用友UFIDANC管理软件用户手册(访问安全控制)NC应用系列丛书目录1.4系统概述1.1.4背景1.2.4应用目标2.5产品简介2.1.5产品架构2.2.5功能简介2.3.7与其他产品接口3.7基础数据3.1.7业务流程设置3.1.1.7功能说明3.1.2.7功能位置3.1.3.7功能操作3.1.4.12注意事项3.2.13业务活动设置3.2.1.13功能说明3.2.2.13功能位置3.2.3.13功能操作3.2.4.20注意事项3.3.21互斥职责设置3.3.1.21功能说明3.3.2.21功能位置3.3.3.21功能操作3.3.4.26注意事项3.4.26关键用户设置3.4.1.26功能说明3.4.2.26功能位置3.4.3.26功能操作3.4.4.29注意事项3.5.29关键角色设置3.5.1.29功能说明3.5.2.30功能位置3.5.3.30功能操作3.5.4.33注意事项3.6.33关键功能设置3.6.1.33功能说明3.6.2.34功能位置3.6.3.34功能操作3.6.4.37注意事项4.37操作说明4.1.37授权全景查询4.1.1.37功能概述1操作手册4.1.2.38流程图4.1.3.38功能位置4.1.4.38功能操作4.1.5.46注意事项4.2.46关键用户授权监控4.2.1.46功能概述4.2.2.47流程图4.2.3.47功能位置4.2.4.47功能操作4.2.5.52注意事项4.3.52关键角色授权监控4.3.1.52功能概述4.3.2.53流程图4.3.3.53功能位置4.3.4.53功能操作4.3.5.57注意事项4.4.57关键流程授权监控4.4.1.57功能概述4.4.2.58流程图4.4.3.58功能位置4.4.4.58功能操作4.4.5.61注意事项4.5.61关键功能授权监控4.5.1.61功能概述4.5.2.62流程图4.5.3.62功能位置4.5.4.62功能操作4.5.5.65注意事项4.6.65职责互斥稽核4.6.1.65功能概述4.6.2.67流程图4.6.3.67功能位置4.6.4.67功能操作4.6.5.72注意事项4.7.73访问安全日志4.7.1.73功能概述4.7.2.74流程图4.7.3.75操作说明4.7.3.1..75权限管理员日志4.7.3.2..77权限变更日志4.7.3.3..80权限配置报告4.7.3.4..82权限配置变更日志5.84主要业务应用流程5.1.84职责互斥稽核第2页共86页操作手册5.1.1.84业务描述5.1.2.85应用流程5.1.3.85应用说明第3页共86页操作手册1系统概述1.1背景内部控制管理是企业管理中的重要管理手段,是企业防范、降低、控制风险的重要工具。大部分企业均建立了日常的内部控制管理制度、管理流程等,并要求内部控制的执行贯穿于企业经营管理的始终。在信息化的背景下,对企业内部控制管理的主要内容和领域进行划分,可以分为三大领域: 管理控制 业务控制 IT控制对于用户而言,在IT控制中,信息系统的访问安全控制尤为重要,它是软件系统安全控制的重要内容之一。访问安全控制的内容包括:(1)软件系统权限体系的严密。(2)软件系统权限体系的可监督性。(3)能够自动完成不相容职务稽核及报告。(4)对授权操作完整细致的日志记录和报告。1.2应用目标针对企业IT控制的要求,以及NC的目标客户在应用了NC系统以后,对信息系统安全控制的要求,研发完成了v56访问安全控制。v56访问安全控制重点解决用户最为关注的信息系统访问安全控制的要求,它的应用目标为:(1)NC系统的用户利用该工具查询并输出系统授权全景报告。(2)NC系统的用户利用该工具对系统的权限体系进行检查和监控。(3)NC系统的用户利用该工具完成不相容职责的自动稽核及报告。