用戶授權(quán)及合規(guī)性管理信息系統(tǒng)研究

用戶授權(quán)及合規(guī)性管理信息系統(tǒng)研究

信息化工程的建設(shè)在為神華帶來(lái)巨大經(jīng)濟(jì)績(jī)效的同時(shí)，也對(duì)神華的管理、協(xié)調(diào)、運(yùn)營(yíng)和可持續(xù)發(fā)展提出了巨大的挑戰(zhàn)。作為信息化管理的眾多內(nèi)容之一，信息系統(tǒng)用戶業(yè)務(wù)授權(quán)及合規(guī)性控制管理是其中非常重要的一個(gè)管控環(huán)節(jié)，一旦用戶業(yè)務(wù)授權(quán)存在風(fēng)險(xiǎn)可能會(huì)出現(xiàn)多種問題，影響非常大。用戶業(yè)務(wù)授權(quán)管理關(guān)注的核心包括很多，如：用戶在系統(tǒng)內(nèi)所授予的授權(quán)是否合理（授權(quán)最小化、以崗定權(quán)、不相容業(yè)務(wù)操作是否分離）；系統(tǒng)中關(guān)鍵、敏感的操作或數(shù)據(jù)是否只能夠被限定的人員所訪問等。此外信息系統(tǒng)中用戶業(yè)務(wù)授權(quán)相關(guān)缺陷或問題也是內(nèi)外部審計(jì)機(jī)構(gòu)關(guān)注的重點(diǎn)，因此如何確認(rèn)用戶業(yè)務(wù)授權(quán)的合規(guī)性，加強(qiáng)用戶業(yè)務(wù)授權(quán)的管理，已是當(dāng)前神華面臨的重要管理課題與挑戰(zhàn)。用戶業(yè)務(wù)授權(quán)及合規(guī)性控制管理系統(tǒng)項(xiàng)目（以下簡(jiǎn)稱：用戶授權(quán)及合規(guī)性系統(tǒng)項(xiàng)目）為神華集團(tuán)用戶授權(quán)及合規(guī)性管理奠定了堅(jiān)實(shí)的基礎(chǔ)。

用戶授權(quán)及合規(guī)性系統(tǒng)與實(shí)現(xiàn)

用戶授權(quán)及合規(guī)性系統(tǒng)項(xiàng)目根據(jù)中央巡視組、國(guó)資委、內(nèi)外部審計(jì)要求，以加強(qiáng)集團(tuán)內(nèi)控體系建設(shè)，提升信息系統(tǒng)用戶業(yè)務(wù)授權(quán)、合規(guī)性控制的管理能力與水平，實(shí)現(xiàn)“管控系統(tǒng)化、風(fēng)控集成化、運(yùn)營(yíng)高效化、操作自動(dòng)化”為目標(biāo)進(jìn)行實(shí)施。通過本項(xiàng)目建設(shè)，有針對(duì)性地補(bǔ)充了制度流程，提高集團(tuán)的整體風(fēng)險(xiǎn)防范水平；建立了完善的集團(tuán)用戶授權(quán)及合規(guī)性控制管理體系，規(guī)范各層級(jí)管理和業(yè)務(wù)人員的行為，有效防止舞弊事件發(fā)生。

在建設(shè)過程中，為提升企業(yè)信息化應(yīng)用系統(tǒng)角色的規(guī)范化管理，對(duì)現(xiàn)有管理體系進(jìn)行補(bǔ)充和完善，使其更加標(biāo)準(zhǔn)化，更能有效防范經(jīng)營(yíng)中的風(fēng)險(xiǎn)，建立既符合內(nèi)外部審計(jì)及管理部門要求又符合集團(tuán)實(shí)際的權(quán)限管理相關(guān)管控體系。

建立集團(tuán)統(tǒng)一的職責(zé)互斥規(guī)則庫(kù)

根據(jù)外部監(jiān)管、審計(jì)機(jī)構(gòu)對(duì)于用戶授權(quán)及合規(guī)性的要求及職責(zé)互斥的要求，結(jié)合集團(tuán)信息化應(yīng)用系統(tǒng)現(xiàn)有的業(yè)務(wù)流程，梳理了各項(xiàng)業(yè)務(wù)活動(dòng)間職責(zé)互斥可能帶來(lái)的舞弊事件，最終設(shè)計(jì)了集團(tuán)統(tǒng)一的一套職責(zé)互斥規(guī)則庫(kù)。對(duì)于業(yè)務(wù)流程中相關(guān)業(yè)務(wù)活動(dòng)存在職責(zé)互斥帶來(lái)的風(fēng)險(xiǎn)不同，在職責(zé)互斥矩陣確定了存在風(fēng)險(xiǎn)的屬性，即高、中和低三種類型；同時(shí)，由于幾個(gè)低風(fēng)險(xiǎn)的職責(zé)互斥權(quán)限授予同一個(gè)用戶時(shí)，可能導(dǎo)致高風(fēng)險(xiǎn)的舞弊事件發(fā)生的可能性增大。

