01科技項(xiàng)目可研報(bào)告grc權(quán)限風(fēng)險(xiǎn)管控研究

1、：傳真： 申請(qǐng)日期：2015-06一、 目的和意義（一）項(xiàng)目實(shí)施背景結(jié)合網(wǎng)公司總部開(kāi)展“五位一體”項(xiàng)目（崗位、職責(zé)、標(biāo)準(zhǔn)、流程、績(jī)效）實(shí)現(xiàn)崗位的標(biāo)準(zhǔn)化，將管理措施在 ERP 系統(tǒng)落地，實(shí)現(xiàn)崗位與權(quán)限的標(biāo)準(zhǔn)規(guī)范，實(shí)現(xiàn)崗位與權(quán)限的聯(lián)動(dòng)。做到崗位夠用、夠小，實(shí)現(xiàn)對(duì)重點(diǎn)用戶權(quán)限的跟蹤時(shí)審計(jì)敏感操作。很多企業(yè)在實(shí)施 SAP GRC 系統(tǒng)之前都會(huì)以下幾個(gè)主要難題：1) 業(yè)務(wù)用戶在 SAP 系統(tǒng)中的權(quán)限職責(zé)，可能發(fā)現(xiàn)由于職責(zé)導(dǎo)致的舞弊現(xiàn)象和損失。2) 由于歷史問(wèn)題造成業(yè)務(wù)用戶在 SAP 系統(tǒng)內(nèi)的權(quán)限無(wú)法和該用戶的實(shí)際工作崗位和職責(zé)描述完全對(duì)應(yīng)。3) 根據(jù)業(yè)務(wù)要求，部門(mén)需要以 IT 管理員或超級(jí)用戶登錄生產(chǎn)環(huán)

2、境提供業(yè)務(wù)支持，但管理層無(wú)法設(shè)計(jì)出有效的 措施確保這些業(yè)務(wù)支持過(guò)程中不 的操作。4) 即使將系統(tǒng)現(xiàn)有 狀態(tài) 并達(dá)到完善，管理層也無(wú)法設(shè)計(jì)出有效的職責(zé)分離和今后的日常管理相結(jié)合從而去確保系統(tǒng)內(nèi)狀態(tài)的持續(xù)完善性。5) 為了實(shí)現(xiàn)完善的 管理，用戶 申請(qǐng)需要牽涉較多環(huán)節(jié)的管理層審批，從而導(dǎo)致申請(qǐng)效率降低，申請(qǐng)單據(jù)的管理也增加了部門(mén)的額外工作量。6) 擁有申請(qǐng)審核權(quán)限的管理層很難 業(yè)務(wù)用戶申請(qǐng)的權(quán)限是否合理，是否與其已限職責(zé)。7) 無(wú)法實(shí)時(shí)了解系統(tǒng)的職責(zé)分離 管理狀態(tài)，也無(wú)法直觀地 職責(zé)分離的 進(jìn)度。企業(yè)所開(kāi)展的任何工作都是服務(wù)于其所制定的戰(zhàn)略目標(biāo)，而風(fēng)險(xiǎn)則是阻礙企業(yè)達(dá)成其戰(zhàn)略目標(biāo)的重要因素。風(fēng)險(xiǎn)于企業(yè)

3、的各個(gè)業(yè)務(wù)流程和業(yè)務(wù)環(huán)節(jié)中，企業(yè)的全面風(fēng)險(xiǎn)管理工作就是要將其所的所有風(fēng)險(xiǎn)點(diǎn)出來(lái)，進(jìn)行統(tǒng)一的管理和。SAP GRC 為企業(yè)所提供的是的風(fēng)險(xiǎn)管理與解決方案，從風(fēng)險(xiǎn)的收集，到風(fēng)險(xiǎn)的建立，到風(fēng)險(xiǎn)點(diǎn)的調(diào)查與評(píng)估、風(fēng)險(xiǎn)點(diǎn)的應(yīng)對(duì)和以及風(fēng)險(xiǎn)管理與的報(bào)告生成等，均可以在統(tǒng)一的平臺(tái)上完成。SAP GRC 平臺(tái)在應(yīng)用過(guò)程中將企業(yè)在管理咨詢(xún)過(guò)程中的體系架構(gòu)、管控內(nèi)容進(jìn)行落地和實(shí)現(xiàn)，從而幫助企業(yè)更有效率地執(zhí)行其風(fēng)險(xiǎn)管理與工作。（二）目的和意義當(dāng)前，ERP 系統(tǒng)權(quán)限管理的缺陷明顯的連帶效應(yīng)，將層層影響并很有可能最終造成企業(yè)的實(shí)際損失或企業(yè)形象受損等損失。因此，非常有必要研究系統(tǒng)權(quán)限管理工具，實(shí)現(xiàn)以下目標(biāo)：整合工作平臺(tái)，作

4、業(yè)自動(dòng)化；統(tǒng)一標(biāo)準(zhǔn)，以崗定權(quán)； 滿足與合規(guī)要求；自動(dòng)化，強(qiáng)調(diào)事前、事先。實(shí)施 SAP GRC 項(xiàng)目具有以下目的和意義：1) 自動(dòng)流程 :減少合規(guī)測(cè)試的數(shù)量的機(jī)會(huì)，只需要 一個(gè)自動(dòng) 進(jìn)試就可以識(shí)別相關(guān)流程的風(fēng)險(xiǎn)得到預(yù)防機(jī)制，而不是執(zhí)行若干個(gè)手工的測(cè)試。2) 應(yīng)用系統(tǒng)接口整合: sox 合規(guī)發(fā)放應(yīng)該確保將各個(gè)應(yīng)用系統(tǒng)之間的接口視為財(cái)務(wù)報(bào)告流程中的風(fēng)險(xiǎn)因素，因此當(dāng)其他系統(tǒng)通過(guò)接口向 SAP 系統(tǒng)提供數(shù)據(jù)的時(shí)候應(yīng)該數(shù)據(jù)的正確性和有效性，通過(guò) SAP GRC Process Control 的 Script Type 能夠把這些風(fēng)險(xiǎn)住并識(shí)別出來(lái)。3) 半自動(dòng)化測(cè)試或者叫有人工參與的測(cè)試:無(wú)論應(yīng)用系統(tǒng)的集