第4页共86页操作手册(4)NC系统的用户利用该工具对系统授权操作的日志进行监控。2产品简介2.1产品架构2.2功能简介企业治理是使用NC系统进行内部控制监控和管理的平台,它包含了以下部分:访问安全控制用于企业对软件系统的访问安全方面进行内部控制监控和管理,包括监控系统的权限授权信息、稽核系统中的不相容职责、查询系统的授权操作日志记录等内容。系统功能主要包括以下内容:(1)基础设置是在使用【访问安全控制】时需要定义的基础性数据,基础设置部分承担该工具运行所需的独立的基础档案和部分关键设置,其中包括: 业务流程设置 业务活动设置 互斥职责设置 关键用户设置第5页共86页操作手册 关键角色设置 关键功能设置(2)授权监控是V56访问安全控制中专门针对企业权限授权总体情况进行汇总归纳的模块,方便企业在内控管理工作中对权限授权信息的总体监控和管理,它包括以下五个方面的内容: 授权全景查询 关键用户授权监控 关键角色授权监控 关键流程授权监控 关键功能授权监控(3)职责互斥稽核是指稽核不相容职责在系统中应用而发生的冲突情况,它承接的是基础设置中互斥设置的结果。通过使用职责互斥稽核功能,能够快速做出互斥报警,使企业能够及时做出职责权限的调整,防止不相容职责的错误和弊端的发生和蔓延。(4)访问安全日志是对授权操作完整细致的日志记录和报告,主要解决对软件系统中专门负责授权的权限管理员的操作安全的监控、保障和检查,从而与授权监控、互斥职责稽核形成完整的访问安全控制循环,包括四方面内容: 权限管理员日志 权限变更日志 权限配置报告 权限配置变更日志第6页共86页操作手册2.3与其他产品接口UAP权限管理访问安全控制接口说明:(1)主要与UAP的权限管理进行接口。(2)通过权限管理中角色管理、权限分配、用户管理和资源权限控制等模块,获取与用户、角色有关的权限控制以及操作日志等信息,形成访问安全控制的数据和报告。3基础数据3.1业务流程设置3.1.1功能说明企业中的各种经营管理活动表现为企业的各种业务流程,企业的各层级岗位和人员的操作权限因此也与业务流程紧密相关。因此,企业的权限指引或者权限体系均是按照业务流程、子流程来逐一划分和制定。3.1.2功能位置在主菜单中双击【企业治理】-【访问安全控制】-【基础设置】-【业务流程】,系统将弹出界面。3.1.3功能操作基础设置授权监控职责互斥稽核角色管理权限分配用户管理资源权限控制访问安全日志第7页共86页操作手册(1)增加业务流程如图3.1.3.1-1,单击〖增加〗按钮,(图3.1.3.1-1)切换到新增页面,录入业务流程编码、业务流程名称、上级业务流程、制定公司等信息,录入完毕后,单击〖保存〗按钮,将新增内容保存。在增加过程中,单击〖取消〗按钮,系统将不保存返回增加前状态。如图3.1.3.1-2,第8页共86页操作手册(图3.1.3.1-2)其中,关键流程:是指在企业的经营管理活动中,如果出现弊端或过失,会给企业造成不可挽回的重大损失的某些重要的业务流程。对于关键业务流程企业要给予更多的重视和关注。主业务流程:是指在企业的经营活动中,主业务流程及其子业务流程共同构成一个完整的业务,那么这个业务流程即是主业务流程。在后续的互斥设置和互斥稽核等操作中,均以主业务流程为核心进行应用。(2)业务流程跨公司跨公司的业务流程:是指企业集团当中的某些业务流程所涉及的业务活动跨多个公司或分支结构。所跨公司范围为当前登录用户在权限管理中已经被授权的所有公司。同时,业务流程中的所跨公司,也是对应业务活动的公司范围。如果是跨公司的业务流程,需要在此指定该业务流程的公司范围。首先要在业务流程新增或修改页面中勾选〖是否跨公司〗,此时激活页面下方的添加公司页面。