ERP系统权限管理测试.ppt

《ERP系统权限管理测试.ppt》由会员分享，可在线阅读，更多相关《ERP系统权限管理测试.ppt（77页珍藏版）》请在三一办公上搜索。

1、1,ERP系统权限管理测试,2,4.2.1 对地区公司开展现场或非现场测试检查4.2.2 地区公司根据测试检查报告开展整改4.2.3 对地区公司的整改结果进行复查,目录,阶段一.项目准备,阶段二.蓝图设计,阶段三.系统配置,阶段四.测试检查,阶段六.上线审批,阶段五.流程完善,ERP系统建设内部控制工作程序,3,目录,1.ERP系统权限管理2.ERP系统权限测试介绍3.ERP系统测试检查问题分析,4,1.ERP系统权限管理,随着地区公司从2007年开始陆续上线ERP系统，股份信息管理部、内控与风险管理部在原有信息系统总体控制实施办法（GCC）的基础上形成了ERP/人力资源系统总体控制(试行)。

2、在该实施办法中详细规范ERP系统的相关权限管理要求，因此地区公司在ERP系统上线后，应严格制定ERP系统相关的控制措施。本培训将重点介绍ERP系统的权限管理，ERP系统的权限测试步骤及权限测试工具，以及测试检查中权限问题的分析讨论。,5,1.ERP系统权限管理,(1)ERP系统上线后对地区公司和总部公司的权限管理会发生如下变化：1)控制执行层面发生变化：控制执行跨地区公司和总部两个层面，需要总部和地区公司的控制执行人共同完成。例如用户权限角色变更流程，角色变更的申请由地区公司发起，在地区公司需要关键用户检查角色变更是否满足职责分离的要求，申请人主管领导进行业务层面的审批，通过后由总部ERP运维

3、主管进行技术层面的审批，最后由总部技术人员在系统中进行角色变更活动。,6,1.ERP系统权限管理,2)控制实施证据发生变化：考虑ERP系统权限管理的细化及复杂性，对控制执行证据进行更新和完善，具体发生变化的权限实施证据如下：,7,1.ERP系统权限管理,代表需执行该控制X 代表无需执行该控制 代表总部和地区公司共同执行,8,1.ERP系统权限管理,(2)用户权限的管理以及设置规则,用户权限设置应同时满足以下基本原则：,用户权限管理的范围包括访问权限和职责分离,9,1.ERP系统权限管理,在执行ERP系统权限管理时，用户权限分配不当将引起以下两个方面的风险：风险一：用户如果在系统中具有不符合其实

4、际业务职责的权限，可能导致对业务、财务数据相关信息不适当的非授权修改。风险二：用户如果在系统中具有互斥权限，那么该用户就具有了在系统中进行舞弊操作的可能。,10,1.ERP系统权限管理,对于风险一：系统管理员通过对业务终端用户的角色分配实现敏感事物的授权，所以在进行ERP系统用户权限管理时，应确定ERP系统中的敏感事务，并确定这些敏感事务访问权限的设置规则。用户权限分配应遵循能够满足用户日常工作对系统资源的需求的最小授权原则进行授权。,11,1.ERP系统权限管理,敏感事务访问权限的设置规则由ERP系统的业务活动，敏感事务代码以及这些敏感事务应分配的工作岗位组成。,事务代码:各地区公司根据其业

5、务活动描述所定义的事务代码。事务名称:事务代码所对应的名称。,12,1.ERP系统权限管理,对于第二个风险，应该制定ERP系统职责分离矩阵，避免用户出现互斥的权限。（附录二、ERP系统职责分离矩阵 模板）。职责分离矩阵模版中定义了业务活动之间的互斥关系，若矩阵中某两个业务活动被标注为X，即表示这两个业务活动是互斥的，因此用户不能在系统中同时具有执行这两个互斥的业务活动的权限。,13,1.ERP系统权限管理,职责分离矩阵中还定义了业务活动与事务代码之间的关系。事务代码与业务活动是从属关系，如果某两个业务活动是互斥的，那么他们包含的事务代码彼此间也是互斥的。举例说明：“创建采购订单”和“审批采购订

