SAP实施项目中的风险控制和安全管理_项目管理文章库

用户名密码

联盟服务关于我们联系方式收藏本站

PgMP认证，美国项目管理协会高端项目管理认证！大型项目与项目群管理Program Management全球权威认证

服
务
区

网站登录：会员企业专家服务商
企业服务：PMP培训内训课公开课
工具箱：发表文章提问题发案例

首页：动态 | 文库 | 下载 | 书架 | 访谈 | 专栏 | 专题 | 人才 | 培训 | 软件 | PMC

互动：活动 | 案例 | 问答 | 论坛 | 博客 | 圈子

应用：基础┊工程┊软件┊制造┊活动┊研发认证：PMP┊NPDP┊ACP┊PgMP┊IPMP┊P2┊ISPMP┊IMCP┊建造师┊MPM 特色：热点┊奖项

适合敏捷开发项目
敏捷项目管理最佳实践

重视项目商业分析
商业价值与需求分析能力

产品管理国际认证
全球产品管理最佳实践

单项目管理经典指南
年轻项目经理首选

北京 | 直播 | 录播

大型复杂项目全球标准
定位高级项目管理层

链接战略与项目
实现组织资源投资回报

信息系统项目管理师
系统集成项目管理工程师

计划 | 报名 | 经验

当前位置：文库首页 >> 文章内容

SAP实施项目中的风险控制和安全管理

作者：德勤冯晔提交人：项目管理者联盟[德勤冯晔] 属性：提交人转载发布时间：2007/11/15 点击：3321 【收藏本文】

　　随着公司治理、内部控制（例如目前谈“萨”色变的萨班斯法案以及上海深圳证券交易所出台的《上市公司内部控制指引》）越来越多地被中国企业所接受并应用，信息安全和风险控制在企业信息系统实施项目中（如SAP实施项目）正扮演着越来越重要的角色。项目管理者联盟
项目管理者联盟
　　作为全球领先的ERP软件，SAP正在为越来越多的大中型企业所使用，并使企业的整个价值链实现高度自动化。SAP可全面覆盖企业的业务运作和财务处理，乃至提供丰富的决策支持功能。同时，SAP也提供了全面、灵活的功能/模块来强化企业的内部控制，使企业的所有操作均可运作在一个高效且可控的应用平台上。正是因为SAP的庞大与复杂，如何实现相关的安全控制及数据安全往往是企业所面临的一个巨大挑战。项目管理者联盟
项目管理者联盟
　　SAP系统控制和安全的实施不是简单地随着项目进行就能够自然而然地在系统里实现，这些都需要具有一定专业技能的控制和安全团队通过风险评估以及设计一定的控制框架来完成。SAP系统控制和安全的实施也是企业实现IT治理、内部控制和信息安全的必要的手段。评估企业是否采取足够的IT控制方法来减少业务流程风险也是控制和安全团队的一项重要任务。在SAP实施过程中，权限控制、系统配置、职责分离设置、数据校验以及监控报告都是可以采取的IT控制方法。项目管理者联盟
service.mypm.net
　　许多中国企业已经开始在SAP实施项目中使用独立的控制和安全团队致力于对系统安全的设计和实现。为了有效地进行SAP系统控制和安全的实施，我们将从三个方面，也就是项目管理、技术管理及利益方（Stakeholder）管理三方面加以阐述。项目管理者联盟
项目管理者联盟
　　一、项目管理 ---------- 符合利益方的期望项目管理者联盟
项目管理者联盟
　　有效的对安全和风险控制进行项目管理就是要站在利益方的立场上考虑问题。控制和安全团队负责人必须清晰了解利益方重要的信息安全和控制需求。因此，对重要的利益方从内部业务流程控制方面进行访谈从而了解到哪些是企业需要保护的信息不失为一个直接的方法。控制和安全团队需要保证制定的安全策略和方法来体现企业目前IT和业务方面的变化。同样的，控制和安全团队也需要很好地和业务流程实施小组进行紧密地合作。转自项目管理者联盟
项目管理者联盟
　　由于企业内部业务流程和对于信息安全的优先度考虑不一，不同的利益方对于SAP信息控制和安全有着不同的期望。了解利益方的业务需求会让控制和安全团队很好地了解项目的复杂程度以及安全实施的范围，并因此有益于对控制安全设计的时间和工作量的估计。项目管理者联盟
项目管理者联盟