增行:单击〖增行〗按钮,在公司列表页面的新增行的〖公司编码〗双击选择公司即可。如图3.1.3.1-3,第9页共86页操作手册(图3.1.3.1-3)插入行:单击〖插入行〗按钮,可在所选公司的上方插入新增公司行。删除行:选择要删除的公司行,单击〖删除行〗按钮,执行删除公司操作。复制、粘贴行:选择要复制的公司行,单击〖复制行〗按钮,然后单击〖粘贴行〗按钮,会在公司列表后面粘贴复制后的新行。(3)修改业务流程选择要修改的业务流程,单击〖修改〗按钮可以对该业务流程执行修改操作,修改完毕后,单击〖保存〗按钮,将修改结果保存。在修改过程中,单击〖取消〗按钮,系统将不保存返回到修改前状态。(4)删除业务流程选择要删除的业务流程,单击〖删除〗按钮并确认系统提示后,对该记录执行删除操作。(5)封存业务流程选择要封存的业务流程,单击〖封存操作〗按钮,在下拉菜单中选择〖封存〗,即可对当前业务流程执行封存操作,封存后的业务流程不再进入后续环节中。对于已经封存的业务流程,如果还需启用,单击〖封存操作〗按钮,在下拉菜单中选择〖解封〗,即可执行解封操作,解封后的业务流程会在后续环节中继续显示并支持使用。(6)打印业务流程第10页共86页操作手册在需要进行资料输出时,选择要打印的业务流程,在右边出现业务流程详细信息的页面,单击〖打印〗按钮,即打印出所选业务流程的信息。(7)复制、粘贴业务流程在业务流程树中选择要复制的业务流程,单击〖复制〗按钮,再单击〖粘贴〗按钮,根据需要输入业务流程编码并对相应信息进行修改,单击〖保存〗按钮,将复制内容保存。(8)导入、导出业务流程系统提供的导入导出功能支持Excel(xls)文档、Excel(csv)文档、xml文档三种格式的数据,用户可以根据自己的需要来导入导出不同格式的文档。导入:单击〖导入〗按钮,设置文件类型和选择文件,单击〖导入〗按钮,导入业务业务流程文件。要求导入文件的格式同导出文件的格式,建议用户在导出文件的内容里进行修改后实施导入工作。如图3.1.3.1-4(图3.1.3.1-4)导出:选择要导出的业务流程,单击〖导出〗按钮,设置系统参照、文件类型、选择文件等信息,单击〖导出〗按钮,导出业务流程文件。如图3.1.3.1-5第11页共86页操作手册(图3.1.3.1-5)3.1.4注意事项(1)业务流程设置是设置业务活动的前提,没有业务流程的设置无法完成业务活动的设置。(2)业务流程编码和名称是唯一的,设置时不能重复。(3)进行跨公司选择时,公司选择范围为在权限管理中已经给当前用户授权的公司。对于主业务流程来说,只需对主业务流程进行跨公司设置,其下级业务流程的跨公司信息同主业务流程,不能重新设置。(4)已经设置为主业务流程的业务流程,其上级节点及其下级节点都不可以再设置为主业务流程。(5)如果确定某一业务流程为关键业务流程,那么其下级所有业务流程均默认为关键流程,且不可修改,但其上级业务流程可以任意设置是否关键流程。(6)已引用的业务流程不能删除。第12页共86页操作手册3.2业务活动设置3.2.1功能说明业务活动是对应各业务流程里具体的业务环节,它包括整个业务流程里各业务关键点,通过每个业务流程节点下的业务活动组,能够展现当前业务流程的具体工作内容和流程信息。业务活动的设置是以业务流程的设置为前提的。3.2.2功能位置在主菜单中双击【企业治理】-【访问安全控制】-【基础设置】-【业务活动】,系统将弹出界面。3.2.3功能操作(1)增加业务活动选择列表视图中业务流程的底级节点,单击〖增加〗按钮,如图3.1.3.2-1(图3.1.3.2-1)在弹出的卡片视图中录入业务活动编码、业务活动名称、所属业务流程等信息,录入完毕后,单击〖保存〗按钮,将新增内容保存。在增加过程中,单击〖取消〗按钮,系统将不保存返回增加前状态。