ΕΛΕΓΚΤΙΚΗ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ- Η ΠΕΡΙΠΤΩΣΗ ΤΟΥ ERP ΣΥΣΤΗΜΑΤΟΣ SAP

ΠΑΝΕΠΙΣΤΗΜΙΟ ΑΙΓΑΙΟΥ ΠΟΛΥΤΕΧΝΙΚΗ ΣΧΟΛΗ Π.Μ.Σ: «ΔΙΟΙΚΗΣΗ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ» ΕΛΕΓΚΤΙΚΗ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ- Η ΠΕΡΙΠΤΩΣΗ ΤΟΥ ERP ΣΥΣΤΗΜΑΤΟΣ SAP Επίκουρος Καθηγητής Δρ. Ευριπίδης Λουκής Φοιτητής Σιμιτός Αδάμ (323Μ/2009025)

ΠΑΝΕΠΙΣΤΗΜΙΟ ΑΙΓΑΙΟΥ ΠΟΛΥΤΕΧΝΙΚΗ ΣΧΟΛΗ ΤΜΗΜΑ ΜΗΧΑΝΙΚΩΝ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΚΑΙ ΕΠΙΚΟΙΝΩΝΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ Ελεγκτική Πληροφοριακών Συστημάτων- Η Περίπτωση του ERP Συστήματος SAP Η Διπλωματική Εργασία παρουσιάστηκε ενώπιον του Διδακτικού Προσωπικού του Πανεπιστημίου Αιγαίου Σε Μερική Εκπλήρωση των Απαιτήσεων για το Μεταπτυχιακό Δίπλωμα του Μηχανικού Πληροφοριακών και Επικοινωνιακών Συστημάτων του ΑΔΑΜ ΣΙΜΙΤΟΥ Χειμερινό Εξάμηνο 2010 2

Η ΤΡΙΜΕΛΗΣ ΕΠΙΤΡΟΠΗ ΔΙΔΑΣΚΟΝΤΩΝ ΕΓΚΡΙΝΕΙ ΤΗ ΔΙΠΛΩΜΑΤΙΚΗ ΕΡΓΑΣΙΑ ΤΟΥ ΑΔΑΜ ΣΙΜΙΤΟΥ: ΛΟΥΚΗΣ ΕΥΡΥΠΙΔΗΣ, Επιβλέπων Επίκουρος Καθηγητής Τμήμα Μηχανικών Πληροφοριακών και Επικοινωνιακών Συστημάτων ΚΟΚΟΛΑΚΗΣ ΣΠΥΡΙΔΩΝ, Μέλος Επίκουρος Καθηγητής Τμήμα Μηχανικών Πληροφοριακών και Επικοινωνιακών Συστημάτων KΑΡΥΔΑ ΜΑΡΙΑ, Μέλος Λέκτορας Τμήμα Μηχανικών Πληροφοριακών και Επικοινωνιακών Συστημάτων ΠΑΝΕΠΙΣΤΗΜΙΟ ΑΙΓΑΙΟΥ ΧΕΙΜΕΡΙΝΟ ΕΞΑΜΗΝΟ 2010 3

Copyright Σιμιτός Αδάμ, 2010 Με επιφύλαξη παντός δικαιώματος. All rights reserved Απαγορεύεται η αντιγραφή, ανατύπωση, αποθήκευση και διανομή (με κάθε μέσο: ηλεκτρονικό, μηχανικό, φωτοαντιγραφικό) του συνόλου ή μέρους της παρούσας μεταπτυχιακής διπλωματικής εργασίας, χωρίς την άδεια του συγγραφέα ή του επιβλέποντος καθηγητή. 4

ΠΕΡΙΛΗΨΗ Με τη ραγδαία ανάπτυξη της τεχνολογίας πληροφορικής, σχεδόν όλες οι επιχειρήσεις εξαρτώνται από Πληροφοριακά Συστήματα, προκειμένου να διεκπεραιώσουν τις λειτουργίες τους και να επεξεργαστούν τις βασικές πληροφορίες τους. Ως αποτέλεσμα, η διασφάλιση της ορθής λειτουργίας των πληροφοριακών συστημάτων και της αξιοπιστίας των δεδομένων κρίνεται απαραίτητη. Η Ελεγκτική Πληροφοριακών Συστημάτων είναι ένα μέρος της γενικότερης ελεγκτικής που ασχολείται με τον έλεγχο Τεχνολογιών Πληροφορικής και Επικοινωνιών [1]. Οι ελεγκτές καλούνται να εκτιμήσουν την αξιοπιστία των παραγόμενων του ΠΣ δεδομένων ή την ακρίβεια των υφιστάμενων ελέγχων των συστημάτων, ώστε να μειωθεί ο κίνδυνος απώλειας αυτών (των δεδομένων) λόγω σφαλμάτων, απάτης, παράνομων δραστηριοτήτων, ατυχημάτων κτλ. Η SAP είναι μία από τις ηγετικές εταιρείες παροχής επιχειρηματικού λογισμικού παγκοσμίως. Στόχος του SAP audit είναι η αποτίμηση της συνολικής λειτουργικής κατάστασης του SAP συστήματος και της επίδοσής του στην υποστήριξη του οργανισμού. Επίσης, ελέγχεται το επίπεδο ασφάλειας, που παρέχει το σύστημα, καθώς και η πρόσβαση των χρηστών. Επιτελούνται λειτουργικές και τεχνικές αναλύσεις στο σύστημα κατά τις οποίες εντοπίζονται ευκαιρίες για μελλοντική βελτίωση. Η ελεγκτική στο SAP βελτιώνει την αποδοτικότητα του ERP, ώστε αυτό να παρέχει καλύτερες υπηρεσίες στη επιχείρηση/ οργανισμό. ΣΙΜΙΤΟΣ ΑΔΑΜ Τμήμα Μηχανικών Πληροφοριακών και Επικοινωνιακών Συστημάτων ΠΑΝΕΠΙΣΤΗΜΙΟ ΑΙΓΑΙΟΥ 2010 5

ABSTRACT As computer technology has advanced, almost all enterprises have become increasingly dependent on information systems to carry out their operations and to process essential information. As a result, assuring the functioning of the information systems and the reliability of data is necessary. IS auditing is a branch of general auditing concerned with governance (control) of information and communication technologies [1]. Auditors may need to evaluate the reliability of computer generated data or to evaluate the adequacy of controls in systems to reduce the risk of data loss due to errors, fraud, and other illegal acts and disasters. SAP has become one of the leading suppliers of integrated business standard software world wide. Τhe goal of the SAP audit is the evaluation of the overall operational status of the SAP system and the estimation of system s performance in organization support. Furthermore, the security level of the system and the users access are checked. Functional and technical analyses of the system are carried out in which opportunities for future improvement are identified. SAP auditing improves ERP efficiency, so as the latter offers better services to the enterprise/ organism. ADAM SIMITOS Department of Information and Communication Systems Engineering UNIVERSITY OF THE AEGEAN 2010 6

ΕΥΧΑΡΙΣΤΙΕΣ Αρχικά, θα ήθελα να ευχαριστήσω τον επιβλέποντα καθηγητή μου, κ. Ευριπίδη Λουκή, που μου εμπιστεύτηκε την παρούσα μεταπτυχιακή διπλωματική εργασία. Η συμβολή του υπήρξε καθοριστική, με την κατάλληλη καθοδήγηση και βοήθεια, καθ όλη τη διάρκεια εκπόνησής της. Επίσης, θα ήθελα να ευχαριστήσω τον συνεπιβλέποντα καθηγητή κ. Απόστολο Ανδριτσάκη για την εξαίρετη συνεργασία που είχαμε, στα πλαίσια της πρακτικής μου άσκησης στην «Εθνική Ασφαλιστική», και για τις συμβουλές που μου παρείχε. Επιπλέον, ευχαριστώ όλους τους συμφοιτητές μου από το μεταπτυχιακό πρόγραμμα σπουδών για τη δημιουργική και εποικοδομητική ακαδημαϊκή χρονιά 2009-2010 που είχαμε. Τέλος, ευχαριστώ πολύ την οικογένεια μου για τη διαρκή υποστήριξη που μου παρείχε και επέτρεψε την επιτυχή διεκπεραίωση των σπουδών μου. 7

ΠΕΡΙΕΧΟΜΕΝΑ ΠΕΡΙΛΗΨΗ 5 ABSTRACT 6 ΕΥΧΑΡΙΣΤΙΕΣ 7 ΠΕΡΙΕΧΟΜΕΝΑ 8 ΚΑΤΑΛΟΓΟΣ ΠΙΝΑΚΩΝ 15 ΚΑΤΑΛΟΓΟΣ ΕΙΚΟΝΩΝ 16 1 ΕΙΣΑΓΩΓΗ 23 1.1 ΣΚΟΠΟΣ ΕΡΓΑΣΙΑΣ... 23 1.2 ΜΕΘΟΔΟΛΟΓΙΑ ΕΡΓΑΣΙΑΣ... 24 1.3 ΔΟΜΗ ΕΡΓΑΣΙΑΣ... 24 2 ΠΛΗΡΟΦΟΡΙΑΚΑ ΣΥΣΤΗΜΑΤΑ ΠΡΟΓΡΑΜΜΑΤΙΣΜΟΥ ΕΠΙΧΕΙΡΗΣΙΑΚΩΝ ΠΟΡΩΝ (ERP) 26 2.1 ΟΡΙΣΜΟΣ ΤΩΝ ERP... 26 2.2 ΙΣΤΟΡΙΚΗ ΑΝΑΔΡΟΜΗ... 28 2.3 Η ΛΕΙΤΟΥΡΓΙΚΗ ΔΟΜΗ ΤΩΝ ERP... 29 2.4 ΒΑΣΙΚΕΣ ΙΔΙΟΤΗΤΕΣ ΥΠΑΡΧΟΝΤΩΝ ΠΑΚΕΤΩΝ ERP... 33 2.5 ΚΡΙΣΙΜΟΙ ΠΑΡΑΓΟΝΤΕΣ ΕΠΙΤΥΧΙΑΣ ΕΡΓΩΝ ERP... 33 2.6 ΤΡΟΠΟΙ ΥΛΟΠΟΙΗΣΗΣ ΤΩΝ ΣΥΣΤΗΜΑΤΩΝ... 34 2.6.1 Ο ρόλος του συμβούλου υλοποίησης... 35 2.7 ΤΕΧΝΟΛΟΓΙΚΗ ΥΠΟΔΟΜΗ ΕΝΟΣ ERP... 36 2.7.1 Τεχνικά χαρακτηριστικά των ERP... 36 2.7.2 Η Αρχιτεκτονική Client/Server... 37 2.7.3 Βάσεις δεδομένων και εργαλεία... 38 2.8 ΓΙΑΤΙ ΕΙΝΑΙ ΑΝΑΓΚΑΙΑ ΤΑ ERP;... 39 2.9 ΠΛΕΟΝΕΚΤΗΜΑΤΑ ΚΑΙ ΜΕΙΟΝΕΚΤΗΜΑΤΑ ΤΩΝ ERP... 41 8