職責(zé)互斥規(guī)則庫(kù)是識(shí)別業(yè)務(wù)流程中是否存在的風(fēng)險(xiǎn)的依據(jù)、是信息化應(yīng)用系統(tǒng)業(yè)務(wù)操作規(guī)范性的標(biāo)準(zhǔn)、是信息化應(yīng)用系統(tǒng)用戶權(quán)限合規(guī)性治理的基礎(chǔ)，根據(jù)內(nèi)外部監(jiān)管、審計(jì)要求及企業(yè)管理水平提升，職責(zé)互斥規(guī)則庫(kù)也需要進(jìn)行相應(yīng)調(diào)整。

實(shí)現(xiàn)集團(tuán)信息化應(yīng)用系統(tǒng)角色標(biāo)準(zhǔn)化

角色標(biāo)準(zhǔn)化工作是用戶權(quán)限合規(guī)性治理、業(yè)務(wù)活動(dòng)體系建設(shè)工作的前提，為進(jìn)一步更好地推動(dòng)后續(xù)工作的開展，完成角色標(biāo)準(zhǔn)化治理工作，將10228個(gè)角色進(jìn)行規(guī)范、整改。確定各應(yīng)用系統(tǒng)角色命名及描述規(guī)范、建立角色管理標(biāo)準(zhǔn)化方案、并以職責(zé)互斥和最小授權(quán)的原則為標(biāo)準(zhǔn)，確保系統(tǒng)中單個(gè)角色的權(quán)限符合其業(yè)務(wù)操作需求的同時(shí)保持規(guī)范性和標(biāo)準(zhǔn)化。

信息化應(yīng)用系統(tǒng)用戶權(quán)限治理

權(quán)限治理是以定義在合規(guī)性系統(tǒng)中的職責(zé)互斥規(guī)則庫(kù)為標(biāo)準(zhǔn)和原則開展的，通過運(yùn)行風(fēng)險(xiǎn)分析報(bào)告查詢出各信息化應(yīng)用系統(tǒng)內(nèi)及系統(tǒng)之間系統(tǒng)業(yè)務(wù)操作上存在的互斥風(fēng)險(xiǎn)點(diǎn)。依照互斥分析結(jié)果中存在的風(fēng)險(xiǎn)點(diǎn)，進(jìn)行相應(yīng)系統(tǒng)用戶的互斥職責(zé)和敏感權(quán)限治理，確保職責(zé)互斥規(guī)則庫(kù)合規(guī)、合理、有效的實(shí)現(xiàn)管控及合規(guī)性管理目標(biāo)，滿足外部監(jiān)管機(jī)構(gòu)監(jiān)督和內(nèi)部控制管理提升的要求。

完成集團(tuán)信息化應(yīng)用系統(tǒng)業(yè)務(wù)活動(dòng)體系設(shè)計(jì)工作

為便于用戶申請(qǐng)信息化應(yīng)用系統(tǒng)權(quán)限，建立了一套統(tǒng)一的業(yè)務(wù)活動(dòng)體系。該體系基于各系統(tǒng)業(yè)務(wù)流程的梳理、現(xiàn)有的技術(shù)角色，梳理出業(yè)務(wù)活動(dòng)的清單，并通過合規(guī)性系統(tǒng)將其與技術(shù)角色進(jìn)行關(guān)聯(lián)。方便用戶在申請(qǐng)授權(quán)時(shí)通過選擇業(yè)務(wù)活動(dòng)在系統(tǒng)中準(zhǔn)確定位所需的本單位角色，提升權(quán)限管理效率，實(shí)現(xiàn)用戶快速、準(zhǔn)確及自動(dòng)授權(quán)。

用戶業(yè)務(wù)授權(quán)及合規(guī)性管理系統(tǒng)核心功能

用戶授權(quán)及合規(guī)性系統(tǒng)通過角色標(biāo)準(zhǔn)化整改、建立職責(zé)互斥規(guī)則庫(kù)、權(quán)限治理、業(yè)務(wù)活動(dòng)梳理作為項(xiàng)目數(shù)據(jù)標(biāo)準(zhǔn)及規(guī)范化依據(jù)，針對(duì)合規(guī)性控制管理、系統(tǒng)角色管理、用戶授權(quán)管理、緊急訪問管理這四大管理領(lǐng)域業(yè)務(wù)流程進(jìn)行細(xì)分，優(yōu)化并制定出每一個(gè)業(yè)務(wù)子流程在未來(lái)系統(tǒng)產(chǎn)品中的解決方案以及所對(duì)應(yīng)的用戶類型，解決跨組織訪問、崗位角色映射等重點(diǎn)難點(diǎn)問題。其核心功能如下：