如图3.1.3.2-2第13页共86页操作手册(图3.1.3.2-2)(2)指定业务活动所属公司将业务活动跨公司是为了确定该业务活动属于哪个公司,并且业务活动的跨公司范围在其所属业务流程的公司范围内。通过新增或修改页面下方的【对应公司】页签选择对应公司来实现。如图3.1.3.2-3(图3.1.3.2-3)增行:单击〖增行〗按钮,在公司列表页面的新增行的〖公司编码〗双击选择公司。插入行:单击〖插入行〗按钮,可在所选功能的上方插入新增对应公司行。删除行:选择要删除的公司行,单击〖删除行〗按钮,执行删除公司行操作。第14页共86页操作手册复制、粘贴行:选择要复制的公司行,单击〖复制行〗按钮,然后单击〖粘贴行〗按钮,会在公司列表后面粘贴复制后的新行。(3)将业务活动设置对应的权限对于所有的业务活动来说,均需设置对应的功能权限,只是针对不同的业务活动,需要设置功能权限或按钮权限。在对业务活动设置对应权限完成后,在【权限对应】卡片中会展示业务活动对应权限的用户和角色信息。通过新增或修改页面下方的【对应功能和按钮】页签选择对应功能来实现。如图3.1.3.2-4、图3.1.3.2-5(图3.1.3.2-4)第15页共86页操作手册(图3.1.3.2-5)增行:单击〖增行〗按钮,在功能列表页面的新增行的〖对应功能编码〗双击选择对应的功能,并在〖对应按钮编码〗处选择对应功能的对应按钮。插入行:单击〖插入行〗按钮,可在所选功能的上方插入新增对应功能行。删除行:选择要删除的功能行,单击〖删除行〗按钮,执行删除功能行操作。复制、粘贴行:选择要复制的功能行,单击〖复制行〗按钮,然后单击〖粘贴行〗按钮,会在功能列表后面粘贴复制后的新行。(4)修改业务活动选择要修改的业务活动所在业务流程,在右边的业务活动列表中选中要修改的业务活动行,单击〖修改〗按钮可以对该业务活动执行修改操作,修改完毕后,单击〖保存〗按钮,将修改结果保存。在修改过程中,单击〖取消〗按钮,系统将不保存返回到修改前状态。如图3.1.3.2-6第16页共86页操作手册(图3.1.3.2-6)(5)删除业务活动选择要删除的业务活动所在业务流程,在右边的业务活动列表中选中要删除的业务活动行,单击〖删除〗按钮并确认系统提示后,对该记录执行删除操作。如图3.1.3.2-7(图3.1.3.2-7)(6)封存业务活动选择要封存的业务活动所在业务流程,在右边的业务活动列表中选中要封存的业务活动行,单击〖封存操作〗按钮,在下拉菜单中选择〖封存〗,即可对当前业务活动执行封存操作,封存后的业务活动不再进入后续环节中。对于已经封存的业务活动,如果还需启用,单击〖封存操作〗按钮,在下拉菜单中选择〖解封〗,即可执行解封操作,解封后的业务活动会在后续环节中继续显示并支持使用。第17页共86页操作手册(7)打印业务活动在需要进行资料输出时,选择要打印的业务活动对应的业务流程,单击〖打印〗按钮,即打印出所选业务流程下的所有业务活动信息。(8)复制、粘贴业务活动在业务流程树中选择要复制的业务活动所属的业务流程,在右边的业务活动列表中选中要复制的业务活动行,单击〖复制〗按钮,再单击〖粘贴〗按钮,就进入业务活动的卡片视图编辑页面,根据需要输入业务活动编码并对相应信息进行修改,单击〖保存〗按钮,将复制内容保存。(9)查询业务活动在查询页面,系统提供四个候选条件供用户使用,分别为业务活动编码、业务活动名称、业务流程和制定公司,用户可根据需要使用不同的条件及其组合查询想要的业务活动。单击〖查询〗按钮,弹出查询条件页面,双击左边候选条件中的条件,查询条件自动过到右边,输入相应的查询条件,单击〖确定〗按钮,列表页面显示查询结果。(10)查看业务活动详情业务活动详情为用户展示业务活动的基本信息、对应公司信息、对应的功能权限信息以及业务活动对应权限所在公司的用户和角色信息。