【正文】 統(tǒng)層面 63 3. ERP系統(tǒng)測(cè)試檢查問題分析 (1) 總體信息系統(tǒng)層面 1）發(fā)現(xiàn)問題：生產(chǎn)環(huán)境中存在未鎖定的實(shí)施顧問帳號(hào)，擁有大量系統(tǒng)后臺(tái)管理權(quán)限，如 ERP項(xiàng)目組，實(shí)施顧問帳號(hào) yanhong. 分析：地區(qū)公司在 ERP系統(tǒng)單軌上線之前，未及時(shí)進(jìn)行權(quán)限清理，并凍結(jié)實(shí)施顧問的帳號(hào)。 64 3. ERP系統(tǒng)測(cè)試檢查問題分析 2）發(fā)現(xiàn)問題： 系統(tǒng)生產(chǎn)環(huán)境中存在大量帳號(hào)擁有批處理權(quán)。 (SM3 SM3 SM37) 分析：地區(qū)公司在 ERP系統(tǒng)單軌上線之前， ERP實(shí)施顧問或關(guān)鍵用戶由于批處理操作被大量使用，故該類權(quán)限未被嚴(yán)格限制。 65 3. ERP系統(tǒng)測(cè)試檢查問題分析 3）某些帳號(hào)擁有生產(chǎn)環(huán)境的 直接數(shù)據(jù)訪問 /修改、維護(hù)系統(tǒng)的參數(shù)信息等多個(gè)敏感后臺(tái)權(quán)限。 分析： 用戶權(quán)限符合要求， 但該賬號(hào)并未登記在 《 ERP系統(tǒng)特權(quán)用戶登記備案表 》 且未經(jīng)過信息安全管理負(fù)責(zé)人的確認(rèn)，不滿足 用戶的管理要求 。 66 3. ERP系統(tǒng)測(cè)試檢查問題分析 4） 發(fā)現(xiàn)系統(tǒng)中非管理員用戶擁有用戶維護(hù)、系統(tǒng)配置、系統(tǒng)開發(fā)管理方面的敏感后臺(tái)權(quán)限。如 SCC SU0 SU SUGR、 SUIM 分析： 此類權(quán)限的擁有帳號(hào)多為系統(tǒng)單軌前各地區(qū)公司的關(guān)鍵用戶，但系統(tǒng)正式上線后，總部運(yùn)維組沒有及時(shí)將用戶的敏感后臺(tái)權(quán)限撤銷。 67 3. ERP系統(tǒng)測(cè)試檢查問題分析 5）發(fā)現(xiàn)系統(tǒng)中有業(yè)務(wù)人員擁有敏感后臺(tái)權(quán)限，經(jīng)查詢發(fā)現(xiàn)該權(quán)限被分配在業(yè)務(wù)角色中。 例如： 發(fā)現(xiàn)系統(tǒng)中角色擁有 SM30的事務(wù)代碼。 分析： 由于總部運(yùn)維組在創(chuàng)建角色時(shí)錯(cuò)誤的分配了該權(quán)限。 68 3. ERP系統(tǒng)測(cè)試檢查問題分析 6）發(fā)現(xiàn)系統(tǒng)中特權(quán)用戶擁有其職責(zé)范圍外的敏感權(quán)限 例如： 負(fù)責(zé)數(shù)據(jù)傳輸?shù)奶貦?quán)用戶擁有帳號(hào)維護(hù)的權(quán)限（ SU01） 分析： 總部技術(shù)組在給特權(quán)用戶授權(quán)時(shí)分配錯(cuò)的角色。 69 3. ERP系統(tǒng)測(cè)試檢查問題分析 (2) ERP應(yīng)用系統(tǒng)層面 1) 發(fā)現(xiàn)問題：帳號(hào)權(quán)限的分配不滿足職責(zé)分離的要求 例如 地區(qū)公司的帳號(hào)不滿足 盤點(diǎn)差異過賬和存貨出庫、入庫；預(yù)制憑證過賬和制作預(yù)制憑證 ； 會(huì)計(jì)核算與總賬管理 ；會(huì)計(jì)科目主數(shù)據(jù)變更與會(huì)計(jì)核算；重開會(huì)計(jì)期間和會(huì)計(jì)核算；價(jià)格維護(hù)與維護(hù)發(fā)票等。 分析：地區(qū)公司在權(quán)限分配的時(shí)候，對(duì)于許多屬于同一類型的業(yè)務(wù)活動(dòng)（例如財(cái)務(wù)類），并沒有按照職責(zé)分離矩陣的要求，進(jìn)行權(quán)限分離，而是將權(quán)限分配了同樣的人員。如果該用戶實(shí)際業(yè)務(wù)中確實(shí)從事互斥的業(yè)務(wù)活動(dòng)，系統(tǒng)管理員應(yīng)根據(jù)內(nèi)控手冊(cè)的要求，告知相關(guān)務(wù)部門負(fù)責(zé)人，對(duì)該用戶崗位以及職責(zé)進(jìn)行調(diào)整，以確保符合職責(zé)分離的要求。 