【正文】 (2) ERP應用系統(tǒng)層面 1) 發(fā)現(xiàn)問題：帳號權(quán)限的分配不滿足職責分離的要求 例如 地區(qū)公司的帳號不滿足 盤點差異過賬和存貨出庫、入庫；預制憑證過賬和制作預制憑證 ； 會計核算與總賬管理 ；會計科目主數(shù)據(jù)變更與會計核算；重開會計期間和會計核算；價格維護與維護發(fā)票等。 65 3. ERP系統(tǒng)測試檢查問題分析 3）某些帳號擁有生產(chǎn)環(huán)境的 直接數(shù)據(jù)訪問 /修改、維護系統(tǒng)的參數(shù)信息等多個敏感后臺權(quán)限。 58 2. ERP系統(tǒng)權(quán)限測試介紹 由于地區(qū)公司 “ 敏感事務(wù)訪問權(quán)限設(shè)置規(guī)則 ” 中 “ 應分配的崗位名稱 “ 未及時按照實際更新，導致 ” 應分配的崗位名稱 ” 和 “ 實際分配崗位名稱 ”不一致，經(jīng)與相關(guān)業(yè)務(wù)部門負責人及權(quán)限管理員溝通后，可不認定為權(quán)限例外。 40 2. ERP系統(tǒng)權(quán)限測試介紹 D. 從 ERP系統(tǒng)中導出當前角色與 STCODE授權(quán)對象對應關(guān)系列表 AGR_1在數(shù)據(jù)瀏覽器中輸入表名 USR02，按“確定”鍵后進入查詢條件輸入屏幕。(切勿將本文檔中 “ERP系統(tǒng)職責分離矩陣 ”頁的名字進行更改 )； 27 2. ERP系統(tǒng)權(quán)限測試介紹 C. 在“ ERP系統(tǒng)職責分離矩陣 ” 頁中，選擇菜單中的 “ 工具 ” “ 宏 ” “ 宏 ”, 或直接按 Alt+F8，運行宏 “ 二維表格轉(zhuǎn)換 ” 28 2. ERP系統(tǒng)權(quán)限測試介紹 D. 轉(zhuǎn)換完成后，系統(tǒng)彈出對話框。 具體關(guān)于 ERP系統(tǒng)權(quán)限測試工具的使用方法及步驟將在后面進行詳細講解 。 16 目錄 1. ERP系統(tǒng)權(quán)限管理 2. ERP系統(tǒng)權(quán)限測試介紹 3. ERP系統(tǒng)測試檢查問題分析 17 2. ERP系統(tǒng)權(quán)限測試介紹 考慮總部 ERP系統(tǒng)運維組和地區(qū)公司運維人員在執(zhí)行 ERP系統(tǒng)權(quán)限管理上的難度 ， 內(nèi)控與風險管理部采用 ACCESS數(shù)據(jù)庫編制 ERP系統(tǒng)權(quán)限測試工具 ， 供地區(qū)公司執(zhí)行權(quán)限管理所用 。 13 1. ERP系統(tǒng)權(quán)限管理 職責分離矩陣中還定義了業(yè)務(wù)活動與事務(wù)代碼之間的關(guān)系。 10 1. ERP系統(tǒng)權(quán)限管理 對于風險一：系統(tǒng)管理員通過對業(yè)務(wù)終端用戶的角色分配實現(xiàn)敏感事物的授權(quán)，所以 在進行 ERP系統(tǒng)用戶權(quán)限管理時，應確定 ERP系統(tǒng)中的敏感事務(wù)，并確定這些敏感事務(wù)訪問權(quán)限的設(shè)置規(guī)則。 在該實施辦法中詳細規(guī)范 ERP系統(tǒng)的相關(guān)權(quán)限管理要求，因此地區(qū)公司在ERP系統(tǒng)上線后，應嚴格制定 ERP系統(tǒng)相關(guān)的控制措施。 職責分離 ： 職責分離是把一個業(yè)務(wù)（子）流程的工作內(nèi)容分為幾個職責不相容的部分并由不同的人來完成，避免因一個人能夠操作不相容職責而產(chǎn)生的舞弊風險。 12 1. ERP系統(tǒng)權(quán)限管理 對于第二個風險，應該制定《 ERP系統(tǒng)職責分離矩陣 》 ，避免用戶出現(xiàn)互斥的權(quán)限。 ◆ 對于其他業(yè)務(wù)活動，各地區(qū)公司基于自身業(yè)務(wù)情況和對風險的考慮來決定是否互斥。 