选择要查看的业务活动所在业务流程,在右边的业务活动列表中选中要查看的业务活动行,在业务活动列表页面下方显示当前业务活动对应公司和对应的功能按钮信息;如图3.1.3.2-8(图3.1.3.2-8)单击〖卡片视图〗页签,显示当前业务活动详情;如图3.1.3.2-9第18页共86页操作手册(图3.1.3.2-9)单击〖权限对应〗页签,选择不同的公司,会展示此业务活动对应公司的对应用户和对应角色信息。如图3.1.3.2-10(图3.1.3.2-10)(11)导入导出业务活动系统提供的导入导出功能支持Excel(xls)文档、Excel(csv)文档、xml文档三种格式的数据,用户可以根据自己的需要来导入导出不同格式的文档。导入:单击〖导入〗按钮,设置文件类型和选择文件,单击〖导入〗按钮,导入业务活动文件。要求导入文件的格式同导出文件的格式,建议用户在导出文件的内容里进行修改后实施导入工作。如图3.1.3.2-11第19页共86页操作手册(图3.1.3.2-11)导出:选择要导出的业务流程节点,单击〖导出〗按钮,设置系统参照、文件类型、选择文件等信息,单击〖导出〗按钮,导出相应业务流程下的业务活动文件。如图3.1.3.2-12(图3.1.3.2-12)3.2.4注意事项第20页共86页操作手册(1)此功能设置是以业务流程设置为前提的,并且为互斥职责稽核提供依据。(2)添加业务活动时,只能选择最底级的业务流程执行添加业务活动操作。(3)编辑业务活动详情时,业务活动编码和名称不能重复。(4)业务活动的跨公司范围在其所属业务流程的公司范围内。(5)已引用的业务活动不能删除。3.3互斥职责设置3.3.1功能说明在企业的各种业务活动中,某些业务活动的权限、职责是要相互分离的,如在核算业务中要求现金银行会计和出纳不能由同一个人来担任,又或对于记账凭证的登记和审核不能由同一个角色来执行,以上这些就是互斥职责。在对企业的内部控制管理过程中,对职责互斥的审查工作尤为重要,互斥职责设置就是对业务活动中互相制约、互相冲突的活动根据法规和各种工作要求执行人工设置,从而在互斥职责稽核时能够对冲突的职责进行检查、监控和管理。互斥职责和权限的制定也是从业务流程出发,针对企业不同的业务流程中,互斥职责的具体要求均不尽相同,所以需要针对业务流程进行独立的互斥设置。3.3.2功能位置在主菜单中双击【企业治理】-【访问安全控制】-【基础设置】-【互斥职责】,系统将弹出界面。3.3.3功能操作(1)互斥设置选择流程分类中的主业务流程节点,单击〖互斥设置〗按钮,如图3.6.3.1-1第21页共86页操作手册(图3.6.3.1-1)右边显示此主业务流程下所有的业务活动矩阵,在矩阵中根据业务要求勾选互斥的业务活动,由于在矩阵图中会将两个业务活动对应两次,因此系统将矩阵对角线上方置灰,用户只需对其中之一设置互斥即可,另一相同对应单元格将由系统自动标识。录入完毕后,单击〖保存〗按钮,将互斥设置保存。在设置过程中,单击〖取消〗按钮,系统将不保存返回设置前状态。如图3.6.3.1-2(图3.6.3.1-2)(2)筛选业务流程对于业务流程较多的情况,可以通过查询功能根据公司、关键流程或者主业务流程的筛选确定需要定义的业务流程。单击〖流程查询〗按钮,弹出业务流程查询页面,设置公司和关键业务流程,在筛选出的流程列表中找到需要定义的业务流程选入到右边流程列表中,单击〖确定〗按钮,得到流程查询的结果。如图3.6.3.1-3第22页共86页操作手册(图3.6.3.1-3)(3)对互斥设置执行审批当在UAP的审批流平台上为互斥职责设置了审批流程,则对互斥职责提交后,自动按照审批流执行审批过程。