合規(guī)性控制管理

梳理被管控系統(tǒng)相關(guān)職責(zé)分離規(guī)則以及敏感訪問規(guī)則，在用戶授權(quán)及合規(guī)性管理系統(tǒng)中定義這些規(guī)則以及例外處理，報(bào)表的形式為公司管理層展現(xiàn)目前企業(yè)ERP等核心應(yīng)用系統(tǒng)中職責(zé)分離潛在的風(fēng)險(xiǎn)，并通過其特有的模擬機(jī)制，為公司相關(guān)人員在給用戶分配權(quán)限之前提供預(yù)警（預(yù)防型控制）。對(duì)預(yù)警結(jié)果采取系統(tǒng)授權(quán)變更、手工補(bǔ)償控制、問題接受等不同的策略應(yīng)對(duì)，滿足用戶的授權(quán)需求，同時(shí)滿足內(nèi)外部監(jiān)管審計(jì)要求。建立起職責(zé)互斥規(guī)則庫(kù)、Basis敏感事務(wù)補(bǔ)償規(guī)則分配、新增補(bǔ)償需求、分配補(bǔ)償?shù)纫幌盗械木S護(hù)和管控流程，全面的保持系統(tǒng)用戶的合規(guī)性管理要求。

系統(tǒng)角色管理

對(duì)角色的詳細(xì)權(quán)限（事務(wù)代碼和授權(quán)對(duì)象的組合）進(jìn)行分析，識(shí)別風(fēng)險(xiǎn)，對(duì)風(fēng)險(xiǎn)所產(chǎn)生的源頭進(jìn)行有效的管控；對(duì)角色的命名進(jìn)行有效規(guī)范，解決角色創(chuàng)建和維護(hù)過程中命名混亂的問題。在角色創(chuàng)建過程中實(shí)現(xiàn)事前風(fēng)險(xiǎn)分析、角色命名標(biāo)準(zhǔn)化控制，保證各被管控信息化應(yīng)用系統(tǒng)角色的標(biāo)準(zhǔn)性、規(guī)范性、統(tǒng)一性。

用戶授權(quán)管理

用戶授權(quán)新建、變更、凍結(jié)、解凍、復(fù)核操作與合規(guī)性控制管理模塊緊密結(jié)合，利用該模塊中定義的職責(zé)分離控制和敏感訪問規(guī)則，在用戶申請(qǐng)授權(quán)階段對(duì)用戶所需要的權(quán)限集合進(jìn)行分析，在第一時(shí)間為相關(guān)人員提供風(fēng)險(xiǎn)預(yù)警。同時(shí)，在授權(quán)申請(qǐng)、凍結(jié)/解凍申請(qǐng)過程中，對(duì)于用戶跨單位、跨模塊的操作進(jìn)行提醒，防止誤操作的發(fā)生，提高授權(quán)類運(yùn)維管理的準(zhǔn)確性。通過針對(duì)企業(yè)用戶業(yè)務(wù)授權(quán)管理需求進(jìn)行分析，提供用戶便捷、自主、快速的權(quán)限選擇方案，并在合規(guī)性系統(tǒng)予以實(shí)現(xiàn)，簡(jiǎn)化并規(guī)范各應(yīng)用系統(tǒng)權(quán)限管理，提升運(yùn)維權(quán)限管理效率，實(shí)現(xiàn)用戶快速、準(zhǔn)確、自動(dòng)授權(quán)管理。

緊急訪問管理

對(duì)于需要臨時(shí)使用敏感權(quán)限的情況，可以申請(qǐng)使用緊急訪問，系統(tǒng)實(shí)現(xiàn)了緊急賬號(hào)訪問申請(qǐng)、審批、使用、監(jiān)控、復(fù)核等系統(tǒng)管控功能，在緊急賬號(hào)系統(tǒng)操作過程進(jìn)行事前審核、事中監(jiān)控、事后審計(jì)。

意義與價(jià)值

用戶授權(quán)及合規(guī)性管理是解決企業(yè)信息化實(shí)施風(fēng)險(xiǎn)防范及管理水平提升的必由之路。合規(guī)性系統(tǒng)最終實(shí)現(xiàn)了用戶業(yè)務(wù)授權(quán)及合規(guī)性管理模式的成功轉(zhuǎn)型，系統(tǒng)建立以統(tǒng)一的職責(zé)互斥規(guī)則庫(kù)管控準(zhǔn)則、標(biāo)準(zhǔn)化角色技術(shù)控制規(guī)范、定制化業(yè)務(wù)角色體系為基礎(chǔ)，并完成與企業(yè)信息化非SAP系統(tǒng)間的無(wú)縫接口，是目前國(guó)內(nèi)用戶業(yè)務(wù)授權(quán)及合規(guī)性控制管理項(xiàng)目中應(yīng)用系統(tǒng)功能最全面、管控系統(tǒng)范圍最廣的，可以作為行業(yè)內(nèi)、國(guó)內(nèi)各大央企的標(biāo)桿項(xiàng)目，并且提升企業(yè)合規(guī)性管控水平、風(fēng)險(xiǎn)防范水平，為企業(yè)的進(jìn)一步發(fā)展保駕護(hù)航。

10.3969/j.issn.1001- 8972.2016.19.001