5、成化程度多高，企業(yè)都會(huì)在系統(tǒng)外執(zhí)行一些關(guān)鍵的手工 以確保數(shù)據(jù)的正確性及財(cái)務(wù)報(bào)告的可靠性。所以 SAP GRC 也可提供了半自動(dòng)化測(cè)試或者是手工。和 PCAOB 發(fā)布的指引和強(qiáng)調(diào)了以下關(guān)鍵點(diǎn)：1) 基于系統(tǒng)的比手工更可靠。2) 可配置的應(yīng)用系統(tǒng)一旦被設(shè)定為基線或者被肯定為執(zhí)行有效，以后的測(cè)試的重心就可以轉(zhuǎn)向?qū)A(chǔ)設(shè)施 的驗(yàn)證， 變更 流程和安全管理，以及任何在對(duì)已建立的基線進(jìn)試后新實(shí)施的。3) 只要目前的基礎(chǔ)設(shè)施 執(zhí)行有效，對(duì)可配置得應(yīng)用系統(tǒng) 的測(cè)試效率就能夠得到很大程度的提高。4) 在企業(yè)依賴(lài)的 中，只要由手工 轉(zhuǎn)向可配置得應(yīng)用系統(tǒng) 的數(shù)量不斷地增加，年度效率就能夠得到很大程度的提高。5) 一

6、旦可配置的應(yīng)用系統(tǒng)被設(shè)定為基線，同樣的就不必每年都被再測(cè)試了。6) 在應(yīng)用系統(tǒng)中的前瞻性的設(shè)計(jì) 遠(yuǎn)比在系統(tǒng)實(shí)施后對(duì)其進(jìn)行檢查和設(shè)計(jì)更有效果和效率。所以對(duì) SAP ERP 客戶來(lái)說(shuō)實(shí)施 SAP GRC 是非常有價(jià)值的。（三）項(xiàng)目成果效益分析本項(xiàng)目專(zhuān)注于如何防范企業(yè) 風(fēng)險(xiǎn)、如何做到更有效的內(nèi)部 體系，規(guī)避企業(yè)在業(yè)務(wù)經(jīng)營(yíng)過(guò)程中所可能發(fā)生的各類(lèi)風(fēng)險(xiǎn)和不合規(guī)行為。SAP GRC 為企業(yè)所提供的是的風(fēng)險(xiǎn)管理與解決方案，從風(fēng)險(xiǎn)的收集，到風(fēng)險(xiǎn)的建立，到風(fēng)險(xiǎn)點(diǎn)的調(diào)查與評(píng)估、風(fēng)險(xiǎn)點(diǎn)的應(yīng)對(duì)和以及風(fēng)險(xiǎn)管理與的報(bào)告生成等，均可以在統(tǒng)一的平臺(tái)上完成。SAP GRC 平臺(tái)在應(yīng)用過(guò)程中將企業(yè)在管理咨詢(xún)過(guò)程中的體系架構(gòu)、管控內(nèi)

7、容進(jìn)行落地和實(shí)現(xiàn)，從而幫助企業(yè)更有效率地執(zhí)行其風(fēng)險(xiǎn)管理與工作。具體的效益表現(xiàn)在以下四個(gè)方面：1) 用戶創(chuàng)建和權(quán)限變更都在系統(tǒng)內(nèi)自動(dòng)完成, 周期從原先 3 天減少到幾個(gè)小時(shí),并增加了風(fēng)險(xiǎn)分析部分，提高了企業(yè)風(fēng)險(xiǎn)管理與 工作的效率，降低了企業(yè)維護(hù)用戶權(quán)限的人力成本。2) 超級(jí)用戶使用需要申請(qǐng), 超級(jí)用戶操作過(guò)程完全受控，從而降低了使用超級(jí)用戶權(quán)限導(dǎo)致的風(fēng)險(xiǎn)。3) 管理層可以實(shí)時(shí)了解到 ERP 系統(tǒng)內(nèi)可能的職責(zé)狀態(tài)、敏感權(quán)限使用情況和解決進(jìn)度等。4) 促進(jìn)權(quán)限梳理以解決“崗位和權(quán)限不匹配”這一歷史遺留問(wèn)題，保證企業(yè)ERP系統(tǒng)健康運(yùn)行。二、 國(guó)內(nèi)外研究水平綜述（一）國(guó)內(nèi)外關(guān)于內(nèi)部合規(guī)的研究水平綜述內(nèi)部

8、理論起源于西方，自 20 世紀(jì) 80 年代以來(lái)，內(nèi)部的研究有了新的發(fā)展。1992 年 9 月，COSO 委員會(huì)發(fā)布了內(nèi)部-整合框架。該框架提出了內(nèi)部的目標(biāo)，并指出內(nèi)部由環(huán)境、風(fēng)險(xiǎn)評(píng)估、活動(dòng)、與以及監(jiān)察五個(gè)相互關(guān)聯(lián)部分組成。此后，很多學(xué)者相繼發(fā)展了內(nèi)部 相關(guān)的理論。Kinney，W.（2000）研究認(rèn)為內(nèi)部本身的復(fù)雜性、缺乏獲得公司數(shù)據(jù)的途徑、研究結(jié)果的潛在普遍性、有限的知識(shí)、披露的限制范圍這五個(gè)方面會(huì)對(duì)內(nèi)部質(zhì)量的研究造成阻礙。Moerland（2007） 根據(jù)部分上市公司披露的內(nèi)部 報(bào)告做了實(shí)證檢驗(yàn)，并建立了內(nèi)部 的評(píng)價(jià)指數(shù)體系。這些指標(biāo)：企業(yè)管理層對(duì)內(nèi)部的重視程度、企業(yè)內(nèi)部實(shí)施的幅度、審計(jì)委

9、員會(huì)或類(lèi)似的職能、是否建立全面的內(nèi)度、內(nèi)部審計(jì)報(bào)告的披露程度等。Doyle（2007） 對(duì) 20022008 年間披露出內(nèi)部缺陷的 779 家上市公司進(jìn)行，結(jié)果表明內(nèi)部質(zhì)量受企業(yè)規(guī)模、成立年限、涉及業(yè)務(wù)的復(fù)雜度、狀況、增長(zhǎng)速度、業(yè)務(wù)重組以及治理結(jié)構(gòu)這七方面因素的影響。在 COSO 委員會(huì)出臺(tái)內(nèi)部框架后，越來(lái)越多的國(guó)內(nèi)學(xué)者開(kāi)始對(duì)內(nèi)部的研究。吳（2000）在對(duì) COSO 報(bào)告關(guān)于內(nèi)部的界定和創(chuàng)新觀點(diǎn)進(jìn)行深入研究后，提出從優(yōu)化環(huán)境、開(kāi)展風(fēng)險(xiǎn)評(píng)估、設(shè)立適當(dāng)?shù)幕顒?dòng)、加強(qiáng)與、完善監(jiān)察制度五個(gè)方面建立企業(yè)的內(nèi)部框架。（2001）認(rèn)為，保證資產(chǎn)會(huì)計(jì)實(shí)可靠、提高經(jīng)營(yíng)的效益和效率是內(nèi)部的基本目標(biāo)，構(gòu)建良內(nèi)部框架應(yīng)

