探索 SAP GRC 如何帮企业管理迁移升级时的职责分离风险

  随着慢慢的变多的公司开始选择功能更丰富、操作更高效和交互界面更友好的新一代 ERP 系统，开始迁移升级至 SAP S/4HANA 的时候，往往关注升级后系统的功能运行是不是正常，是否可充分支持企业市场运营。但是，SAP S/4HANA 系统的安全控制和不相容岗位工作职责分离的权限风险却容易被忽视。很多企业由于上线前没有充分考虑到系统授权风险，随着升级上线，经常发现原有 ECC 系统的授权问题如滚雪球一般越滚越大。普遍的问题包括违反授权最小化原则，敏感数据不当访问、违反职责分离原则以及超级特权用户等等问题，结合新的用户界面的访问授权和底层 SAP HANA 数据库的访问权限，SAP S/4HANA 的系统授权风险严重威胁到了企业核心与敏感业务数据资产的安全，与权限设置的不当或者过大而给公司能够带来潜在的巨大的经济损失风险。

  站在企业内部控制和风险管理的角度，SAP S/4HANA 系统中的权限控制有职责分离(Segregationof Duty, SoD)控制和敏感权限(关键操作)控制两部分所组成。职责分离(SoD)是美国军方所设计的安全控制手段，其旨在避免两个相互冲突的职责被同一个人拥有，从而防范舞弊发生的可能性，保护企业核心应用系统中的交易数据安全性。根据统计，在遵从2002年生效的美国「萨班斯法案」框架下所有审计过程中，职责分离问题占到了所有发现问题的19%，比例是非常高的，引起上市企业首席财务官(CFO)/首席审计官(CAE)和首席信息官(CIO)高度重视。

  我国早自2008年财政部等五部委联合发布《企业内部控制基本规范》和2010年发布《企业内部控制配套指引》以及2012年国务院国资委下发《关于加快构建中央企业内部控制体系有关事项的通知》(简称68号文)，直到2019年国务院国资委出台了《关于加强中央企业内部控制体系建设与监督工作的实施建议》(国资发监督规【2019】101号)，都仍然反复强调严格规范重要岗位和关键人员在授权、审批、执行、报告等方面的权责，实现不相容岗位工作职责的分离，及重点强化业务领域各岗位的职责权限和审批程序落实不相容岗位工作职责分离作为风控的基础要求，同时应根据风险程度合理设置权限，包括子公司权责界限划分。

  在某四大会计师事务所对于某上市白色家电企业的审计中发现一起舞弊事件，一个 ERP 系统用户具备把产品处置为残次品的权限，同时还具备移动货品出库的权限。该员工多年来利用这个交叉风险的错误授权将正品家电作为残次品低价处理之后由亲属公司回收，转手高价卖到市场，构成侵占企业财产行为。

  某国企企业会计张某填写权限申请单向 IT 部门申请会计权限，并经过部门主管核准。IT 部门接到申请单直接复制其他会计权限指派给张某，但实际的职务设计每位经办负责工作都不一样，张某职务内容比其他会计少，并不是特别需要那么多的系统权限。后续张某调任财务专员，向 IT 部门申请财务专员权限，却没有通知 IT 部门移除会计权限，结果是张某在系统上同时拥有了会计和财务的权限。

  华南区某高科技企业的董事长发现，每次产品新价格制定之后尚未对外发布，但是市场上已经对其新价格的消息早已泄露。后来发现是员工离职之后原有的权限并没有被冻结或删除，导致离职员工仍旧能访问原有系统造成机密信息泄露。

  华中区某消费品行业企业在2018年发生了 IT 管理员因为拥有超级账号的特权而造成将 ERP 系统初始化的重大事故。

  某央企原有权限检查系统是内部 IT 公司自开发系统，由于 ERP 系统用户数量上万，造成每次手工下载生产系统用户到自研系统速度慢，自研权限检查系统只能在事务代码层面进行全方位检查，而且检查过程中系统会时常崩溃，极度影响被审计单位年度内控权限检查报告不能按时递交集团审计内控部门。