6、单”是属于互斥的业务活动，而创建采购订单需要执行事务代码ME21N或ME22N，审批采购订单需要执行事务代码ME28或ME29N，因此ME21N和ME28，ME21N与ME29N都是互斥的，同样ME22N和ME28，ME22N与ME29N也是互斥的。因此在给用户分配权限时，需根据业务活动的互斥关系，来检查用户是否具有互斥事务代码的权限。,14,1.ERP系统权限管理,对于职责分离矩阵中X与X的区别：ERP系统职责分离矩阵中加粗并标有下划线的“X”代表具有重要风险的互斥业务活动，各地区公司在编制自己的职责分离矩阵时，如果这些业务活动适用于实际业务情况，那么必须满足这些具有重要风险的业务活动之间的

7、互斥关系，即被标为”X“的业务活动之间必须是互斥的。对于其他业务活动，各地区公司基于自身业务情况和对风险的考虑来决定是否互斥。地区公司应对风险进行充分的考虑，并结合自身业务实际情况，同时参照ERP系统职责分离矩阵模版来建立适用于本单位的职责分离矩阵，同时编制业务活动和事务代码的对应关系.地区公司在编制职责分离矩阵时还需满足一个原则：主数据维护、财务活动和和其他业务活动（指采购、销售、库存等业务活动）之间必须两两分离，例如主数据维护人员不能同时具有财务或其他业务活动的权限，财务人员不能同时具有维护主数据或其他业务活动的权限。,15,1.ERP系统权限管理,为了避免上述两个风险的发生，在系统安全负

8、责人进行每季度的权限检查过程中，都应对ERP系统权限的测试工作，由于ERP系统中具有大量的用户人数，同时其权限分配机制较为复杂，仅依靠手工的方式难以对ERP系统用户权限进行复核以减少相应的风险，因此ERP内控项目组根据这个系统的权限分配方式，以及股份公司下发的ERP系统职责分离矩阵开发了ERP系统权限Access测试工具。,16,目录,1.ERP系统权限管理2.ERP系统权限测试介绍3.ERP系统测试检查问题分析,17,2.ERP系统权限测试介绍,考虑总部ERP系统运维组和地区公司运维人员在执行ERP系统权限管理上的难度，内控与风险管理部采用ACCESS数据库编制ERP系统权限测试工具，供地区

9、公司执行权限管理所用。,2.权限测试工具，具体请参见附件“PTR-ERP权限测试工具”。,1.说明权限测试工具的使用，具体请参见附件“ERP系统权限Access测试工具说明”。,18,2.ERP系统权限测试介绍,附件：ERP系统权限Access测试工具说明该附件对ERP系统权限Access测试工具的使用步骤进行了详细说明，并设置“宏”功能用于将“ERP系统职责分离矩阵”进行二维表格转换。其中包括5个文档：权限测试工具使用说明；ERP系统职责分离矩阵模版；敏感事务访问权限设置规则模板；ERP系统职责分离矩阵；ERP系统敏感权限清单。其中，文档1“权限测试工具使用说明”详细介绍了使用权限测试工具的

10、5个步骤以及文档2、3、4、5的使用方法。,19,2.ERP系统权限测试介绍,附件：PTR-ERP权限测试工具该附件是用于ERP系统权限测试的工具。需将相关测试数据导入该工具中相应的表（Tables），并运行工具中的查询项目（Queries），得到当前系统中用户的敏感事务代码清单及不符合职责分离的用户名单。具体关于ERP系统权限测试工具的使用方法及步骤将在后面进行详细讲解。,20,2.ERP系统权限测试介绍,ERP系统权限测试工具可以提供地区公司开展如下几个方面工作：,阶段三:系统配置,阶段四:测试检查,双轨时间,单轨时间,阶段五:上线审批,内部控制程序,21,2.ERP系统权限测试介绍,(1

11、)地区公司在ERP系统双轨及单轨上线期间均可使用该测试工具：1)地区公司ERP系统双轨上线前的权限配置阶段，项目组可通过权限测试工具测试系统中用户权限分配是否满足职责互斥的要求，以及是否符合用户实际岗位职责。2)地区公司ERP系统单轨上线后，在执行用户权限定期审阅控制点时，审阅人可以用该工具检查系统中用户是否具有互斥的权限，以及权限分配是否符合用户实际岗位职责。,22,2.ERP系统权限测试介绍,(2)ERP系统权限测试主要分为如下步骤：1)步骤一、权限测试数据准备2)步骤二、转换数据3)步骤三、在ERP系统中导出所需数据4)步骤四、将数据导入到工具中，并运行结果5)步骤五、对测试结果进行分析