10、該將政府指導(dǎo)與企業(yè)自身完善相結(jié)合，要抓住的關(guān)鍵問(wèn)題是確定權(quán)責(zé)分配和董事會(huì)在內(nèi)部制度建設(shè)中的地位，合理設(shè)置內(nèi)部審計(jì)機(jī)構(gòu)，加強(qiáng)預(yù)算管理，重視對(duì)員工的行為規(guī)范。（2002） 將 ISO-9000 質(zhì)量管理體系和 COSO 內(nèi)部框架進(jìn)行比較研究，提出內(nèi)部是由企業(yè)內(nèi)部實(shí)施的，與企業(yè)的經(jīng)營(yíng)管理活動(dòng)是一體的，只能提供合理保證的全員參與的管理質(zhì)量體系。關(guān)于內(nèi)部評(píng)價(jià)方面，（2008）把內(nèi)部五要素分解為三級(jí)指標(biāo)體系，利用層次分析法確定各指標(biāo)的權(quán)重，并結(jié)合打分，建立內(nèi)部整體質(zhì)量和各要素的隸屬度矩陣，對(duì)內(nèi)部進(jìn)行模糊評(píng)價(jià)。（2011）結(jié)合國(guó)內(nèi)外學(xué)者對(duì)企業(yè)內(nèi)部控制評(píng)價(jià)的研究成果，利用多層模糊綜合評(píng)價(jià)法從企業(yè)內(nèi)部的四個(gè)目標(biāo)

11、（戰(zhàn)略目標(biāo)、財(cái)務(wù)報(bào)告的可靠性、經(jīng)營(yíng)的效率和效果和的遵循）進(jìn)行內(nèi)部評(píng)價(jià)指標(biāo)體系的構(gòu)建。（2011）利用主成分分析法從公司規(guī)模、關(guān)聯(lián)方數(shù)量、存貨比重、銷(xiāo)售收入增長(zhǎng)率、虧損狀況、Altman Z 分?jǐn)?shù)這 6 個(gè)變量中提取因子，構(gòu)建判定內(nèi)部質(zhì)量的分?jǐn)?shù)。方紅星（2011）采用是否自愿披露內(nèi)部審計(jì)報(bào)告和審計(jì)機(jī)構(gòu)對(duì)內(nèi)部的鑒證意見(jiàn)類(lèi)型來(lái)度量?jī)?nèi)部質(zhì)量。（二）國(guó)內(nèi)外關(guān)于內(nèi)部涉及系統(tǒng)用戶權(quán)限的專(zhuān)題研究水平與實(shí)踐綜述隨著企業(yè)化建設(shè)的不斷深入，在業(yè)務(wù)應(yīng)用的集成過(guò)程中通常會(huì)遇到一些來(lái)自技術(shù)層面或者管理層面帶來(lái)的問(wèn)題。管理層面上，隨著公司系統(tǒng)建設(shè)項(xiàng)目增加，多用戶多賬號(hào)，權(quán)限規(guī)則多樣化、公共賬號(hào)。權(quán)限管理散落在各個(gè)系統(tǒng)務(wù)功能

12、會(huì)重復(fù)建設(shè)，系統(tǒng)之間對(duì)共性的管理需求仍然壁壘，用戶多系統(tǒng)的使用也降低了用戶的使用體驗(yàn)。技術(shù)層面上，不同的開(kāi)發(fā)平臺(tái)中權(quán)限模型各不相同，導(dǎo)致不同系統(tǒng)中的組織機(jī)構(gòu)數(shù)據(jù)、權(quán)限管理模式的差異性。可能是現(xiàn)在絕大多數(shù)的處理方式，但這樣一來(lái)往往會(huì)造成很大數(shù)據(jù)工作量和較差的后期維護(hù)性，其中最為普遍的是用戶組織管理問(wèn)題或因其牽涉出來(lái)其他業(yè)務(wù)數(shù)據(jù)集成問(wèn)題。1、基本功能分析權(quán)限管理是系統(tǒng)的基礎(chǔ)功能，根據(jù)系統(tǒng)復(fù)雜度不同可能設(shè)計(jì)到十余種場(chǎng)景。其中，管理，功能權(quán)限分配、功能權(quán)限定義、權(quán)限資源維護(hù)是權(quán)限管理的功能。其他主體功能根據(jù)實(shí)際應(yīng)用場(chǎng)景不同可能會(huì)增加。例如，擁有大量用戶的系統(tǒng)會(huì)增加業(yè)務(wù)組織的管理以方便對(duì)賬號(hào)進(jìn)行檢索，擁

13、有大量管理員操作的系統(tǒng)會(huì)考慮加入 分級(jí)管理、權(quán)限分級(jí)管理的功能，功能不斷累加產(chǎn)生多個(gè)子系統(tǒng)時(shí)會(huì)考慮將業(yè)務(wù)組織或者角色共用等，中有不相容崗位時(shí)要考慮加入角色互斥等。2、功能實(shí)現(xiàn)分析業(yè)界在進(jìn)行權(quán)限功能大致分為了三個(gè)大的階段，（DAC）和強(qiáng)制 控制（MAC）、基于角色 （RBAC）階段和基于 SOA 的 RBAC 權(quán)限階段，在每個(gè)階段里面又有一些衍生模型出現(xiàn)。從理論上講，華北電網(wǎng)公司在 2010 年提出應(yīng)用了R3 權(quán)限功能實(shí)現(xiàn)的論基本可以較為淺顯易懂的表達(dá)權(quán)限管理的功能實(shí)現(xiàn) ，即角色（Role）、規(guī)則（Rule）、請(qǐng)求（Request）。角色實(shí)現(xiàn)了基于角色的管理（RBAC） 的功能權(quán)限。規(guī)則建立了對(duì)

