5.5.3应⽤系统⽤户权限管理⼯作规范
5.5.3 应⽤系统⽤户权限管理⼯作规范5.5.3.1范围
本规范规定了应⽤系统⽤户权限管理的划分的⼀般原则、范围、⽬标、程序和⽇常管理要求。
本规范适⽤于**、专业公司、地区公司在⽤的财务管理信息系统(包括财务、资⾦、资产系统),简称“FMIS”。5.5.3.2术语和定义⽆。
5.5.3.3应⽤系统权限管理的⼀般原则⽤户权限管理应同时满⾜以下基本原则:
1)需求导向及最⼩授权原则:对于⽤户的权限,应当以其实际⼯作需要为依据,且仅应当授予能够完成其⼯作任务的最⼩权限;
2)未明确允许即禁⽌:除⾮⽤户有对于权限的需求得到了相关领导的明确批准,否则不应当授予⽤户任何权限;3)职责分离原则:任何⼀个⽤户不能同时具有两种(或两种以上)的不相容权限。5.5.3.4应⽤系统⽤户权限管理⽬标、范围及依据1)应⽤系统⽤户权限管理⽬标。
为顺利通过《萨班斯法案》“404条款”的规定,须对与财务报告相关的关键应⽤系统的⽤户进⾏合理的管理,以实现⽤户的授权适当和合理分⼯。
2)应⽤系统⽤户权限管理范围。
考虑到公司范围内⽬前信息系统的数量众多,应⽤状况也差异很⼤,对于关键的核⼼业务系统—FMIS、资产管理系统进⾏重点分析(其他系统的权限管理原则与此⼀致,如果需要请参照执⾏),并在对业务流程分析的基础上,结合有关规定、各地区公司的实际情况以及业界的最佳实践等内容,形成⼀套具有指导意义的权限管理规范,以及相应的管理与测试指引。3)应⽤系统⽤户权限管理依据。《审计准则公告78号》。
5.5.3.5应⽤系统⽤户权限管理的组成权限管理由如下两个⽅⾯的内容组成:
1)访问控制:是指⽤户能够访问哪些应⽤系统内的资源或执⾏哪些任务(或功能)的范围,从控制的⾓度考虑在系统中所拥有的功能权限和数据权限是否超出了其⼯作需要;
2)职责分离:职责分离是把⼀个业务(⼦)流程的⼯作内容分为⼏个职责不相容的部分并由不同的⼈来完成,避免因同⼀个⼈能够操作不相容职责⽽产⽣的舞弊风险。5.5.3.6应⽤系统权限管理程序
要实现对于应⽤系统⽤户权限的管理,必须有⼀套完整的标准,并依据这些标准对⽤户权限需求和实际分配情况进⾏分析,才能合理地进⾏设置,这也为定期的测试提供了规范和依据。由此可以看出,权限的设置与测试是密不可分的,如下图所⽰:
从上图中可以看出,⾸先需要设计权限和访问模板,并以此为基准,完成⽇常⽤户权限的设置⼯作(即上图中第0步)。在测试时,从总体上把测试⼯作分为三个阶段:
第⼀阶段,数据准备:即上图第①步。先从系统中下载相关数据表格,再填制相关模板。
第⼆阶段,数据转换及导⼊:即上图第②步。先将⼿⼯填制的模板进⾏转换,再将转换后的数据及下载的数据导⼊测试⼯具。第三阶段,测试并记录结果:即上图第③步。运⾏测试⼯具的相关程序,得到“功能权限”(运⾏结果即是功能权限的测试结
果)和“数据权限”(运⾏结果是实际数据权限,将其与制订的相关标准表进⾏⽐较,得到测试结果)的相应结果数据。1)了解应⽤系统权限体系。
