1、淺談?dòng)脩魴?quán)限管理中的內(nèi)控檢查淺談?dòng)脩魴?quán)限管理中的內(nèi)控檢查PAGEPAGE8淺談?dòng)脩魴?quán)限管理中的內(nèi)控檢查PAGE淺談?dòng)脩魴?quán)限辦理中的內(nèi)控查驗(yàn)中國石油人力資本辦理系統(tǒng)(以下簡稱HR系統(tǒng))是基于SAP平臺(tái)開發(fā)的符合中石油辦理模式的人力資本辦理系統(tǒng)，系統(tǒng)包括八大功能模塊，涵蓋了中石油大多數(shù)人事業(yè)務(wù)。用戶權(quán)限可否合理，關(guān)系到權(quán)限限制內(nèi)數(shù)據(jù)的安全性，因此權(quán)限辦理是HR系統(tǒng)內(nèi)控測(cè)試中的重中之重。下面筆者就怎樣做好權(quán)限辦理內(nèi)控查驗(yàn)談?wù)劷?jīng)驗(yàn)做法。1、用戶權(quán)限辦理的內(nèi)控查驗(yàn)依據(jù)HR系統(tǒng)權(quán)限辦理是依據(jù)中國石油天然氣股分有限公司用戶權(quán)限辦理劃定標(biāo)準(zhǔn)制度(試行稿)和中國石油天然氣股分有限公司信息系統(tǒng)整體控制推行方法SA

2、P系統(tǒng)補(bǔ)充版推行。內(nèi)控查驗(yàn)依據(jù)補(bǔ)充版進(jìn)行查驗(yàn)。2、內(nèi)控查驗(yàn)?zāi)Ｊ?.1提前下發(fā)審計(jì)綱領(lǐng)外面審計(jì)公司會(huì)提前一周將審計(jì)綱領(lǐng)發(fā)給各地區(qū)公司，要求地區(qū)公司做好準(zhǔn)備。在此時(shí)期重點(diǎn)用戶需要整理并查對(duì)要查驗(yàn)的表單。保證表單圓滿性。2.2進(jìn)駐地區(qū)公司查驗(yàn)咨詢存在疑難的樣本審計(jì)人員正常會(huì)從總部BAISC那邊采用一些樣本(審計(jì)人員以為有疑難的用戶和角色)。正式進(jìn)駐查驗(yàn)后會(huì)與重點(diǎn)用戶溝通，確認(rèn)這些樣本可否存在問題。如審計(jì)人員以為某些用戶不應(yīng)器擁有某些敏感權(quán)限，但眼前擁有此權(quán)限，那么重點(diǎn)用戶需要給出合理的講解。抽取必然比率樣本查驗(yàn)凡是查驗(yàn)定然會(huì)抽取必然比率權(quán)限改動(dòng)息爭鎖的樣本，首要有：SAP系統(tǒng)口令重置及解鎖申請(qǐng)表、S

3、AP系統(tǒng)用戶權(quán)限改動(dòng)哀告表、SAP系統(tǒng)用戶帳號(hào)新增哀告表、SAP系統(tǒng)用戶帳號(hào)除去哀告表。這些表單是各單位權(quán)限改動(dòng)、新增、取消時(shí)填寫上報(bào)的表單，平時(shí)做好表單收集和查驗(yàn)，特別是留神填寫表單的時(shí)間不能夠與系統(tǒng)里辦理角色的時(shí)間相悖。查驗(yàn)權(quán)限辦理情況查驗(yàn)重點(diǎn)用戶對(duì)權(quán)限的辦理情況，主假如查驗(yàn)以下內(nèi)容：(1)SAP系統(tǒng)角色分配日志查驗(yàn)表，要求重點(diǎn)用戶每一個(gè)月查驗(yàn)一次。查驗(yàn)方式：從系統(tǒng)中導(dǎo)出當(dāng)月所有角色分配的日志(推行“SUIM_+ChangeDocumentSForRoleASSignment”)，與當(dāng)月所有的用戶角色改動(dòng)哀告和用戶去除哀告(由于用戶去除的同時(shí)也將去除該用戶與角色之間的分配關(guān)系)進(jìn)行查對(duì)，查

4、驗(yàn)可否存在未經(jīng)授權(quán)的角色改動(dòng)操作，并查驗(yàn)凡是角色分配的正確性。(2)SAP運(yùn)用系統(tǒng)用戶權(quán)限查驗(yàn)表，要求重點(diǎn)用戶三個(gè)月查驗(yàn)一次。查驗(yàn)內(nèi)容和方式：一是從系統(tǒng)中導(dǎo)出所有高出90天未登錄的用戶(推行“SUIM用戶ByLogonDateandPaSSwordChange”)，對(duì)高出90天未登錄的帳號(hào)進(jìn)行比較分析，對(duì)不需要的帳號(hào)和權(quán)限進(jìn)行清理。二是權(quán)限互斥查驗(yàn)情況。使用事件代碼：zhrrpll8，查驗(yàn)用戶可否存在互斥角色，假如有就需要與二級(jí)單位溝通，去除互斥角色。三是查驗(yàn)用戶權(quán)限分配可否符合崗位職責(zé)。(3)xx地區(qū)分公司崗位與SAP系統(tǒng)中角色的對(duì)應(yīng)劃定)、中國石油SAP系統(tǒng)職責(zé)分別矩陣和SAP系統(tǒng)敏感事件

