任泽坤

摘要：本文简单讨论了ERP概念及权限运维的内容和重要性，选择了两个典型的案例，深入讨论和分析了由于ERP权限管理失控引起公司业务混乱，内控审查困难的产生原因，最后针对权限管理的难题提出了几种提升管理效率的有效途径。

关键词：ERP；权限管理；案例；途径

一、ERP权限管理的概念及其重要性

ERP权限管理的概念及内容。权限管理是ERP上线后系统运维管理的一个重要工作内容，包括用户管理、角色维护与授权、角色参数维护以及ERP内部控制工作等。系统上线后能安全、高效运行的前提是权限运维必须规范，即用户管理规范、授权管理清晰，最终用户的权限设置符合内控部制规范。否则，将产生直接负面影响，轻者业务员无法正常开展业务，重者会导致ERP管理混乱，业务停滞，信息数据泄密，给企业和公司带来损失。可以说，规范的系统权限管理和有力的管控是保证系统安全运行和数据保密的必要手段。因此，构建高效的权限管控体系和规范的授权业务流程是保证系统安全、高效和数据保密的重中之重。

二、ERP权限管理失控导致公司业务混乱，内控审查困难案例

以下两个案例来均自于某国有企业下属某地区公司。案例1. 2011年该地区公司业务人员发现系统中有一笔已建投资项目计划被更改，同时还存在一笔未知投资项目，引起了领导的高度重视和关注，经层层查找，最终发现以上操作是一个未及时关闭的ERP实施期间的大权限账号所操作，但已无法查找创建人。庆幸的是以上两个问题被及时发现和处理，否则将造成了该公司项目投资计划、预算分配混乱，给该公司带来严重的经济损失。案例2.公司在接受总部2012年内控检查时，权限测试结果中发现了互斥及敏感权限达到7万余条，涉及到的用户占总用户数的70%以上，账号权限互斥非常严重，业务和流程混乱。测试结果影响了当年该企业对其下属的地区公司的内控工作和生产业绩考核，当年部分工作总额因此被扣除，导致了职工年终奖金下降。

三、原因分析

以上两个案例究其原因，都是由于ERP权限运维混乱、授权失控，管理不规范所造成的。案例1主要是因为ERP上线后，没有规范ERP权限管理，未能及时梳理系统账号，未及时系统实施账号和收回诸如投资项目计划创建之类的受控权限。案例2是由于公司未建立起规范的ERP运维体系，ERP权限管理和内控管理严重脱节，用户账号授权失去控制和监督，用户权限设置不符合职责分离原则所造成。

四、优化ERP系统权限管理，提升管控力的有效途径

（一）建立健全ERP权限管理规章制度。实际上，我们不可能完全通过技术手段来进行权限的维护, 还需要建立起相应的规章制度，理顺、理清权限申请和授权的工作流程，以此来规范和约束权限管理，做到管理有理、有据、流程化、规范化，减少用户和管理员在权限申请和授权过程中主观意识的负面作用，使授权工作过程可控、授权结果合规。

（二）建立清晰、有效的权限控制解决方案。ERP权限控制从事务代码级、组织机构级、权限对象字段值级等三个层次进行。（1）事务代码级控制是授予用户的权限角色中必须包含具有操作某项系统业务所对应事务代码，也就是为其分配的具体角色中须在用户菜单或事务代码中含有该事务代码；（2）组织机构级控制是指用户具有了事务代码的执行权限，还必须具有相应组织的操作权限才能完成业务。实施中需根据实际设计不同性质的组织架构，通过为角色分配不同的公司代码值，将用户的业务限制在不同的公司代码下；（3）权限对象字段值是指用户具有了某事务代码的执行权限和相应组织的操作权限之后，ERP 系统又对相应的操作根据权限对象进一步控制。