12、，并形成权限测试文档单轨上线之前测试工作，形成用户权限清理报告或测试检查报告；双轨上线后测试工作：按照内控手册要求，最终由系统信息安全管理负责人填写SAP应用系统用户权限检查表。,23,2.ERP系统权限测试介绍,ERP系统,2,3,ACCESS权限测试工具,下载权限相关数据,职责分离矩阵,ERP系统中用户权限,导入ACCESS测试数据库,用户权限清理报告或测试检查报告,4,运行工具及结果呈现,1,模板转换完成后的互斥矩阵,导入ACCESS测试数据库,获取地区公司职责分离矩阵,敏感事务访问权限的设置规则,获取地区公司敏感事务访问权限的设置规则,5,SAP应用系统用户权限检查表,单轨上线前,单轨

13、上线后,24,2.ERP系统权限测试介绍,1)步骤一、权限测试数据准备：地区公司在权限测试之前需要准备如下数据：敏感事务访问权限的设置规则：地区公司独立准备ERP系统职责分离矩阵：地区公司根据2009年内部控制管理手册-信息与沟通分册第2.6部分的“表1 ERP系统职责分离矩阵”模板更新后的适用于本单位的ERP系统职责分离矩阵。,25,2.ERP系统权限测试介绍,2)步骤二、转换数据：,将客户提供的ERP系统职责分离矩阵模板内容导入excel表中,A.各地区公司结合总部下发的具有重要风险的互斥业务活动（下划线X）和地区公司自己业务活动相关的重要风险互斥业务活动X，制定使用与实际业务情况的互斥矩

14、阵，填写在统一下发的“ERP系统职责分离矩阵模板”中,26,2.ERP系统权限测试介绍,B.获取地区公司的“ERP系统职责分离矩阵模板”。该内容分成两个部分：ERP系统职责分离矩阵；业务活动与事务代码对应关系。将地区公司的ERP系统职责分离矩阵通过全选（Ctrl+A）-复制（右键“复制”）-粘贴（右键“粘贴”）到文本档的“ERP系统职责分离矩阵”页中。(切勿将本文档中“ERP系统职责分离矩阵”页的名字进行更改)；,27,2.ERP系统权限测试介绍,C.在“ERP系统职责分离矩阵”页中，选择菜单中的“工具”-“宏”-“宏”,或直接按Alt+F8，运行宏“二维表格转换”,28,2.ERP系统权限测

15、试介绍,D.转换完成后，系统弹出对话框。记下转换结果保存的工作表名称，供导入数据时使用。在下图的例子中，转换结果是保存在“Sheet2”的工作表中。点击“OK”，完成转换，保存并关闭文件”,29,2.ERP系统权限测试介绍,E.将ERP系统职责分离矩阵模板中的“业务活动与事务代码对应关系”，选中“业务活动”，“事务代码”，“事务代码名称”三列，直接复制到工作表“ERP系统敏感权限清单”表中。,30,2.ERP系统权限测试介绍,参照ERP系统职责分离矩阵填写“业务活动的编号”一列。例如：“维护客户主数据”对应编码为01，将01维护到ERP系统敏感权限清单中，保证业务活动下的每个事务代码都能与一个

16、业务活动代码相对应,31,2.ERP系统权限测试介绍,获取地区公司“敏感事务访问权限设置规则，根据地区公司工作页“敏感事务访问访问权限设置规则模板”中业务活动应分配的权限岗位名称，填写工作表“ERP系统敏感权限清单”的“应分配的岗位名称”一列。,32,2.ERP系统权限测试介绍,3)步骤三、在ERP系统中导出所需数据 从ERP生产环境中导出权限相关的后台数据A.由应用系统管理员登录被测试单位所在的ERP系统生产环境client，执行事务代码SE16，进入数据浏览器窗口。B.从ERP系统中导出当前用户信息列表USR02。在数据浏览器中输入表名USR02，按“确定”键后进入查询条件输入屏幕。,33

17、,2.ERP系统权限测试介绍,在表USR02的查询条件输入屏幕中进入多项选择，对字段GLTGB（用户有效日期截止）进行设定。,34,2.ERP系统权限测试介绍,设定子段GLTGB（用户有效日期截止）大于当前日期或者为空(00.00.0000)。,35,2.ERP系统权限测试介绍,运行设定好的查询条件（注：确保最大输出记录数足够大），在输出字段选择窗口中（Ctrl+F9）选择输出字段BNAME（用户名）、CLASS（用户组）、UFLAG（用户锁定标识）。,36,2.ERP系统权限测试介绍,将最终需要输出的字段下载（Shift+F8）到本地，选择Excel格式保存，文件名为USR02.xls,37