2.9.1 Πλεονεκτήματα των ERP... 41 2.9.2 Μειονεκτήματα του ERP... 42 3 ΕΙΣΑΓΩΓΗ ΣΤΗΝ ΕΛΕΓΚΤΙΚΗ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ 45 3.1 ΔΙΑΣΤΑΣΕΙΣ ΤΗΣ ΑΣΦΑΛΕΙΑΣ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ... 45 3.1.1 Εμπιστευτικότητα (Confidentiality)... 45 3.1.2 Ακεραιότητα (Integrity)... 46 3.1.3 Διαθεσιμότητα (Availability)... 46 3.2 Η ΑΝΑΓΚΗ ΓΙΑ ΕΛΕΓΧΟ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ... 46 3.3 ΣΤΑΔΙΑ ΚΑΙ ΑΝΤΙΚΕΙΜΕΝΟ ΤΟΥ ΕΛΕΓΧΟΥ... 47 3.4 ΣΤΟΧΟΙ ΤΟΥ ΕΛΕΓΧΟΥ... 47 3.5 ΒΑΣΙΚΟΙ ΟΡΙΣΜΟΙ ΕΛΕΓΚΤΙΚΗΣ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ... 48 3.6 ΤΥΠΟΙ ΕΛΕΓΚΤΩΝ... 52 3.6.1 Εσωτερικοί Ελεγκτές... 52 3.6.2 Εξωτερικοί Ελεγκτές... 53 4 ΒΑΣΙΚΕΣ ΕΝΝΟΙΕΣ ΕΛΕΓΚΤΙΚΗΣ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ 55 4.1 ΣΗΜΑΣΙΑ ΤΟΥ ΕΛΕΓΧΟΥ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ... 55 4.1.1 Κόστος από ανασφαλή λήψη αποφάσεων... 55 4.1.2 Κόστος από απώλεια δεδομένων... 55 4.1.3 Κόστος από αναποτελεσματική χρήση του Πληροφοριακού Συστήματος... 55 4.1.4 Κόστος από κατάχρηση του Πληροφοριακού Συστήματος... 56 4.1.5 Κόστος απώλειας εμπιστευτικότητας και ιδιωτικότητας των δεδομένων 56 4.1.6 Κόστος από εσφαλμένη λειτουργία του Πληροφοριακού Συστήματος56 4.2 ΧΑΡΑΚΤΗΡΑΣ ΤΟΥ ΕΛΕΓΧΟΥ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ... 56 4.3 Η ΛΕΙΤΟΥΡΓΙΑ ΤΟΥ ΕΛΕΓΧΟΥ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ... 57 9

4.3.1 Οργάνωση του ελέγχου Πληροφοριακών Συστημάτων... 57 4.3.2 Διαχείριση ελεγκτικών πόρων... 58 4.3.3 Σχεδιασμός ελέγχου Πληροφοριακών Συστημάτων... 58 4.3.3.1 Πλάνο Ελέγχου... 58 4.3.3.2 Έκταση Ελέγχου και Πλάνο Ελέγχου... 60 4.3.3.3 Νομικά και Κανονιστικά Θέματα κατά τον Σχεδιασμό του Ελέγχου. 60 4.3.4 Κίνδυνοι και ανάλυση επικινδυνότητας... 61 4.4 ΜΗΧΑΝΙΣΜΟΙ ΕΛΕΓΧΟΥ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ... 62 4.4.1 Στόχοι των μηχανισμών ελέγχου... 63 4.4.2 Κατηγοριοποίηση... 65 4.5 ΔΙΕΞΑΓΩΓΗ ΕΛΕΓΧΟΥ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ... 66 4.5.1 Κατηγοριοποίηση των ελέγχων Πληροφοριακών Συστημάτων... 66 4.5.2 Μεθοδολογία Ελέγχου... 67 4.5.3 Τύποι προγραμμάτων ελέγχου... 69 4.5.4 Αναφορά Ελέγχου... 70 4.5.4.1 Αναφορά Διαδικασίας... 70 4.5.4.2 Ανταπόκριση στα προκαταρτικά ζητήματα του ελέγχου... 70 4.5.4.3 Ζητήματα διαπραγμάτευσης... 70 4.5.4.4 Διανομή αναφοράς... 72 4.5.4.5 Ανταπόκριση διοίκησης... 72 4.5.5 Περιορισμοί και κίνδυνοι του ελέγχου Πληροφοριακών συστημάτων 73 5 ΕΙΔΙΚΑ ΘΕΜΑΤΑ ΕΛΕΓΚΤΙΚΗΣ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ 75 5.1 ΑΡΧΕΣ ΚΑΙ ΘΕΩΡΗΣΕΙΣ ΕΛΕΓΚΤΙΚΗΣ... 75 5.1.1 Ανεξαρτησία... 75 5.1.2 Αντικειμενικότητα/ Αμεροληψία... 76 5.1.3 Επαγγελματικός Σκεπτικισμός... 76 5.1.4 Εμπιστευτικότητα... 77 10

5.1.5 Αποδεικτικά Στοιχεία... 78 5.2 Η ΣΥΜΠΕΡΙΦΟΡΑ ΤΗΣ ΕΠΙΧΕΙΡΗΣΗΣ... 79 5.2.1 Κατανόηση του αντικειμένου του ελέγχου... 79 5.2.2 Δουλεύοντας με τον ελεγκτή... 79 5.2.3 Δημιουργία του κατάλληλου περιβάλλοντος ελέγχου... 79 5.2.4 Τα «Πρέπει» και τα «Μη»... 79 6 ΤΟ ΠΛΑΙΣΙΟ COBIT 81 6.1 ΓΕΝΙΚΑ... 81 6.2 COBIT ΚΑΙ ΕΛΕΓΚΤΙΚΗ ΠΛΗΡΟΦΟΡΙΑΚΩΝ ΣΥΣΤΗΜΑΤΩΝ... 87 6.3 ΠΛΑΙΣΙΟ ΑΝΑΦΟΡΑΣ... 89 6.4 ΣΚΟΠΟΙ ΕΛΕΓΧΟΥ... 90 6.5 ΠΕΡΙΟΡΙΣΜΟΙ ΚΑΙ ΙΔΙΑΙΤΕΡΟΤΗΤΕΣ ΤΟΥ COBIT... 91 7 SAP 93 7.1 Η ΕΤΑΙΡΕΙΑ... 93 7.2 ΕΡΓΑΣΤΗΡΙΑ - ΘΥΓΑΤΡΙΚΕΣ ΣΤΡΑΤΗΓΙΚΕΣ ΣΥΝΕΡΓΑΣΙΕΣ... 94 7.3 Η SAP ΣΤΗΝ ΕΛΛΑΔΑ... 95 7.3.1 Ελληνικοποίηση... 95 7.4 ΟΙ ΠΕΛΑΤΕΣ ΣΤΗΝ ΕΛΛΑΔΑ... 96 7.5 TO SAP R/3 (ERP)... 99 7.5.1 Περιγραφή... 99 7.5.2 Τα πλεονεκτήματα του SAP R/3... 103 7.5.3 Αρχιτεκτονική του SAP R/3... 103 8 SAP R/3 ΚΑΙ ΕΛΕΓΚΤΙΚΗ 106 8.1 ΣΥΝΑΦΕΙΑ ΕΛΕΓΧΟΥ... 106 8.2 ΠΕΡΙΒΑΛΛΟΝ ΕΓΚΑΤΑΣΤΑΣΗΣ ΚΑΙ ΛΕΙΤΟΥΡΓΙΑ... 106 11

8.3 ΕΞΑΤΟΜΙΚΕΥΣΗ ΚΑΙ ΔΙΑΧΕΙΡΙΣΗ ΠΙΝΑΚΑ... 107 8.4 ΤΟ ΠΡΟΤΥΠΟ ΤΟΥ SAP R/3 ΕΝΑΝΤΙΑ ΣΤΗΝ ΤΡΟΠΟΠΟΙΗΣΗ ΤΟΥ ΠΗΓΑΙΟΥ ΚΩΔΙΚΑ... 107 8.5 ΕΝΙΣΧΥΣΗ ΤΟΥ ΣΥΣΤΗΜΑΤΟΣ SAP ΜΕ ΒΑΣΗ ΤΟΝ ΠΡΟΓΡΑΜΜΑΤΙΣΜΟ ABAP 107 8.6 ΡΥΘΜΙΣΕΙΣ ΣΥΣΤΗΜΑΤΟΣ ΚΑΙ ΑΣΦΑΛΕΙΑ... 108 8.7 ΑΠΟΤΥΧΙΑ ΥΛΙΚΟΥ ΚΑΙ ΠΡΟΓΡΑΜΜΑΤΙΣΤΙΚΑ ΣΦΑΛΜΑΤΑ... 108 8.8 ΔΙΕΠΑΦΕΣ... 108 8.9 ΒΑΣΙΚΑ ΔΕΔΟΜΕΝΑ ΤΟΥ SAP... 108 8.10 ΕΠΙΘΕΩΡΗΣΗ ΔΙΕΡΓΑΣΙΑΣ ΚΑΙ ΣΥΝΘΕΤΗ ΕΝΟΠΟΙΗΣΗ... 109 8.11 ΕΠΙΠΕΔΑ ΕΛΕΓΧΟΥ... 109 8.12 ΠΡΟΣΤΑΣΙΑ ΤΩΝ LOG FILES... 111 9 ΔΙΑΜΟΡΦΩΣΗ ΑΣΦΑΛΕΙΑΣ ΣΕ SAP 115 9.1 ΣΥΣΤΑΤΙΚΑ ΑΣΦΑΛΕΙΑΣ SAP... 115 9.1.1 UserID, password και κύρια εγγραφή χρήστη... 116 9.1.2 Η έννοια της εξουσιοδότησης SAP... 116 9.1.3 Κλάση Αντικειμένου... 117 9.1.4 Αντικείμενα Εξουσιοδότησης... 117 9.1.5 Εξουσιοδοτήσεις... 118 9.1.6 Προφίλ... 119 9.1.6.1 Σύνθετα Προφίλ... 120 9.1.6.2 Παραγόμενα Προφίλ... 120 9.1.7 Ρόλοι... 121 9.2 ΑΥΘΕΝΤΙΚΟΠΟΙΗΣΗ ΧΡΗΣΤΗ... 122 9.3 ΔΗΜΙΟΥΡΓΙΑ ΚΑΙ ΑΝΤΙΣΤΟΙΧΗΣΗ ΠΡΟΦΙΛ ΕΞΟΥΣΙΟΔΟΤΗΣΗΣ... 122 9.4 ΈΛΕΓΧΟΣ ΚΑΙ ΠΑΡΑΚΟΛΟΥΘΗΣΗ... 123 9.4.1 Επιθεώρηση της δραστηριότητας των χρηστών... 123 12

