龙源期刊网 https://www.doczj.com/doc/d816305570.html,
基于权限职责分离矩阵的ERP系统风险控制
作者:李梓
来源:《中国管理信息化》2014年第22期
[摘要] ERP系统上线后,应该对系统用户使用权限进行严格控制,避免越权操作,给企
业管理带来不必要的风险,企业的内部风险控制部门应该与ERP项目组按企业ERP系统覆盖的业务模块及系统中实现的功能,共同制定ERP系统用户权限控制策略。权限职责分离矩阵是实现ERP系统用户权限安全管理的基础,ERP系统管理员只有严格依据职责分离矩阵进行授权管理,才能达到有效控制ERP系统管理风险的目标。
[关键词] 权限职责分离矩阵;ERP系统;风险控制
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2014 . 22. 025
[中图分类号] F272.7 [文献标识码] A [文章编号] 1673 - 0194(2014)22- 0042- 02
1 什么是权限责分离矩阵
按照企业内控制度要求,企业的关键管理岗位必须采取制约机制防控风险。ERP系统是企业经营管理基础工作平台,覆盖着全部或大部分管理业务,ERP系统的用户权限直接对应于实际工作岗位。ERP系统操作授权怎样才能符合内控要求,这就要求企业在实施和维护ERP系统过程中,结合实际制定出切实可行的权限控制策略,建立权限职责分离矩阵就是非常有效的方法。权限职责分离矩阵是在对ERP系统业务活动之间关系进行判断的基础上,依据ERP系统角色不相容原理而确立的体现权限对象相互关系(互斥或相容)ERP系统赋权管理模型。依据权限职责分离矩阵,ERP系统管理人员在给相关岗位人员赋权时,可以随时对授权对象互斥关系进行对比甄别,确定无误后再进行授权操作。
2 制定权限职责分离矩阵的原则
企业在制定ERP系统权限职责分离矩阵时,应主要遵循以下原则:
原则1:业务批准与业务执行相分离。例如“创建采购订单”和“审批采购订单”是属于互斥的业务活动,必须相分离,不能赋予同一用户。
原则2:业务执行职能与业务检查职能相分离。例如有“库存出入库”操作权限的人,不应拥有“录入盘点结果”“存货入库”活动与“存货入库复核”活动的操作功能。