14、用戶角色分配的規(guī)則的數(shù)據(jù)權(quán)限，應(yīng)該擁有什么樣的規(guī)則。請(qǐng)求是想通過(guò)工作流來(lái)規(guī)范企業(yè)對(duì)用戶權(quán)限的分配。并給出了計(jì)算給定用戶擁有的目標(biāo)系統(tǒng)權(quán)限。通過(guò)將系統(tǒng)權(quán)限賦予角色，靈活地支持 IT 系統(tǒng)權(quán)限調(diào)整，并對(duì)企業(yè)的變化有很大的伸縮性。通過(guò)將角色賦予用戶，代替繁瑣的逐個(gè)用戶操作，減小管理的復(fù)雜性。用戶能夠根據(jù)工作需要申請(qǐng)承擔(dān)相應(yīng)的業(yè)務(wù)角色，而不必了解后端 IT 系統(tǒng)的權(quán)限定義。根據(jù)用戶的屬性（部門(mén)、職務(wù)、職位等）進(jìn)行匹配，動(dòng)態(tài)計(jì)算角色成員資格。角色加規(guī)則可預(yù)測(cè)自動(dòng)化權(quán)限分配，多余的系統(tǒng)權(quán)限自動(dòng)撤銷(xiāo)，避免權(quán)限過(guò)度堆積。將請(qǐng)求作為對(duì)規(guī)則和角色的有益補(bǔ)充集中統(tǒng)一管理。但不論采用哪種功能實(shí)現(xiàn)模型，都是要解決分散的

15、流程和不一致的管理界面帶來(lái)的權(quán)限服務(wù)于安全管理問(wèn)題。與未來(lái)能夠?qū)⑸暾?qǐng)審批流程在系統(tǒng)內(nèi)固化，與實(shí)現(xiàn)自動(dòng)化多種系統(tǒng)設(shè)計(jì)思路和模型不同，為降低實(shí)施風(fēng)險(xiǎn)，統(tǒng)一權(quán)限平臺(tái)應(yīng)能夠支持多種模式， 并能夠支持集成業(yè)務(wù)系統(tǒng)向基于角色的模式演進(jìn)。三、 項(xiàng)目的理論和實(shí)踐依據(jù)(一) 項(xiàng)目研究?jī)?nèi)容的原理簡(jiǎn)述；實(shí)現(xiàn)企業(yè)系統(tǒng)用戶權(quán)限合規(guī)的是設(shè)立一套明確、切實(shí)可用的職權(quán)分離規(guī)則庫(kù)（SoD 矩陣）。通過(guò)這套于企業(yè)系統(tǒng)中權(quán)限管理的最基礎(chǔ)的對(duì)象間的組合多能夠?qū)е碌臉I(yè)務(wù)應(yīng)用風(fēng)險(xiǎn)的業(yè)務(wù)規(guī)則，實(shí)現(xiàn)企業(yè)系統(tǒng)權(quán)限管理的風(fēng)險(xiǎn)分析與檢查。更進(jìn)一步為拓展應(yīng)用提供基礎(chǔ)，其可拓展的功能有:A 企業(yè)用戶角色的定義當(dāng)前的企業(yè)用戶系統(tǒng)的權(quán)限管理都是基于企業(yè)用

16、戶角色設(shè)計(jì)的，這樣的設(shè)計(jì)符合實(shí)際業(yè)務(wù)的使用習(xí)慣，是現(xiàn)實(shí)時(shí)常工作范圍與職責(zé)的邏輯對(duì)應(yīng)，也是企業(yè)系統(tǒng)權(quán)限管理的最基礎(chǔ)。如果企業(yè)業(yè)務(wù)角色無(wú)法實(shí)現(xiàn)全合規(guī)，企業(yè)用戶的權(quán)限的合規(guī)也就無(wú)從談起。因此，在企業(yè)用戶角色的定義，需要實(shí)現(xiàn)· 基于前述的職權(quán)分離庫(kù)，分析 現(xiàn)有的企業(yè)角色設(shè)計(jì)，使企業(yè)在基本的角色定義上是合規(guī)的。· 在后續(xù)的企業(yè)角色的創(chuàng)建和修改過(guò)程中，通過(guò)風(fēng)險(xiǎn)分析，保證后續(xù) 出現(xiàn)新的不合規(guī)的企業(yè)角色。B 合規(guī)用戶提供企業(yè)業(yè)務(wù)用戶的往往是多個(gè)企業(yè)角色的符合授予，那么僅僅是保證企業(yè)業(yè)務(wù)角色的合規(guī)性依然無(wú)法確保企業(yè)權(quán)限管理的低風(fēng)險(xiǎn)。在合規(guī)用戶提供上，或者說(shuō)企業(yè)用戶權(quán)限的申請(qǐng)過(guò)程中，也要有相對(duì)

17、應(yīng)的辦法：· 基于前述的職權(quán)分離庫(kù)，分析 現(xiàn)有的企業(yè)用戶權(quán)限，確保企業(yè)已 限賦予是合規(guī)的。· 在后續(xù)的企業(yè)用戶權(quán)限的申請(qǐng)過(guò)程中，先進(jìn)行風(fēng)險(xiǎn)分析，然后再賦予，保證后續(xù)出現(xiàn)新的不合規(guī)的企業(yè)用戶權(quán)限賦予。(二) 項(xiàng)目研究?jī)?nèi)容的理論或者實(shí)踐依據(jù)項(xiàng)目的主要思路源于 的賽法案(SOX)，的 J-SOX 法案，的企業(yè)管治常規(guī)守則，以及 2010 年 4 月 26 日五部委正式頒布企業(yè)內(nèi)部基 及相關(guān)配套指引文件。實(shí)際的依據(jù)來(lái)源于大量的國(guó)內(nèi)外企業(yè)的實(shí)際業(yè)務(wù)應(yīng)用，國(guó)內(nèi)的企業(yè)有聯(lián)想集團(tuán)，集團(tuán)，新澳燃?xì)獾取?guó)外的上市公司基本都有相應(yīng)的實(shí)際應(yīng)用，比如沃爾瑪，殼牌石油， 大眾汽車(chē)等。(三) 項(xiàng)目研究的