9.4.2 Παρακολούθηση της πρόσβασης χρηστών στην ομάδα χρηστών BASIS 124 9.4.3 Έλεγχος των σημαντικών προεπιλεγμένων προφίλ... 124 9.4.4 Έλεγχος των προεπιλεγμένων userids του SAP... 124 9.4.5 Παρακολούθηση των αιτημάτων αλλαγής... 126 9.4.6 Έλεγχος πληροφοριακού συστήματος... 126 9.5 ΔΙΑΧΕΙΡΙΣΗ ΚΑΙ ΣΥΝΤΗΡΗΣΗ... 126 9.6 ΠΡΟΫΠΟΘΕΣΕΙΣ ΓΙΑ ΤΗ ΔΗΜΙΟΥΡΓΙΑ ΧΡΗΣΤΗ... 127 9.7 ΠΕΡΙΟΡΙΣΜΟΣ ΠΡΟΣΠΑΘΕΙΩΝ ΣΥΝΔΕΣΗΣ ΚΑΙ ΠΡΟΣΔΙΟΡΙΣΜΟΣ CLIENT... 130 9.8 ΑΣΦΑΛΕΙΑ LOGON ΣΤΟ SAP... 130 9.8.1 Logging on... 130 9.8.2 Σφάλματα Logon... 131 9.9 ΡΥΘΜΙΣΗ ΕΛΕΓΧΩΝ PASSWORD... 131 9.9.1 Ρύθμιση του μήκους και της εγκυρότητας του password... 131 9.9.2 Προσδιορισμός ανεπίτρεπτων passwords... 132 9.10 ΑΠΟΣΥΝΔΕΣΗ ΤΩΝ ΑΝΕΝΕΡΓΩΝ ΧΡΗΣΤΩΝ... 132 9.11 ΑΝΤΙΣΤΟΙΧΗΣΗ ΟΜΑΔΩΝ ΧΡΗΣΤΩΝ... 132 9.12 LOG ΜΑΖΙΚΩΝ ΑΛΛΑΓΩΝ... 133 9.13 Ο EMERGENCY ΧΡΗΣΤΗΣ... 133 10 ΕΦΑΡΜΟΓΗ ΕΛΕΓΚΤΙΚΗΣ ΣΕ SAP R/3 134 10.1 ΕΙΣΟΔΟΣ ΣΤΟ ΣΥΣΤΗΜΑ... 134 10.2 ΠΛΟΗΓΗΣΗ ΣΤΗ ΒΑΣΙΚΗ ΟΘΟΝΗ TOY SAP... 135 10.3 TRANSACTION CODES... 136 10.3.1 Το transaction code «suim»... 137 10.3.1.1 Το υπομενού User... 137 10.3.1.2 Το υπομενού Roles... 160 13

10.3.1.3 Το υπομενού Profiles... 174 10.3.1.4 Το υπομενού Authorizations... 183 10.3.1.5 Το υπομενού Authorization objects... 191 10.3.1.6 Το υπομενού Transactions... 195 10.3.1.7 Το υπομενού Comparisons... 200 10.3.1.8 Το υπομενού Where- Used List... 205 10.3.1.9 Το υπομενού Change Documents... 216 11 ΣΥΜΠΕΡΑΣΜΑΤΑ 222 12 ΒΙΒΛΙΟΓΡΑΦΙΑ- ΔΙΚΤΥΑΚΕΣ ΤΟΠΟΘΕΣΙΕΣ 224 14

ΚΑΤΑΛΟΓΟΣ ΠΙΝΑΚΩΝ Πίνακας 3-1: Βασικοί όροι ελεγκτικής... 51 Πίνακας 4-1: Κατηγορίες μηχανισμών ελέγχου... 66 Πίνακας 4-2: Φάσεις μεθοδολογίας ελέγχου... 69 Πίνακας 6-1: Ορολογία για COBIT... 83 Πίνακας 7-1: Πελάτες SAP στην Ελλάδα [35] [36] [37]... 99 Πίνακας 7-2: Υποσυστήματα του SAP R/3 [34] [38]... 100 Πίνακας 7-3: Μη SAP περιβάλλοντα... 102 Πίνακας 8-1: Σύγκριση του Security Audit Log με το System Log... 113 Πίνακας 9-1: Περιγραφή προφίλ SAP_ALL και SAP_NEW... 124 Πίνακας 9-2: Περιγραφή προεπιλεγμένων χρηστών SAP... 125 Πίνακας 9-3: Προϋποθέσεις δημιουργίας χρήστη... 130 15

ΚΑΤΑΛΟΓΟΣ ΕΙΚΟΝΩΝ Εικόνα 2-1: Γραφική απεικόνιση του ERP [6]... 26 Εικόνα 2-2: Λειτουργική δομή ERP [8]... 30 Εικόνα 2-3: Λειτουργική δομή ERP 2 [12]... 31 Εικόνα 2-4: Τρόποι υλοποίησης συστημάτων [13]... 34 Εικόνα 2-5: Η αρχιτεκτονική client/ server [14]... 37 Εικόνα 6-1: Πληροφορίες Διοίκησης [26]... 82 Εικόνα 6-2: Περιοχές εστίασης ΙΤ διακυβέρνησης... 84 Εικόνα 6-3: Διάγραμμα περιεχομένων COBIT... 85 Εικόνα 6-4: Συσχέτιση συστατικών COBIT... 87 Εικόνα 6-5: Κύβος COBIT... 88 Εικόνα 6-6: Δομή ελέγχου και τομείς ελέγχου... 91 Εικόνα 7-1: Υποσυστήματα SAP R/3... 93 Εικόνα 7-2: SAP R/3 Modules [39]... 100 Εικόνα 7-3: Μη SAP περιβάλλοντα [41]... 101 Εικόνα 7-4: Πλατφόρμες SAP R/3 [47]... 102 Εικόνα 7-5: Αρχιτεκτονική Client/ Server [32]... 103 Εικόνα 7-6: Αναπαράσταση δομής GUI/ Modules/ databases (1) [32]... 104 Εικόνα 7-7:Αναπαράσταση δομής GUI/ Modules/ databases (2) [32]... 104 Εικόνα 7-8: Αναπαράσταση δομής BASIS [32]... 105 Εικόνα 8-1: Αναπαράσταση περιβάλλοντος εγκατάστασης SAP [50]... 106 Εικόνα 8-2: Επίπεδα ΙΤ ασφάλειας και ελέγχου [50]... 111 Εικόνα 9-1: Εφαρμογή ασφάλειας SAP [51]... 115 Εικόνα 9-2: Συστατικά ασφαλείας SAP (1) [53]... 116 Εικόνα 9-3: Κλάση αντικειμένου [54]... 117 Εικόνα 9-4: Περιγραφή αντικειμένου εξουσιοδότησης σε περιβάλλον SAP [55]... 118 Εικόνα 9-5: Διαμόρφωση ασφαλείας SAP (1) [51]... 120 Εικόνα 9-6: Διαμόρφωση ασφαλείας SAP (2) [51]... 120 Εικόνα 9-7: Κατηγορίες προφίλ [50]... 121 Εικόνα 9-8: Διαμόρφωση ασφαλείας SAP (3) [54]... 122 Εικόνα 9-9: Προειδοποιητικό μήνυμα αποσύνδεσης... 132 Εικόνα 10-1: Οθόνη εισαγωγής userid και password... 134 Εικόνα 10-2: Βασική οθόνη SAP... 134 Εικόνα 10-3: Περιγραφή βασικής οθόνης SAP... 135 Εικόνα 10-4: Πεδίο εντολών SAP... 136 Εικόνα 10-5: Διαγραμματική περιγραφή των transactions [62]... 136 Εικόνα 10-6: Εισαγωγή transaction... 137 Εικόνα 10-7: Βασικό menu της suim... 137 Εικόνα 10-8: Το υπομενού Users... 137 Εικόνα 10-9: Φόρμα εισαγωγής χρήστη/ κριτηρίων... 138 Εικόνα 10-10: Αποτελέσματα αναζήτησης... 138 Εικόνα 10-11: Αποτελέσματα αναζήτησης... 138 Εικόνα 10-12: Αποτελέσματα αναζήτησης... 139 16

Εικόνα 10-13: Το υπομενού users... 139 Εικόνα 10-14: Φόρμα εισαγωγής χρήστη/ κριτηρίων... 140 Εικόνα 10-15: Φόρμα εισαγωγής χρήστη/ κριτηρίων... 140 Εικόνα 10-16: Φόρμα εισαγωγής χρήστη/ κριτηρίων... 141 Εικόνα 10-17: Αποτελέσματα αναζήτησης... 141 Εικόνα 10-18: Η φόρμα αναζήτησης με βάση τα στοιχεία του χρήστη... 141 Εικόνα 10-19: Αποτελέσματα αναζήτησης... 142 Εικόνα 10-20: Αποτελέσματα αναζήτησης... 142 Εικόνα 10-21: Αποτελέσματα αναζήτησης ρόλων χρήστη... 142 Εικόνα 10-22: Αποτελέσματα αναζήτησης προφίλ χρήστη... 142 Εικόνα 10-23: Change documents του χρήστη... 143 Εικόνα 10-24: Το υπομενού Users... 143 Εικόνα 10-25: Αναζήτηση emergency user... 143 Εικόνα 10-26: Εμφάνιση emergency user... 143 Εικόνα 10-27: Ρόλοι emergency user... 144 Εικόνα 10-28: Προφίλ emergency user... 144 Εικόνα 10-29: Το υπομενού user... 144 Εικόνα 10-30: Φόρμα εισαγωγής ρόλου... 145 Εικόνα 10-31: Αποτελέσματα αναζήτησης... 145 Εικόνα 10-32: Φόρμα εισαγωγής ρόλου... 145 Εικόνα 10-33: Το υπομενού users... 146 Εικόνα 10-34: Φόρμα εισαγωγής προφίλ... 146 Εικόνα 10-35: Αποτελέσματα αναζήτησης χρηστών... 146 Εικόνα 10-36: Φόρμα εισαγωγής προφίλ... 147 Εικόνα 10-37: Αποτελέσματα αναζήτησης χρηστών... 147 Εικόνα 10-38: Το υπομενού users... 148 Εικόνα 10-39: Σχηματική απεικόνιση των εξουσιοδοτήσεων του S_ADDRESS1... 148 Εικόνα 10-40: Φόρμα εισαγωγής εξουσιοδότησης/ αντικειμένου εξουσιοδότησης... 149 Εικόνα 10-41: Αποτελέσματα αναζήτησης χρηστών... 149 Εικόνα 10-42: Το υπομενού users... 150 Εικόνα 10-43: Φόρμα εισαγωγής αντικειμένων εξουσιοδότησης... 150 Εικόνα 10-44: Εμπλουτισμένη φόρμα εισαγωγής αντικειμένων εξουσιοδότησης... 150 Εικόνα 10-45: Αποτελέσματα αναζήτησης χρηστών... 151 Εικόνα 10-46: Το υπομενού users... 151 Εικόνα 10-47: Φόρμα εισαγωγής transaction... 152 Εικόνα 10-48: Αποτελέσματα αναζήτησης χρηστών... 152 Εικόνα 10-49: Το υπομενού users... 152 Εικόνα 10-50: Εμφάνιση κλειδωμένων χρηστών... 153 Εικόνα 10-51: Το υπομενού users... 153 Εικόνα 10-52: Φόρμα εισαγωγής χρήστη/ κριτηρίων... 154 Εικόνα 10-53: Αποτελέσματα αναζήτησης χρήστη... 154 Εικόνα 10-54: Φόρμα εισαγωγής χρήστη/ κριτηρίων... 155 Εικόνα 10-55: Αποτέλεσμα αναζήτησης χρήστη... 155 Εικόνα 10-56: Φόρμα εισαγωγής χρήστη/ κριτηρίων... 156 17