选择业务流程树中需要审批的业务流程节点,单击〖审批操作〗按钮,在下拉菜单中选择〖提交〗,由设定的审批流中的审批人〖审核〗之后,才可以进入职责互斥稽核环节。当用户没有为互斥职责设置审批流时,对互斥职责提交后,仅需要有权限的人员单人审批即可生效。如图3.6.3.1-4第23页共86页操作手册(图3.6.3.1-4)如果用户需要修改互斥设置,可以执行〖弃审〗操作,则此单据状态返回自由态状态,执行修改操作后,需要用户再次提交审核确认。(4)批量审批互斥设置选择业务流程树中的某一业务流程节点,单击〖批量审批操作〗按钮,在下拉菜单中选择〖批量提交〗,系统将提交此流程节点下所有未提交审核过的单据,由审批流中设定的审批人〖批量审核〗通过之后,进入职责互斥稽核环节。如图3.6.3.1-5(图3.6.3.1-5)如果执行〖批量弃审〗操作,则此单据状态返回自由态状态,需要用户再次提交审核。(5)打印互斥设置将互斥设置结果利用〖导出〗功能导出文件后,可以对导出的文件执行打印操作。(6)导入导出互斥设置系统提供的导入导出功能支持Excel(xls)文档、Excel(csv)文档、xml文档三种格式的数据,用户可以根据自己的需要来导入导出不同格式的文档。导入:单击〖导入〗按钮,设置文件类型和选择文件,单击〖导入〗按钮,导入互斥设置文件。要求导入文件的格式同导出文件的格式,建议用户在导出文件的内容里进行修改后实施导入工作。如图3.6.3.1-6第24页共86页操作手册(图3.6.3.1-6)导出:选择要导出的互斥设置,单击〖导出〗按钮,设置系统参照、文件类型、选择文件等信息,单击〖导出〗按钮,导出互斥设置文件。如图3.6.3.1-7(图3.6.3.1-7)第25页共86页操作手册3.3.4注意事项(1)要先定义好业务流程下的业务活动才可以进行互斥设置。(2)不能修改已经提交审核的互斥设置。(3)未经审批通过的互斥设置不能执行职责互斥稽核操作。(4)系统是对用户选中的某一流程节点下的所有自由态的互斥设置执行批量审批操作。3.4关键用户设置3.4.1功能说明在企业的权限管理中,一些关键业务流程、关键岗位的授权尤其重要;这些流程及岗位均是发生风险可能性较大或者对企业的经营影响较大的领域。因此,企业需要对这些流程及岗位进行特殊的关注。对应于NC系统,企业内审人员则需要对系统中的关键用户、关键角色、关键业务流程、关键的功能的授权情况单独予以关注和监控。关键用户设置是在v56访问安全控制的所有用户中筛选确定关键用户,为【关键用户授权监控】提供依据。3.4.2功能位置在主菜单中双击【企业治理】-【访问安全控制】-【基础设置】-【关键用户】,系统将弹出界面。3.4.3功能操作(1)增加关键用户选择用户制定公司,单击〖增加〗按钮,在弹出的用户选择页面左侧显示所选公司的所有用户,通过选择将关键用户过入到右侧已选用户列表里,单击〖确定〗按钮,即完成添加关键用户操作。在增加过程中,单击〖取消〗按钮,系统将不保存返回增加前状态。如图3.2.3.1-1,图3.2.3.1-2第26页共86页操作手册(图3.2.3.1-1)(图3.2.3.1-2)(2)删除关键用户选择用户所在公司,勾选要删除的关键用户,单击〖删除〗按钮并确认系统提示后,对该记录执行删除操作。如图3.2.3.1-3(图3.2.3.1-3)第27页共86页操作手册(3)导入导出关键用户系统提供的导入导出功能支持Excel(xls)文档、Excel(csv)文档、xml文档三种格式的数据,用户可以根据自己的需要来导入导出不同格式的文档。导入:单击〖导入〗按钮,设置文件类型和选择文件,单击〖导入〗按钮,导入关键用户文件。要求导入文件的格式同导出文件的格式,建议用户在导出文件的内容里进行修改后实施导入工作。如图3.2.3.1-4(.
