使得了解業(yè)務流程成為了掌握和安全團隊的必修課。舉個例子來說，一個企業(yè)為了防止舞弊，設計了業(yè)務流程使得同一個用戶不能同時創(chuàng)建以及批準選購訂單，接收入庫單，付款，以及維護供應商主檔。為了實現(xiàn)這樣的業(yè)務流程，掌握和安全團隊就需要設計權限來限制這些互斥的業(yè)務操作來達到職責分別。對一些小的企業(yè)來說，做到盡善盡美的職責分別由于公司人數(shù)過少而變得不可能，在這種狀況下，掌握和安全團隊就需

5、要設計一些補償性掌握（Compensating Control）來削減職責過于集中所帶來的風險。比如說，掌握和安全團隊需要在SAP系統(tǒng)中考慮設置一定的“門檻值”，一旦超過這個“門檻”，相關的管理層就需要在用戶進行業(yè)務操作前進行一定的批準及授權。職責分別在內部掌握監(jiān)管制度，尤其是薩班斯法案中對管理層和審計師來說都是焦點之所在。 取得高級管理層和業(yè)務全部者（一般而言是那些業(yè)務經理）的認同和支持是安全和風險掌握項目管理的另一個主要的方面。同高級管理層就SAP信息安全策略和方法進行探討并取得他們的認同對于建立整個SAP項目團隊的接受度，全部權和責任感都是至為關鍵的。 二、技術管理 -實現(xiàn)系統(tǒng)中的內部掌

6、握 在項目團隊中擁有既了解內部掌握監(jiān)管環(huán)境，又深諳與SAP相關的系統(tǒng)掌握設置的技術骨干是必不可少的。不過，在實際的SAP實施項目中，絕大多數(shù)的信息安全部門，尤其是SAP的掌握和安全團隊，經常是缺少必要的人員而且工作量以及工作難度都被過低地估計了。掌握和安全團隊在項目中往往被忽視，或者甚至由不了解內部掌握的技術人員代替進行權限的設置以及安全策略的撰寫。這樣的直接結果就是SAP系統(tǒng)內的掌握設置不足或不符合業(yè)務流程需要，用戶權限過大而且職責沒有完全分別等等。當系統(tǒng)上線，企業(yè)管理層再發(fā)覺SAP內部掌握問題之后，再想重新改正，一來“勞民傷財”，二來“積重難返”，很難通過內部和外部的審計?？梢姡瑩碛泻线m的

7、系統(tǒng)安全人員對于SAP項目實施質量掌握會有多大的作用。在項目過程中，掌握和安全團隊也須經常同企業(yè)內部審計部門就安全策略和方法進行溝通并進行一定的文檔撰寫和安全測試。 當掌握和安全團隊同利益方談論SAP權限如何實現(xiàn)以及可選的安全掌握方案時，掌握和安全團隊必需確保利益方不僅了解可能的權限限制的結果，而且明白假如沒有設定必要的權限限制所帶來的風險以及對企業(yè)內部掌握的影響。另外，職責分別分析可以基于SAP角色(Role)基礎上。職責分別分析可以幫助企業(yè)確定，分析并列舉用戶訪問企業(yè)敏感區(qū)域的權限，并且供應相互沖突的業(yè)務。很多SAP職責分別工具已經被開發(fā)出來用以自動地對SAP角色以及用戶權限進行分析來提高

8、效率并削減企業(yè)成本。國際上較為流行的SAP職責分別工具包括Virsa及Approva等，一些企業(yè)咨詢公司如德勤開發(fā)的專有工具eQSmart也能夠很好地進行職責分別分析。 三、利益方管理 - 溝通帶來成功 項目實施過程中管理好利益方，尤其是業(yè)務用戶經常是SAP安全有效實施中最重要但無疑也是最復雜的一環(huán)。假如掌握和安全團隊不能和業(yè)務團隊，技術人員以及管理層不能有效進行溝通的話，掌握和安全團隊也不可能獲得全部的業(yè)務需求，更不可能將這些業(yè)務需求“翻譯"成安全技術語言在系統(tǒng)內加以實現(xiàn)。假如這樣的話，實施的效果就要打 管理層不能有效進行溝通的話，掌握和安全團隊也不可能獲得全部的業(yè)務需求，更不可能將這些業(yè)務需求“翻譯"成安全技術語言在系統(tǒng)內加以實現(xiàn)。假如這樣的話，實施的效果就要打上一個很大的折扣，更不要提IT治理、內部掌握和信息安全了。 從用戶的立場上來看，掌握和安全有時感覺像捆住了他們的手腳，權限的限制使得他們不能“為所欲為”地對系統(tǒng)功能進行訪問、修改和操作，這不難理解。但從內控的立場上來看，安全掌握就是保證系統(tǒng)訪問的安全，不能讓用戶“為所欲為”。內控和用戶對系統(tǒng)的便利使用一直以來都是一個相互制衡的話題，更多的掌握當然會限制用戶對系統(tǒng)的便利使用，但對系統(tǒng)過于便利的使用則不利于內控的實現(xiàn)。這就要求掌握和安全團隊能夠從實際的