Εικόνα 10-57: Αποτελέσματα αναζήτησης χρήστη... 156 Εικόνα 10-58: Φόρμα εισαγωγής χρήστη/ κριτηρίων... 157 Εικόνα 10-59: Αποτελέσματα αναζήτησης χρηστών... 157 Εικόνα 10-60: Το υπομενού users... 158 Εικόνα 10-61: Φόρμα εισαγωγής variant... 158 Εικόνα 10-62: Φόρμα εισαγωγής variant... 159 Εικόνα 10-63: Αποτελέσματα αναζήτησης χρηστών... 159 Εικόνα 10-64: Φόρμα εισαγωγής χρηστών/ κριτηρίων... 160 Εικόνα 10-65: Αποτελέσματα αναζήτησης... 160 Εικόνα 10-66: Αποτελέσματα αναζήτησης... 160 Εικόνα 10-67: Το υπομενού Roles... 161 Εικόνα 10-68: Φόρμα εισαγωγής ρόλων/ κριτηρίων... 161 Εικόνα 10-69: Αποτελέσματα αναζήτησης ρόλου... 162 Εικόνα 10-70: Καρτέλα περιγραφής ρόλου... 162 Εικόνα 10-71: Καρτέλα με το μενού του ρόλου... 163 Εικόνα 10-72: Καρτέλα με το workflow του ρόλου... 163 Εικόνα 10-73: Καρτέλα με το προφίλ του ρόλου... 164 Εικόνα 10-74: Οθόνη με τις εξουσιοδοτήσεις του ρόλου... 164 Εικόνα 10-75: Καρτέλα με τους χρήστες που διαθέτουν το ρόλου... 165 Εικόνα 10-76: Καρτέλα με τα miniapps του ρόλου... 165 Εικόνα 10-77: Καρτέλα με τα Personalization objects του ρόλου... 165 Εικόνα 10-78: Οθόνη με τους χρήστες του ρόλου... 166 Εικόνα 10-79: Οθόνη με τα προφίλ του ρόλου... 166 Εικόνα 10-80: Οθόνη με τα transactions του ρόλου... 166 Εικόνα 10-81: Το υπομενού Roles... 167 Εικόνα 10-82: Φόρμα εισαγωγής ρόλου... 167 Εικόνα 10-83: Αποτελέσματα αναζήτησης ρόλου... 167 Εικόνα 10-84: Το υπομενού Roles... 167 Εικόνα 10-85: Φόρμα εισαγωγής χρήστη... 168 Εικόνα 10-86: Αποτελέσματα αναζήτησης ρόλων... 168 Εικόνα 10-87: Οι μη αποδοσμένοι ρόλοι... 168 Εικόνα 10-88: Το υπομενού Roles... 169 Εικόνα 10-89: Φόρμα εισαγωγής transactions... 169 Εικόνα 10-90: Αποτελέσματα αναζήτησης ρόλων... 169 Εικόνα 10-91: Το υπομενού Roles... 170 Εικόνα 10-92: Φόρμα εισαγωγής προφίλ... 170 Εικόνα 10-93: Αποτελέσματα αναζήτησης ρόλων... 170 Εικόνα 10-94: Το υπομενού Roles... 170 Εικόνα 10-95: Φόρμα εισαγωγής αντικειμένου εξουσιοδότησης... 171 Εικόνα 10-96: Αποτελέσματα αναζήτησης ρόλων... 171 Εικόνα 10-97: Το υπομενού Roles... 171 Εικόνα 10-98: Εμπλουτισμένη φόρμα εισαγωγής αντικειμένων εξουσιοδότησης... 172 Εικόνα 10-99: Αποτελέσματα αναζήτησης ρόλων... 172 Εικόνα 10-100: Το υπομενού Roles... 172 18

Εικόνα 10-101: Φόρμα εισαγωγής χρηστών/ κριτηρίων... 173 Εικόνα 10-102: Αποτελέσματα αναζήτησης ρόλων... 173 Εικόνα 10-103: Φόρμα εισαγωγής χρηστών/ κριτηρίων... 173 Εικόνα 10-104: Αποτελέσματα αναζήτησης ρόλων... 173 Εικόνα 10-105: Το υπομενού Profiles... 174 Εικόνα 10-106: Φόρμα εισαγωγής προφίλ/ κριτηρίων... 174 Εικόνα 10-107: Αποτελέσματα αναζήτησης προφίλ... 175 Εικόνα 10-108: Διαγραμματική απεικόνιση αντικειμένων προφίλ... 175 Εικόνα 10-109: Παράθυρο where- used list... 175 Εικόνα 10-110: Αποτελέσματα αντιστοίχησης σε προφίλ... 176 Εικόνα 10-111: Αποτελέσματα αντιστοίχησης σε χρήστες... 176 Εικόνα 10-112: Αποτελέσματα αντιστοίχησης σε ρόλους... 176 Εικόνα 10-113: Τα change documents του προφίλ... 177 Εικόνα 10-114: Το υπομενού Profiles... 177 Εικόνα 10-115: Φόρμα εισαγωγής προφίλ/ κριτηρίων... 177 Εικόνα 10-116: Αποτελέσματα αναζήτησης προφίλ... 178 Εικόνα 10-117: Το υπομενού Profiles... 178 Εικόνα 10-118: Φόρμα εισαγωγής προφίλ... 178 Εικόνα 10-119: Αποτελέσματα αναζήτησης προφίλ... 178 Εικόνα 10-120: Το υπομενού Profiles... 179 Εικόνα 10-121: Φόρμα εισαγωγής εξουσιοδοτήσεων/ αντικειμένων εξουσιοδοτήσεων... 179 Εικόνα 10-122: Αποτελέσματα αναζήτησης προφίλ... 179 Εικόνα 10-123: Φόρμα εισαγωγής εξουσιοδοτήσεων/ αντικειμένων εξουσιοδοτήσεων... 179 Εικόνα 10-124: Αποτελέσματα αναζήτησης προφίλ... 180 Εικόνα 10-125: Το υπομενού Profiles... 180 Εικόνα 10-126: Εμπλουτισμένη φόρμα εισαγωγής αντικειμένων εξουσιοδοτήσεων... 181 Εικόνα 10-127: Αποτελέσματα αναζήτησης προφίλ... 181 Εικόνα 10-128: Το υπομενού Profiles... 181 Εικόνα 10-129: Φόρμα εισαγωγής χρήστη/ κριτηρίων... 182 Εικόνα 10-130: Αποτελέσματα αναζήτησης προφίλ... 182 Εικόνα 10-131: Το υπομενού Profiles... 182 Εικόνα 10-132: Φόρμα εισαγωγής ρόλου... 182 Εικόνα 10-133: Αποτελέσματα αναζήτησης προφίλ... 182 Εικόνα 10-134: Το υπομενού Authorizations... 183 Εικόνα 10-135: Φόρμα εισαγωγής αντικειμένου εξουσιοδότησης/ κριτηρίων... 183 Εικόνα 10-136: Αποτελέσματα αναζήτησης εξουσιοδοτήσεων... 183 Εικόνα 10-137: Οθόνη περιγραφής αντικειμένου εξουσιοδότησης... 184 Εικόνα 10-138: Παράθυρο where- used list αντικειμένου εξουσιοδότησης... 184 Εικόνα 10-139: Αποτελέσματα αναζήτησης εξουσιοδοτήσεων... 184 Εικόνα 10-140: Αποτελέσματα αναζήτησης προφίλ... 185 Εικόνα 10-141: Αποτελέσματα αναζήτησης χρηστών... 185 Εικόνα 10-142: Αποτελέσματα αναζήτησης προγραμμάτων... 186 Εικόνα 10-143: Λεπτομερής περιγραφή αντικειμένου εξουσιοδότησης... 186 Εικόνα 10-144: Το υπομενού Authorizations... 186 19

Εικόνα 10-145: Φόρμα εισαγωγής εξουσιοδότησης/ αντικειμένου εξουσιοδότησης... 187 Εικόνα 10-146: Αποτελέσματα αναζήτησης εξουσιοδοτήσεων... 187 Εικόνα 10-147: Αποτελέσματα αναζήτησης αντικειμένων εξουσιοδότησης... 187 Εικόνα 10-148: Φόρμα εισαγωγής εξουσιοδοτήσεων/ αντικειμένων εξουσιοδοτήσεων... 188 Εικόνα 10-149: Αποτελέσματα αναζήτησης εξουσιοδοτήσεων... 188 Εικόνα 10-150: Το υπομενού Authorizations... 188 Εικόνα 10-151: Εμπλουτισμένη φόρμα εισαγωγής αντικειμένων εξουσιοδότησης... 189 Εικόνα 10-152: Αποτελέσματα αναζήτησης εξουσιοδοτήσεων... 189 Εικόνα 10-153: Το υπομενού Authorizations... 189 Εικόνα 10-154: Φόρμα εισαγωγής χρήστη/ κριτηρίων... 190 Εικόνα 10-155: Αποτελέσματα αναζήτησης εξουσιοδοτήσεων... 190 Εικόνα 10-156: Φόρμα εισαγωγής χρήστη/ κριτηρίων... 190 Εικόνα 10-157: Αποτελέσματα αναζήτησης εξουσιοδοτήσεων... 191 Εικόνα 10-158: Το υπομενού Authorizations objects... 191 Εικόνα 10-159: Φόρμα εισαγωγής κριτηρίων... 191 Εικόνα 10-160: Αποτελέσματα αναζήτησης αντικειμένων εξουσιοδότησης... 192 Εικόνα 10-161: Περιγραφή αντικειμένου εξουσιοδότησης... 192 Εικόνα 10-162: Πληρέστερη περιγραφή αντικειμένου εξουσιοδότησης... 192 Εικόνα 10-163: Το υπομενού Authorizations objects... 193 Εικόνα 10-164: Φόρμα εισαγωγής αντικειμένου εξουσιοδότησης... 193 Εικόνα 10-165: Αποτέλεσμα αναζήτησης αντικειμένου εξουσιοδότησης... 193 Εικόνα 10-166: Το υπομενού Authorizations objects... 193 Εικόνα 10-167: Φόρμα εισαγωγής κριτηρίων αντικειμένων εξουσιοδότησης... 194 Εικόνα 10-168: Αποτελέσματα αναζήτησης αντικειμένων εξουσιοδότησης... 194 Εικόνα 10-169: Το υπομενού Authorizations objects... 194 Εικόνα 10-170: Φόρμα εισαγωγής κριτηρίων αντικειμένων εξουσιοδότησης... 195 Εικόνα 10-171: Αποτελέσματα αναζήτησης αντικειμένων εξουσιοδότησης... 195 Εικόνα 10-172: Το υπομενού transactions... 196 Εικόνα 10-173: Φόρμα εισαγωγής κριτηρίων... 196 Εικόνα 10-174: Το υπομενού transactions... 196 Εικόνα 10-175: Φόρμα εισαγωγής χρήστη... 196 Εικόνα 10-176: Αποτελέσματα αναζήτησης transaction... 197 Εικόνα 10-177: Εμφάνιση λεπτομερειών transaction... 197 Εικόνα 10-178: Το υπομενού transactions... 198 Εικόνα 10-179: Φόρμα εισαγωγής ρόλου... 198 Εικόνα 10-180: Αποτελέσματα αναζήτησης transaction... 198 Εικόνα 10-181: Το υπομενού transactions... 199 Εικόνα 10-182: Φόρμα εισαγωγής προφίλ... 199 Εικόνα 10-183: Αποτελέσματα αναζήτησης transaction... 199 Εικόνα 10-184: Το υπομενού transactions... 200 Εικόνα 10-185: Φόρμα εισαγωγής εξουσιοδότησης... 200 Εικόνα 10-186: Αποτελέσματα αναζήτησης transaction... 200 Εικόνα 10-187Το υπομενού Comparison... 201 Εικόνα 10-188: Φόρμα εισαγωγής των προς σύγκριση χρηστών... 201 20