　　SAP信息控制和安全，作为业务流程控制的“代言人”，使得了解业务流程成为了控制和安全团队的必修课。举个例子来说，一个企业为了防止舞弊，设计了业务流程使得同一个用户不能同时创建以及批准采购订单，接收入库单，付款，以及维护供应商主档。为了实现这样的业务流程，控制和安全团队就需要设计权限来限制这些互斥的业务操作来达到职责分离。对一些小的企业来说，做到尽善尽美的职责分离由于公司人数过少而变得不可能，在这种情况下，控制和安全团队就需要设计一些补偿性控制（Compensating Control）来减少职责过于集中所带来的风险。比如说，控制和安全团队需要在SAP系统中考虑设置一定的“门槛值”，一旦超过这个“门槛”，相关的管理层就需要在用户进行业务操作前进行一定的批准及授权。职责分离在内部控制监管制度，尤其是萨班斯法案中对管理层和审计师来说都是焦点之所在。项目管理培训
talent.mypm.net
　　取得高级管理层和业务所有者（一般而言是那些业务经理）的认同和支持是安全和风险控制项目管理的另一个主要的方面。同高级管理层就SAP信息安全策略和方法进行探讨并取得他们的认同对于建立整个SAP项目团队的接受度，所有权和责任感都是至为关键的。 bbs.mypm.net
项目管理者联盟
　　二、技术管理 ----------实现系统中的内部控制项目经理圈子
转自项目管理者联盟
　　在项目团队中拥有既了解内部控制监管环境，又深谙与SAP相关的系统控制设置的技术骨干是必不可少的。不过，在实际的SAP实施项目中，绝大多数的信息安全部门，尤其是SAP的控制和安全团队，经常是缺少必要的人员而且工作量以及工作难度都被过低地估计了。控制和安全团队在项目中往往被忽略，或者甚至由不了解内部控制的技术人员代替进行权限的设置以及安全策略的撰写。这样的直接结果就是SAP系统内的控制设置不足或不符合业务流程需要，用户权限过大而且职责没有完全分离等等。当系统上线，企业管理层再发现SAP内部控制问题之后，再想重新改正，一来“劳民伤财”，二来“积重难返”，很难通过内部和外部的审计。可见，拥有合适的系统安全人员对于SAP项目实施质量控制会有多大的作用。在项目过程中，控制和安全团队也须经常同企业内部审计部门就安全策略和方法进行沟通并进行一定的文档撰写和安全测试。项目管理者联盟
项目管理者联盟
　　当控制和安全团队同利益方谈论SAP权限如何实现以及可选的安全控制方案时，控制和安全团队必须确保利益方不仅了解可能的权限限制的结果，而且明白如果没有设定必要的权限限制所带来的风险以及对企业内部控制的影响。另外，职责分离分析可以基于SAP角色(Role)基础上。职责分离分析可以帮助企业确定，分析并列举用户访问企业敏感区域的权限，并且提供互相冲突的业务。许多SAP职责分离工具已经被开发出来用以自动地对SAP角色以及用户权限进行分析来提高效率并减少企业成本。国际上较为流行的SAP职责分离工具包括Virsa及Approva等，一些企业咨询公司如德勤开发的专有工具eQSmart也能够很好地进行职责分离分析。 talent.mypm.net
项目管理者联盟
　　三、利益方管理 ---------- 沟通带来成功项目管理者联盟
项目管理者联盟
　　项目实施过程中管理好利益方，尤其是业务用户经常是SAP安全有效实施中最重要但无疑也是最复杂的一环。如果控制和安全团队不能和业务团队，技术人员以及管理层不能有效进行沟通的话，控制和安全团队也不可能获得所有的业务需求，更不可能将这些业务需求“翻译"成安全技术语言在系统内加以实现。如果这样的话，实施的效果就要打上一个很大的折扣，更不要提IT治理、内部控制和信息安全了。 blog.mypm.net
项目管理者联盟
　　从用户的立场上来看，控制和安全有时感觉像捆住了他们的手脚，权限的限制使得他们不能“为所欲为”地对系统功能进行访问、修改和操作，这不难理解。但从内控的立场上来看，安全控制就是保证系统访问的安全，不能让用户“为所欲为”。内控和用户对系统的方便使用一直以来都是一个相互制衡的话题，更多的控制当然会限制用户对系统的方便使用，但对系统过于方便的使用则不利于内控的实现。这就要求控制和安全团队能够从实际的业务需求出发，和业务团队和管理层进行很好的沟通，以达到用户对内部控制更多的理解并从实际工作中就注重提高安全和控制的意识。
bbs.mypm.net
　　SAP实施项目对每个企业来说都是一个综合的庞大工程，加强项目中安全控制，防范于未然，才能使企业在面临竞争时不会“千里之堤，毁于蚁穴”，才能决胜于千里之外。 www.mypm.net