5、接見權(quán)限設(shè)置劃定是半年查驗(yàn)一次。重點(diǎn)用戶每六個(gè)月審察上述文檔可否安妥，主假如依據(jù)業(yè)務(wù)調(diào)治情況，和在使用經(jīng)過中發(fā)現(xiàn)職責(zé)與權(quán)限的問題，查驗(yàn)完成填寫相關(guān)文檔記錄，交本單位SAP系統(tǒng)信息安全辦理負(fù)責(zé)人，并由其負(fù)責(zé)歸檔；影響權(quán)限分配劃定、職責(zé)分別矩陣和敏感事件接見權(quán)限設(shè)置劃定的因素能夠包括：業(yè)務(wù)流程綱領(lǐng)改動(dòng)或崗位設(shè)置改動(dòng)致使角色的改動(dòng)；新啟用的事件代碼涉及到財(cái)政報(bào)告數(shù)據(jù)的成立和修改；對(duì)已有事件代碼辦理邏輯的修正等；(4)SAP系統(tǒng)新增用戶、去除用戶和角色更改日志查驗(yàn)表。每一個(gè)月查驗(yàn)。依據(jù)劃定此表中新增用戶和去除用戶是由總部查驗(yàn)并填寫，角色改動(dòng)是由地區(qū)公司重點(diǎn)用戶填寫。對(duì)于去除用戶建議地區(qū)公司重點(diǎn)用戶如期

6、查驗(yàn)，幸免內(nèi)控查驗(yàn)發(fā)生問題。查驗(yàn)方式推行“SUIMChangeDocumentSForUSerS”，在一個(gè)時(shí)間段內(nèi)查驗(yàn)用戶可否存在：USerdeleted，假如有那么表示此用戶已經(jīng)被去除，假如沒有則還沒有被刪除，此時(shí)需要重點(diǎn)用戶即時(shí)發(fā)郵件或經(jīng)過SLM督促總部對(duì)這些用戶進(jìn)行辦理。3、權(quán)限平時(shí)辦理中本卷須知3.1嚴(yán)格依據(jù)內(nèi)控流程綱領(lǐng)辦理權(quán)限權(quán)限平時(shí)辦理中要嚴(yán)格依據(jù)內(nèi)控流程綱領(lǐng)辦理權(quán)限，包括新增用戶、取消帳號(hào)、權(quán)限改動(dòng)、用戶解鎖等。新增用戶和取消帳號(hào)辦理流程綱領(lǐng)以以下列圖是新增用戶和取消帳號(hào)的辦理流程綱領(lǐng)。流程綱領(lǐng)的建議人是基層單位的系統(tǒng)辦理人員，經(jīng)過基層率領(lǐng)、重點(diǎn)用戶、勞資處主管率領(lǐng)審察，最后上報(bào)

7、公司權(quán)限辦理組，由權(quán)限組創(chuàng)建帳號(hào)并反響給重點(diǎn)用戶，重點(diǎn)用戶再對(duì)新建帳號(hào)安裝角色，分配結(jié)構(gòu)授權(quán)，最后下發(fā)給基層單位的系統(tǒng)辦理人員。在這個(gè)流程綱領(lǐng)里我們需要留神以下幾方面的問題：(1)填寫SAP系統(tǒng)用戶帳號(hào)新增哀告表或SAP系統(tǒng)用戶帳號(hào)除去哀告表。建議用戶先將填寫完成的電子文檔發(fā)給重點(diǎn)用戶，由重點(diǎn)用戶查驗(yàn)表均分配的角色可否合理，可否符合互斥準(zhǔn)則和填寫可否標(biāo)準(zhǔn)。(2)需要送出紙質(zhì)表單，基層率領(lǐng)確認(rèn)署名后，由基層單位系統(tǒng)辦理員以傳真模式發(fā)送重點(diǎn)用戶，重點(diǎn)用戶要保留紙質(zhì)文檔。(3)依據(jù)總部要求新增的用戶必需要有中石油的郵箱，需要查驗(yàn)新增用戶可否擁有中石油的郵箱。(4)手工填寫審批日期時(shí)必然要留神，不能夠