其中 ， 文檔 1“權(quán)限測試工具使用說明 ” 詳細介紹了使用權(quán)限測試工具的 5個步驟以及文檔 5的使用方法 。 25 2. ERP系統(tǒng)權(quán)限測試介紹 2) 步驟二、 轉(zhuǎn)換數(shù)據(jù)： ① 將客戶提供的 《 ERP系統(tǒng)職責分離矩陣模板 》 內(nèi)容導入 excel表中 A. 各地區(qū)公司結(jié)合總部下發(fā)的具有重要風險的互斥業(yè)務(wù)活動（下劃線 X）和地區(qū)公司自己業(yè)務(wù)活動相關(guān)的重要風險互斥業(yè)務(wù)活動 X，制定使用與實際業(yè)務(wù)情況的互斥矩陣，填寫在統(tǒng)一下發(fā)的 “ ERP系統(tǒng)職責分離矩陣模板 ” 中 26 2. ERP系統(tǒng)權(quán)限測試介紹 B. 獲取地區(qū)公司的“ ERP系統(tǒng)職責分離矩陣模板 ” 。例如： “ 維護客戶主數(shù)據(jù) ” 對應編碼為 01，將 01維護到 ERP系統(tǒng)敏感權(quán)限清單中，保證業(yè)務(wù)活動下的每個事務(wù)代碼都能與一個業(yè)務(wù)活動代碼相對應 31 2. ERP系統(tǒng)權(quán)限測試介紹 ② 獲取地區(qū)公司 “ 敏感事務(wù)訪問權(quán)限設(shè)置規(guī)則，根據(jù)地區(qū)公司工作頁 “ 敏感事務(wù)訪問訪問權(quán)限設(shè)置規(guī)則模板 ” 中業(yè)務(wù)活動應分配的權(quán)限崗位名稱，填寫工作表“ ERP系統(tǒng)敏感權(quán)限清單 ” 的 “ 應分配的崗位名稱 ” 一列。 由應用系統(tǒng)管理員登錄被測試單位所在的 ERP系統(tǒng)生產(chǎn)環(huán)境 client，執(zhí)行事務(wù)代碼 SE16，進入數(shù)據(jù)瀏覽器窗口，在數(shù)據(jù)瀏覽器中輸入表名 AGR_USERS，按 “ 確定 ” 鍵后進入查詢條件輸入屏幕。 54 2. ERP系統(tǒng)權(quán)限測試介紹 B. 選擇“角色”標簽，找到需要查詢的角色，雙擊該角色名稱。 61 目錄 1. ERP系統(tǒng)權(quán)限管理 2. ERP系統(tǒng)權(quán)限測試介紹 3. ERP系統(tǒng)測試檢查問題分析 62 3. ERP系統(tǒng)測試檢查問題分析 通過對地區(qū)公司開展的測試檢查工作及管理層測試工作，測試調(diào)查小組發(fā)現(xiàn)了在權(quán)限執(zhí)行層面的各類問題，在此對這些問題進行分析、討論，建議地區(qū)公司日后的權(quán)限管理中重點關(guān)注： (1) 總體信息系統(tǒng)層面 (2) ERP應用系統(tǒng)層面 63 3. ERP系統(tǒng)測試檢查問題分析 (1) 總體信息系統(tǒng)層面 1）發(fā)現(xiàn)問題：生產(chǎn)環(huán)境中存在未鎖定的實施顧問帳號，擁有大量系統(tǒng)后臺管理權(quán)限，如 ERP項目組，實施顧問帳號 yanhong. 分析：地區(qū)公司在 ERP系統(tǒng)單軌上線之前，未及時進行權(quán)限清理，并凍結(jié)實施顧問的帳號。 例如： 發(fā)現(xiàn)系統(tǒng)中角色擁有 SM30的事務(wù)代碼。（該種情況不屬于例外） 72 3. ERP系統(tǒng)測試檢查問題分析 4) 發(fā)現(xiàn)問題： 系統(tǒng)業(yè)務(wù)終端用戶的權(quán)限分配與實際崗位不符。 75 要點回顧 ERP系統(tǒng)權(quán)限管理 – ERP系統(tǒng)上線后地區(qū)公司和總部公司的權(quán)限管理及權(quán)限相關(guān)實施證據(jù)表單發(fā)生的變化 – ERP系統(tǒng)的權(quán)限管理 (總部 、 地區(qū)公司 ) – 公司 ERP系統(tǒng)職責分離的統(tǒng)一要求 (《