ERP系统权限管理测试.pptx
《ERP系统权限管理测试.pptx》由会员分享,可在线阅读,更多相关《ERP系统权限管理测试.pptx(77页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、4.2.1 对地区公司开展现场或非现场测试检查4.2.2 地区公司根据测试检查报告开展整改4.2.3 对地区公司的整改结果进行复查目录阶段一.项目准备 阶段二.蓝图设计 阶段三.系统配置 阶段四.测试检查阶段六.上线审批阶段五.流程完善ERP系统建设内部控制工作程序第1页/共77页目录1.ERP系统权限管理2.ERP系统权限测试介绍3.ERP系统测试检查问题分析第2页/共77页1.ERP系统权限管理随着地区公司从2007年开始陆续上线ERP系统,股份信息管理部、内控与风险管理部在原有信息系统总体控制实施办法(GCC)的基础上形成了ERP/人力资源系统总体控制(试行)。在该实施办法中详细规范ER
2、P系统的相关权限管理要求,因此地区公司在ERP系统上线后,应严格制定ERP系统相关的控制措施。本培训将重点介绍ERP系统的权限管理,ERP系统的权限测试步骤及权限测试工具,以及测试检查中权限问题的分析讨论。第3页/共77页1.ERP系统权限管理(1)ERP系统上线后对地区公司和总部公司的权限管理会发生如下变化:1)控制执行层面发生变化:控制执行跨地区公司和总部两个层面,需要总部和地区公司的控制执行人共同完成。例如用户权限角色变更流程,角色变更的申请由地区公司发起,在地区公司需要关键用户检查角色变更是否满足职责分离的要求,申请人主管领导进行业务层面的审批,通过后由总部ERP运维主管进行技术层面的
3、审批,最后由总部技术人员在系统中进行角色变更活动。第4页/共77页1.ERP系统权限管理2)控制实施证据发生变化:考虑ERP系统权限管理的细化及复杂性,对控制执行证据进行更新和完善,具体发生变化的权限实施证据如下:原有GCC表单GCC-ERP/HR中对应表单用户帐号及权限管理表ERP系统用户帐号新增请求表ERP系统用户帐号注销请求表ERP系统用户权限变更请求表ERP系统角色变更请求表应用系统权限检查表 ERP应用系统用户权限检查表ERP系统用户与角色对应关系表ERP系统特权用户权限检查表岗位角色对应关系、职责分离矩阵和敏感事务权限规则的检查记录第5页/共77页1.ERP系统权限管理总体控制领域
4、总体控制领域控制点编号控制点编号总部层面执行总部层面执行地区公司层面执行地区公司层面执行信息安全-用户权限管理GIT-ERP-5.1GIT-ERP-5.2XGIT-ERP-5.3XGIT-ERP-6.1GIT-ERP-6.2GIT-ERP-6.3XGIT-ERP-6.4XGIT-ERP-6.5XGIT-ERP-7.1XGIT-ERP-7.2XGIT-ERP-7.3 代表需执行该控制X 代表无需执行该控制 代表总部和地区公司共同执行第6页/共77页1.ERP系统权限管理(2)用户权限的管理以及设置规则职责分离原则:职责分离原则:对于同一组不相容权限,任何用户不能同时具有两种(或两种以上)的权限未
5、明确允许即禁止:未明确允许即禁止:除非用户有对于权限的需求得到了相关领导的明确批准,否则不应当授予用户任何权限需求导向及最小授权原则需求导向及最小授权原则:对于用户的权限,应当以其实际工作需要为依据,且仅应当授予能够完成其工作任务的最小权限访问权限访问权限:是指用户能够访问哪些资源或执行哪些任务(或功能)的范围,从控制的角度考虑在系统中所拥有的权限是否超出了其工作需要。职责分离职责分离:职责分离是把一个业务(子)流程的工作内容分为几个职责不相容的部分并由不同的人来完成,避免因一个人能够操作不相容职责而产生的舞弊风险。用户权限设置应同时满足以下基本原则:用户权限管理的范围包括访问权限和职责分离第
6、7页/共77页1.ERP系统权限管理在执行ERP系统权限管理时,用户权限分配不当将引起以下两个方面的风险:风险一:用户如果在系统中具有不符合其实际业务职责的权限,可能导致对业务、财务数据相关信息不适当的非授权修改。风险二:用户如果在系统中具有互斥权限,那么该用户就具有了在系统中进行舞弊操作的可能。第8页/共77页1.ERP系统权限管理对于风险一:系统管理员通过对业务终端用户的角色分配实现敏感事物的授权,所以在进行ERP系统用户权限管理时,应确定ERP系统中的敏感事务,并确定这些敏感事务访问权限的设置规则。用户权限分配应遵循能够满足用户日常工作对系统资源的需求的最小授权原则进行授权。第9页/共7