Εικόνα 10-189: Αποτελέσματα σύγκρισης... 201 Εικόνα 10-190: Το υπομενού Comparison... 202 Εικόνα 10-191: Φόρμα εισαγωγής των προς σύγκριση ρόλων... 202 Εικόνα 10-192: Αποτελέσματα σύγκρισης... 202 Εικόνα 10-193: Το υπομενού Comparison... 203 Εικόνα 10-194: Φόρμα εισαγωγής των προς σύγκριση προφίλ... 203 Εικόνα 10-195: Αποτελέσματα σύγκρισης... 203 Εικόνα 10-196: Αναλυτική περιγραφή σύγκρισης... 204 Εικόνα 10-197: Το υπομενού Comparison... 204 Εικόνα 10-198: Φόρμα εισαγωγής των προς σύγκριση αντικειμένων... 205 Εικόνα 10-199: Αποτελέσματα σύγκρισης... 205 Εικόνα 10-200: Το υπομενού Where- used list... 205 Εικόνα 10-201: Φόρμα εισαγωγής ρόλου... 206 Εικόνα 10-202: Αποτελέσματα αναζήτησης... 206 Εικόνα 10-203: Το υπομενού Where- used list... 206 Εικόνα 10-204: Φόρμα εισαγωγής προφίλ... 207 Εικόνα 10-205: Αποτελέσματα αναζήτησης... 207 Εικόνα 10-206: Το υπομενού Where- used list... 207 Εικόνα 10-207: Φόρμα εισαγωγής προφίλ... 208 Εικόνα 10-208: Αποτελέσματα αναζήτησης... 208 Εικόνα 10-209: Το υπομενού Where- used list... 208 Εικόνα 10-210: Φόρμα εισαγωγής προφίλ... 208 Εικόνα 10-211: Αποτελέσματα αναζήτησης... 209 Εικόνα 10-212: Το υπομενού Where- used list... 209 Εικόνα 10-213: Φόρμα εισαγωγής εξουσιοδότησης/ αντικειμένου εξουσιοδότησης... 209 Εικόνα 10-214: Αποτελέσματα αναζήτησης... 210 Εικόνα 10-215: Το υπομενού Where- used list... 210 Εικόνα 10-216: Φόρμα εισαγωγής αντικειμένου εξουσιοδότησης... 210 Εικόνα 10-217: Αποτελέσματα αναζήτησης... 211 Εικόνα 10-218: Το υπομενού Where- used list... 211 Εικόνα 10-219: Φόρμα εισαγωγής αντικειμένου εξουσιοδότησης... 212 Εικόνα 10-220: Αποτελέσματα αναζήτησης... 212 Εικόνα 10-221: Το υπομενού Where- used list... 212 Εικόνα 10-222: Φόρμα εισαγωγής αντικειμένων εξουσιοδότησης... 213 Εικόνα 10-223: Αποτελέσματα αναζήτησης... 213 Εικόνα 10-224: Το υπομενού Where- used list... 213 Εικόνα 10-225: Εμπλουτισμένη φόρμα εισαγωγής αντικειμένου εξουσιοδότησης... 214 Εικόνα 10-226: Αποτελέσματα αναζήτησης... 214 Εικόνα 10-227: Το υπομενού Where- used list... 214 Εικόνα 10-228: Εμπλουτισμένη φόρμα εισαγωγής αντικειμένου εξουσιοδότησης... 215 Εικόνα 10-229: Αποτελέσματα αναζήτησης... 215 Εικόνα 10-230: Το υπομενού Where- used list... 215 Εικόνα 10-231: Φόρμα εισαγωγής αντικειμένου εξουσιοφότησης... 216 Εικόνα 10-232: Εμφάνιση αποτελεσμάτων... 216 21

Εικόνα 10-233: Το υπομενού Change dosuments... 216 Εικόνα 10-234: Φόρμα εισαγωγής χρήστη/ κριτηρίων... 217 Εικόνα 10-235: Change Documents χρήστη... 217 Εικόνα 10-236: Το υπομενού Change dosuments... 218 Εικόνα 10-237: Φόρμα εισαγωγής ρόλου, χρήστη και κριτηρίων... 218 Εικόνα 10-238: Change documents ρόλου χρήστη... 218 Εικόνα 10-239: Το υπομενού Change dosuments... 218 Εικόνα 10-240: Φόρμα εισαγωγής ρόλου/ κριτηρίων... 219 Εικόνα 10-241: Change documents ρόλου... 219 Εικόνα 10-242: Το υπομενού Change dosuments... 220 Εικόνα 10-243: Φόρμα εισαγωγής προφίλ/ κριτηρίων... 220 Εικόνα 10-244: Change documents προφίλ... 220 Εικόνα 10-245: Το υπομενού Change dosuments... 221 Εικόνα 10-246: Φόρμα εισαγωγής εξουσιοδοτήσης/ κριτηρίων... 221 Εικόνα 10-247: Change documents εξουσιοδότησης... 221 22

1 ΕΙΣΑΓΩΓΗ 1.1 ΣΚΟΠΟΣ ΕΡΓΑΣΙΑΣ Ένα πληροφοριακό σύστημα (ΠΣ) είναι ένα οργανωμένο σύστημα που αποτελείται από πέντε στοιχεία που αλληλεπιδρούν μεταξύ τους και με το περιβάλλον τους. Τα πέντε αλληλεπιδρώντα στοιχεία είναι τα εξής: Άνθρωποι (Humans), Υλικό (Hardware), Λογισμικό (Software), Δεδομένα (Data) και Διαδικασίες (Procedures). Στόχος ενός ΠΣ είναι η παραγωγή και διαχείριση πληροφορίας για την υποστήριξη ανθρώπινων δραστηριοτήτων στα πλαίσια ενός οργανισμού. Επειδή κάθε πληροφοριακό σύστημα είναι τεχνητό, οι στόχοι και οι προδιαγραφές λειτουργίας του είναι προκαθορισμένες. Παρόλα αυτά, κανένα ΠΣ δεν είναι τέλειο. Είναι πολύ συχνό να παρατηρούνται αποκλίσεις ανάμεσα στα προβλεπόμενα και στα πραγματικά αποτελέσματα κατά τη χρήση του. Θα πρέπει να σημειωθεί ότι είναι πρακτικά αδύνατη η μηδενική απόκλιση, τόσο λόγω των ατελειών του ΠΣ, όσο και από την αδυναμία ακριβούς μέτρησης των προβλεπόμενων και πραγματικών τιμών. Οι αποκλίσεις αυτές δημιουργούν ευπάθειες (vulnerabilities), οι οποίες ενδέχεται να προκαλέσουν εκδήλωση απειλών για το ΠΣ, με τελική επίπτωση την αρνητική επίδραση στο τρόπο λειτουργίας αυτού. Υπό την έννοια αυτή, η Ελεγκτική είναι ένα πολύτιμο εργαλείο της Διοίκησης Πληροφοριακών Συστημάτων, προκειμένου να διασφαλιστεί η απρόσκοπτη λειτουργία του. Οι έλεγχοι (controls) του πληροφοριακού συστήματος στοχεύουν: Στην πρόληψη των αποκλίσεων (όπου είναι αυτό δυνατό). Στον έγκαιρο εντοπισμό των αποκλίσεων και των αιτιών που την προκάλεσαν. Στη διατύπωση προτάσεων για τη λήψη μέτρων για τον περιορισμό τους ή τον περιορισμό των συνεπειών τους [2]. Η ελεγκτική διαδικασία (auditing) θεωρείται αποτρεπτική για εγκληματικές ενέργειες, ειδικά εκ των έσω. Οι ελεγκτές προσπαθούν να απαντήσουν ερωτήματα όπως: Γίνονται οι έλεγχοι όπως είχαν σχεδιαστεί; Υλοποιούνται ορθά; Είναι επαρκείς, αξιόπιστοι, αποτελεσματικοί; Παρατηρήθηκε κάποια παραβίαση ασφαλείας; Εάν ναι, ποιες ενέργειες απαιτούνται για να αποτραπούν παρόμοιες; 23

Ποιοι τομείς δεν καλύπτονται από τους ελέγχους; Ποιοι έλεγχοι δε χρειάζονται; Υπάρχει σαφής διαχωρισμός των αρμοδιοτήτων των υπαλλήλων; Υπάρχουν διαδικασίες που λειτουργούν διορθωτικά σε περιπτώσεις παραβίασης [3]; Αυτές οι ερωτήσεις πρέπει να απαντηθούν από ανεξάρτητους, αμερόληπτούς παρατηρητές. Τέτοιοι παρατηρητές εκτελούν την ελεγκτική διαδικασία των πληροφοριακών συστημάτων. Στόχος της συγκεκριμένης πτυχιακής εργασίας είναι να παρουσιαστεί η σημασία της Ελεγκτικής Πληροφοριακών Συστημάτων, δεδομένου ότι τα συστήματα αυτά, αφενός αντιπροσωπεύουν μεγάλες οικονομικές επενδύσεις, αφετέρου η πιθανή προσβολή τους προκαλεί συχνά ανυπολόγιστες απώλειες για την επιχείρηση/ οργανισμό [4]. Επιπροσθέτως, η εργασία μελετά την ασφάλεια του ΠΣ της SAP και διεξάγει έλεγχο αυτής. 1.2 ΜΕΘΟΔΟΛΟΓΙΑ ΕΡΓΑΣΙΑΣ Η μεθοδολογία που ακολουθήθηκε για την εκπόνηση της παρούσας μεταπτυχιακής διπλωματικής εργασίας είναι η ακόλουθη: Αναζήτηση βιβλιογραφίας σχετικά με Έλεγχο Πληροφοριακών Συστημάτων Μελέτη εγχειριδίων SAP Εξοικείωση με περιβάλλον SAP Μελέτη εγχειριδίων σχετικά με δυνατότητες ασφαλείας SAP Εξοικείωση με ασφάλεια SAP Μελέτη εγχειριδίων για ελεγκτική σε SAP Εξοικείωση με δυνατότητες ελεγκτικής SAP Δημιουργία εγχειριδίου για έλεγχο ασφαλείας σε SAP με την κατάλληλη παρουσίαση οθονών Εξαγωγή συμπερασμάτων 1.3 ΔΟΜΗ ΕΡΓΑΣΙΑΣ Η εργασία δομείται σε 11 κεφάλαια. Στο δεύτερο κεφάλαιο γίνεται μία γενική περιγραφή των Πληροφοριακών Συστημάτων Διαχείρισης Επιχειρηματικών Πόρων (ERP) παρουσιάζοντας βασικά σημεία, όπως η λειτουργική και τεχνολογική υποδομή τους, οι ιδιότητές τους κτλ. Το τρίτο κεφάλαιο αποτελεί μία εισαγωγή στον τομέα της Ελεγκτικής Πληροφοριακών Συστημάτων, δίνοντας κάποιους βασικούς ορισμούς, αναφέροντας τους στόχους του ελέγχου κτλ. 24

