案例分析
ERP角色權限設計思考-以SAP為例
勤業眾信聯合會計師事務所企業風險管理服務 / 徐潔茹協理、謝蕙萱副理
企業權限管理的關鍵績效指標,包含授權風險之良好控管、合理的維運成本,以及使用單位的權限需求即時、妥善的處理。而當企業隨著企業經營版圖的擴張,進行購併、組織調整,系統使用者的權限角色也必須適當的設計以及彈性的調整。然而,許多企業卻發現他們在ERP系統的權限管理上面臨許多挑戰,甚至成為資訊單位沉重的負擔。當發生公司購併或組織重整,或者大幅度啟用新流程或新功能後,權限管理的問題更是雪上加霜。其中關鍵癥結點即在不當的角色設計。
角色管理不當帶來深遠衝擊
系統使用者透過角色、技術細節設定之設置取得權限,猶如透過許多積木堆疊出使用者應有的權限;如果沒有堅實的基礎設計和完整的全面藍圖,最後打造出來的系統權限將潛藏著各種問題。以勤業眾信過往輔導經驗,系統角色設計不當的結果,將對企業帶來深遠的衝擊,說明如下:
• 機密資料外洩
• 維護成本過高
• 授權調整時意外導致權限不足
• 使用者權限無法新增
• 授權過大或職能衝突風險
良好角色管理帶來的效益
從另一方面來看,良好的角色管理為企業帶來許多面向的管理效益:
- 整體安控優化(Improved Security)
透過使用者功能需求與角色的適切定義,能將授權維持在使用者必要所需(Need to know)的狀態以避免授權過大和資料外洩的風險。 - 流程改善(Improved Process)
當使用者拋棄片段、零散的功能說明,而改以「角色」作為申請、審核的依據時,等於權限管理的需求和供給方運用了一致的語言,大幅降低雙方的溝通成本,也讓授權更加的即時、正確。 - 法令遵循及稽核(Regulatory and Audit Compliance)
良好的角色管理更利於公司展現法令遵循之成果。
ERP角色設計三大原則
以下將以SAP系統為例,分享權限管理最佳實務之角色設計三大原則:
原則1. 妥善的角色定義
企業應根據管理需求來賦予角色適當的定義。
原則2.清晰一致的命名原則
明確定義角色後,應將角色內容反應到『ID編碼』和『敘述』並制定一致的規則。
原則3.具體的授權風險管理規則及技術規範
企業應由營運面定期檢視企業風險,辨識出管理高層高度重視的風險和控制點後,再形成授權風險管理的原則。
結論
最後不忘提醒企業,無論角色及權限的設計、管理,皆須營運單位、風管單位、與資訊單位之密切合作,最終達成授權風險良好控管、合理維運成本、妥善、即時的處理權限需求的三大目標!!