18、,2.ERP系统权限测试介绍,C.从ERP系统中导出当前用户与角色对应关系列表AGR_USERS。由应用系统管理员登录被测试单位所在的ERP系统生产环境client，执行事务代码SE16，进入数据浏览器窗口，在数据浏览器中输入表名AGR_USERS，按“确定”键后进入查询条件输入屏幕。,38,2.ERP系统权限测试介绍,运行设定好的查询条件（注：确保最大输出记录数足够大），在输出字段选择窗口中选择输出字段AGR_NAME（角色名）、UNAME（用户名）。,39,2.ERP系统权限测试介绍,将最终需要输出的字段下载（Shift+F8）到本地，选择Excel格式保存，文件名为AGR_USERS.x

19、ls。,40,2.ERP系统权限测试介绍,D.从ERP系统中导出当前角色与STCODE授权对象对应关系列表AGR_1251。由应用系统管理员登录被测试单位所在的ERP系统生产环境client，执行事务代码SE16，进入数据浏览器窗口，在数据浏览器中输入表名AGR_1251，按“确定”键后进入查询条件输入屏幕。,41,2.ERP系统权限测试介绍,在表AGR_1251的查询条件输入屏幕中，设定字段OBJECT（授权对象）等于“STCODE”，设定字段DELETED（授权对象删除标记）不为“X”,42,2.ERP系统权限测试介绍,运行设定好的查询条件（注：确保最大输出记录数足够大），在输出字段选择窗

20、口中选择输出字段AGR_NAME（角色名）、OBJECT（授权对象名称STCODE）、AUTH（授权名称）、FIELD（字段名称TCD）、LOW（字段值下限）、HIGH（字段值上限）,43,2.ERP系统权限测试介绍,将最终需要输出的字段下载（Shift+F8）到本地，选择Excel格式保存，文件名为AGR_1251.xls；,44,2.ERP系统权限测试介绍,4)步骤四、将数据导入到工具中，并运行结果,将通过宏转化后的职责分离二维表（示例中的sheet2）直接复制到Access测试工具的表ConflictMatrix中,45,2.ERP系统权限测试介绍,将分页“ERP系统敏感权限清单”中整理

21、好的“事务代码”，“事务代码名称”和“业务活动代码”三列内容直接粘贴到Access测试工具的表SensitiveTcode中,46,2.ERP系统权限测试介绍,将分页“ERP系统职责分离矩阵”中的“序号”，“业务活动”两列内容直接粘贴到Access测试工具的表Function中,47,2.ERP系统权限测试介绍,分别打开下载完毕的三个Excel文件USR02.xls、AGR_USERS.xls、AGR_1251.xls，将多余的空白行列删除，将数据分别经过全选、复制、粘贴到Access测试工具中对应的表UserInfo、User2Role、Role2Object中,48,2.ERP系统权限测试

22、介绍,运行Access工具中的查询项目，得到当前系统中用户的敏感事务代码清单及不符合职责分离的用户名单,A.在Access工具中运行查询User2Function，得到的结果即为当前ERP系统中用户所具有的敏感事务代码清单,49,2.ERP系统权限测试介绍,B.在Access工具中运行查询SoD-required，得到的结果即为当前ERP系统中不符合股份公司统一要求的职责分离（仅事务代码层面）的用户清单,50,2.ERP系统权限测试介绍,C.在Access工具中运行查询SoD-optional，得到的结果即为当前ERP系统中不符合地区公司自定义的职责分离（仅事务代码层面）的用户清单,51,2.

23、ERP系统权限测试介绍,5)步骤五、结果分析 分析敏感事务代码是否分配给适当的用户，确定敏感权限测试的例外情况A.根据得出的“ERP系统中用户所具有的敏感事务代码清单”，在该结果中新增一列”实际分配岗位“，并通过访谈相关业务部门获取清单中用户的实际岗位信息，填入该列，如下所示,52,2.ERP系统权限测试介绍,B.比对“应分配的岗位名称”与“实际分配岗位名称”两列内容，筛选出岗位信息不一致的例外情况，如上图所示，红色方框内的为岗位不一致的情况C.将第2步筛选出的例外用户与相关业务部门负责人及权限管理员沟通，对例外情况进行解释，除以下几种情况外，均需认定为敏感权限测试的例外：D.该用户拥有的冗余