Το τέταρτο κεφάλαιο περιγράφει αναλυτικότερα τον τομέα της Ελεγκτικής ΠΣ παρουσιάζοντας τη σημασία, λειτουργία, διεξαγωγή και τους μηχανισμούς ελέγχου. Το πέμπτο κεφάλαιο παρουσιάζει κάποια επιπλέον ειδικά θέματα πάνω στην Ελεγκτική ΠΣ. Το έκτο κεφάλαιο περιγράφει αναλυτικά το COBIT, που αποτελεί παγκοσμίως κοινό πρότυπο βέλτιστων πρακτικών σχετικά με τα ΠΣ και εφαρμόζεται κατά τη διαδικασία του ελέγχου. Το έβδομο κεφάλαιο κάνει μία γενική περιγραφή της εταιρείας SAP και του ERP προϊόντος της SAP R/3. Το όγδοο κεφάλαιο παρουσιάζει κάποια βασικά σημεία ελέγχου του SAP R/3. Το ένατο κεφάλαιο παρουσιάζει λεπτομερώς τον τρόπο με τον οποίο διαμορφώνεται η ασφάλεια στο SAP R/3. Το δέκατο αποτελεί ένα εγχειρίδιο ελεγκτικής της ασφάλειας σε SAP R/3 με την παρουσίαση των κατάλληλων οθονών του συστήματος. Το ενδέκατο κεφάλαιο περιέχει τα συμπεράσματα που εξήχθησαν κατόπιν της προσεκτικής έρευνας που πραγματοποιήθηκε στο θέμα της Ελεγκτικής ΠΣ και της Ελεγκτικής Ασφαλείας στο SAP R/3. 25

2 ΠΛΗΡΟΦΟΡΙΑΚΑ ΣΥΣΤΗΜΑΤΑ ΠΡΟΓΡΑΜΜΑΤΙ- ΣΜΟΥ ΕΠΙΧΕΙΡΗΣΙΑΚΩΝ ΠΟΡΩΝ (ERP) 2.1 ΟΡΙΣΜΟΣ ΤΩΝ ERP Οι επιχειρήσεις σήμερα πρέπει να είναι ευέλικτες, με ικανότητα άμεσης και γρήγορης προσαρμογής στις απαιτήσεις των πελατών και να έχουν τη δυνατότητα ταχείας διαχείρισης των διάφορων επιχειρησιακών δραστηριοτήτων για να ανταποκρίνονται στις διαφοροποιήσεις της αγοράς, στις νέες ευκαιρίες και στις προκλήσεις. Με την πρόοδο των Πληροφορικών Συστημάτων, στο κέντρο του επιχειρηματικού ενδιαφέροντος βρίσκονται τα συστήματα που αποκαλούνται με τον όρο ERP (Enterprise Resource Planning Systems), ο οποίος στα ελληνικά αποδίδεται ως «Διαχείριση Επιχειρησιακών Πόρων». Τα Ολοκληρωμένα Συστήματα Διαχείρισης Επιχειρησιακών Πόρων είναι ένα συμπαγές σύνολο εφαρμογών λογισμικού που υποστηρίζουν ένα ευρύ φάσμα επιχειρησιακών δραστηριοτήτων και λειτουργιών. Αποτελούν επιχειρησιακό εργαλείο ελέγχου, παρακολούθησης και συντονισμού των εργασιών στις κεντρικές και απομακρυσμένες εγκαταστάσεις μιας επιχείρησης. Τα ERP καλύπτοντας όλες τις επιχειρηματικές δραστηριότητες και απευθυνόμενα σε όλους τους κλάδους των επιχειρήσεων, παρέχουν ένα περιβάλλον ανασχεδιασμού υποστηρίζοντας την πραγματοποίηση αλλαγών στις επιχειρηματικές λειτουργίες [05]. Εικόνα 2-1: Γραφική απεικόνιση του ERP [6] 26

Σε μία εποχή, κατά την οποία ο ανταγωνισμός καθοδηγείται όλο και περισσότερο από τις δυνάμεις της τεχνολογίας, οι πρωτοπόρες επιχειρήσεις χρησιμοποιούν τις σύγχρονες δυνατότητες της Πληροφορικής για να πετύχουν συγκριτικό πλεονέκτημα αναφορικά με τον ταχύτερο χρόνο ανταπόκρισης στις ανάγκες των πελατών και των προμηθευτών τους, μικρότερο κόστος συναλλαγών, υψηλότερη ποιότητα εξυπηρέτησης και αξιόπιστες σχέσεις συνεργασίας με τους πελάτες και τους προμηθευτές τους. Μια ERP λύση (ERP Solution) δίνει τη δυνατότητα στις εταιρείες να ενσωματώνουν διεθνώς κατανεμημένες οικονομικές πρακτικές και λειτουργικές διαδικασίες [07]. Ως Σύστημα Διαχείρισης Επιχειρησιακών Πόρων (Enterprise Resource Planning Systems- ERP), ορίζεται ένα ολοκληρωμένο Πληροφοριακό Σύστημα, το οποίο υποστηρίζει όλες τις λειτουργίες της επιχείρησης και τις μεταξύ τους συνδέσεις, καθιστώντας έτσι δυνατό τον ενοποιημένο προγραμματισμό χρήσης, την αξιοποίηση και την παρακολούθηση όλων των παραγωγικών της πόρων (π.χ. μηχανημάτων, υλικών, ανθρώπων, οικονομικών πόρων κτλ), με τελικό στόχο την καλύτερη εξυπηρέτηση των πελατών [8]. Περνάμε, δηλαδή, από μια παραδοσιακή μορφή οργάνωσης, όπου κάθε τμήμα της επιχείρησης μηχανογραφείται ανεξάρτητα δημιουργώντας αποκομμένες και ανομοιογενείς νησίδες πληροφοριών και στην πραγματικότητα μηχανογραφεί την ήδη υπάρχουσα οργάνωση, στα πακέτα ERP τα οποία αναδιοργανώνουν μέσω της αυτοματοποιημένης μηχανογράφησης τις λειτουργίες της επιχείρησης λειτουργώντας ως το μοναδικό σημείο συγκέντρωσης και αποκόμισης πληροφοριών για το σύνολο της εταιρείας. Είναι ένα πακέτο λογισμικού που δίνει τη δυνατότητα σε μια επιχείρηση να αυτοματοποιεί και να ολοκληρώνει τις βασικές της επιχειρηματικές διαδικασίες, να διαμοιράζεται κοινά δεδομένα και πρακτικές στο εσωτερικό της και να παράγει πληροφορία σε πραγματικό χρόνο. Αναλυτικότερα ενσωματώνει πληροφορίες και δεδομένα από όλη την επιχείρηση, ώστε να υπάρχει καλύτερη ανάλυση της πληροφορίας, μεγαλύτερη και ορθότερη εκμετάλλευσή της με απώτερο σκοπό την αύξηση του κέρδους της επιχείρησης [5]. Τα πακέτα ERP ήρθαν στην αγορά με την υπόσχεση να προσφέρουν μία ολοκληρωμένη λύση εφαρμογών ώστε, κάτω από μια δυναμική λειτουργικότητα, να βελτιστοποιήσουν τους διάφορους πόρους που διαθέτει η επιχείρηση, να προσφέρουν πλεονεκτήματα και ευελιξία, και να μειώσουν τα λειτουργικά έξοδα. Για πρώτη φορά από τον καιρό που ιδρύθηκαν οι μεγάλες εταιρείες, οι managers έχουν τη δυνατότητα να παρακολουθούν τα γεγονότα που λαμβάνουν χώρα μέσα στην εταιρεία τους σε πραγματικό χρόνο, χωρίς να χρειάζεται να περιμένουν τις μηνιαίες α- ναφορές των διαφόρων τμημάτων, που ενδεχομένως να είναι εκπρόθεσμες έως τη 27

στιγμή που θα τις παραλάβουν. Έχουν επίσης τη δυνατότητα να παρακολουθούν από το γραφείο τους τι συμβαίνει όχι μόνο στην εταιρεία αλλά σε ολόκληρο τον κόσμο. Η πληροφορία ρέει ομοιόμορφα σε όλο το εύρος του οργανισμού. Ό,τι δηλαδή προσφέρει το Διαδίκτυο για την επικοινωνία μεταξύ οργανισμών, προσφέρουν αυτά τα συστήματα για το εσωτερικό του οργανισμού [9]. Τα συστήματα αυτά που είναι γνωστά ως Enterprise Resource Planning (ERP) μπορούν στο εξής να αναφέρονται και ως Enterprise Systems (ES). Οι επιχειρησιακές εφαρμογές ξεκίνησαν με την υποστήριξη των back-office εφαρμογών 1 και στη συνέχεια μετατοπίστηκαν και στις front-office εφαρμογές, υποστηρίζοντας την εφοδιαστική αλυσίδα, τις πωλήσεις, την εξυπηρέτηση του πελάτη κλπ. Αυτές οι νέες λειτουργίες επιτεύχθηκαν είτε με την εγκατάσταση πιο περιεκτικών πακέτων, είτε με συμπληρωματικά πακέτα λογισμικού από third-party εταιρείες λογισμικού. Οι αλλαγές που υπεισέρχονται με αυτά τα συστήματα είναι αρκετά μεγάλες, καθώς αλλάζουν τον τρόπο που, μέχρι τότε, λειτουργούσε κάποια επιχείρηση. Η οργανωσιακή δομή, η κουλτούρα, ο τρόπος που εργάζονταν οι εργαζόμενοι και η επιχειρησιακή στρατηγική της επιχείρησης αναδομούνται [5]. 2.2 ΙΣΤΟΡΙΚΗ ΑΝΑΔΡΟΜΗ Τα παραγωγικά συστήματα στην δεκαετία του 60 επικέντρωναν την προσοχή τους κυρίως στον έλεγχο των αποθεμάτων (inventory control). Ωστόσο οι επιχειρήσεις εκείνη την εποχή είχαν την δυνατότητα να κρατούν υψηλά αποθέματα για να ικανοποιούν οποιαδήποτε ζήτηση από τους πελάτες τους και ταυτόχρονα να είναι ανταγωνιστικές. Έτσι, είναι λογικό οι περισσότερες εφαρμογές να περιορίζονταν μόνο στην αποτελεσματική οργάνωση και διαχείριση μεγάλων ποσοτήτων αποθέματος. Κατά τη δεκαετία του 70 οι επιχειρήσεις δεν είχαν τη δυνατότητα να κρατούν υψηλά αποθέματα. Αυτό οδήγησε στη δημιουργία των πρώτων συστημάτων Πρόβλεψης Απαιτήσεων Υλικών (Materials Requirements Planning MRP). Για πρώτη φορά χρησιμοποιώντας ένα πρότυπο πλάνο χρονοπρογραμματισμού της παραγωγής (Master Production Schedule MPS) και τις απαιτούμενες προδιαγραφές των υλικών (Bill of Materials BOM: τα συγκεκριμένα υλικά δηλαδή που χρειάζονται για να παραχθεί ένα τελικό προϊόν), ένας υπολογιστής αρκούσε για να προσδιορίσει τις ακριβείς ποσότητες υλικών που χρειάζονται. Ταυτόχρονα, χρησιμοποιώντας τα α- κριβή στοιχεία από την καταγραφή των αποθεμάτων, δηλαδή τη διαθέσιμη ποσότητα (on-hand) ή την ποσότητα που είναι προγραμματισμένη για παραλαβή (schedule- 1 Frond office εφαρμογή είναι κάθε είδους λογισμικό που έχει απ ευθείας σχέση με τους πελάτες. Αντιθέτως, οι back office εφαρμογές δεν παρέχουν απ ευθείας σχέση [10]. 28