  以上案例都只是冰山一角，却反映出了企业在 ERP 职责分离风险内部管理的问题：

  应用系统帐号和角色众多，管理复杂，权限过大的情况时有发生，手工维护极易出错，给企业应用系统安全带来隐患。

  企业内审部门无法通过人工方式有效的检测全用户帐号和权限分配的合规性以及合理性，对超级用户的审计取证困难。

  企业业务部门在权限审批过程中缺乏审批依据或者依据不充分，业务部门和 IT 部门在权限管理的过程中沟通不畅，业务部门主管经常不了解部门员工所申请的对 ERP 权限不了解的情况下签字批准。

  企业 IT 部门每天花费大量的时间和人力维护应用系统中的用户帐号和权限，进行密码重置等繁琐的工作。

  企业员工从入职到离职已经转岗时候的帐号管理通常通过手工完成，不仅离职员工账号不能及时冻结，转岗员工权限也不能及时开通而且容易出错，管理效率较低。

  我们建议企业为避免升级后随着营运时间加长，权限问题更加错综难解的窘境发生，在现有 ECC 阶段，或者 SAP S/4HANA 升级上线后，企业将授权管理纳入实施目标一环，采用成熟的权限风险检查工具定期审查 ERP 系统权限风险确保企业核心系统的安全控制固若金汤。

  角色设计符合职务规划。美国国家标准局(NIST)提出的以角色为基础的权限控制(Role-based Access Control, RBAC) 是目前被大范围的应用的系统权限管理模式。在 RBAC 中用户是被赋予角色(Role)，而不是直接被赋予系统权限。企业中不同的职务就像不同的角色，根据职务需要定义适当的权限，对于过大的用户权限申请，需要检查有没有冗余或者错误的角色。

  授权正确性的权责要明晰。权限申请到部门主管核准，IT 对照权限表分配权限，而发生了因为权限造成的舞弊事件、信息安全和生产经营干扰事故的进行追责时候，往往会在企业内部发生扯皮。部门主管熟知业务，并不熟悉系统操作功能，难以对基层员工权限申请的适当性进行正确无误的判断，而 IT 部门也是按照申请照章办事，作为服务支持部门也难以拒绝来自业务部门的请求。

  定义权限风险规则。有了规则，业务部门、审计部门与IT部门方可在一个平台上对于权限风险有共识，依照职责分离矩阵的原则，对风险做评估、掌握风险高、中、低等级，并把风险规则对应到系统权限层次，方便内审与外审对系统授权进行检核。对于集团型企业，规则能够准确的通过不同板块的经营特点，在总的规则集的基础上，分别采取了适应各自业务的子规则集。

  充分考虑系统授权的技术复杂度。大型ERP系统如 SAP ECC和 SAP S/4HANA 系统权限设计逻辑是为满足用户跨公司、跨部门等管理需求，以多层次的控制选项(例如功能列表、访问程序、用户组、组织范围等)作为系统授权设定。IT 部门要充分了解各个控制选项之间的设定逻辑与相互影响，才可以精准授权。

  SAP 与国际权威的四大会计师事务所合作，通过软件平台的方式帮企业建立了标准化的访问权限规则库，同时将该规则库应用于后续的访问权限风险分析过程中。预置权限规则库不但可以设置发生在同一系统中的不相容职责冲突规则，也能够包含发生在不同系统中的不相容职责冲突规则，形成应用非常普遍的跨系统职责冲突校验机制。访问控制在全球各行各业的 SAP ERP 客户中广泛部署，在国内的央企、地方国企、民企与合资企业也有应用案例。

  北大国家发展研究院 BiMBA，具有12年以上企业风控与合规管理(GRC)信息系统方案规划经验。在 SAP 相继从事过客户关系管理、健康安全环保与企业可持续发展、企业风控审计、国际贸易合规与关务、数据访问安全等方案规划与市场拓展工作，服务过众多国内行业翘楚。