对于上市公司,尤其是在境外上市的中国企业而言,风险管理、内控审计及合规管理是 IT部门极其重要的应用,由此诞生的公司治理、风险管理及合规(Governance,Risk And Compliance,简称GRC)解决方案成为CIO们的得力助手。
无锡尚德太阳能电力有限公司在 0年前还是一个小工厂,随着绿色能源观念的深入人心,公司经历了飞跃式发展,逐渐成为太阳能行业里的大集团,于 00 年底挺进世界光伏企业前五强; 0兆瓦太阳能电池的制造能力,使无锡尚德成为全球四大太阳能电池生产基地之一。无锡尚德于 00 年 月首次公开上市,成为第一个在纽约股票交易市场成功上市的中国民营企业,受到了广泛的关注。
在这些耀眼光环的背后,凝聚着IT部门的智慧与辛劳,尤其是在降低企业风险方面的探索,值得国内广大CIO们借鉴。
快速发展面临的问题
无锡尚德短短几年的跨越式、超常规发展,带给IT部门的是接踵而来的挑战。“由于业务不断扩展,产品的多样化,分支机构在各个地方的开展,业务信息在系统中的录入越来越多,信息重要性也越来越强,信息安全已成为管理层不可忽视的问题。”无锡尚德太阳能电力有限公司IT 高级主管强洪表示。
在业务发展和IT系统发展的同时,强洪不断发现一些问题,主要是职责分配的冲突,还有用户部门的转岗、换岗、授权流程的复杂化等等,如果没有一个清晰的整理、没有一个很好的流程化控制,那么对于整个公司的风险管控会非常不利。作为一家上市企业,从外部来说,必不可少要受到法规的监管; 从内部而言,信息安全的重要亦不言而喻。而信息安全中,首先需要考虑的就是系统的授权问题。ERP系统中的关键信息必须要得到充分的保护,公司的核心信息不应该是所有员工、所有人员都可以轻易获取到的。
ERP系统中用户的权限分配,应该跟岗位相匹配。作为公司的员工,无论是老总,还是基层的操作人员都必须获得必要的信息,但同时也不能获得额外的信息。从减少问题发生的层面来说,也应该尽量满足职责分离的要求。“我们在系统访问控制管理方面,一开始就面临非常严峻的挑战。对于业务部门来说,有过很多负面,比如业务数据被非法篡改,对整个系统有诸多抱怨,流程的复杂性影响到操作效率,控制的要求不符合业务实际情况,从而影响到业务的运行。”强洪深有感触地说。
内控部门作为风险控制主要的管控和监控主要部门,其职责是对公司的风险情况进行良好的控制并提出要求。但由于缺乏有效的测试,IT 部门无法从整体角度来把握控制的执行状况,所以在系统访问、管理控制方面,往往是用户不断提出问题来,而强洪他们部门只能针对个别问题进行个别处理,很难一下子进行整理把握,进而完成分析、处理。
在系统权限管理方面,也存在问题。主要归纳起来有几点; 一、管理非常复杂; 二、无法通过人工有效检查; 三、公司业务部门在权限审批过程当中没有审批预计,有的审批流于形式,有的根本不可能一一做出验证和检查,还有不了解的也被审批掉; 四、公司IT部门在权限管控方面花费了太多的时间和人力,已经不堪重负。
建立逐步循环优化策略
强洪介绍说,在公司发展的过程中,随着整个业务的不断膨胀,信息化程度越来越高,整个控制情况看起来有些支离破碎,无法形成整体的管控体系。在这种情况下,无锡尚德的管理层决定系统访问必须进行优化。
在随后实施的优化过程中,一方面是借助了外部咨询公司的力量来提供建议; 另一方面则是加强了公司内控部门、IT部门和业务部门之间的交流,大家聚集在一起,把整个公司的情况进行了调研和分析,然后确定了系统访问管理优化循环的策略。在公司范围内,建立统一的权限管控平台,通过管控平台来进行处理,这样才能够对 ERP的访问权限控制情况进行客观的评估,评估后再进行优化,优化后进行合理的改善,从而达到一个逐步优化的循环。这样,使得整个权限管控体制越来越正规化,越来越合理化。
在进行系统访问管理优化的时候,强洪也意识到优化过程中将面临一些风险: 首先是在制订权限管控规则时,必须要根据实际的业务情况来,如果非常草率地使用某一规则来限定和整改,而不是在业务部门间进行广泛有效沟通的话,则可能会影响到业务的运行; 其次,如果用户对整个权限管控情况不是很了解的话,往往会导致用户权限变更需求不能得到及时的处理,进而影响正常业务进行。
引入GRC应对挑战
“在系统访问控制平台上,我们当时选择了 GRC系统。一方面是因为GRC系统的功能比较强大,另一方面则是考虑到GRC系统和公司的 SAP系统能够很好地对接,对SAP的权限体系进行很好地管控。此外,GRC系统里包含很多模块,权限访问控制只是其中之一,我们借此为整个公司的权限管控构建了一个信息化的平台。” 强洪介绍了选择GRC系统的初衷。
通过引入GRC技术平台,之前强洪碰到的问题开始逐步得到解决。对于不同的部门,不同的运营管理单位可以发现各自的风险管理情况及差异,以及自己部门的整体风险管理情况,都可以得到直观的了解。
风险状况并不是一概而论,因此在GRC系统里,可以把风险冲突进行等级分类。从用户角度,可以很直观地看到风险的数量、分类等明细情况。从内控角度,可以看到风险控制的整体情况,以及不同业务模块的整体分类情况。这样当要改善的时候,能够抓住重要的或者是数量比较大的,进行集中整治和改善。
GRC作为一个系统,其中的功能模块定义与风险冲突规则需要人为地加以制订,因为仅有一个系统的话,不可能自动地就体现出风险管控的状态。GRC系统一方面需要获取ERP系统中的用户、权限基础信息,另外一方面也需要把一些要求、规则在GRC中完成设定。规则的设定显得尤为重要,是整个GRC系统上线过程中花费精力最多的环节。对于规则的制定,在实施过程当中应针对不同的部门,在广泛沟通的基础上加以完成。
所有权限访问的管控,都需要受到GRC 规则的校验,这个规则制订不是IT部门独立完成的,而是由多个部门来协同制定。IT作为实施部门,必须要把信息录入到系统当中去,而内控部门对于整个的规则制订必须是合规、合理的。所以专门制定了一个流程,需要申请业务部门、IT部门等共同审批以后来完成这样的录入、修改。
“通过系统访问管理优化的循环,我们公司完成了对ERP系统访问管理的优化,定义了清晰的权限维护、监督流程,明确了部门职责,使得渠道的沟通更加顺畅、部门间的结合更加紧密,管理层能够实时掌握系统访问的风险。” 强洪总结道。