7、7页1.ERP系统权限管理敏感事务访问权限的设置规则由ERP系统的业务活动,敏感事务代码以及这些敏感事务应分配的工作岗位组成。事务代码:各地区公司根据其业务活动描述所定义的事务代码。事务名称:事务代码所对应的名称。第10页/共77页1.ERP系统权限管理对于第二个风险,应该制定ERP系统职责分离矩阵,避免用户出现互斥的权限。(附录二、ERP系统职责分离矩阵 模板)。职责分离矩阵模版中定义了业务活动之间的互斥关系,若矩阵中某两个业务活动被标注为X,即表示这两个业务活动是互斥的,因此用户不能在系统中同时具有执行这两个互斥的业务活动的权限。第11页/共77页1.ERP系统权限管理职责分离矩阵中还定义
8、了业务活动与事务代码之间的关系。事务代码与业务活动是从属关系,如果某两个业务活动是互斥的,那么他们包含的事务代码彼此间也是互斥的。举例说明:“创建采购订单”和“审批采购订单”是属于互斥的业务活动,而创建采购订单需要执行事务代码ME21N或ME22N,审批采购订单需要执行事务代码ME28或ME29N,因此ME21N和ME28,ME21N与ME29N都是互斥的,同样ME22N和ME28,ME22N与ME29N也是互斥的。因此在给用户分配权限时,需根据业务活动的互斥关系,来检查用户是否具有互斥事务代码的权限。第12页/共77页1.ERP系统权限管理对于职责分离矩阵中X与X的区别:ERP系统职责分离矩
9、阵中加粗并标有下划线的“X”代表具有重要风险的互斥业务活动,各地区公司在编制自己的职责分离矩阵时,如果这些业务活动适用于实际业务情况,那么必须满足这些具有重要风险的业务活动之间的互斥关系,即被标为”X“的业务活动之间必须是互斥的。对于其他业务活动,各地区公司基于自身业务情况和对风险的考虑来决定是否互斥。地区公司应对风险进行充分的考虑,并结合自身业务实际情况,同时参照ERP系统职责分离矩阵模版来建立适用于本单位的职责分离矩阵,同时编制业务活动和事务代码的对应关系.地区公司在编制职责分离矩阵时还需满足一个原则:主数据维护、财务活动和和其他业务活动(指采购、销售、库存等业务活动)之间必须两两分离,例
10、如主数据维护人员不能同时具有财务或其他业务活动的权限,财务人员不能同时具有维护主数据或其他业务活动的权限。第13页/共77页1.ERP系统权限管理为了避免上述两个风险的发生,在系统安全负责人进行每季度的权限检查过程中,都应对ERP系统权限的测试工作,由于ERP系统中具有大量的用户人数,同时其权限分配机制较为复杂,仅依靠手工的方式难以对ERP系统用户权限进行复核以减少相应的风险,因此ERP内控项目组根据这个系统的权限分配方式,以及股份公司下发的ERP系统职责分离矩阵开发了ERP系统权限Access测试工具。第14页/共77页目录1.ERP系统权限管理2.ERP系统权限测试介绍3.ERP系统测试检
11、查问题分析第15页/共77页2.ERP2.ERP系统权限测试介绍考虑总部ERP系统运维组和地区公司运维人员在执行ERP系统权限管理上的难度,内控与风险管理部采用ACCESS数据库编制ERP系统权限测试工具,供地区公司执行权限管理所用。2.权限测试工具,具体请参见附件“PTR-ERP权限测试工具”。1.说明权限测试工具的使用,具体请参见附件“ERP系统权限Access测试工具说明”。第16页/共77页2.ERP2.ERP系统权限测试介绍附件:ERP系统权限Access测试工具说明该附件对ERP系统权限Access测试工具的使用步骤进行了详细说明,并设置“宏”功能用于将“ERP系统职责分离矩阵”进
12、行二维表格转换。其中包括5个文档:权限测试工具使用说明;ERP系统职责分离矩阵模版;敏感事务访问权限设置规则模板;ERP系统职责分离矩阵;ERP系统敏感权限清单。其中,文档1“权限测试工具使用说明”详细介绍了使用权限测试工具的5个步骤以及文档2、3、4、5的使用方法。第17页/共77页2.ERP系统权限测试介绍附件:PTR-ERP权限测试工具该附件是用于ERP系统权限测试的工具。需将相关测试数据导入该工具中相应的表(Tables),并运行工具中的查询项目(Queries),得到当前系统中用户的敏感事务代码清单及不符合职责分离的用户名单。具体关于ERP系统权限测试工具的使用方法及步骤将在后面进行
13、详细讲解。第18页/共77页2.ERP系统权限测试介绍ERP系统权限测试工具可以提供地区公司开展如下几个方面工作:地区公司管理层自测ERP项目组权限清理地区公司定期ERP权限检查总部运维组定期ERP权限检查阶段三:系统配置阶段四:测试检查双轨时间单轨时间阶段五:上线审批内部控制程序第19页/共77页2.ERP系统权限测试介绍(1)地区公司在ERP系统双轨及单轨上线期间均可使用该测试工具:1)地区公司ERP系统双轨上线前的权限配置阶段,项目组可通过权限测试工具测试系统中用户权限分配是否满足职责互斥的要求,以及是否符合用户实际岗位职责。2)地区公司ERP系统单轨上线后,在执行用户权限定期审阅控制点