70 3. ERP系統(tǒng)測(cè)試檢查問題分析 2) 發(fā)現(xiàn)問題：帳號(hào)在系統(tǒng)內(nèi)的權(quán)限與帳號(hào)擁有業(yè)務(wù)人員在系統(tǒng)外的業(yè)務(wù)權(quán)限互斥 例如 ：帳號(hào)有 發(fā)貨過帳的業(yè)務(wù)處理權(quán)限，同時(shí)，帳號(hào)擁有人還執(zhí)行檢查系統(tǒng)中尚未完成發(fā)貨過帳的銷售訂單； 帳號(hào)有 取消物料憑證的權(quán)限，但帳號(hào)擁有人還執(zhí)行復(fù)核沖銷的物料憑證這一手工控制； 帳號(hào)有維護(hù)價(jià)格主數(shù)據(jù) 的業(yè)務(wù)處理權(quán)限，同時(shí)，帳號(hào)擁有人還執(zhí)行 負(fù)責(zé)復(fù)核價(jià)格主數(shù)據(jù)變更 分析：地區(qū)公司，有時(shí)由于業(yè)務(wù)部門人員數(shù)量不足以完全保證職責(zé)分工，建議可以采用交叉審批 \復(fù)核的方式。 71 3. ERP系統(tǒng)測(cè)試檢查問題分析 3) 發(fā)現(xiàn)問題：其它地區(qū)有公司的用戶擁有本公司的業(yè)務(wù)權(quán)限 分析： ? 由于在系統(tǒng)上線前，帳號(hào)由總部技術(shù)組統(tǒng)一創(chuàng)建，有時(shí)會(huì)出現(xiàn)授權(quán)錯(cuò)誤的情況（該種情況屬于例外） ? 由于其它地區(qū)公司在業(yè)務(wù)上涉及需要本公司權(quán)限，例如： A公司采用產(chǎn)品庫發(fā)，但倉庫屬于 B公司的管理范圍內(nèi)，所以 B公司的庫管員會(huì)擁有 A公司的產(chǎn)品出入庫權(quán)限。（該種情況不屬于例外） 72 3. ERP系統(tǒng)測(cè)試檢查問題分析 4) 發(fā)現(xiàn)問題： 系統(tǒng)業(yè)務(wù)終端用戶的權(quán)限分配與實(shí)際崗位不符。 例如 ： 系統(tǒng)中終端用戶，實(shí)際崗位為出納崗，但卻在系統(tǒng)中分配了結(jié)算崗的業(yè)務(wù)活動(dòng)如預(yù)制憑證審核過帳的業(yè)務(wù)處理權(quán)限；實(shí)際崗位為財(cái)務(wù)處總帳崗，但是擁有會(huì)計(jì)核算業(yè)務(wù)活動(dòng)權(quán)限；財(cái)務(wù)處系統(tǒng)管理，但是擁有成本核算相關(guān)的主數(shù)據(jù)維護(hù)業(yè)務(wù)活動(dòng)權(quán)限。 分析：此種情況的發(fā)生主要由于用戶已經(jīng)調(diào)崗，但用戶的相關(guān)崗位信息確沒有及時(shí)更新。系統(tǒng)管理員應(yīng)該填寫 《 ERP系統(tǒng)用戶權(quán)限變更請(qǐng)求表 》 ，根據(jù)該用戶的實(shí)際業(yè)務(wù)需要，執(zhí)行用戶權(quán)限修改和變更流程，對(duì)用戶角色重新進(jìn)行調(diào)整，刪除該用戶的多余授權(quán)。 73 3. ERP系統(tǒng)測(cè)試檢查問題分析 5) 發(fā)現(xiàn)問題：已離職用戶仍擁有業(yè)務(wù)權(quán)限 分析：對(duì)于已經(jīng)離職的業(yè)務(wù)終端用戶，沒有照內(nèi)控手冊(cè)要求，填寫 《 ERP系統(tǒng)用戶帳號(hào)注銷請(qǐng)求表 》 ，執(zhí)行用戶帳號(hào)注銷流程，由總部技術(shù)組將該帳號(hào)鎖定或刪除。 74 3. ERP系統(tǒng)測(cè)試檢查問題分析 6) 發(fā)現(xiàn)問題：帳號(hào)所擁有的互斥事物代碼被分配給同一角色，且均不僅為查詢權(quán)限。 分析： 該種情況的發(fā)生屬于角色的定義錯(cuò)誤，在系統(tǒng)管理員的職責(zé)范圍內(nèi)無法對(duì)現(xiàn)有角色進(jìn)行修改，應(yīng)及時(shí)與總部技術(shù)進(jìn)行溝通，填寫《 ERP系統(tǒng)角色變更請(qǐng)求表》，執(zhí)行 ERP系統(tǒng)角色變更管理流程，由技術(shù)組對(duì)該角色進(jìn)行修改，將互斥的事物代碼重新分配在不同的角色中。系統(tǒng)管理員應(yīng)根據(jù) ERP系統(tǒng)職責(zé)分離矩陣以及用戶的實(shí)際業(yè)務(wù)需要，重新對(duì)帳號(hào)進(jìn)行角色分配。 75 要點(diǎn)回顧 ERP系統(tǒng)權(quán)限管理 – ERP系統(tǒng)上線后地區(qū)公司和總部公司的權(quán)限管理及權(quán)限相關(guān)實(shí)施證據(jù)表單發(fā)生的變化 – ERP系統(tǒng)的權(quán)限管理 (總部 、 地區(qū)公司 ) – 公司 ERP系統(tǒng)職責(zé)分離的統(tǒng)一要求 (《 ERP系統(tǒng)職責(zé)分離矩陣模板 》 ) ERP系統(tǒng)權(quán)限測(cè)試介紹 – 如何使用 ERP系統(tǒng)權(quán)限測(cè)試工具 ERP系統(tǒng)測(cè)試檢查問題分析 – 對(duì)檢查出的問題進(jìn)行分析 ， 如何整改 76 問題討論 7