二、技术管理 ----------实现系统中的内部控制
在项目团队中拥有既了解内部控制监管环境,又深谙与SAP相关的系统控制设置的技术骨干是必不可少的。不过,在实际的SAP实施项目中,绝大多数的信息安全部门,尤其是SAP的控制和安全团队,经常是缺少必要的人员而且工作量以及工作难度都被过低地估计了。控制和安全团队在项目中往往被忽略,或者甚至由不了解内部控制的技术人员代替进行权限的设置以及安全策略的撰写。这样的直接结果就是SAP系统内的控制设置不足或不符合业务流程需要,用户权限过大而且职责没有完全分离等等。当系统上线,企业管理层再发现SAP内部控制问题之后,再想重新改正,一来“劳民伤财”,二来“积重难返”,很难通过内部和外部的审计。可见,拥有合适的系统安全人员对于SAP项目实施质量控制会有多大的作用。在项目过程中,控制和安全团队也须经常同企业内部审计部门就安全策略和方法进行沟通并进行一定的文档撰写和安全测试。
当控制和安全团队同利益方谈论SAP权限如何实现以及可选的安全控制方案时,控制和安全团队必须确保利益方不仅了解可能的权限限制的结果,而且明白如果没有设定必要的权限限制所带来的风险以及对企业内部控制的影响。另外,职责分离分析可以基于SAP角色(Role)基础上。职责分离分析可以帮助企业确定,分析并列举用户访问企业敏感区域的权限,并且提供互相冲突的业务。许多SAP职责分离工具已经被开发出来用以自动地对SAP角色以及用户权限进行分析来提高效率并减少企业成本。国际上较为流行的SAP职责分离工具包括Virsa及Approva等,一些企业咨询公司如德勤开发的专有工具eQSmart也能够很好地进行职责分离分析。
三、利益方管理 ---------- 沟通带来成功
项目实施过程中管理好利益方,尤其是业务用户经常是SAP安全有效实施中最重要但无疑也是最复杂的一环。如果控制和安全团队不能和业务团队,技术人员以及管理层不能有效进行沟通的话,控制和安全团队也不可能获得所有的业务需求,更不可能将这些业务需求“翻译"成安全技术语言在系统内加以实现。如果这样的话,实施的效果就要打上一个很大的折扣,更不要提IT治理、内部控制和信息安全了。
从用户的立场上来看,控制和安全有时感觉像捆住了他们的手脚,权限的限制使得他们不能“为所欲为”地对系统功能进行访问、修改和操作,这不难理解。但从内控的立场上来看,安全控制就是保证系统访问的安全,不能让用户“为所欲为”。内控和用户对系统的方便使用一直以来都是一个相互制衡的话题,更多的控制当然会限制用户对系统的方便使用,但对系统过于方便的使用则不利于内控的实现。这就要求控制和安全团队能够从实际的业务需求出发,和业务团队和管理层进行很好的沟通,以达到用户对内部控制更多的理解并从实际工作中就注重提高安全和控制的意识。
SAP实施项目对每个企业来说都是一个综合的庞大工程,加强项目中安全控制,防范于未然,才能使企业在面临竞争时不会“千里之堤,毁于蚁穴”,才能决胜于千里之外。转贴于:http://www.leadge.com