當(dāng)前位置:工程項(xiàng)目OA系統(tǒng) > 建筑OA系統(tǒng) > 工程項(xiàng)目管理軟件系統(tǒng)
SAP實(shí)施項(xiàng)目中的風(fēng)險(xiǎn)控制和安全管理
泛普軟件-建筑工程項(xiàng)目管理系統(tǒng)
作為全球領(lǐng)先的ERP軟件,SAP正在為越來越多的大中型企業(yè)所使用,并使企業(yè)的整個(gè)價(jià)值鏈實(shí)現(xiàn)高度自動化。SAP可全面覆蓋企業(yè)的業(yè)務(wù)運(yùn)作和財(cái)務(wù)處理,乃至提供豐富的決策支持功能。同時(shí),SAP也提供了全面、靈活的功能/模塊來強(qiáng)化企業(yè)的內(nèi)部控制,使企業(yè)的所有操作均可運(yùn)作在一個(gè)高效且可控的應(yīng)用平臺上。正是因?yàn)镾AP的龐大與復(fù)雜,如何實(shí)現(xiàn)相關(guān)的安全控制及數(shù)據(jù)安全往往是企業(yè)所面臨的一個(gè)巨大挑戰(zhàn)。 service
泛普軟件-建筑工程項(xiàng)目管理系統(tǒng)
SAP系統(tǒng)控制和安全的實(shí)施不是簡單地隨著項(xiàng)目進(jìn)行就能夠自然而然地在系統(tǒng)里實(shí)現(xiàn),這些都需要具有一定專業(yè)技能的控制和安全團(tuán)隊(duì)通過風(fēng)險(xiǎn)評估以及設(shè)計(jì)一定的控制框架來完成。SAP系統(tǒng)控制和安全的實(shí)施也是企業(yè)實(shí)現(xiàn)IT治理、內(nèi)部控制和信息安全的必要的手段。評估企業(yè)是否采取足夠的IT控制方法來減少業(yè)務(wù)流程風(fēng)險(xiǎn)也是控制和安全團(tuán)隊(duì)的一項(xiàng)重要任務(wù)。在SAP實(shí)施過程中,權(quán)限控制、系統(tǒng)配置、職責(zé)分離設(shè)置、數(shù)據(jù)校驗(yàn)以及監(jiān)控報(bào)告都是可以采取的IT控制方法。 泛普軟件-建筑工程項(xiàng)目管理系統(tǒng)
club
許多中國企業(yè)已經(jīng)開始在SAP實(shí)施項(xiàng)目中使用獨(dú)立的控制和安全團(tuán)隊(duì)致力于對系統(tǒng)安全的設(shè)計(jì)和實(shí)現(xiàn)。為了有效地進(jìn)行SAP系統(tǒng)控制和安全的實(shí)施,我們將從三個(gè)方面,也就是項(xiàng)目管理、技術(shù)管理及利益方(Stakeholder)管理三方面加以闡述。 泛普軟件-建筑工程項(xiàng)目管理系統(tǒng)
泛普軟件-建筑工程項(xiàng)目管理系統(tǒng)
一、項(xiàng)目管理 ---------- 符合利益方的期望 泛普軟件-建筑工程項(xiàng)目管理系統(tǒng)
泛普軟件-建筑工程項(xiàng)目管理系統(tǒng)
有效的對安全和風(fēng)險(xiǎn)控制進(jìn)行項(xiàng)目管理就是要站在利益方的立場上考慮問題。控制和安全團(tuán)隊(duì)負(fù)責(zé)人必須清晰了解利益方重要的信息安全和控制需求。因此,對重要的利益方從內(nèi)部業(yè)務(wù)流程控制方面進(jìn)行訪談從而了解到哪些是企業(yè)需要保護(hù)的信息不失為一個(gè)直接的方法??刂坪桶踩珗F(tuán)隊(duì)需要保證制定的安全策略和方法來體現(xiàn)企業(yè)目前IT和業(yè)務(wù)方面的變化。同樣的,控制和安全團(tuán)隊(duì)也需要很好地和業(yè)務(wù)流程實(shí)施小組進(jìn)行緊密地合作。 pmp
www
由于企業(yè)內(nèi)部業(yè)務(wù)流程和對于信息安全的優(yōu)先度考慮不一,不同的利益方對于SAP信息控制和安全有著不同的期望。了解利益方的業(yè)務(wù)需求會讓控制和安全團(tuán)隊(duì)很好地了解項(xiàng)目的復(fù)雜程度以及安全實(shí)施的范圍,并因此有益于對控制安全設(shè)計(jì)的時(shí)間和工作量的估計(jì)。 泛普軟件-建筑工程項(xiàng)目管理系統(tǒng)
