隨著公司治理����、內(nèi)部控制(例如目前談“薩”色變的薩班斯法案以及上海深圳證券交易所出臺(tái)的《上市公司內(nèi)部控制指引》)越來越多地被中國企業(yè)所接受并應(yīng)用,信息安全和風(fēng)險(xiǎn)控制在企業(yè)信息系統(tǒng)實(shí)施項(xiàng)目中(如SAP實(shí)施項(xiàng)目)正扮演著越來越重要的角色���。
作為全球領(lǐng)先的ERP軟件,SAP正在為越來越多的大中型企業(yè)所使用����,并使企業(yè)的整個(gè)價(jià)值鏈實(shí)現(xiàn)高度自動(dòng)化。SAP可全面覆蓋企業(yè)的業(yè)務(wù)運(yùn)作和財(cái)務(wù)處理���,乃至提供豐富的決策支持功能。同時(shí)��,SAP也提供了全面�����、靈活的功能/模塊來強(qiáng)化企業(yè)的內(nèi)部控制��,使企業(yè)的所有操作均可運(yùn)作在一個(gè)高效且可控的應(yīng)用平臺(tái)上�����。正是因?yàn)镾AP的龐大與復(fù)雜�,如何實(shí)現(xiàn)相關(guān)的安全控制及數(shù)據(jù)安全往往是企業(yè)所面臨的一個(gè)巨大挑戰(zhàn)。
SAP系統(tǒng)控制和安全的實(shí)施不是簡單地隨著項(xiàng)目進(jìn)行就能夠自然而然地在系統(tǒng)里實(shí)現(xiàn)�����,這些都需要具有一定專業(yè)技能的控制和安全團(tuán)隊(duì)通過風(fēng)險(xiǎn)評(píng)估以及設(shè)計(jì)一定的控制框架來完成�����。SAP系統(tǒng)控制和安全的實(shí)施也是企業(yè)實(shí)現(xiàn)IT治理、內(nèi)部控制和信息安全的必要的手段���。評(píng)估企業(yè)是否采取足夠的IT控制方法來減少業(yè)務(wù)流程風(fēng)險(xiǎn)也是控制和安全團(tuán)隊(duì)的一項(xiàng)重要任務(wù)。在SAP實(shí)施過程中����,權(quán)限控制�����、系統(tǒng)配置、職責(zé)分離設(shè)置�����、數(shù)據(jù)校驗(yàn)以及監(jiān)控報(bào)告都是可以采取的IT控制方法����。
許多中國企業(yè)已經(jīng)開始在SAP實(shí)施項(xiàng)目中使用獨(dú)立的控制和安全團(tuán)隊(duì)致力于對(duì)系統(tǒng)安全的設(shè)計(jì)和實(shí)現(xiàn)。為了有效地進(jìn)行SAP系統(tǒng)控制和安全的實(shí)施�����,我們將從三個(gè)方面�����,也就是項(xiàng)目管理���、技術(shù)管理及利益方(Stakeholder)管理三方面加以闡述��。
一���、項(xiàng)目管理 ---------- 符合利益方的期望
有效的對(duì)安全和風(fēng)險(xiǎn)控制進(jìn)行項(xiàng)目管理就是要站在利益方的立場上考慮問題���?��?刂坪桶踩珗F(tuán)隊(duì)負(fù)責(zé)人必須清晰了解利益方重要的信息安全和控制需求。因此�����,對(duì)重要的利益方從內(nèi)部業(yè)務(wù)流程控制方面進(jìn)行訪談從而了解到哪些是企業(yè)需要保護(hù)的信息不失為一個(gè)直接的方法�����??刂坪桶踩珗F(tuán)隊(duì)需要保證制定的安全策略和方法來體現(xiàn)企業(yè)目前IT和業(yè)務(wù)方面的變化�。同樣的��,控制和安全團(tuán)隊(duì)也需要很好地和業(yè)務(wù)流程實(shí)施小組進(jìn)行緊密地合作��。
由于企業(yè)內(nèi)部業(yè)務(wù)流程和對(duì)于信息安全的優(yōu)先度考慮不一�,不同的利益方對(duì)于SAP信息控制和安全有著不同的期望�。了解利益方的業(yè)務(wù)需求會(huì)讓控制和安全團(tuán)隊(duì)很好地了解項(xiàng)目的復(fù)雜程度以及安全實(shí)施的范圍,并因此有益于對(duì)控制安全設(shè)計(jì)的時(shí)間和工作量的估計(jì)�����。
SAP信息控制和安全����,作為業(yè)務(wù)流程控制的“代言人”,使得了解業(yè)務(wù)流程成為了控制和安全團(tuán)隊(duì)的必修課�����。舉個(gè)例子來說���,一個(gè)企業(yè)為了防止舞弊,設(shè)計(jì)了業(yè)務(wù)流程使得同一個(gè)用戶不能同時(shí)創(chuàng)建以及批準(zhǔn)采購訂單��,接收入庫單�����,付款,以及維護(hù)供應(yīng)商主檔��。為了實(shí)現(xiàn)這樣的業(yè)務(wù)流程���,控制和安全團(tuán)隊(duì)就需要設(shè)計(jì)權(quán)限來限制這些互斥的業(yè)務(wù)操作來達(dá)到職責(zé)分離。對(duì)一些小的企業(yè)來說��,做到盡善盡美的職責(zé)分離由于公司人數(shù)過少而變得不可能�,在這種情況下�,控制和安全團(tuán)隊(duì)就需要設(shè)計(jì)一些補(bǔ)償性控制(Compensating Control)來減少職責(zé)過于集中所帶來的風(fēng)險(xiǎn)。比如說�,控制和安全團(tuán)隊(duì)需要在SAP系統(tǒng)中考慮設(shè)置一定的“門檻值”,一旦超過這個(gè)“門檻”��,相關(guān)的管理層就需要在用戶進(jìn)行業(yè)務(wù)操作前進(jìn)行一定的批準(zhǔn)及授權(quán)�����。職責(zé)分離在內(nèi)部控制監(jiān)管制度���,尤其是薩班斯法案中對(duì)管理層和審計(jì)師來說都是焦點(diǎn)之所在。
取得高級(jí)管理層和業(yè)務(wù)所有者(一般而言是那些業(yè)務(wù)經(jīng)理)的認(rèn)同和支持是安全和風(fēng)險(xiǎn)控制項(xiàng)目管理的另一個(gè)主要的方面�。同高級(jí)管理層就SAP信息安全策略和方法進(jìn)行探討并取得他們的認(rèn)同對(duì)于建立整個(gè)SAP項(xiàng)目團(tuán)隊(duì)的接受度�����,所有權(quán)和責(zé)任感都是至為關(guān)鍵的�。