万永红

摘要：根据客户需求，通过信息化系统自动管控，按岗位职责固化该岗位的系统事务权限，以实现不相容岗位职责分离机制，明确上级部门或人员对其应采取的监督措施和应负的监督责任。信息系统控制机制建立，充分利用公司信息系统，促进信息系统与财务内部控制流程的有机结合，岗位职责与系统权限自动匹配，建立更为健全、有效的内部控制体系，提升权限管控的自动化管理水平。

关键词：大数据;SAP系统;不相容职责分离;内部控制;风险管控

一、业务背景

SAP系统中权限管理尤其重要，权限管理科学、规范，是系统安全运行的有力保证。SAP 系统中，业务人员能否行使其职责范围内的系统操作是由权限来控制的，用户权限管理的规范化，能有效的保障SAP 系统各个业务流程的正常运行。在业务需求中所涉及的详细程度及与业务岗位的匹配程度直接影响到权限设计，而最终用户是权限的直接使用者，在权限设计的过程中，权限管理人员根据业务流程需要确定最终用户的岗位职责、明确业务操作以及结果，最终分配给用户相应的业务权限。[1]

客户A系本公司长期服务的客户，SAP系统是客户A的核心业务系统，贯穿整个公司的财务、销售、采购、设备管理、项目管理、人资管理等各管理环节，SAP系统上线初期，公司更为关注系统的流程设计、系统的稳定运行等目标，其中权限设计方面没有得到更多的关注，系统权限没有结合实际管理业务，没有实现不相容岗位职责的分离，权限设计方面存在问题，不符合内部管理控制规范，存在内控风险。为此，本着客户的公司财务风险管控要求，针对 SAP 系统的权限进行了架构重新搭建和不相容性岗位的整合。

二、客户系统权限管理现状及企业内控要求

（一）客户A 的SAP系统权限管理现状

目前SAP系统权限角色设计，按财务、项目管理、设备管理、物资管理、人资各模块子功能线建立权限角色，权限角色为一系列相关事务的集合，每个子功能的操作与查询事务通常合在一个权限角色，未分开建立权限角色，操作与查询事务权限无法分开进行赋权。

1.基于目前的系统权限设计，无法按员工岗位职责分配系统权限，系统所分配权限通常大于本岗位职责所需要的权限，不相容岗位职责无法进行分离;

2.员工系统权限申请缺乏有效管理工具及严谨的审核机制：申请方式通过填写纸质单据，OA发送申请，申请审批环节不够严谨;审批流程均为线下，审批时间较长，效率低下，运维人员见单操作赋权，无法辨别纸质申请单的真伪，整个权限管理流于形式;

3.财务信息系统管理缺乏刚性：财务的不相容岗位分离制度，未在系统中进行强制约束。

（二）客户A公司内控要求

客户A公司2018年《公司全面風险管理与内部控制管理办法》规定：1）法人授权、合同授权、资金分级授权等授权审批机制需要建立，防止任何组织或个人做出超越授权的风险性决定。2）岗位设置遵循内部寄制制度，做到不相容岗位职责分离，对重要岗位设置A、B岗、双职、双责，相互牵制制约，明确该岗位的上级部门或人员的职责，以及对其应采取的监督措施和应负的监督责任。

因此，建立一套符合客户公司内控的权限角色势在必行。当前客户ERP系统权限管理无法满足企业内部控制管理需求，内部控制存在一定的风险，需要对系统权限功能进行整改。

三、按客户单位岗位职责重新构建设计系统权限

（一）根据客户需求，确定系统实现方案。按岗位职责梳理每个岗位对应的SAP系统权限，将每个岗位的权限标准化，在系统中按岗位建立权限角色，并且建立系统功能事务的新增审批机制，严格管控每个岗位的权限，职责与权限相匹配，打破目前系统中按各子功能建立权限角色的格局，避免用户系统赋权大于本身岗位职责的现象。用户权限申请实现线上工作流审批，记录用户岗位工作交接及轮岗记录日志，在审批平台上能有据可查。