18、難點(diǎn)據(jù)大量的國(guó)內(nèi)外企業(yè)權(quán)限管理與 經(jīng)驗(yàn)，項(xiàng)目研究的關(guān)鍵與難點(diǎn)在于：1) 權(quán)責(zé)分離矩陣的定義:權(quán)責(zé)分離矩陣需要大量的業(yè)務(wù)調(diào)研，同時(shí)由于業(yè)務(wù)的多樣性與獨(dú)特性，制定全面的權(quán)責(zé)分離矩陣依賴(lài)于豐富的業(yè)務(wù)經(jīng)驗(yàn)。2) 崗位 ：企業(yè)已有的角色和用戶基本上符合已有的崗位設(shè)計(jì)，而崗位設(shè)計(jì)本身原有的不合規(guī)性是大多數(shù)企業(yè)普遍 的。權(quán)限合規(guī)的 就勢(shì)必需要對(duì)已有的崗位設(shè)計(jì)進(jìn)行 ，這種 對(duì)業(yè)務(wù)是有 影響的，也就會(huì) 相關(guān)業(yè)務(wù)部門(mén)的巨大阻力。雖然，對(duì)固有崗位設(shè)計(jì)的調(diào)整是合規(guī)權(quán)限管理的主要途徑。四、 項(xiàng)目研究?jī)?nèi)容和實(shí)施方案(一)研究?jī)?nèi)容SAP GRC 最佳業(yè)務(wù)實(shí)踐、流程以及風(fēng)險(xiǎn)管理,可以迅速幫你構(gòu)建風(fēng)險(xiǎn)管理的體系，端到端的流程與

19、合規(guī)：1) ：SAP GRC 的一整套 應(yīng)用程序采用業(yè)務(wù)語(yǔ)言，解決了業(yè)務(wù)部門(mén)與IT 部門(mén)審計(jì)語(yǔ)言問(wèn)題，使得業(yè)務(wù)部門(mén)經(jīng)理、審計(jì)師和 IT 安可以真正協(xié)同實(shí)施并管理系統(tǒng)。2) 流程 ：SAP GRC 流程采用基于風(fēng)險(xiǎn)的 ，幫助企業(yè)建立 的控制環(huán)境，并識(shí)別實(shí)現(xiàn)合規(guī)所需的，可以成百上千個(gè)關(guān)鍵的采購(gòu)到付款、訂單到現(xiàn)金、調(diào)帳到合帳等流程的集中 管理。您可以為多種標(biāo)準(zhǔn)組合部署一個(gè)自動(dòng)化 測(cè)試，以減少需要設(shè)置和進(jìn)行維護(hù)的金額。本 還能自動(dòng)將手動(dòng) 測(cè)試轉(zhuǎn)到適當(dāng)?shù)?實(shí)時(shí)執(zhí)行，并逐步引導(dǎo)測(cè)試 用批準(zhǔn)的模板盡可能避免錯(cuò)誤發(fā)生。此外，靈活的調(diào)查創(chuàng)建功能可以對(duì)實(shí)體層面的 以及管理完成情況進(jìn)行自評(píng)。而且文檔 、測(cè)試、修復(fù)和

20、 全部?jī)?nèi)置集成一體。企業(yè)可以選擇使用自動(dòng)化 測(cè)試、手動(dòng) 測(cè)試或自評(píng)估的多種組合來(lái)實(shí)施關(guān)鍵風(fēng)險(xiǎn)的 ，優(yōu)化業(yè)務(wù)流程，確保按時(shí)、低成本、高效益的方式符合法規(guī)的要求。系統(tǒng)支持實(shí)時(shí)流程風(fēng)險(xiǎn)預(yù)演分析。3) 風(fēng)險(xiǎn)管理：SAP GRC 風(fēng)險(xiǎn)管理將不同層面企業(yè)的市場(chǎng)機(jī)會(huì)與財(cái)務(wù)、法律和運(yùn)營(yíng)風(fēng)險(xiǎn)進(jìn)行平衡，進(jìn)行企業(yè)風(fēng)險(xiǎn)識(shí)別、協(xié)作風(fēng)險(xiǎn)分析、預(yù)定的風(fēng)險(xiǎn)響應(yīng)以及出具連續(xù)的風(fēng)險(xiǎn) 和報(bào)告，幫助企業(yè)有效地 和響應(yīng)不同級(jí)別、不同影響的風(fēng)險(xiǎn)。關(guān)鍵風(fēng)險(xiǎn)標(biāo)識(shí)（KRI）方便企業(yè)全面的風(fēng)險(xiǎn)組合，并在高影響和高利潤(rùn)風(fēng)險(xiǎn)超出公司特定閾值時(shí)立即發(fā)出警告，根據(jù)問(wèn)題的嚴(yán)重程度和可能性分析風(fēng)險(xiǎn)，企業(yè)可以通過(guò)系統(tǒng)提供的 自動(dòng)匯總和風(fēng)險(xiǎn)視圖對(duì)風(fēng)險(xiǎn)進(jìn)行有效

21、管理。這三者之間的架構(gòu)如下圖：(二)項(xiàng)目推廣的原則（1） 利舊原則，使用現(xiàn)有 ERP 平臺(tái)，直接在上面部署 GRC 應(yīng)用模塊。（2） 最小化投資，先試點(diǎn)后推廣。（3） 充分利用現(xiàn)有成熟技術(shù)，使用 SAP 現(xiàn)成 GRC 。(三)實(shí)施方案對(duì)于敏感 合適的職責(zé)分離 (SOD) 和是對(duì) 的最有效保護(hù) 之一， 并且是合理的公司監(jiān)督的先決條件。它也是最難的 之一，用以有效地部署和維持給定的成千上萬(wàn)個(gè)用戶、角色和進(jìn)程，而這都要求 和 評(píng)估、測(cè)試和修復(fù)。只有業(yè)務(wù)流程所有人（可以按照公司規(guī)定確定適當(dāng)權(quán)限）和 IT （可以定義 業(yè)務(wù)職能的潛在技術(shù)對(duì)象）協(xié)同工作，才能完成管理適當(dāng)用戶和角色 的艱巨任務(wù)。問(wèn)題在于由于