8、出現(xiàn)事后表單。(5)申請(qǐng)取消的帳號(hào)確認(rèn)后，重點(diǎn)用戶要在第一時(shí)間將帳號(hào)鎖定，省得出現(xiàn)申請(qǐng)取消后，用戶登錄系統(tǒng)的情況出現(xiàn)。用戶改動(dòng)權(quán)限權(quán)限改動(dòng)流程綱領(lǐng)的發(fā)始同樣是基層單位的系統(tǒng)辦理人員，經(jīng)過基層率領(lǐng)和重點(diǎn)用戶審察，最后由重點(diǎn)用戶在生產(chǎn)系統(tǒng)中安裝權(quán)限，并通知基層單位系統(tǒng)辦理人員。權(quán)限改動(dòng)流程綱領(lǐng)需要留神以下幾方面：(1)填寫SAP系統(tǒng)用戶權(quán)限改動(dòng)哀告表。同樣需要重點(diǎn)用戶先審察。由于權(quán)限改動(dòng)是對(duì)已經(jīng)存在的權(quán)限進(jìn)行改動(dòng)，因此需要重點(diǎn)用戶對(duì)已經(jīng)存在的權(quán)限和新增權(quán)限一起進(jìn)行分析，保證權(quán)限不互斥，并符合敏感事件接見劃定。(2)同上，保留紙質(zhì)文檔并留神署名日期用戶解鎖權(quán)限解鎖流程綱領(lǐng)相對(duì)簡單，只涉及基層用戶和重

9、點(diǎn)用戶。權(quán)限解鎖流程綱領(lǐng)留神以下方面：(1)建議人必假如用戶自己，不能夠由其他人代替。(2)申請(qǐng)人將填寫好的電子文檔以ENAIL模式發(fā)送給重點(diǎn)用戶，重點(diǎn)用戶審察后打印送出并署名保留。所有表單由重點(diǎn)用戶保留，其中新增用戶申請(qǐng)表、取消用戶申請(qǐng)表需傳真至總部。3.2角色改動(dòng)辦理角色是SAP系統(tǒng)中一組擁有業(yè)務(wù)共性的操作的靠攏，與崗位職責(zé)近似。由于系統(tǒng)功能的不斷改革，業(yè)務(wù)與系統(tǒng)的結(jié)合越來越親近，對(duì)于權(quán)限的要求越來越優(yōu)良，因此地區(qū)公司依據(jù)業(yè)務(wù)需要對(duì)角色進(jìn)行調(diào)治也是越來越頻頻。角色改動(dòng)需留神以下內(nèi)容。嚴(yán)格依據(jù)內(nèi)控辦理流程綱領(lǐng)推行(1)填寫SAP系統(tǒng)角色改動(dòng)哀告表上報(bào)總部。(2)改動(dòng)的角色必需符合內(nèi)控辦理要求

10、。對(duì)于敏感事件和敏感信息品種的集成必然要慎重，幸免與內(nèi)控矛盾。(3)依據(jù)崗位職責(zé)安裝角色，要求盡也許與實(shí)質(zhì)業(yè)務(wù)保持一致，假如職責(zé)與內(nèi)控辦理相抵抗，則以內(nèi)控辦理為準(zhǔn)，對(duì)職責(zé)進(jìn)行梳理改動(dòng)。(4)使用PFCG對(duì)安裝完成的角色進(jìn)行查驗(yàn)，首要查驗(yàn)敏感事件代碼和敏感信息品種。以以以下列圖*基層單位工錢數(shù)據(jù)管理角色，圖中能夠看到角色辦理的信息品種和子品種，和安裝的事件代碼。重點(diǎn)用戶很簡單查驗(yàn)角色安裝可否正確。準(zhǔn)時(shí)對(duì)用戶和角色查驗(yàn)(1)重點(diǎn)用戶使用zhrrp164生成當(dāng)?shù)貐^(qū)所適用戶與角色對(duì)應(yīng)關(guān)系。建議用戶每一個(gè)月生成一次，經(jīng)過對(duì)一些敏感角色與用戶關(guān)系的查驗(yàn)分析，得出分配可否合理。(2)使用zhripll8查問用戶可否有互斥角色存在。建議關(guān)鍵用戶凡是為用戶安裝完角色，使用此工具查驗(yàn)可否存在角色互斥，假如有就即時(shí)辦理，省得形成內(nèi)控查驗(yàn)的例外事項(xiàng)。3.3結(jié)構(gòu)授權(quán)辦理結(jié)構(gòu)授權(quán)是經(jīng)過對(duì)組織機(jī)構(gòu)進(jìn)行授權(quán)控制，進(jìn)而抵達(dá)控制權(quán)限對(duì)象的辦理限制。結(jié)構(gòu)授權(quán)的安裝是由總部負(fù)責(zé)安裝，重點(diǎn)用戶負(fù)責(zé)查驗(yàn)安裝可否正確。機(jī)構(gòu)的取消、合并和新增都會(huì)形成結(jié)構(gòu)授權(quán)改動(dòng)，改動(dòng)結(jié)構(gòu)授權(quán)時(shí)需要留神以下內(nèi)容(1)填寫SAP系統(tǒng)改動(dòng)申請(qǐng)表并上報(bào)總部。(2)結(jié)構(gòu)授權(quán)所需要信息比較簡單，只要供應(yīng)機(jī)構(gòu)代碼和機(jī)構(gòu)稱呼。但重點(diǎn)用戶仍是要仔細(xì)查對(duì)機(jī)構(gòu)代碼，建議使用PPOSE查驗(yàn)，省得供應(yīng)過失的機(jī)構(gòu)代