[发表评论]

本站热点

·从《PMBOK指南》第八版看项目经理角色
·国际项目管理奖项PMI(中国)项目管理大
· 华师大CTO学院：科创生态建设与创新项
·宏发电声江玫瑰谈PgMP：“下好一盘棋”
·PgMP：交付能力与创造未来的项目管理方
·开放讲座|《项目组合管理与PfMP认证》
·开放讲座|项目组合管理与PfMP认证
·开放讲座|PgMP：项目管理思维与方法论
·开放讲座|《项目组合管理与PfMP认证》

栏目说明

《文库》栏目为项目管理者联盟网站核心栏目，收录了十大行业项目管理文章5000余篇，囊括了项目管理五个阶段、九个知识领域的相关文章，是广大项目管理爱好者学习的知识库，欢迎大家发表原创文章、转贴文章，或直接发给编辑。须联盟会员且登陆后才能发表文章。

项目管理活动

活动QQ群：531390275
免费积累PDU,仅500人
2022年项目管理活动计划
2021活动精彩回顾

原创排行榜

项目管理评论杂志	311	高扬	106
乔东	100	项目管理	84
高国伟	61	人月神话	60
张为	59	郭致星	52
蒋昕炜	46	肖杨	38
曾伟强	37	潘德有	36

搜索文章

关键词：

行业：

团队成本风险进度
沟通采购质量合同

更多>> 专题集锦

企业项目化管理

PMO实践与应用

如何处理项目客户关系

经理访谈

个人专栏

王树文

赵春明

高国伟

项目管理者联盟特刊

	联盟特刊是对网站会员发行的内部刊物，刊物内容包括：案例及分析等，得到了会员好评。
电子期刊：
特刊下载：
2017合刊 2016合刊 2015合刊 2014合刊 2010合刊 2009合刊 2008合刊 2004合刊 2005合刊 2006合刊 2007合刊

施工企业管理

	《施工企业管理》创刊于1986年1月，中国施工企业管理协会主办，是反映施工企业管理杂志。
浏览往期：

建造师杂志

	《建造师》杂志由清华国际工程项目管理研究院主办，是中国面向建设企业管理人的高端杂志。
浏览往期：

如转载本站文章，必须于文章开头处注明转自“项目管理者联盟”，并注明原作者

PMI,Project Management Professional, OPM3, PMBOK, PMP，PgMP，PfMP，PMI-ACP，PMI-PBA
and the PMI Registered Education Provider logo are registered trademarks of the Project Management Institute, Inc.