22、不 連接業(yè)務(wù)語(yǔ)言與 IT 能力的橋梁，兩組間的交流通常不連貫， 也是不 的。SAP GRC 解決方案通過(guò)一整套應(yīng)用程序解決了這一問(wèn)題。這些應(yīng)用程序可以使所有的公司合規(guī)股東 業(yè)務(wù)經(jīng)理、審計(jì)員和 IT 安協(xié)同管理適當(dāng)?shù)?SOD 實(shí)施。應(yīng)用程序 下列內(nèi)容： 合規(guī)協(xié)作應(yīng)用程序通過(guò)對(duì)防患于未然的 做到實(shí)時(shí)合規(guī)。本應(yīng)用程序通過(guò)企業(yè)應(yīng)用程序（例如 SAP、Oracle 和 PeopleSoft）所用的最廣泛的 SOD 規(guī)則庫(kù)為業(yè)務(wù)流程選擇組織適用的規(guī)范提供便利。 角色應(yīng)用程序集中和標(biāo)準(zhǔn)化了企業(yè)角色管理，避免了手動(dòng)錯(cuò)誤并實(shí)施最佳實(shí)踐。本應(yīng)用程序業(yè)務(wù)經(jīng)理定義職能角色， IT 經(jīng)理定義有關(guān)技術(shù)權(quán)限。 超級(jí)用戶管理

23、應(yīng)用程序超級(jí)用戶執(zhí)行其正常角色參數(shù)之外的緊急活動(dòng)，但是需要在完全可審計(jì)的、監(jiān)管環(huán)境下進(jìn)行。本應(yīng)用程序可以為超級(jí)用戶分配一個(gè)擁有廣泛而受管制權(quán)限的臨時(shí) ID， 并跟蹤和超級(jí)用戶使用此臨時(shí) ID 執(zhí)行的每個(gè)活動(dòng)。增強(qiáng)應(yīng)用程序支持整個(gè)員工生命周期內(nèi)完全符合的用戶配置。您可以利用應(yīng)用程序動(dòng)態(tài)工作流功 能，自動(dòng)化最復(fù)雜的批準(zhǔn)流程，并通過(guò)對(duì)批準(zhǔn)的用戶進(jìn)行實(shí)時(shí)分析，避免進(jìn)入生產(chǎn)環(huán)境的風(fēng)險(xiǎn)。類(lèi)項(xiàng)目技術(shù)方案按照格式還含以下四種架構(gòu)：1. 業(yè)務(wù)架構(gòu)GRC 系統(tǒng)從業(yè)流程設(shè)計(jì)上對(duì)權(quán)限風(fēng)險(xiǎn)進(jìn)行管理，如下圖。通過(guò)流程優(yōu)化與管理，達(dá)到以下效果。顯著地降低合規(guī)成本采用橫跨企業(yè)預(yù)防性 降低風(fēng)險(xiǎn)自動(dòng)化縮短了合規(guī)時(shí)間采用最全面的規(guī)

24、則集合支持隨時(shí)啟用2. 應(yīng)用架構(gòu)從應(yīng)用系統(tǒng)功能角度看， 系統(tǒng)應(yīng)用架構(gòu)如下圖：系統(tǒng)提供角色定義與管理、超級(jí)用戶、日常用戶權(quán)限管理、風(fēng)險(xiǎn)分析等功能模塊。3. 數(shù)據(jù)架構(gòu)數(shù)據(jù)架構(gòu)如下圖：以與多種技術(shù)平臺(tái)進(jìn)行對(duì)接，對(duì)各種系統(tǒng)進(jìn)行權(quán)限管控。通過(guò)權(quán)限數(shù)據(jù)統(tǒng)一管理，可達(dá)到以下效果：降低角色維護(hù)成本順利合規(guī)與避免 風(fēng)險(xiǎn)消除錯(cuò)誤、執(zhí)行最佳實(shí)踐方便審計(jì)追蹤和安全檢查4. 技術(shù)架構(gòu)技術(shù)架構(gòu)如下圖所示：系統(tǒng)基于 SAP Netweaver 技術(shù)架構(gòu)，可以與多種技術(shù)平臺(tái)進(jìn)行對(duì)接，對(duì)各種系統(tǒng)進(jìn)行權(quán)限管控。支持多種用戶界面。(四)實(shí)施步驟SAP GRC 模塊實(shí)施共可以分為 5 個(gè)階段:準(zhǔn)備階段、藍(lán)圖階段、配置階段、接納階段和

25、維護(hù)階段。各階段主要工作、產(chǎn)出物及工作量如下： 第一階段 準(zhǔn)備階段該階段主要對(duì)公司目前所使用的 ERP 系統(tǒng)環(huán)境、業(yè)務(wù)流程、用戶帳號(hào)管理流程、用戶角色管理流程和超級(jí)用戶帳號(hào)的管理和 流程進(jìn)行初步了解，以幫助后階段更 對(duì)GRC 所 需的業(yè)務(wù)規(guī)則進(jìn)行定義。第二階段 藍(lán)圖階段需求分析定義職責(zé)風(fēng)險(xiǎn)點(diǎn)及業(yè)務(wù)規(guī)則定義用戶帳號(hào)及權(quán)限申請(qǐng)/變更流程定義超級(jí)用戶權(quán)限使用及流程定義企業(yè)角色管理流程(命名規(guī)范、審核流 程等) 功能培訓(xùn)最終用戶功能培訓(xùn) 項(xiàng)目組關(guān)鍵成員培訓(xùn)交付如下成果：職責(zé)風(fēng)險(xiǎn)矩陣職責(zé)風(fēng)險(xiǎn)業(yè)務(wù)規(guī)則用戶帳號(hào)及權(quán)限申請(qǐng)流程超級(jí)用戶定義、使用及流程角色管理流程第三階段 配置階段系統(tǒng)配置職責(zé)分離規(guī)則導(dǎo)入用戶帳

26、號(hào)及權(quán)限申請(qǐng)流程系統(tǒng)配置超級(jí)用戶權(quán)限定義，使用人、人、審核人配 置角色創(chuàng)建命名規(guī)則、創(chuàng)建流程配置 單元測(cè)試確認(rèn)系統(tǒng)功能正確有效確認(rèn)導(dǎo)入數(shù)據(jù)完整正確交付如下成果：職責(zé)分離業(yè)務(wù)規(guī)則第四階段 接納階段用戶測(cè)試(UAT) 系統(tǒng)現(xiàn)有帳號(hào)及角色職責(zé)分離風(fēng)險(xiǎn)分析 根據(jù)上述分析結(jié)果進(jìn)行權(quán)限和 用戶帳號(hào)及權(quán)限申請(qǐng)流程測(cè)試和確認(rèn) 超級(jí)用戶權(quán)限測(cè)試及使用流程測(cè)試和確認(rèn) 角色創(chuàng)建及審批流程測(cè)試和確認(rèn) 補(bǔ)償性識(shí)別與設(shè)計(jì) 識(shí)別企業(yè)現(xiàn)有的補(bǔ)償性措施 為企業(yè)設(shè)計(jì)補(bǔ)償性的測(cè)試步驟交付如下成果：RAR & CUP 用戶接受測(cè)試計(jì)劃RAR & CUP 用戶接受測(cè)試報(bào)告職責(zé)后續(xù)跟蹤流程補(bǔ)償性管理流程SPM &

