忽略了安全需求的ERPA企業是國內壹家從事制造建築工程施工車輛的公司。該企業從九十年代就開始準備ERP項目,並在二十世紀九十年代後期選定了軟件,開始實施包括財務、分銷和制造在內的整合的ERP系統。為此,A公司專門成立了ERP實施小組,在專業咨詢公司的協助下,經過壹段時間的需求分析、流程設計、用戶培訓,實施工作進入了緊張的上線前數據準備的關鍵階段。這時候,采購部門對敏感的采購信息在系統中的安全性提出了質疑,包括對相關采購數據的輸入、修改、批準、查詢、報告、打印等,提出了壹系列要求。整個采購部門有幾十個從事采購相關業務的工作人員,分管幾十個大類、數以萬計的不同物品的相關采購工作。根據內控的要求,不同大類物品的采購價格和數量,以及到貨時間等諸如此類的定單信息和供應商信息,對其他無關部門,甚至同部門的其他采購人員,都是保密的。在這樣的內控要求下,ERP用戶權限的設定,不是僅在功能模塊的菜單上設定權限,就能符合崗位隔離的要求的。不少安全要求,具體到需要對數據庫內的數據表的字段做出相應的權限設定。崗位隔離的要求,形成了壹個極其復雜的安全需求矩陣。在系統實施工作的後期階段,提出這樣的安全要求,對ERP實施小組無疑是個難題。由於事先準備不足,ERP系統的功能、需求分析、流程設計、項目實施的資源,都沒有充分考慮公司內控和信息安全的要求。上述信息安全和崗位隔離的要求,對采購模塊的實施,形成了難以逾越的障礙,並且直接導致:1. 采購模塊沒有和其他模塊壹起集成上線。2. 應付賬款模塊、庫存管理模塊、成本計算功能的應用,都受到了很大的制約。3. 該ERP系統的實施,沒能達到產供銷財務壹體化的目標。其實,該公司內其他部門也有類似的信息安全的考慮和內控的要求,只不過沒有采購部門反應強烈而已。這些問題深深困擾著A企業……
上一篇:學校註冊卡有什麽用?去市教育局報到需要帶什麽?下一篇:疫情期間進西安貨車通行證辦理指南(渠道+步驟)