24、权限仅为查询权限，这种情况不认定为权限例外。下图举例演示了如何在系统中验证用户的冗余权限是否为查询权限：测试结果显示用户“YXLIU”实际为“会计核算岗”，但拥有”库管员“收货入库(事务代码为MIGO)的权限，通过与相关业务部门负责人及权限管理员沟通，该用户由于业务需要仅在系统中拥有查询的权限，并不能执行收货入库，并且经过在系统中验证，该用户确实只有查询收货入库的权限。,53,2.ERP系统权限测试介绍,在系统中检查用户权限的方法A.输入事物代码SU01，查询界面中输入用户帐号，然后点击“显示”。,54,2.ERP系统权限测试介绍,B.选择“角色”标签，找到需要查询的角色，双击该角色名称。,5

25、5,2.ERP系统权限测试介绍,C.在新的页面中选择“权限”标签，运行“显示授权数据”。,56,2.ERP系统权限测试介绍,D.在菜单栏中中选择“实用程序”-“显示技术名称”,57,2.ERP系统权限测试介绍,E.查询出现职责分离问题的事物代码的授权值，如果该授权值为03，则表示为查询权限。,58,2.ERP系统权限测试介绍,由于地区公司“敏感事务访问权限设置规则”中“应分配的岗位名称“未及时按照实际更新，导致”应分配的岗位名称”和“实际分配岗位名称”不一致，经与相关业务部门负责人及权限管理员沟通后，可不认定为权限例外。,59,2.ERP系统权限测试介绍,分析不符合股份公司统一要求的职责分离（

26、仅事务代码层面）的用户清单，确定职责分离权限测试的例外情况。根据得到的“ERP系统中不符合股份公司统一要求的职责分离（仅事务代码层面）的用户清单，与权限管理员、该用户及相关业务部门负责人沟通是否为例外情况,由于该工具只是在事务代码层面进行检查，需在权限管理员的协助下，在系统中检查该用户是否仅拥有该事务代码的查询权限，并未拥有编辑的权限，经过合理解释外可不认定为职责互斥权限测试的例外。,60,2.ERP系统权限测试介绍,分析不符合地区公司自定义的职责分离（仅事务代码层面）的用户清单，确定职责分离权限测试的例外情况：根据得到的ERP系统中不符合地区公司自定义的职责分离（仅事务代码层面）的用户清单，

27、与权限管理员、该用户及相关业务部门负责人沟通是否为例外情况。具体方法参见:ERP系统权限测试结果分析“在系统中检查用户权限的方法”。,61,目录,1.ERP系统权限管理2.ERP系统权限测试介绍3.ERP系统测试检查问题分析,62,3.ERP系统测试检查问题分析,通过对地区公司开展的测试检查工作及管理层测试工作，测试调查小组发现了在权限执行层面的各类问题，在此对这些问题进行分析、讨论，建议地区公司日后的权限管理中重点关注：(1)总体信息系统层面(2)ERP应用系统层面,63,3.ERP系统测试检查问题分析,(1)总体信息系统层面1）发现问题：生产环境中存在未锁定的实施顾问帐号，拥有大量系统后台

28、管理权限，如ERP项目组，实施顾问帐号yanhong.分析：地区公司在ERP系统单轨上线之前，未及时进行权限清理，并冻结实施顾问的帐号。,64,3.ERP系统测试检查问题分析,2）发现问题：系统生产环境中存在大量帐号拥有批处理权。(SM35、SM36、SM37)分析：地区公司在ERP系统单轨上线之前，ERP实施顾问或关键用户由于批处理操作被大量使用，故该类权限未被严格限制。,65,3.ERP系统测试检查问题分析,3）某些帐号拥有生产环境的直接数据访问/修改、维护系统的参数信息等多个敏感后台权限。分析：用户权限符合要求，但该账号并未登记在ERP系统特权用户登记备案表且未经过信息安全管理负责人的确

29、认，不满足GIT-SAP-6.4关于特权用户的管理要求。,66,3.ERP系统测试检查问题分析,4）发现系统中非管理员用户拥有用户维护、系统配置、系统开发管理方面的敏感后台权限。如SCC4、SU01、SU10、SUGR、SUIM 分析：此类权限的拥有帐号多为系统单轨前各地区公司的关键用户，但系统正式上线后，总部运维组没有及时将用户的敏感后台权限撤销。,67,3.ERP系统测试检查问题分析,5）发现系统中有业务人员拥有敏感后台权限，经查询发现该权限被分配在业务角色中。例如：发现系统中角色拥有SM30的事务代码。分析：由于总部运维组在创建角色时错误的分配了该权限。,68,3.ERP系统测试检查问题