27、 ERM 用戶接受測(cè)試計(jì)劃SPM & ERM 用戶接受測(cè)試報(bào)告超級(jí)用戶使用及流程第五階段 維護(hù)階段 如何正確處理系統(tǒng)報(bào)告的職責(zé)風(fēng)險(xiǎn) 如何正確的識(shí)別并定義補(bǔ)償性 如何對(duì)超級(jí)用戶的使用進(jìn)行審批和 最終用戶培訓(xùn) 最終用戶熟悉系統(tǒng)功能和特性 上線后系統(tǒng)支持 系統(tǒng)現(xiàn)場(chǎng)支持 流程 如何進(jìn)行 GRC 系統(tǒng)變更 如何進(jìn)行 GRC 系統(tǒng)內(nèi)部審核交付如下成果：1. 建立完整的系統(tǒng)權(quán)限管理體系標(biāo)準(zhǔn)，權(quán)限管理制度、崗位職責(zé)，權(quán)限管控的監(jiān)督機(jī)制，權(quán)限管理的風(fēng)險(xiǎn)評(píng)估依據(jù)即職責(zé)分離矩陣。2. 實(shí)現(xiàn) ERP 權(quán)限風(fēng)險(xiǎn)管控平臺(tái)，用于支撐“五位一體”的崗位標(biāo)準(zhǔn)化、權(quán)限管控流、風(fēng)險(xiǎn)管控績(jī)效化。3. 有效管理超級(jí)使用者權(quán)限與

28、審計(jì)、識(shí)別和修復(fù) SOD 以及敏感權(quán)限、實(shí)現(xiàn)使用者權(quán)限自動(dòng)化分配、建立統(tǒng)一角色管理平臺(tái)在業(yè)務(wù)角色管理源頭防控風(fēng)險(xiǎn)、支持 SAP 系統(tǒng)和非 SAP 系統(tǒng)以及跨系統(tǒng)的細(xì)顆粒度分析能力，提供實(shí)時(shí)風(fēng)險(xiǎn)分析能力，保證分析結(jié)果的準(zhǔn)確性、實(shí)時(shí)性，即時(shí)制止安全問(wèn)題和風(fēng)險(xiǎn)發(fā)生。4. 申請(qǐng)實(shí)用新型專(zhuān)利 2 項(xiàng)。5. 編制公司管理標(biāo)準(zhǔn) 2 項(xiàng)。6. 期刊發(fā)表 3 篇。五、 預(yù)期目標(biāo)和成果形式(一) 預(yù)期目標(biāo)GRC 項(xiàng)目目標(biāo)是對(duì) ERP 系統(tǒng)進(jìn)行用戶權(quán)限的梳理和改造，解決用戶冗余權(quán)限，權(quán)限過(guò)大、超級(jí)用戶管控不嚴(yán)、離職、帳號(hào)轉(zhuǎn)崗處理不及時(shí)等問(wèn)題。1) 建立完整的系統(tǒng)權(quán)限管理體系標(biāo)準(zhǔn)， 權(quán)限管理制度、崗位職責(zé)，權(quán)限管控的

29、監(jiān)督機(jī)制，權(quán)限管理的風(fēng)險(xiǎn)評(píng)估依據(jù)即職責(zé)分離矩陣。2) 實(shí)現(xiàn) ERP 權(quán)限風(fēng)險(xiǎn)管控平臺(tái)，用于支撐“五位一體”的崗位標(biāo)準(zhǔn)化、權(quán)限管控流、風(fēng)險(xiǎn)管控績(jī)效化。3) 有效管理超級(jí)使用者權(quán)限與審計(jì)、識(shí)別和修復(fù) SOD 以及敏感權(quán)限、實(shí)現(xiàn)使用者 權(quán)限自動(dòng)化分配、建立統(tǒng)一角色管理平臺(tái)在業(yè)務(wù)角色管理源頭防控風(fēng)險(xiǎn)、支持 SAP 系統(tǒng)和非 SAP 系統(tǒng)以及跨系統(tǒng)的細(xì)顆粒度分析能力，提供實(shí)時(shí)風(fēng)險(xiǎn)分析能力，保證分析結(jié)果的準(zhǔn)確性、實(shí)時(shí)性，即時(shí)制止安全問(wèn)題和風(fēng)險(xiǎn)發(fā)生。(二) 項(xiàng)目成果形式SAP GRC 最佳業(yè)務(wù)實(shí)踐參考了由五部委頒布的企業(yè)內(nèi)部基及其配套指引的要求，著眼于內(nèi)部監(jiān)督、活動(dòng)、風(fēng)險(xiǎn)評(píng)估、內(nèi)部環(huán)境這五大內(nèi)控要素，通過(guò)預(yù)

30、配置流程和開(kāi)箱即用的實(shí)施，幫助企業(yè)有效建立起內(nèi)部機(jī)制，滿足監(jiān)管要求，同時(shí)提升企業(yè)風(fēng)險(xiǎn)及內(nèi)控管理水平，增加企業(yè)價(jià)值，為企業(yè)邁向全面風(fēng)險(xiǎn)管理打好基礎(chǔ)。SAP GRC 最佳業(yè)務(wù)實(shí)踐的預(yù)配置流程分為 3 個(gè)大類(lèi)具體如下。1) 基于 的預(yù)配置流程可以幫助企業(yè) 內(nèi)部 的 及 ，有效地保護(hù)企業(yè)的內(nèi)容，預(yù)防 現(xiàn)象的發(fā)生。同時(shí)通過(guò)預(yù)設(shè)的職責(zé)分離(SoD) 風(fēng)險(xiǎn)管理規(guī)則庫(kù)，有效地規(guī)避職責(zé)風(fēng)險(xiǎn)。2) 基于風(fēng)險(xiǎn)管理的預(yù)配置流程幫助企業(yè)建立全面的風(fēng)險(xiǎn)評(píng)估體系和機(jī)制。 目標(biāo)的設(shè)定，開(kāi)展自我評(píng)估，缺陷發(fā)現(xiàn)及 等一系列合規(guī)所需要的程序都變得有據(jù)可查。同時(shí)風(fēng)險(xiǎn)評(píng)估的結(jié)果與內(nèi)部 和其他應(yīng)對(duì)措施進(jìn)行銜接，建立內(nèi)部 監(jiān)督的長(zhǎng)效機(jī)制來(lái)

