论文部分内容阅读
摘 要:各地区公司ERP系统运行平稳后,权限管理上的一些问题就逐步地显现出来了,具体主要表现在以下几个方面:
关键词:ERP
中图分类号:F239 文献标识码:A 文章编号:1674-098X(2012)08(b)-0038-01
1 角色互斥问题
虽然在ERP系统单轨上线前都经过了几轮权限测试和整改,但是由于最初制作角色时没有将权限互斥问题考虑周全或本公司的敏感事物代码分配规则里有些遗漏等原因,因而相对于ERP单轨上线之初,互斥权限的分离仍会有遗漏
例子1、根角色互斥:我公司MR015这个角色,角色的描述为物料报废及冲销,用系统管理员账号进入系统发现该角色包含的事务代码有MB1A、MB1B和MBST,含有的移动类型有101、102、201、202、601、602、801、802等,其中MBST这个事务代码配合出入库的移动类型那么就可以执行出入库的冲销,如果配合报废的移动类型那么就可以执行报废的冲销,而恰恰MR015这个角色中两种移动类型都有,这样就意味着MR015这个角色既能做出入库的冲销,也能做报废和报废的冲销,而出入库的冲销在ERP职责分离矩阵中的业务活动描述为入库或出库,报废和报废的冲销在ERP职责分离矩阵中的业务活动描述为损耗,这两个业务活动是互相排斥的。
例子2、由于敏感事物代码的遗漏造成的用户拥有权限互斥权限:总部给地区公司下发的敏感事物代码分配规则模板上成本核算一栏里没有CJ88和CJ8G两个事务代码,我公司ERP系统单轨上线运行一段时间后,发现这两个事物代码也是敏感事物代码,因而将它们增补进来。
2 冗余权限问题
例子1、在做ERP项目时,赋权过于广泛,实际并不需要许多人都有该权限:在ERP系统单轨上线之前,关键用户提出公司机关各部门如果有维修的业务发生,则各处室有专人建立工单,处室处长审批工单,因而顾问依据关键用户的需求给各处室的相关人员配置了权限。但实际工作中,公司机关的维修业务统一由机动设备处专人建立工单,机动设备处处长审批工单,因而公司机关每个处室就有两个用户身上拥有冗余的权限。
例子2、在做ERP项目时,由于一个业务流程没有走通而改走其它业务流程,但是针对没有走通的业务流程的权限却依然保留在相关用户身上:在ERP系统上线前,顾问考虑到我公司股份和集团之间的互供问题,制作了MR012这个角色,后来因为我公司的股份和集团业务之间没有采用互供的模式,而是采用了外部供应商的模式,因而一些用户虽然拥有MR012这个角色,但是并没有应用。
例子3、岗位调动时原来岗位的权限没有删除就增加了新岗位的权限,结果造成用户拥有冗余权限。
3 权限不足问题
在ERP系统建设的过程中,由于考虑不够周全,因而一些用户本应该拥有的权限却并没有被赋予。例如:内部控制中一个风险控制 措施的描述为:每月月末电子商务部计划员从ERP系统中导出取消物料凭证的清单,核对每一笔取消物料的凭证都经过审批并在打印出的清单上签字确认。实际在ERP系统单轨运行后,我们发现电子商务部计划员根本就不具备从系统中导出取消物料凭证清单的权限。后经与运维人员协商制作了一个角色赋给电子商务部人员才解决了该问题。
4 解决方案
4.1 针对权限互斥问题
通常情况下的根角色互斥在上线之初就解决掉了,而有一类根角色互斥表现比较隐蔽,并不容易看出来,这类角色中包含一类事物代码,这类事务代码配合不同的移动类型就执行不同的功能,目前为止只发现两个事物代码是这样的,一个是MBST,另一个是MB1A。我公司的MR015这个角色的根角色互斥主要表现为MBST这个事物代码的移动类型配多了,因而该角色既能执行出入库的冲销也能执行报废的冲销,造成了根角色的互斥。我们的解决方案是:将MR015这个角色拆分为两个角色,一个角色只配有MBST事务代码,并配有出入库的移动类型,这样该角色就只能做出入库的冲销,另一个角色还保留原来的MB1A、MB1B和MBST三个移动类型,但是把除报废之外的移动类型均删除,这样该角色就只能做报废和报废的冲销,这样就满足了的职责分离的要求。