30、分析,6）发现系统中特权用户拥有其职责范围外的敏感权限例如：负责数据传输的特权用户拥有帐号维护的权限（SU01）分析：总部技术组在给特权用户授权时分配错的角色。,69,3.ERP系统测试检查问题分析,(2)ERP应用系统层面1)发现问题：帐号权限的分配不满足职责分离的要求例如 地区公司的帐号不满足盘点差异过账和存货出库、入库；预制凭证过账和制作预制凭证；会计核算与总账管理；会计科目主数据变更与会计核算；重开会计期间和会计核算；价格维护与维护发票等。分析：地区公司在权限分配的时候，对于许多属于同一类型的业务活动（例如财务类），并没有按照职责分离矩阵的要求，进行权限分离，而是将权限分配了同样的人员

31、。如果该用户实际业务中确实从事互斥的业务活动，系统管理员应根据内控手册的要求，告知相关务部门负责人，对该用户岗位以及职责进行调整，以确保符合职责分离的要求。,70,3.ERP系统测试检查问题分析,2)发现问题：帐号在系统内的权限与帐号拥有业务人员在系统外的业务权限互斥例如：帐号有发货过帐的业务处理权限，同时，帐号拥有人还执行检查系统中尚未完成发货过帐的销售订单；帐号有取消物料凭证的权限，但帐号拥有人还执行复核冲销的物料凭证这一手工控制；帐号有维护价格主数据的业务处理权限，同时，帐号拥有人还执行负责复核价格主数据变更分析：地区公司，有时由于业务部门人员数量不足以完全保证职责分工，建议可以采用交叉

32、审批复核的方式。,71,3.ERP系统测试检查问题分析,3)发现问题：其它地区有公司的用户拥有本公司的业务权限分析：由于在系统上线前，帐号由总部技术组统一创建，有时会出现授权错误的情况（该种情况属于例外）由于其它地区公司在业务上涉及需要本公司权限，例如：A公司采用产品库发，但仓库属于B公司的管理范围内，所以B公司的库管员会拥有A公司的产品出入库权限。（该种情况不属于例外）,72,3.ERP系统测试检查问题分析,4)发现问题：系统业务终端用户的权限分配与实际岗位不符。例如：系统中终端用户，实际岗位为出纳岗，但却在系统中分配了结算岗的业务活动如预制凭证审核过帐的业务处理权限；实际岗位为财务处总帐岗

33、，但是拥有会计核算业务活动权限；财务处系统管理，但是拥有成本核算相关的主数据维护业务活动权限。分析：此种情况的发生主要由于用户已经调岗，但用户的相关岗位信息确没有及时更新。系统管理员应该填写ERP系统用户权限变更请求表，根据该用户的实际业务需要，执行用户权限修改和变更流程，对用户角色重新进行调整，删除该用户的多余授权。,73,3.ERP系统测试检查问题分析,5)发现问题：已离职用户仍拥有业务权限分析：对于已经离职的业务终端用户，没有照内控手册要求，填写ERP系统用户帐号注销请求表，执行用户帐号注销流程，由总部技术组将该帐号锁定或删除。,74,3.ERP系统测试检查问题分析,6)发现问题：帐号所

34、拥有的互斥事物代码被分配给同一角色，且均不仅为查询权限。分析：该种情况的发生属于角色的定义错误，在系统管理员的职责范围内无法对现有角色进行修改，应及时与总部技术进行沟通，填写ERP系统角色变更请求表，执行ERP系统角色变更管理流程，由技术组对该角色进行修改，将互斥的事物代码重新分配在不同的角色中。系统管理员应根据ERP系统职责分离矩阵以及用户的实际业务需要，重新对帐号进行角色分配。,75,要点回顾,1、ERP系统权限管理ERP系统上线后地区公司和总部公司的权限管理及权限相关实施证据表单发生的变化ERP系统的权限管理(总部、地区公司)公司ERP系统职责分离的统一要求(ERP系统职责分离矩阵模板)2、ERP系统权限测试介绍如何使用ERP系统权限测试工具3、ERP系统测试检查问题分析对检查出的问题进行分析，如何整改,76,问题讨论,77,谢 谢！,