Oracle云:雨中的风险?

本文重点介绍了在使用云ERP系统满足萨班斯-奥克斯利(萨班斯-奥克斯利法案, SOX)要求时需要考虑的一些关键问题.

Pick your favorite cloud infrastructure; what do they all have in common? 如果想到可伸缩性这个词, you aren’t alone; many organizations are opting to switch out their on-premise systems for scalable tools like Oracle’s Fusion Enterprise Resource Planning (ERP) Cloud and Oracle Enterprise Performance 管理 (EPM) Cloud. 使用云ERP系统的众多好处之一是能够扩展并将组织的许多应用程序集中到一个系统中, 而供应商则负责管理幕后的基础设施. 这听起来像是梦想成真, 但不要抱太大希望, 因为你的组织仍然有许多关键的责任. 组织必须明白，通过实施云ERP系统, 他们仍然负责如何配置应用程序, 如何安全地使用它们, 以及如何在整个平台上实现健壮的控制. Oracle的Fusion ERP云是一个流行的云ERP系统，组织在选择可扩展的云ERP系统时可以选择. Oracle’s Fusion ERP Cloud has become a one-stop-shop; from providing modules for inventory, 固定资产, 应付款项, 应收账款, 总分类帐, 创建自定义报表以帮助月末结账, 一切都包含在一个平台中——这只是他们提供的几个模块的名称.

除此之外, Oracle还提供Oracle EPM Cloud, 它为组织提供账户对账模块(弧), 财务合并和结算, 数据管理, 计划和预算(EPBCS), 可以直接连接到Fusion ERP云，以提供对组织无价的无缝集成. Implementing a cloud ERP or 电火花 system can quickly change an organization’s IT systems from legacy to legendary; but what are the key responsibilities as mentioned above? 从1000英尺的角度来看，组织仍然对其整体控制环境负责.  他们必须实施正式的控制，以确保变更管理的控制有效性, 用户访问管理, 监控和支持.   

变更管理

Oracle Cloud变更管理可以分为以下几类:1)供应商升级, 2)自定义报告更改, 3)配置变化.  Oracle Fusion ERP云系统每季度更新一次, Oracle EPM Cloud系统每月更新一次. 组织应该创建定义的程序来测试任何和所有的升级. 除了, 当任何模块的功能发生变化时，应该让关键业务涉众参与进来，并给予正式批准. 应该测试所有关键控件的有效性，以确保升级不会影响功能. 此外，终端用户应该收到系统中断的通知.

变更管理并不局限于系统升级. 组织可以控制自定义报告的开发，也可以控制各个模块中不同关键设置的配置. 管理对自定义报告和配置的更改, 包括谁可以执行更改以及如何跟踪更改, 是确保适当的变更管理程序的基础. 诸如此类的开发活动应限于适当的个人并加以跟踪. 刚接触Oracle Fusion ERP云和Oracle EPM云的组织必须明白，对自定义报告和配置设置的更改不会注销. 没有正确记录更改, 组织将无法对这些变更保持完整和准确的审计跟踪. 该审计跟踪需要符合萨班斯-奥克斯利法案 (SOX)法规，以便为审计员提供完整和准确的数据，以确保所有更改都得到批准，并遵循组织定义的必要程序. 对于自定义报告, logging is not systematically available to capture the changes to key reports throughout the year; the organization must develop alternative procedures to track all changes throughout the year. 对于配置更改，必须为每个单独的配置设置打开日志记录. 必须为每个关键自动控件的配置设置所在的区域打开审计策略. 这个过程很耗时，而且需要手工操作. 在定义实现云系统的需求时, 组织应该预算必要的时间，以确保在整个实施过程中完成. 一个好的起点是识别关键的Oracle自动化控件.

用户访问管理

理解Oracle的安全结构可能很麻烦. 如果不加以适当限制，不适当的用户访问可能会产生灾难性的影响. Oracle的Fusion ERP云和EPM云充满了开箱即用的角色，可以用来实现基于角色的访问. 组织, 然而, should use caution when relying exclusively on out-of-the-box roles; separation of duties (SOD) analysis should be performed, 如果存在SOD问题，则应开发自定义角色. 每个角色由许多权利(也称为特权)组成. 一个用户通常被分配一个或多个角色. 仅使用开箱即用的角色可能会违反最少特权原则，因为用户可能会无意中获得执行其工作功能所不需要的继承权利. 协助分析角色和权利, 组织应该考虑实施高级访问控制(AAC)云, 能够持续监控Oracle ERP中的所有访问策略, 潜在的侵犯, 内部威胁和欺诈”. Oracle的AACbet9平台游戏允许组织评估对系统内敏感区域的访问, 由组织定义.

Oracle的Fusion ERP云和EPM云是完全独立的, 因此用户安全是不同的. Oracle Fusion ERP Cloud最强大的角色包括应用程序实施顾问(AIC)角色, 哪些具有管理员级别的访问权限, 兼IT安全经理, 哪个用于管理用户及其分配的角色. Oracle EPM Cloud对实现的每个模块都有单独的用户安全性.e. 弧, fcc, 电火花, EPBCS, 等)，此外，与Oracle Fusion ERP Cloud相比，它拥有完全独立的用户安全. 尽管用户安全必须单独配置, 最高级别的角色保持不变:业务管理员. 组织必须非常重视限制对这些角色的访问，并实现最低权限，以确保用户不会无意中修改对组织至关重要的系统配置. 未经授权的更改可能会影响系统功能, 从SOX的角度来看, 成为控制异常的原因.

除了上面提到的特权角色, 组织应该确定所有有权修改键控制配置的角色. 要做到这一点, 组织必须确定配置项的位置, 然后解析每个角色的授权，以确定具有该访问权限的角色. 例如, a key configuration might live in the “Manage Journal Sources” area within Oracle Fusion ERP Cloud; any control that has a key configuration within this area may be affected by any role with the “管理 Journal Sources” entitlement.

监控和支持

那么，您已经完全实现了Oracle Fusion ERP Cloud或Oracle EPM——下一步是什么呢? 您的组织需要能够为您的用户群提供持续的支持, 很有可能, 当前的IT部门没有足够的知识或规模来支持它达到所需的水平. 直到收集到这些资源并了解到信息, 可能会引入第三方提供商来支持用户票据或对项目进行故障排除. Emphasis should be placed on the roles and/or entitlements given to these users; although they may be an extension of your company, 特权角色，如AIC, IT安全经理, 或Service Administrator应该受到严格限制.

从完整性和准确性的角度来看, 您的组织还应该实施控制，以确保云系统之间的数据传输和协调是正确和及时的. 在任何数据传输后的最终签署之前，应该在流程中放置收费站以要求审查和批准.

从尽职调查的角度来看, 程序应该在提供bet9平台游戏的任何供应商或第三方上执行. Oracle Fusion ERP云和Oracle EPM的SOC 1/2 Type II报告应该每年深入审查一次, 管理层还可能决定对其基础设施所在的数据中心进行一次演练. 进一步, 任何能进入你系统的第三方, 如果适用的话, 是否应该每年进行一次评估, 并且只能依赖SOC 1/2 II型报告, 哪一项显示了在该组织中控制的运行有效性.

施耐德唐斯的专用IT, 金融, 和运营审计专业人员有萨班斯-奥克斯利法经验，与各种规模的各种行业合作, 国内和国际.  我们对所有常用的工艺都有成熟的经验, 应用程序, 平台, 和数据库, 包括Oracle Fusion ERP云和Oracle EPM云.