MB1A这个事务代码的根角色互斥虽然没有在我公司发现,但是并不一定不会发生在其他的地区公司。该事务代码的功能描述为发货,如果它配合101、102移动类型就执行发货,如果配合801、802移动类型就执行损耗,而发货和损耗在ERP职责分离上是互斥的。如果其他公司发现有的角色含有MB1A的事务代码的根角色互斥现象,那么我们的解决办法是:剥离互斥的移动类型,这样这一类问题就解决了。
针对敏感事物代码的遗漏问题,权限管理人员可定期通过与总部运维人员或与同板块其它地区公司权限管理人员的及时沟通来做到敏感事物代码的增补,另外在每次敏感岗位人员的权限变动时,权限管理人员将岗位人员的敏感权限与本公司的敏感事物代码访问规则进行对照,也可以累积做到上述这一点。
4.2 针对冗余权限问题
每季度在各单位和部门确认岗位与角色对照关系表的时候,权限管理人员可通过要求各单位关键用户对照本单位用户的权限,同时上报本单位ERP用户从上线到现在从没应用过的角色,然后权限管理人员可酌情对其删除,这样就可逐步解决未上线前ERP的赋权过于广泛的问题。
而对于岗位调动,新岗位增加了权限旧岗位权限并没有删除的问题,权限管理人员可通过要求权限变动人员同时提交删除旧岗位权限和增加新岗位权限的申请来解决。
4.3 权限不足问题的解决
ERP系统上线有些时日了,如果用户这时候才发现自己的权限有不足,那么该权限一定是不常用的權限,从权限管理最小赋权的原则来看,权限管理者不需主动去给用户来解决权限不足的问题,而要由用户自己提出,管理者只需审查通过即可赋权。
5 结语
综上所述,我们可得出结论,权限管理其实主要解决的是两部分问题,一部分是前期建设时期遗留的问题,权限管理人员可通过进入系统后台逐步排查特殊敏感权限或增补敏感事物代码分配规则来逐步解决,这样的问题会随着ERP系统的应用越来越少直至没有;另一部分是在ERP系统的应用中,ERP用户的权限变动产生的,这类问题可通过ERP信息系统总体控制的相关控制措施来实现控制的目的,如每次用户的权限变动要进行权限互斥的检查,每季度检查岗位与角色的匹配等。
关键词:ERP
中图分类号:F239 文献标识码:A 文章编号:1674-098X(2012)08(b)-0038-01
1 角色互斥问题
虽然在ERP系统单轨上线前都经过了几轮权限测试和整改,但是由于最初制作角色时没有将权限互斥问题考虑周全或本公司的敏感事物代码分配规则里有些遗漏等原因,因而相对于ERP单轨上线之初,互斥权限的分离仍会有遗漏
例子1、根角色互斥:我公司MR015这个角色,角色的描述为物料报废及冲销,用系统管理员账号进入系统发现该角色包含的事务代码有MB1A、MB1B和MBST,含有的移动类型有101、102、201、202、601、602、801、802等,其中MBST这个事务代码配合出入库的移动类型那么就可以执行出入库的冲销,如果配合报废的移动类型那么就可以执行报废的冲销,而恰恰MR015这个角色中两种移动类型都有,这样就意味着MR015这个角色既能做出入库的冲销,也能做报废和报废的冲销,而出入库的冲销在ERP职责分离矩阵中的业务活动描述为入库或出库,报废和报废的冲销在ERP职责分离矩阵中的业务活动描述为损耗,这两个业务活动是互相排斥的。
例子2、由于敏感事物代码的遗漏造成的用户拥有权限互斥权限:总部给地区公司下发的敏感事物代码分配规则模板上成本核算一栏里没有CJ88和CJ8G两个事务代码,我公司ERP系统单轨上线运行一段时间后,发现这两个事物代码也是敏感事物代码,因而将它们增补进来。
2 冗余权限问题
例子1、在做ERP项目时,赋权过于广泛,实际并不需要许多人都有该权限:在ERP系统单轨上线之前,关键用户提出公司机关各部门如果有维修的业务发生,则各处室有专人建立工单,处室处长审批工单,因而顾问依据关键用户的需求给各处室的相关人员配置了权限。但实际工作中,公司机关的维修业务统一由机动设备处专人建立工单,机动设备处处长审批工单,因而公司机关每个处室就有两个用户身上拥有冗余的权限。