31、確保對(duì)內(nèi)控的有效性進(jìn)行持續(xù)監(jiān)督。3) 基于流程 的預(yù)配置流程重點(diǎn)關(guān)注企業(yè)的業(yè)務(wù)流程，通過(guò)改進(jìn)并建立合規(guī)的業(yè)務(wù)流程，有效地做到實(shí)時(shí) 從而 降低風(fēng)險(xiǎn)，減少成本支出。無(wú)論是公司層面的內(nèi)部 ，內(nèi)部審計(jì)，還是業(yè)務(wù)層面的銷(xiāo)售、采購(gòu)、資金、固定資產(chǎn)、人力資源管理和系統(tǒng)等，都可以使用預(yù)配置流程對(duì)重點(diǎn)點(diǎn)進(jìn)行。六、 項(xiàng)目承擔(dān)的條件（一）項(xiàng)目情況，長(zhǎng)期從事電力系統(tǒng)通信運(yùn)維、管理工作，有較為豐富的電力通信資源管理和運(yùn)維管理經(jīng)驗(yàn)，在生產(chǎn)中能夠解決相應(yīng)電力管理的問(wèn)題,作為項(xiàng)目主要參與的科技成果多次獲獎(jiǎng)。（二）項(xiàng)目研究序號(hào)年齡職務(wù)專(zhuān)業(yè)本項(xiàng)目中分工投入項(xiàng)目工作總月數(shù)工作132副主任工程師通信項(xiàng)目12河北信通公司232助理工程

32、師通信項(xiàng)目組長(zhǎng)12河北信通公司332班組長(zhǎng)工程師通信項(xiàng)目組長(zhǎng)12河北信通公司（三）承擔(dān)工作業(yè)績(jī)及理論研究環(huán)境河北省電力公司通信分公司是河北電力通信管理和運(yùn)行維護(hù)， 具有雄厚的技術(shù)實(shí)力和豐富的實(shí)踐經(jīng)驗(yàn)，熟悉電力通信專(zhuān)網(wǎng)和電力通信業(yè)務(wù)。公司在資源管理、通信運(yùn)維、等方面積累豐富技術(shù)經(jīng)驗(yàn)。項(xiàng)目組承擔(dān)過(guò)多個(gè)大型工程項(xiàng)目和科研項(xiàng)目，擁有多位具有多年電力線路實(shí)踐經(jīng)驗(yàn)的。通信產(chǎn)業(yè)集團(tuán)是網(wǎng)公司直屬，擁有多年化科研、建設(shè)及運(yùn)維經(jīng)驗(yàn)，具有雄厚的技術(shù)實(shí)力，擁有國(guó)內(nèi)一流的技術(shù)服務(wù)團(tuán)隊(duì),承擔(dān)過(guò)多個(gè)大型工程項(xiàng)目和科研項(xiàng)目，集團(tuán)立足堅(jiān)強(qiáng)智能電網(wǎng)，面向重要領(lǐng)域，以推動(dòng)工業(yè)化與化融合為使命，加強(qiáng)通信技術(shù)與智能電網(wǎng)深度融合，重點(diǎn)發(fā)

33、展通信基礎(chǔ)與應(yīng)用軟件、通信系統(tǒng)集成、智能與通信、技術(shù)服務(wù)、資源商業(yè)化運(yùn)營(yíng)等業(yè)務(wù)， 積極發(fā)展云計(jì)算、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)和大數(shù)據(jù)等新務(wù)，打造國(guó)內(nèi)領(lǐng)先、國(guó)際一流的信息通信產(chǎn)業(yè)集團(tuán)。序號(hào)時(shí)間段內(nèi)容12016.1.1-2016.1.31項(xiàng)目啟動(dòng)：提交項(xiàng)目可研報(bào)告、項(xiàng)目實(shí)施方案22016.2.1-2016.4.30項(xiàng)目實(shí)施：提交實(shí)施進(jìn)度報(bào)告、竣工報(bào)告32016.5.1-2016.5.31項(xiàng)目結(jié)束：完成項(xiàng)目，提交項(xiàng)目文檔，項(xiàng)目驗(yàn)收七、 項(xiàng)目的進(jìn)度安排八、項(xiàng)目經(jīng)費(fèi)預(yù)算：科目名稱(chēng)預(yù)算金額甲方撥款乙方自籌備 注（一）直接費(fèi)1.人工費(fèi)(1)專(zhuān)職研究 費(fèi)124.8(2)臨時(shí)性研究 費(fèi)29.262. 使用費(fèi)(1)現(xiàn)有儀器

34、 使用費(fèi)附件 1(2)現(xiàn)有 使用費(fèi)403.業(yè)務(wù)費(fèi)(1)材料費(fèi)附件 2(2)資料費(fèi)(3)印刷 費(fèi)(4)專(zhuān)利與知識(shí)產(chǎn)權(quán)事務(wù)費(fèi)(5)會(huì)議費(fèi)(6)差旅費(fèi)(7)培訓(xùn)費(fèi)4.場(chǎng)地使用費(fèi)(1)場(chǎng)地物業(yè)費(fèi)(2)場(chǎng)地使用租金5.咨詢(xún)費(fèi)（二）間接費(fèi)（三）外委支出1.外委研究支出附件 32.儀器租賃費(fèi)3.外協(xié)測(cè)試試驗(yàn)與費(fèi)附件 4（四）稅金合計(jì)194.06九、申請(qǐng)領(lǐng)導(dǎo)審查意見(jiàn)（對(duì)經(jīng)費(fèi)預(yù)算是否合理，有無(wú)其他經(jīng)費(fèi)來(lái)源，能否償還貸款，能否保證研究計(jì)劃實(shí)施所需的人力，工作時(shí)間等基本條件提出具體意見(jiàn)）本項(xiàng)目經(jīng)費(fèi)預(yù)算合理，沒(méi)有其他經(jīng)費(fèi)來(lái)源，沒(méi)有貸款，本和合作技術(shù)能力強(qiáng)，能夠保證研究計(jì)劃實(shí)施所需的人力和工作時(shí)間，同意開(kāi)展 GRC 權(quán)限風(fēng)險(xiǎn)管控研究項(xiàng)目。領(lǐng)導(dǎo)（簽字）（公章）年月日附件 1 儀器、使用