SAP信息控制和安全,作為業(yè)務(wù)流程控制的“代言人”,使得了解業(yè)務(wù)流程成為了控制和安全團(tuán)隊(duì)的必修課。舉個(gè)例子來說,一個(gè)企業(yè)為了防止舞弊,設(shè)計(jì)了業(yè)務(wù)流程使得同一個(gè)用戶不能同時(shí)創(chuàng)建以及批準(zhǔn)采購訂單,接收入庫單,付款,以及維護(hù)供應(yīng)商主檔。為了實(shí)現(xiàn)這樣的業(yè)務(wù)流程,控制和安全團(tuán)隊(duì)就需要設(shè)計(jì)權(quán)限來限制這些互斥的業(yè)務(wù)操作來達(dá)到職責(zé)分離。對一些小的企業(yè)來說,做到盡善盡美的職責(zé)分離由于公司人數(shù)過少而變得不可能,在這種情況下,控制和安全團(tuán)隊(duì)就需要設(shè)計(jì)一些補(bǔ)償性控制(Compensating Control)來減少職責(zé)過于集中所帶來的風(fēng)險(xiǎn)。比如說,控制和安全團(tuán)隊(duì)需要在SAP系統(tǒng)中考慮設(shè)置一定的“門檻值”,一旦超過這個(gè)“門檻”,相關(guān)的管理層就需要在用戶進(jìn)行業(yè)務(wù)操作前進(jìn)行一定的批準(zhǔn)及授權(quán)。職責(zé)分離在內(nèi)部控制監(jiān)管制度,尤其是薩班斯法案中對管理層和審計(jì)師來說都是焦點(diǎn)之所在。 training
泛普軟件-建筑工程項(xiàng)目管理系統(tǒng)
取得高級管理層和業(yè)務(wù)所有者(一般而言是那些業(yè)務(wù)經(jīng)理)的認(rèn)同和支持是安全和風(fēng)險(xiǎn)控制項(xiàng)目管理的另一個(gè)主要的方面。同高級管理層就SAP信息安全策略和方法進(jìn)行探討并取得他們的認(rèn)同對于建立整個(gè)SAP項(xiàng)目團(tuán)隊(duì)的接受度,所有權(quán)和責(zé)任感都是至為關(guān)鍵的。 項(xiàng)目管理論壇
http://52tianma.cn/
二、技術(shù)管理 ----------實(shí)現(xiàn)系統(tǒng)中的內(nèi)部控制 training
泛普軟件-建筑工程項(xiàng)目管理系統(tǒng)文章
在項(xiàng)目團(tuán)隊(duì)中擁有既了解內(nèi)部控制監(jiān)管環(huán)境,又深諳與SAP相關(guān)的系統(tǒng)控制設(shè)置的技術(shù)骨干是必不可少的。不過,在實(shí)際的SAP實(shí)施項(xiàng)目中,絕大多數(shù)的信息安全部門,尤其是SAP的控制和安全團(tuán)隊(duì),經(jīng)常是缺少必要的人員而且工作量以及工作難度都被過低地估計(jì)了??刂坪桶踩珗F(tuán)隊(duì)在項(xiàng)目中往往被忽略,或者甚至由不了解內(nèi)部控制的技術(shù)人員代替進(jìn)行權(quán)限的設(shè)置以及安全策略的撰寫。這樣的直接結(jié)果就是SAP系統(tǒng)內(nèi)的控制設(shè)置不足或不符合業(yè)務(wù)流程需要,用戶權(quán)限過大而且職責(zé)沒有完全分離等等。當(dāng)系統(tǒng)上線,企業(yè)管理層再發(fā)現(xiàn)SAP內(nèi)部控制問題之后,再想重新改正,一來“勞民傷財(cái)”,二來“積重難返”,很難通過內(nèi)部和外部的審計(jì)。可見,擁有合適的系統(tǒng)安全人員對于SAP項(xiàng)目實(shí)施質(zhì)量控制會有多大的作用。在項(xiàng)目過程中,控制和安全團(tuán)隊(duì)也須經(jīng)常同企業(yè)內(nèi)部審計(jì)部門就安全策略和方法進(jìn)行溝通并進(jìn)行一定的文檔撰寫和安全測試。 泛普軟件-建筑工程項(xiàng)目管理系統(tǒng)
泛普軟件-建筑工程項(xiàng)目管理系統(tǒng)
當(dāng)控制和安全團(tuán)隊(duì)同利益方談?wù)揝AP權(quán)限如何實(shí)現(xiàn)以及可選的安全控制方案時(shí),控制和安全團(tuán)隊(duì)必須確保利益方不僅了解可能的權(quán)限限制的結(jié)果,而且明白如果沒有設(shè)定必要的權(quán)限限制所帶來的風(fēng)險(xiǎn)以及對企業(yè)內(nèi)部控制的影響。另外,職責(zé)分離分析可以基于SAP角色(Role)基礎(chǔ)上。職責(zé)分離分析可以幫助企業(yè)確定,分析并列舉用戶訪問企業(yè)敏感區(qū)域的權(quán)限,并且提供互相沖突的業(yè)務(wù)。許多SAP職責(zé)分離工具已經(jīng)被開發(fā)出來用以自動地對SAP角色以及用戶權(quán)限進(jìn)行分析來提高效率并減少企業(yè)成本。國際上較為流行的SAP職責(zé)分離工具包括Virsa及Approva等,一些企業(yè)咨詢公司如德勤開發(fā)的專有工具eQSmart也能夠很好地進(jìn)行職責(zé)分離分析。 泛普軟件-建筑工程項(xiàng)目管理系統(tǒng)