例子2、在做ERP项目时,由于一个业务流程没有走通而改走其它业务流程,但是针对没有走通的业务流程的权限却依然保留在相关用户身上:在ERP系统上线前,顾问考虑到我公司股份和集团之间的互供问题,制作了MR012这个角色,后来因为我公司的股份和集团业务之间没有采用互供的模式,而是采用了外部供应商的模式,因而一些用户虽然拥有MR012这个角色,但是并没有应用。
例子3、岗位调动时原来岗位的权限没有删除就增加了新岗位的权限,结果造成用户拥有冗余权限。
3 权限不足问题
在ERP系统建设的过程中,由于考虑不够周全,因而一些用户本应该拥有的权限却并没有被赋予。例如:内部控制中一个风险控制 措施的描述为:每月月末电子商务部计划员从ERP系统中导出取消物料凭证的清单,核对每一笔取消物料的凭证都经过审批并在打印出的清单上签字确认。实际在ERP系统单轨运行后,我们发现电子商务部计划员根本就不具备从系统中导出取消物料凭证清单的权限。后经与运维人员协商制作了一个角色赋给电子商务部人员才解决了该问题。
4 解决方案
4.1 针对权限互斥问题
通常情况下的根角色互斥在上线之初就解决掉了,而有一类根角色互斥表现比较隐蔽,并不容易看出来,这类角色中包含一类事物代码,这类事务代码配合不同的移动类型就执行不同的功能,目前为止只发现两个事物代码是这样的,一个是MBST,另一个是MB1A。我公司的MR015这个角色的根角色互斥主要表现为MBST这个事物代码的移动类型配多了,因而该角色既能执行出入库的冲销也能执行报废的冲销,造成了根角色的互斥。我们的解决方案是:将MR015这个角色拆分为两个角色,一个角色只配有MBST事务代码,并配有出入库的移动类型,这样该角色就只能做出入库的冲销,另一个角色还保留原来的MB1A、MB1B和MBST三个移动类型,但是把除报废之外的移动类型均删除,这样该角色就只能做报废和报废的冲销,这样就满足了的职责分离的要求。
MB1A这个事务代码的根角色互斥虽然没有在我公司发现,但是并不一定不会发生在其他的地区公司。该事务代码的功能描述为发货,如果它配合101、102移动类型就执行发货,如果配合801、802移动类型就执行损耗,而发货和损耗在ERP职责分离上是互斥的。如果其他公司发现有的角色含有MB1A的事务代码的根角色互斥现象,那么我们的解决办法是:剥离互斥的移动类型,这样这一类问题就解决了。
针对敏感事物代码的遗漏问题,权限管理人员可定期通过与总部运维人员或与同板块其它地区公司权限管理人员的及时沟通来做到敏感事物代码的增补,另外在每次敏感岗位人员的权限变动时,权限管理人员将岗位人员的敏感权限与本公司的敏感事物代码访问规则进行对照,也可以累积做到上述这一点。
4.2 针对冗余权限问题
每季度在各单位和部门确认岗位与角色对照关系表的时候,权限管理人员可通过要求各单位关键用户对照本单位用户的权限,同时上报本单位ERP用户从上线到现在从没应用过的角色,然后权限管理人员可酌情对其删除,这样就可逐步解决未上线前ERP的赋权过于广泛的问题。
而对于岗位调动,新岗位增加了权限旧岗位权限并没有删除的问题,权限管理人员可通过要求权限变动人员同时提交删除旧岗位权限和增加新岗位权限的申请来解决。
4.3 权限不足问题的解决
ERP系统上线有些时日了,如果用户这时候才发现自己的权限有不足,那么该权限一定是不常用的權限,从权限管理最小赋权的原则来看,权限管理者不需主动去给用户来解决权限不足的问题,而要由用户自己提出,管理者只需审查通过即可赋权。
5 结语
综上所述,我们可得出结论,权限管理其实主要解决的是两部分问题,一部分是前期建设时期遗留的问题,权限管理人员可通过进入系统后台逐步排查特殊敏感权限或增补敏感事物代码分配规则来逐步解决,这样的问题会随着ERP系统的应用越来越少直至没有;另一部分是在ERP系统的应用中,ERP用户的权限变动产生的,这类问题可通过ERP信息系统总体控制的相关控制措施来实现控制的目的,如每次用户的权限变动要进行权限互斥的检查,每季度检查岗位与角色的匹配等。