14、时,审阅人可以用该工具检查系统中用户是否具有互斥的权限,以及权限分配是否符合用户实际岗位职责。第20页/共77页2.ERP2.ERP系统权限测试介绍(2)ERP系统权限测试主要分为如下步骤:1)步骤一、权限测试数据准备2)步骤二、转换数据3)步骤三、在ERP系统中导出所需数据4)步骤四、将数据导入到工具中,并运行结果5)步骤五、对测试结果进行分析,并形成权限测试文档w单轨上线之前测试工作,形成用户权限清理报告或测试检查报告;w双轨上线后测试工作:按照内控手册要求,最终由系统信息安全管理负责人填写SAP应用系统用户权限检查表。第21页/共77页2.ERP2.ERP系统权限测试介绍ERPERP系统
15、系统23ACCESSACCESS权限测试工权限测试工具具下载权限相关数据职责分离矩阵职责分离矩阵ERPERP系统中用户系统中用户权限权限导入ACCESS测试数据库用户权限清理报告或测试检查报告4运行工具及结果呈现1模板转换完成模板转换完成后的互斥矩阵后的互斥矩阵导入ACCESS测试数据库获取地区公司职责分离矩阵敏感事务访问权敏感事务访问权限的设置规则限的设置规则获取地区公司敏感事务访问权限的设置规则5SAP应用系统用户权限检查表单轨上线前单轨上线后第22页/共77页2.ERP2.ERP系统权限测试介绍1)步骤一、权限测试数据准备:地区公司在权限测试之前需要准备如下数据:u敏感事务访问权限的设置
16、规则:地区公司独立准备uERP系统职责分离矩阵:地区公司根据2009年内部控制管理手册-信息与沟通分册第部分的“表1 ERP系统职责分离矩阵”模板更新后的适用于本单位的ERP系统职责分离矩阵。第23页/共77页2.ERP2.ERP系统权限测试介绍2)步骤二、转换数据:将客户提供的ERP系统职责分离矩阵模板内容导入excel表中A.各地区公司结合总部下发的具有重要风险的互斥业务活动(下划线X)和地区公司自己业务活动相关的重要风险互斥业务活动X,制定使用与实际业务情况的互斥矩阵,填写在统一下发的“ERP系统职责分离矩阵模板”中第24页/共77页2.ERP2.ERP系统权限测试介绍B.获取地区公司的
17、“ERP系统职责分离矩阵模板”。该内容分成两个部分:ERP系统职责分离矩阵;业务活动与事务代码对应关系。将地区公司的ERP系统职责分离矩阵通过全选(Ctrl+A)-复制(右键“复制”)-粘贴(右键“粘贴”)到文本档的“ERP系统职责分离矩阵”页中。(切勿将本文档中“ERP系统职责分离矩阵”页的名字进行更改);第25页/共77页2.ERP2.ERP系统权限测试介绍C.在“ERP系统职责分离矩阵”页中,选择菜单中的“工具”-“宏”-“宏”,或直接按Alt+F8,运行宏“二维表格转换”第26页/共77页2.ERP2.ERP系统权限测试介绍D.转换完成后,系统弹出对话框。记下转换结果保存的工作表名称,
18、供导入数据时使用。在下图的例子中,转换结果是保存在“Sheet2”的工作表中。点击“OK”,完成转换,保存并关闭文件”第27页/共77页2.ERP2.ERP系统权限测试介绍E.将ERP系统职责分离矩阵模板中的“业务活动与事务代码对应关系”,选中“业务活动”,“事务代码”,“事务代码名称”三列,直接复制到工作表“ERP系统敏感权限清单”表中。第28页/共77页2.ERP2.ERP系统权限测试介绍参照ERP系统职责分离矩阵填写“业务活动的编号”一列。例如:“维护客户主数据”对应编码为01,将01维护到ERP系统敏感权限清单中,保证业务活动下的每个事务代码都能与一个业务活动代码相对应第29页/共77
19、页2.ERP2.ERP系统权限测试介绍4获取地区公司“敏感事务访问权限设置规则,根据地区公司工作页“敏感事务访问访问权限设置规则模板”中业务活动应分配的权限岗位名称,填写工作表“ERP系统敏感权限清单”的“应分配的岗位名称”一列。第30页/共77页2.ERP2.ERP系统权限测试介绍3)步骤三、在ERP系统中导出所需数据4 从ERP生产环境中导出权限相关的后台数据A.由应用系统管理员登录被测试单位所在的ERP系统生产环境client,执行事务代码SE16,进入数据浏览器窗口。B.从ERP系统中导出当前用户信息列表USR02。在数据浏览器中输入表名USR02,按“确定”键后进入查询条件输入屏幕。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- ERP 系统 权限 管理 测试
限制150内