to-arrive) έγινε δυνατό να υπολογιστούν τα ισοζύγια των υλικών που απαιτούνται στο βέλτιστο χρόνο. Παράλληλα με την ανάπτυξη των MRP συστημάτων, δημιουργήθηκαν και τα πρώτα συστήματα Πρόβλεψης Απαιτήσεων Παραγωγικού Δυναμικού (Capacity Requirements Planning CRP). Έτσι, σε συνδυασμό με τα MRP, δημιουργήθηκαν εφαρμογές που υποστηρίζουν λειτουργίες, όπως ο σχεδιασμός και η πρόβλεψη του συνόλου των πωλήσεων (forecasting and sales planning), ο χρονοπρογραμματισμός (MPS), η δυναμικότητα της παραγωγής και, γενικότερα, η διαχείριση της ζήτησης. Η εισαγωγή μοντέλων και τεχνικών χρονοπρογραμματισμού της παραγωγής (MPS) στα MRP συστήματα αποτέλεσαν το έναυσμα για να δημιουργηθούν τα πρώτα συστήματα που εκτείνονται σε όλο το εύρος της επιχείρησης. Κατά τη διάρκεια της δεκαετίας του 80 η κατακόρυφη αύξηση της υπολογιστικής ισχύος και οι νέες τεχνολογίες Πληροφορικής επέτρεψαν την ανάπτυξη που σχετίζονταν με τις χρηματοοικονομικές δραστηριότητες μιας επιχείρησης. Με αυτό τον τρόπο δημιουργήθηκαν τα πρώτα ολοκληρωμένα πληροφοριακά συστήματα Manufacturing Resource Planning (MRP ΙΙ), που συνδύαζαν τα συστήματα διαχείρισης παραγωγής και υλικών με τη λογιστική και χρηματοοικονομική διαχείριση μιας επιχείρησης. Μέσα από την οικονομική απεικόνιση της παραγωγής και των κινήσεων των αποθεμάτων τα MRP ΙΙ συστήματα έγιναν πολύ ελκυστικά εργαλεία στη λήψη αποφάσεων σε μια επιχείρηση. Στις αρχές της δεκαετίας του 90 τα MRP ΙΙ συστήματα επεκτάθηκαν για να συμπεριλάβουν το σχεδιασμό και τη διαχείριση σχεδόν όλων των παραγωγικών πόρων μιας επιχείρησης. Έτσι, λειτουργίες όπως ο σχεδιασμός προϊόντων, η διαχείριση αποθηκών, η διαχείριση έργων και ανθρώπινου δυναμικού και ολόκληρη η ε- μπορική και οικονομική διαχείριση (πάγια, επιταγές, γραμμάτια και άλλα) μιας επιχειρήσεις συμπεριλαμβάνονταν σε ένα μόνο σύστημα. Αυτού του είδους τα ολοκληρωμένα πληροφοριακά συστήματα είναι γνωστά ως Συστήματα Διαχείρισης Επιχειρησιακών Πόρων (Enterprise Resource Planning Systems ERP) [11]. 2.3 Η ΛΕΙΤΟΥΡΓΙΚΗ ΔΟΜΗ ΤΩΝ ERP Όλα υποσυστήματα του ERP διασυνδέονται, ώστε να μπορούν να ανταλλάσσουν δεδομένα (π.χ. δεδομένα ή έξοδοι (αποτελέσματα) ενός υποσυστήματος να μπορούν να χρησιμοποιηθούν και από άλλα υποσυστήματα ως είσοδοι). Για την ε- πίτευξη της διασύνδεσης αυτής συνήθως όλα τα Υποσυστήματα του ERP στηρίζονται σε μία κοινή βάση δεδομένων, όπως φαίνεται και στο παρακάτω σχήμα (Εικόνα 2-2: Λειτουργική δομή ERP [8]), ούτως ώστε τα δεδομένα και τα αποτελέσματα από κάθε υποσύστημα να αποθηκεύονται στην κοινή αυτή βάση δεδομένων και τα άλλα υποσυστήματα να μπορούν να τα διαβάσουν ή να τα επεξεργασθούν, κ.ο.κ. [8]. Στη βάση δεδομένων ενός ERP συστήματος αποθηκεύεται κάθε είδους πληροφορία, μία 29

και μόνο φορά, κατά τη γέννησή της. Η βάση δέχεται και στέλνει δεδομένα σε ένα σύνολο εφαρμογών, οι οποίες καλύπτουν όλο το φάσμα δραστηριοτήτων της επιχείρησης. Με αυτόν τον τρόπο τυποποιούνται και ενοποιούνται οι επιχειρηματικές διαδικασίες (κάτω από μια ενιαία πλατφόρμα), καταργούνται οι νησίδες πληροφοριών, απλοποιείται η επικοινωνία και διευκολύνεται η υλοποίηση νέων μεθόδων των επιχειρήσεων. Στο παρελθόν, οι εταιρείες χρησιμοποιούσαν για τις ανάγκες τους εφαρμογές οι οποίες ήταν λειτουργικά απομονωμένες. Για παράδειγμα, η γενική λογιστική, η μισθοδοσία, η διαχείριση αποθεμάτων είχαν το δικό τους λογισμικό, τη δική τους πληροφορία και τη δική τους διεπαφή (interface). Όλα αυτά με το ERP ενοποιούνται και δίνεται η δυνατότητα της άμεσης πληροφόρησης για οτιδήποτε ζητηθεί. Οι πληροφορίες της βάσης δεδομένων χρησιμοποιούνται από τις ενότητες του συστήματος, οι οποίες υποστηρίζουν διαφορετικές διαδικασίες, τμήματα και λειτουργίες. Η εισαγωγή μίας πληροφορίας, μέσω μίας ενότητας στη ΒΔ, προκαλεί μεγάλο αριθμό δοσοληψιών και ενεργοποίηση πολλών δραστηριοτήτων [5]. Εικόνα 2-2: Λειτουργική δομή ERP [8] Παράδειγμα αποτελεί η διαπραγμάτευση μιας πώλησης, όπου το σύστημα ε- τοιμάζει κάποιο συμβόλαιο, κοστολογεί την πώληση, ενημερώνει όλους τους σχετικούς λογαριασμούς, προγραμματίζει την παραγωγή, παραγγέλνει τα υλικά, ενημε- 30

ρώνει διαδικασίες πρόβλεψης, προγραμματίζει τη βέλτιστη διανομή του προϊόντος και εκτελεί επιπρόσθετες ενέργειες. Σήμερα δεν χρειάζεται οι επιχειρήσεις να δημιουργήσουν μόνες τους το δικό τους ολοκληρωμένο σύστημα. Στην αγορά διατίθενται από πολλούς κατασκευαστές προϊόντα, των οποίων οι εφαρμογές αποτελούνται από συνεργαζόμενα υποσυστήματα/ ενότητες (modules). Κάθε υποσύστημα περιλαμβάνει ποικιλία εφαρμογών. Για παράδειγμα, το υποσύστημα που αφορά τη Λογιστική περιλαμβάνει τη γενική λογιστική, τους πληρωτέους λογαριασμούς, τη διαχείριση εσόδων, το συνάλλαγμα κλπ. Όλη η πληροφορία που παράγεται από αυτές τις ενότητες είναι ήδη αποδεκτή από τις εφαρμογές του Internet αλλά και του Intranet. Για κάποιες επιχειρήσεις δεν θεωρείται απαραίτητη η εγκατάσταση όλων των πιθανών υποσυστημάτων που υπάρχουν στην αγορά. Πολλά από αυτά υιοθετούνται από σχεδόν όλες τις επιχειρήσεις, όπως το Finance και Accounting, ενώ κάποια άλλα, όπως η διαχείριση ανθρωπίνων πόρων- Human Resource Management, δεν υιοθετούνται και δεν συμπεριλαμβάνονται σε συγκεκριμένα ERP projects. Ακολουθούν αναλυτικά τα «Λειτουργικά Υποσυστήματα» που συμπεριλαμβάνονται σε ένα ERP (Functional Modules), τα πιο γνωστά εκ των οποίων είναι [11]: Εικόνα 2-3: Λειτουργική δομή ERP 2 [12] Το υποσύστημα Οικονομικής Διαχείρισης είναι η καρδιά του ERP, και ανταλλάσσει πληροφορίες με όλα τα υπόλοιπα υποσυστήματα. Βασικές διαδικασίες της Οικονομικής Διαχείρισης περιλαμβάνουν τη Γενική Λογιστική (General Ledger), την Αναλυτική Λογιστική (Analytical 31

