用戶授權及合規性管理信息系統研究

用戶授權及合規性管理信息系統研究

信息化工程的建設在為神華帶來巨大經濟績效的同時，也對神華的管理、協調、運營和可持續發展提出了巨大的挑戰。作為信息化管理的眾多內容之一，信息系統用戶業務授權及合規性控制管理是其中非常重要的一個管控環節，一旦用戶業務授權存在風險可能會出現多種問題，影響非常大。用戶業務授權管理關注的核心包括很多，如：用戶在系統內所授予的授權是否合理（授權最小化、以崗定權、不相容業務操作是否分離）；系統中關鍵、敏感的操作或數據是否只能夠被限定的人員所訪問等。此外信息系統中用戶業務授權相關缺陷或問題也是內外部審計機構關注的重點，因此如何確認用戶業務授權的合規性，加強用戶業務授權的管理，已是當前神華面臨的重要管理課題與挑戰。用戶業務授權及合規性控制管理系統項目（以下簡稱：用戶授權及合規性系統項目）為神華集團用戶授權及合規性管理奠定了堅實的基礎。

用戶授權及合規性系統與實現

用戶授權及合規性系統項目根據中央巡視組、國資委、內外部審計要求，以加強集團內控體系建設，提升信息系統用戶業務授權、合規性控制的管理能力與水平，實現“管控系統化、風控集成化、運營高效化、操作自動化”為目標進行實施。通過本項目建設，有針對性地補充了制度流程，提高集團的整體風險防范水平；建立了完善的集團用戶授權及合規性控制管理體系，規范各層級管理和業務人員的行為，有效防止舞弊事件發生。

在建設過程中，為提升企業信息化應用系統角色的規范化管理，對現有管理體系進行補充和完善，使其更加標準化，更能有效防范經營中的風險，建立既符合內外部審計及管理部門要求又符合集團實際的權限管理相關管控體系。

建立集團統一的職責互斥規則庫

根據外部監管、審計機構對于用戶授權及合規性的要求及職責互斥的要求，結合集團信息化應用系統現有的業務流程，梳理了各項業務活動間職責互斥可能帶來的舞弊事件，最終設計了集團統一的一套職責互斥規則庫。對于業務流程中相關業務活動存在職責互斥帶來的風險不同，在職責互斥矩陣確定了存在風險的屬性，即高、中和低三種類型；同時，由于幾個低風險的職責互斥權限授予同一個用戶時，可能導致高風險的舞弊事件發生的可能性增大。

職責互斥規則庫是識別業務流程中是否存在的風險的依據、是信息化應用系統業務操作規范性的標準、是信息化應用系統用戶權限合規性治理的基礎，根據內外部監管、審計要求及企業管理水平提升，職責互斥規則庫也需要進行相應調整。

實現集團信息化應用系統角色標準化

角色標準化工作是用戶權限合規性治理、業務活動體系建設工作的前提，為進一步更好地推動后續工作的開展，完成角色標準化治理工作，將10228個角色進行規范、整改。確定各應用系統角色命名及描述規范、建立角色管理標準化方案、并以職責互斥和最小授權的原則為標準，確保系統中單個角色的權限符合其業務操作需求的同時保持規范性和標準化。

信息化應用系統用戶權限治理

權限治理是以定義在合規性系統中的職責互斥規則庫為標準和原則開展的，通過運行風險分析報告查詢出各信息化應用系統內及系統之間系統業務操作上存在的互斥風險點。依照互斥分析結果中存在的風險點，進行相應系統用戶的互斥職責和敏感權限治理，確保職責互斥規則庫合規、合理、有效的實現管控及合規性管理目標，滿足外部監管機構監督和內部控制管理提升的要求。

完成集團信息化應用系統業務活動體系設計工作

為便于用戶申請信息化應用系統權限，建立了一套統一的業務活動體系。該體系基于各系統業務流程的梳理、現有的技術角色，梳理出業務活動的清單，并通過合規性系統將其與技術角色進行關聯。方便用戶在申請授權時通過選擇業務活動在系統中準確定位所需的本單位角色，提升權限管理效率，實現用戶快速、準確及自動授權。

用戶業務授權及合規性管理系統核心功能

用戶授權及合規性系統通過角色標準化整改、建立職責互斥規則庫、權限治理、業務活動梳理作為項目數據標準及規范化依據，針對合規性控制管理、系統角色管理、用戶授權管理、緊急訪問管理這四大管理領域業務流程進行細分，優化并制定出每一個業務子流程在未來系統產品中的解決方案以及所對應的用戶類型，解決跨組織訪問、崗位角色映射等重點難點問題。其核心功能如下：

合規性控制管理

梳理被管控系統相關職責分離規則以及敏感訪問規則，在用戶授權及合規性管理系統中定義這些規則以及例外處理，報表的形式為公司管理層展現目前企業ERP等核心應用系統中職責分離潛在的風險，并通過其特有的模擬機制，為公司相關人員在給用戶分配權限之前提供預警（預防型控制）。對預警結果采取系統授權變更、手工補償控制、問題接受等不同的策略應對，滿足用戶的授權需求，同時滿足內外部監管審計要求。建立起職責互斥規則庫、Basis敏感事務補償規則分配、新增補償需求、分配補償等一系列的維護和管控流程，全面的保持系統用戶的合規性管理要求。

系統角色管理

對角色的詳細權限（事務代碼和授權對象的組合）進行分析，識別風險，對風險所產生的源頭進行有效的管控；對角色的命名進行有效規范，解決角色創建和維護過程中命名混亂的問題。在角色創建過程中實現事前風險分析、角色命名標準化控制，保證各被管控信息化應用系統角色的標準性、規范性、統一性。

用戶授權管理

用戶授權新建、變更、凍結、解凍、復核操作與合規性控制管理模塊緊密結合，利用該模塊中定義的職責分離控制和敏感訪問規則，在用戶申請授權階段對用戶所需要的權限集合進行分析，在第一時間為相關人員提供風險預警。同時，在授權申請、凍結/解凍申請過程中，對于用戶跨單位、跨模塊的操作進行提醒，防止誤操作的發生，提高授權類運維管理的準確性。通過針對企業用戶業務授權管理需求進行分析，提供用戶便捷、自主、快速的權限選擇方案，并在合規性系統予以實現，簡化并規范各應用系統權限管理，提升運維權限管理效率，實現用戶快速、準確、自動授權管理。

緊急訪問管理

對于需要臨時使用敏感權限的情況，可以申請使用緊急訪問，系統實現了緊急賬號訪問申請、審批、使用、監控、復核等系統管控功能，在緊急賬號系統操作過程進行事前審核、事中監控、事后審計。

意義與價值

用戶授權及合規性管理是解決企業信息化實施風險防范及管理水平提升的必由之路。合規性系統最終實現了用戶業務授權及合規性管理模式的成功轉型，系統建立以統一的職責互斥規則庫管控準則、標準化角色技術控制規范、定制化業務角色體系為基礎，并完成與企業信息化非SAP系統間的無縫接口，是目前國內用戶業務授權及合規性控制管理項目中應用系統功能最全面、管控系統范圍最廣的，可以作為行業內、國內各大央企的標桿項目，并且提升企業合規性管控水平、風險防范水平，為企業的進一步發展保駕護航。

10.3969/j.issn.1001- 8972.2016.19.001