service
三、利益方管理 ---------- 溝通帶來成功 泛普軟件-建筑工程項(xiàng)目管理系統(tǒng)
泛普軟件-建筑工程項(xiàng)目管理系統(tǒng)
項(xiàng)目實(shí)施過程中管理好利益方,尤其是業(yè)務(wù)用戶經(jīng)常是SAP安全有效實(shí)施中最重要但無疑也是最復(fù)雜的一環(huán)。如果控制和安全團(tuán)隊(duì)不能和業(yè)務(wù)團(tuán)隊(duì),技術(shù)人員以及管理層不能有效進(jìn)行溝通的話,控制和安全團(tuán)隊(duì)也不可能獲得所有的業(yè)務(wù)需求,更不可能將這些業(yè)務(wù)需求“翻譯"成安全技術(shù)語言在系統(tǒng)內(nèi)加以實(shí)現(xiàn)。如果這樣的話,實(shí)施的效果就要打上一個(gè)很大的折扣,更不要提IT治理、內(nèi)部控制和信息安全了。 bbs
泛普軟件-建筑工程項(xiàng)目管理系統(tǒng)
從用戶的立場上來看,控制和安全有時(shí)感覺像捆住了他們的手腳,權(quán)限的限制使得他們不能“為所欲為”地對系統(tǒng)功能進(jìn)行訪問、修改和操作,這不難理解。但從內(nèi)控的立場上來看,安全控制就是保證系統(tǒng)訪問的安全,不能讓用戶“為所欲為”。內(nèi)控和用戶對系統(tǒng)的方便使用一直以來都是一個(gè)相互制衡的話題,更多的控制當(dāng)然會限制用戶對系統(tǒng)的方便使用,但對系統(tǒng)過于方便的使用則不利于內(nèi)控的實(shí)現(xiàn)。這就要求控制和安全團(tuán)隊(duì)能夠從實(shí)際的業(yè)務(wù)需求出發(fā),和業(yè)務(wù)團(tuán)隊(duì)和管理層進(jìn)行很好的溝通,以達(dá)到用戶對內(nèi)部控制更多的理解并從實(shí)際工作中就注重提高安全和控制的意識。 www
項(xiàng)目管理論壇
- 12013年一級建造師《工程經(jīng)濟(jì)》每日一練(11.7)
- 2一建建設(shè)工程經(jīng)濟(jì)知識點(diǎn):其他項(xiàng)目清單的編制
- 3中鐵十一局二公司黔中水利項(xiàng)目闖“三關(guān)”獲贊譽(yù)
- 4中國五冶集團(tuán)紅星路南延線桂溪立交完工通車
- 52010年一級建造師考試模擬試題《機(jī)電工程專業(yè)》(1)
- 6工程項(xiàng)目風(fēng)險(xiǎn)管理應(yīng)注意的幾個(gè)方面
- 72015年1月1日-31日甘肅省第一批造價(jià)員單位變更、初始注冊及換證人員公示
- 8每月完成的分部分項(xiàng)工程量價(jià)款是否應(yīng)含規(guī)稅
- 9框筒結(jié)構(gòu)電信大廈施工組織設(shè)計(jì)
- 10噪聲及污染控制
- 11終端店鋪擴(kuò)張成本降低 特許加盟拓展良機(jī)
- 12大型工廠改造項(xiàng)目電氣施工方案
- 13綜合大樓施工組織設(shè)計(jì)方案397p
- 14造價(jià)工程師案例分析復(fù)習(xí)要點(diǎn):三大報(bào)表
- 152015招標(biāo)師考試《法律法規(guī)》:招標(biāo)公告的發(fā)布媒介
- 162015年招標(biāo)師案例分析備考輔導(dǎo)資料(15)
- 17城建稅的征稅范圍和計(jì)稅依據(jù)
- 18【碩士】基于WEB的施工總承包企業(yè)安全管理系統(tǒng)研究
- 192012年一級建造師《建筑專業(yè)》模擬試題(2)
- 202015招標(biāo)師招標(biāo)采購法律法規(guī)考點(diǎn)預(yù)習(xí)3
- 21金屬結(jié)構(gòu)工程構(gòu)件安裝說明
- 22淺議某城市展園景觀設(shè)計(jì)與文化表達(dá)
- 232011一級建造師考試《建筑工程》案例分析題(1)
- 24【碩士】新型橫孔空心砌塊砌體局部受壓試驗(yàn)及有限元
- 25肇慶市加快推進(jìn)高速公路建設(shè)
- 26北京市西四環(huán)復(fù)興路立交變截面連續(xù)鋼組合梁設(shè)計(jì)
- 27建筑裝飾裝修工程施工工藝講義PPT
- 28填充墻砌筑施工質(zhì)量控制措施
- 29商品混凝土攪拌站生產(chǎn)流程之系統(tǒng)運(yùn)作步驟
- 30建筑工程質(zhì)量驗(yàn)收表格應(yīng)用(PPT)
成都公司:成都市成華區(qū)建設(shè)南路160號1層9號
重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