Ledger), του Πληρωτέους Λογαριασμούς (Accounts Payable), την Κοστολόγηση βάσει δραστηριοτήτων, κλπ. Οι βασικές λειτουργίες του υποσυστήματος Πωλήσεων-Marketing περιλαμβάνουν την Παραγγελιοληψία (Order Entry), την Τιμολόγηση (Invoicing), τις Προβλέψεις Ζήτησης (Forecasting), την Ηλεκτρονική Α- νταλλαγή Δεδομένων (EDI), το Ηλεκτρονικό Εμπόριο μέσω Internet (Electronic Commerce), κλπ. Το υποσύστημα των Πωλήσεων ανταλλάσσει πληροφορίες κυρίως με τα υποσυστήματα Παραγωγής, Οικονομικής Διαχείρισης και Αποθήκευσης και Διανομής. Το υποσύστημα Προμηθειών περιλαμβάνει τη διαχείριση Εντολών Αγοράς (Purchase Orders Management), την αξιολόγηση των προμηθευτών (Supplier Evaluation), τη Διαχείριση Συμβάσεων (Contract Management), κλπ. Αυτό το υποσύστημα ανταλλάσσει πληροφορίες με αυτά της Οικονομικής Διαχείρισης, Αποθήκευσης και Διανομής, και Παραγωγής. Οι βασικές λειτουργίες του υποσυστήματος Αποθήκευσης-Διανομής περιλαμβάνουν τη Διαχείριση Αποθεμάτων (Inventory Control) και τον Προγραμματισμό Απαιτήσεων Διανομής (Distribution Requirement Planning). Άλλες λειτουργίες, που πιθανών να υποστηρίζονται, περιλαμβάνουν τη Διαχείριση Αποθηκών (Warehouse Management) και τη Διαχείριση Στόλου Φορτηγών (Fleet Management). Το υποσύστημα της Αποθήκευσης-Διανομής ανταλλάσσει πληροφορίες με τα υποσυστήματα Οικονομικής Διαχείρισης, Πωλήσεων-Marketing, Προμηθειών και Παραγωγής. Το υποσύστημα Ανθρωπίνων Πόρων περιλαμβάνει τον Προγραμματισμό Προσωπικού (Personnel Planning), τη Μισθοδοσία (Payroll), την Αξιολόγηση Προσωπικού (Personnel Evaluation), κλπ. Το υποσύστημα των Ανθρωπίνων Πόρων ανταλλάσσει πληροφορίες κυρίως με το υποσύστημα Οικονομική Διαχείρισης. Οι βασικές λειτουργίες που καλύπτει το υποσύστημα Παραγωγής περιλαμβάνουν τον Προγραμματισμό Απαιτήσεων Υλικών (Material Requirements Planning), τον μακροπρόθεσμο Προγραμματισμό Παραγωγής (Master Production Scheduling), τον Έλεγχο Μονάδων Παραγωγής (Shop Floor Control) και άλλες. Το υποσύστημα αυτό ανταλλάσσει πληροφορίες με αυτά των Οικονομικής Διαχείρισης, Πωλήσεων- Marketing, Προμηθειών και Αποθήκευσης-Διανομής [12]. Τα σύγχρονα ERP, πέραν των παραπάνω υποσυστημάτων υποστήριξης των τυποποιημένων διεκπεραιωτικών εργασιών (operational subsystems), όταν υπάρχουν μεγάλες ανάγκες υποστήριξης λήψης αποφάσεων, περιλαμβάνουν επίσης και 32

ένα αυτόνομο υποσύστημα υποστήριξης αποφάσεων (analytical subsystem ή decision support subsytem). Αυτό περιλαμβάνει τα εξής: Ιδιαίτερος εξοπλισμός υλικό (υψηλής υπολογιστικής ισχύος) Ιδιαίτερα αρχεία: Αποθήκη Δεδομένων (Data warehouse) με συγκεντρωτικά στοιχεία που παράγονται ανά τακτά χρονικά διαστήματα από τα αναλυτικά στοιχεία των αρχείων των «διεκπεραιωτικών» υποσυστημάτων Ιδιαίτερα εργαλεία, όπως: On Line Analytical Processing (OLAP) tools Data Mining Tools (ανακάλυψη νέας γνώσης) Decision Modeling Tools Effectiveness Modeling Tools User s Modeling Tools (values, risk attitude) [8] 2.4 ΒΑΣΙΚΕΣ ΙΔΙΟΤΗΤΕΣ ΥΠΑΡΧΟΝΤΩΝ ΠΑΚΕΤΩΝ ERP Οι βασικές ιδιότητες των ERP θα μπορούσαν να συνοψιθούν στα εξής: Υποστηρίζουν την αρχιτεκτονική client- server (περιγράφεται στην ε- νότητα 2.3) Είναι πραγματικού χρόνου (real time) Διατηρούν κοινή βάση δεδομένων όλων των υποσυστημάτων Χαρακτηρίζονται από υψηλή προσαρμοστικότητα χωρίς προγραμματισμό (δυνατότητα πραμετροποιήσεων) Υποστηρίζουν πολλά νομίσματα και γλώσσες Υποστηρίζουν τόσο τον προγραμματισμό εργασιών, όσο και την παρακολούθηση της υλοποίησης τους [8]. 2.5 ΚΡΙΣΙΜΟΙ ΠΑΡΑΓΟΝΤΕΣ ΕΠΙΤΥΧΙΑΣ ΕΡΓΩΝ ERP Είναι μεγάλο το ποσοστό των ERP (και γενικότερα των ΠΣ) που αποτυγχάνουν λόγω κακού σχεδιασμού. Για να αποφευχθούν τέτοια περιστατικά, πρέπει να λαμβάνονται υπόψη οι παρακάτω παράγοντες. Εμπλοκή και ενδιαφέρον της ανώτερης και ανώτατης διοίκησης (top management involvement) Κατάλληλος project manager με εμπειρία, γνώση της επιχείρησης και δυνατότητα λήψης αποφάσεων Μέλη- χρήστες με γνώση από όλες τις οργανωτικές μονάδες που θα καλυφθούν από το σύστημα (project team)- επαρκής συμμετοχή- ε- μπλοκή χρηστών 33

Κατάλληλη εξωτερική βοήθεια- έμπειροι consultants (αναλύεται στην ενότητα 2.6.1) Επαρκής εκπαίδευση χρηστών και εξειδικευμένου προσωπικού Πληροφορικής (training) Πρόγραμμα διαχείρισης της αλλαγής (change management program), ώστε να αποφευχθούν αρνητικές αντιδράσεις και αντιστάσεις (resistance to change) Σαφής καθορισμός του έργου και μετριοπάθεια στόχων (project scope) Κατάλληλη αντιμετώπιση τεχνικών προβλημάτων (μετατροπή δεδομένων, διασύνδεση με άλλα συστήματα/ εφαρμογές) Κατάλληλη αντιμετώπιση του θέματος «Διαδικασίες» Κατάλληλη στρατηγική υλοποίησης Επιλογή κατάλληλου ERP συστήματος (κοντά στις διαδικασίες της επιχείρησης) [8]. 2.6 ΤΡΟΠΟΙ ΥΛΟΠΟΙΗΣΗΣ ΤΩΝ ΣΥΣΤΗΜΑΤΩΝ Η υλοποίηση ενός τέτοιου συστήματος, όπως αναφέραμε, δεν σημαίνει απλώς την ε- γκατάστασή του και τίποτα περισσότερο. Σημαίνει (όπως ήδη προαναφέρθηκε) την ολοκλήρωση όλων των λειτουργιών και πληροφοριών σε κοινή βάση δεδομένων, την εγκατάλειψη παλαιών μεθό- Εικόνα 2-4: Τρόποι υλοποίησης συστημάτων [13] δων, την εκπαίδευση των εργαζομένων κλπ. Με λίγα λόγια η οργανωσιακή αλλαγή αντιπροσωπεύει σε μεγάλο βαθμό την επιτυχία ενός ERP. Οι επιχειρήσεις μπορούν να υλοποιήσουν ένα ERP με πολλούς διαφορετικούς τρόπους. Οι διαστάσεις κλειδιά που διαφοροποιούν τον τρόπο υλοποίησης ενός ERP είναι ο χρόνος υλοποίησης και το μέγεθος της οργανωσιακής αλλαγής που προσδοκά η επιχείρηση. Όταν οι δύο αυτές διαστάσεις συνδυαστούν προκύπτει ο πίνακας της εικόνας 2-4. Τα συστήματα μπορούν να υλοποιηθούν είτε αργά, είτε γρήγορα. Αυτό εξαρτάται από τους στόχους που έχει θέσει η επιχείρηση, από το πόσο περιορισμένος είναι ο διαθέσιμος χρόνος και από το πόσο καλά προχωρά η υλοποίηση. Μια γρή- 34

γορη υλοποίηση μπορεί να διαρκέσει από μερικούς έως έξι (6) μήνες, ενώ μια αργή να χρειαστεί πέντε (5) ή και παραπάνω χρόνια. Ανάλογα με τις επιδιώξεις της εταιρείας τα συστήματα ERP μπορούν να εγκατασταθούν για τεχνικούς λόγους ή για την υποστήριξη της στρατηγικής και της α- νταγωνιστικότητας της. Μια υλοποίηση που αφορά τον πρώτο λόγο σκοπεύει στη προσφορά μιας ουσιώδους λειτουργικότητας στην εταιρεία, με την όσο το δυνατόν μικρότερη οργανωσιακή αλλαγή. Αντίθετα, μια υλοποίηση που αφορά το δεύτερο λόγο στοχεύει στη μεγιστοποίηση της θετικής οργανωσιακής αλλαγής και αξίας της εταιρείας στην αγορά. Από τον παραπάνω πίνακα ο μοναδικός συνδυασμός, ο οποίος δεν φαίνεται να είναι λογικός, είναι η επιλογή «Αργή-Τεχνική», καθώς η εστίαση στους τεχνικούς λόγους προσφέρει μικρή επιχειρηματική αξία (business value). Όταν λοιπόν κάποιος διαπιστώσει ότι βρίσκεται σε αυτή την κατηγορία, αντιλαμβάνεται ότι έχει πραγματοποιήσει μια «φτωχή» υλοποίηση. Ο συνδυασμός «Γρήγορη-Τεχνική» σημαίνει μια γρήγορη ανακούφιση από πολλά τεχνικά προβλήματα, και είναι μια προσέγγιση που θεωρείται ως η πιο οικονομική. Κάποιες εταιρείες θεωρούν ορθότερο να ξεκινούν με μια γρήγορη τεχνική υλοποίηση, σκοπεύοντας όμως στην απόκτηση συγκεκριμένης επιχειρηματικής αξίας από τα συστήματά τους. Για να γίνει αυτό περισσότερο κατανοητό, η θεώρησή αυτή υποδηλώνει τη γρήγορη εγκατάσταση του συστήματος στην εταιρεία και, στην πορεία, την προσαρμογή του στις ανάγκες αυτής [13]. 2.6.1 Ο ρόλος του συμβούλου υλοποίησης Στο παρελθόν έχουν γίνει αρκετά έργα ERP με μέτρια αποτελέσματα για τις επιχειρήσεις ή, σε ορισμένες περιπτώσεις, οδήγησαν ανάλογα projects σε αποτυχία. Δεν είναι τυχαίο ότι οι σοβαροί Οίκοι Λογισμικού κάνουν το τελευταίο διάστημα μια έντονη προσπάθεια να στελεχωθούν με συμβούλους που δεν έχουν τόσο προϋπηρεσία στο χώρο του λογισμικού, όσο στο χώρο του management consulting. Αυτό που έλειπε από τα έργα υλοποίησης ERP συστημάτων ήταν σύμβουλοι υλοποίησης με «Business» προσέγγιση. Αυτοί οι σύμβουλοι λειτουργούν ως «μεταφραστές των απαιτήσεων» ανάμεσα στα στελέχη της επιχείρησης (που ζητά το ERP) και στους developers του ERP software, επιλύοντας προβλήματα, βρίσκοντας διεξόδους στις περιπτώσεις που το software δεν μπορεί να καλύψει επακριβώς τις ανάγκες της επιχείρησης, διευκολύνοντας την ομαλή ροή της εργασίας μέσα στα προκαθορισμένα χρονοδιαγράμματα και, γενικότερα, βοηθώντας την διεκπεραίωση του έργου. 35