（二）进行客户调研，调研单位的各部门岗位设置情况、各岗位所对应的工作内容，首先确认梳理职责不相容的岗位，明确各个机构与岗位的职责与权限，形成不相容岗位与职责之间能够相互监督、相互制约的制衡机制。根据工作内容确定所对应的系统事务，结合SAP系统各功能标准事务，整理岗位职责与系统权限匹配的对应表，最后按各单位岗位配置关系，结合不相容岗位要求，梳理信息系统权限，形成权限配置表最终稿，得到客户的确认。

（三）创建系统权限角色并分配用户权限，根据调研环节客户确认好的权限配置表，在系统中按岗位进行权限角色设计，权限角色设计采用通用角色继承到本地角色的方式进行创建，按片区设计一个总的通用角色，各市、县公司继承本片区通用角色建立本地角色，按照既定的角色命名规则对各岗位角色进行命名，以利于后期的平台权限自动化管理。

权限角色建好后，在SAP系统开发环境与测试环境进行测试，对测试用户赋予新权限角色进行一一测试，测试检查权限是否满足各岗位的功能，同时也检查权限是否过大，反复测试无误后传到生产环境。将已设计好的岗位权限角色提供各单位，收集各单位提供的岗位用户分配清单，PFCG对应岗位权限角色，对用户进行批量维护权限。

（四）项目成果：本项目第一阶段完成了客户A10家子公司的财务岗位权限角色，共创建了430个财务角色。财务岗位共有18个操作性质的岗位角色，针对这个18个岗位编写配套的岗位指导书，岗位指导书的内容包括该岗位的业务指导以及系统所赋予的事务操作指导，对用户起到一定的指引作用。

（五）分步实施，全省各业务线推广：后续将在全省范围内推广所有单位财务线按岗位职责配置权限，其次再实现其他业务线岗位职责与系统权限相匹配的全面整改。

四、依托大数据工作流技术建立系统财务权限管理平台

大数据、云计算的不断发展，引发了企业财务内部控制变革。当前，企业借助大数据技术，提供给企业财务人员较多的相关数据，保证财务数据准确无误，进而使有关财务的工作可以有效开展。[2]

基于客户A全业务数据中心开发服务窗口平台，采用大数据技术集成ERP系统，设置权限申请工作流及岗位权限查询报表，实现权限申请单的线上填写提交、审批，支持佐证材料等附件的挂接、查看。审批界面友好直观，审批日志完整可追溯，审批通过后自动完成ERP系统用户账号新建及权限维护。

（一）在大数据平台固化财务岗位权限配置

依据标准岗位权限配置表，对财务岗位权限进行固化，保障了什么职责有权干什么事的内控要求。

（二）建立权限在线申请流程

新建用户账号的流程由人资部审批后再经财务部、信息通信部三级节点审批;不需新建用户账号只分配权限的流程只需财务部和信息通信部两级审批，审批节点及人员可灵活配置。新建账号经过人资部门审批时，系统自动校验人资主数据的完整性，人事主数据不完整流程无法审批通过。

（三）后台设定不相容岗位规则，申请人申请权限涉及到不相容岗位，审批环节系统进行自动校验，提示存在不相容岗位权限申请，审批人予以拒绝退回。

五、建设成效

系统严格按照不相容岗位职责设计权限角色，设置的岗位权限不交叉，不重叠，不同时赋权于同一人。针对某些子公司财务人手不足，有些子公司未配置副主任，财务部副主任兼任其他岗位，财务人员基本都是一人多岗等情况，按照本项目梳理的不相容岗位清单，根据新配置的岗位权限角色，严格按要求保持财务部主任、出纳工作的独立性，合理配置资金管理岗，确保了不相容岗位符合《公司全面风险管理与内部控制管理办法》等有关规定。

权限维护审批流程转为线上审批，系统自动赋权，体现了高效性与先进性，风险可控，同时也大大提高了系统运维人员的工作效率。

参考文献：

[1]周茜.ERP 大集中权限的设计及维护[J].计算机工程应用技术，2017 （16）：69-71+81.

[2]毛松英.基于制造业企业的内部控制管理分析[J].中国市场，2019 （08）：126-127.