（三）建立起清晰的用户岗位职责体系。如何才能快速、高效地解决企业权限管理混乱的现状，就必须在系统中的用户账号和权限申请及权限分配按照“一人一岗”的原则进行。事实上，企业不断追求人力资源最小化，一人承担多个岗位工作是必然的，这种管理现实势必造成人员职责交叉，权限设置混乱就是必然结果。因此，如果没有清晰的岗位职责体系，就无法合理划分各个岗位的职责分工，无法保障用户在工作岗位职责划分合理、合规，符合内部控制规范。最终会出现两种结果，一是为了符合内控规定，系统中授予用户的业务处理权限无法满足用户需求，导致企业生产经营停滞和业务中断；二是为了能维持企业生产经营和业务流程正常进行，用户就会无约束的申请权限，而管理员也无约束的给用户授权，最终导致用户权限分配失控。所以在系统中建立起合理、清晰的岗位设置和职责体系对于解决ERP权限管理混乱的情况是非常重要的。

（四）强化“三部门”沟通协调，畅通用户信息反馈渠道 “三部门”是指ERP系统应用部分、权限运维支持部门。以及人事管理部门。实际上，岗位、职责、权限三者之间的关系是环环相扣的，人员岗位变动引起职责变化，职责变化就意味着权限需要调整，反过来，用户权限调整了就意味着他的岗位和职责发生了变化。这是因为ERP系统用户账号与用户实际岗位和职责绑定的，用户的岗位和业务职责决定了其账号在系统中应分配的角色和权限。但人事岗位调整和分工是由人事管理部门具体操作，业务部门只有建议权，没有处理权，所以在这种情况下，

ERP应用业务部门、人事管理部门和ERP运维支持部门需要建立起有效的沟通协调体系。人事部门和业务部门介入ERP系统的权限管理工作中，一方面人事部门可以及时协调处理人事岗位、职责调整的信息反馈，形成畅通的人事信息反馈机制，当有人员岗位和职责分工调整的情况时，人事管理部门可以及时将相关信息反馈到业务部门和权限管理部门，以便业务部门和权限管理部门能迅速作出反应，及时撤销应该撤销的用户ID，冻结该冻结的ID，变更该变更的业务权限，删除该删除的权限，保证系统运营风险最小化；另一方面人事部门与业务部门可以通过有效的沟通系统，不断梳理、调整、优化部门岗位设置和人员职分工，达到合理分配人力资源。

（五）定期开展ERP账号梳理。ERP用户账号管理是权限管理工作中最基础的工作，因为没有用户账号，根本就不用考虑该业务人员岗位职责是否互相冲突，业务处理权限是否互斥。所以要做好ERP权限管理工作，保证管理程序上清晰、规范，首先就要做好账号管理的规范，因此按照ERP内部控制规范，定期开展ERP账号梳理。这样做可以取得两个方面的好处，一是可以及时关闭和撤销不再需要的用户账号，降低用户账号的闲置率，有效提升账号利用率，减少企业因为存在大量闲置账号而承担不必要的运维费用；二是可以及时清理出存在权限互斥的账号，及时向业务部门反馈，并及时处理，将ERP内控管理要求落实在日常管理中，而不至于在开展内控检查工作前手忙脚乱、头痛以头、脚痛医脚的状况。

（六）内控工作部门全程参与ERP权限管理。内控管理部门在业务上具有业务指导和协助管理的工作职责。国内大多数实施了ERP的企业或公司后，权限运维管理面临一个怪现状，内控管理部门基本上根本未参与ERP权限管理工作，完全脱离ERP内控工作，根本不会关注运维部门具体的执行过程，重点只关注每年的内控审查结果。没有检查就不会关注执行部门是否把ERP内控工作执行的到底怎么样，给用户授权的过程是否可控，用户授权权限是否合规，角色分配是否符合职责分离原则等，往往在内控测试检查出问题后，再要求执行部门去整改。因此，内控管理部门参与到ERP权限管理工作中，做好权限内控测试，把好用户权限申请的第一关是必须的。

综上所述，在ERP系统用户权限设定上，就要充分考虑岗位设置的合理性，对岗位的职能，职责进行科学的区分，优化人力资源合理配置，才能真正做到合理分配用户操作权限和限制用户操作范围，从而保证系统的安全性，数据的完整性。

参考文献：

[1] 孙士学.苏瑞. SAP权限管理浅谈.电脑知识与技术，2011，7(11)：2527-2537.

[2] 张震.张巍钟. ERP 系统权限管理.中国管理信息化，2012，15 (3):53-54.

endprint