ERP系统权限管理
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
ERP系统权限管理
[摘要] erp系统的相关权限是随着项目的上线而进行统一管理的,因此在erp系统上线后,应严格制定erp系统相关权限的控制措施,从而保证相关数据访问安全和操作安全,同时对不同企业岗位设置不同的角色,并对不同用户角色的权限进行互斥检测。
本文介绍erp系统的权限管理与设置规则以及erp系统的权限测试步骤,以期确保erp在企业中得以有效应用。
[关键词] erp 权限管理;权限互斥;权限测试;职责分离0引言
erp系统权限的管理、运维期间权限的变更,以及角色权限互斥等,都是企业erp系统上线后面临的重要的安全保密工作,符合企业利益的权限管理是保障erp系统正常运行的首要条件。
企业应遵循权限管理与设置规则,使不相容岗位角色职责分离,进行符合内控需求的权限测试,使企业能够正常运行。
1用户权限管理与设置规则
用户权限设置应遵循以下基本原则。
1.1职责分离原则
对于同一组不相容权限,任何用户不能同时具有两种或两种以上的权限。
1.2未明确允许即禁止
除非用户有对于权限的需求得到了相关领导的明确批准,否则不应当授予用户任何权限。
1.3需求导向及最小授权原则
对于用户的权限,应当以其实际工作需要为依据,且仅应当授予其能够完成工作任务的最小权限。
2用户权限管理的范围风险以及职责分离矩阵应用
2.1访问权限
是指用户能够访问哪些资源或执行哪些任务(或功能)的范围,从控制的角度考虑用户在系统中所拥有的权限是否超出了其工作需要。
2.2职责分离
职责分离是把一个业务(子)流程的工作内容分为几个职责不相容的部分并由不同的人来完成,避免因一个人拥有操作不相容业务的权限而产生舞弊风险。
2.3用户权限分配不当引起的风险
(1)用户如果在系统中具有不符合其实际业务职责的权限,可能导致对业务、财务数据及相关信息不适当的非授权修改。
(2)用户如果在系统中具有互斥权限,那么该用户就具有了在系统中进行舞弊操作的可能。
2.4职责分离矩阵应用
职责分离矩阵中定义了业务活动与事务代码之间的关系。
事务代码与业务活动是从属关系,如果某两个业务活动是互斥的,那么它们包含的事务代码彼此间也是互斥的。
如图1所示,“创建采购订单”和“审批采购订单”是属于互斥
的业务活动,而创建采购订单需要执行事务代码me21n或me22n,审批采购订单需要执行事务代码me28或me29n,因此me21n与me28,me21n与me29n都是互斥的,同样me22n与me28,me22n与me29n也是互斥的。
因此在给用户分配权限时,需根据业务活动的互斥关系,来检查用户是否具有互斥事务代码的权限。
对于职责分离矩阵中x与x的区别:
(1)erp系统职责分离矩阵中加粗并标有下划线的“x”代表具有重大风险的互斥业务活动,公司在编制自己的职责分离矩阵时,如果这些业务活动符合实际业务情况,那么标有“x”的业务活动之间必须是互斥的。
(2)对于其他业务活动,公司可以基于自身业务情况和对风险的考虑来决定是否互斥。
公司应对风险进行充分的考虑,并结合自身业务实际情况,同时参照erp系统职责分离矩阵模板建立适用于本单位的职责分离矩阵,同时明确业务活动和事务代码的对应关系。
公司在编制职责分离矩阵时还需坚持一个原则:主数据维护、财务活动和和其他业务活动(指采购、销售、库存等业务活动)之间必须相互分离,例如主数据维护人员不能同时具有财务或其他业务活动的权限,财务人员不能同时具有维护主数据或其他业务活动的权限。
3结论
综上所述,加强erp系统权限管理,按照职责分离矩阵的要求,进行权限分离,从根本上杜绝了权限互斥,取得了很好的应用效果。
通过总体信息系统层面和erp系统应用层面进一步细化相应的
权限管理和上线后的权限测试,有效地提升了erp应用效果和企业后续运维管理水平。
主要参考文献
[1]李存荣,郭顺生,等.erp系统用户权限全动态配置研究及实现[j].机械制造,2002(6).。