CN110826834A - 不同职责分离规则集之间的比对方法及装置 - Google Patents

Abstract

本发明公开了一种不同职责分离规则集之间的比对方法及装置，属于信息处理技术领域。所述方法包括：获取第一职责分离规则集与第二职责分离规则集，第一职责分离规则集与第二职责分离规则集均包括若干风险，各个风险关联两个具有职责冲突风险的功能；基于各个风险与功能的关联，建立第一矩阵与第二矩阵，第一矩阵与第二矩阵为同型矩阵，第一矩阵中的元素与第一职责分离规则集中风险关联的功能对应，第二矩阵中的元素与第二职责分离规则集中风险关联的功能对应；基于第一矩阵和第二矩阵，确定第一职责分离规则集与第二职责分离规则集之间的差异，差异包括第一职责分离规则集中独有的风险、以及第二职责分离规则集中独有的风险。

Description

不同职责分离规则集之间的比对方法及装置

技术领域

本发明涉及信息处理技术领域，特别涉及一种不同职责分离规则集之间的比对方法及装置。

背景技术

系统应用与产品(System Applications and Products，简称SAP)系统是一种应用极为广泛的企业资源计划(Enterprise Resource Planning，简称ERP)系统。其中，SAP治理、风险与合规(SAP Governance，Risk and Compliance，简称SAPGRC)解决方案(下文简称为SAP GRC)是管理ERP系统权限的工具。

ERP系统权限与职工的工作岗位相对应。通过SAP GRC为职工分配ERP系统权限时，必须遵守职责分离原则(也称不相容职务相分离的原则)。职责分离原则包括，合理设置企业中工作岗位，明确各个岗位的职责权限，不相容职责相分离，岗位之间形成相互制衡机制。不相容职责是指那些如果由一个人担任，既可能发生错误和舞弊行为，又可能掩盖其错误和弊端行为的职责。

SAP GRC提供访问控制模块来实现职责分离。访问控制模块的核心部分之一是“访问权限标准化规则库”。该标准化规则库涵盖了企业在分配岗位职责时所应当遵守的所有不相容职务相分离的原则。在该规则库中，设置有职责分离规则集等内容。职责分离规则集定义了企业在岗位不相容职务相分离的原则中所需遵循的互斥标准，即哪些岗位职责的重叠和交叉会形成职责冲突风险。基于该职责分离规则集，在为职工分配岗位的职责权限时，SAP GRC系统将自动对分配的职责权限进行筛查。假若分配给同一岗位的两个职责权限属于职责分离规则集中具有职责冲突风险的职责，SAP GRC系统将自动进行提示。

在SAP GRC中，允许一个企业拥有多套职责分离规则集。为了准确反映岗位职责所遵守的互斥标准，这些职责分离规则集需要根据企业业务流程变化和ERP系统配置变化不断的修改其内容。一般地，企业的技术人员、业务人员和管理人员都可以修改职责分离规则集的内容。由于修改人员的数量较多，当前修改人员往往不清楚上一个修改人员所修改的内容，因此，当前修改人员在修改职责分离规则集的内容时，需要了解当前职责分离规则集与历史职责分离规则集之间的差异，以确定修改之处和整体的修改趋势，便于规划本次修改的内容。

现有的方法是在修改职责分离规则集之前，先下载和存储待修改的规则集，然后将存储的待修改的规则集与以往存储的历史职责分离规则集进行手工比对，获取当前职责分离规则集与历史职责分离规则集之间的差异。手工对比花费的时间比较长，对比的工作效率低，增大了人力成本的支出。

发明内容

本发明实施例提供了一种不同职责分离规则集之间的比对方法及装置，能够解决手工对比花费的时间比较长，增大了人力成本的支出的问题。所述技术方案如下：

一方面，提供了一种不同职责分离规则集之间的比对方法，所述方法包括：

获取第一职责分离规则集与第二职责分离规则集，所述第一职责分离规则集与所述第二职责分离规则集均包括若干风险，各个所述风险关联两个具有职责冲突风险的功能；

基于各个所述风险与所述功能的关联，建立第一矩阵与第二矩阵，所述第一矩阵与所述第二矩阵为同型矩阵，所述第一矩阵中的元素与所述第一职责分离规则集中风险关联的功能对应，所述第二矩阵中的元素与所述第二职责分离规则集中风险关联的功能对应；

基于所述第一矩阵和所述第二矩阵，确定所述第一职责分离规则集与所述第二职责分离规则集之间的差异，所述差异包括，所述第一职责分离规则集中独有的风险、以及所述第二职责分离规则集中独有的风险。

可选地，所述获取第一职责分离规则集与第二职责分离规则集，包括：

从同一组织的系统应用与产品治理、风险与合规中，获取所述第一职责分离规则集与所述第二职责分离规则集，所述组织为拥有独立的企业资源计划ERP用户管理职能、且规定了一个完整的职责互斥标准的主体对象。

可选地，所述基于各个所述风险与所述功能的关联，建立第一矩阵与第二矩阵，包括：

获取所述第一职责分离规则集中各个风险所关联的功能，得到第一功能集合；

获取所述第二职责分离规则集中各个风险所关联的功能，得到第二功能集合；

基于所述第一功能集合和所述第二功能集合，确定功能全集；

基于所述功能全集，建立第一功能矩阵P和第二功能矩阵P’，所述P与所述P’均为n行n列矩阵，n为所述功能全集中功能的总数量，P_i为所述功能全集中第i个功能的标识，i＝{1、2、…、n-1、n}；

根据所述P、所述P’、以及各个所述风险与所述功能的关联，建立第一矩阵A和第二矩阵A’，

A_ij为所述A中第i行第j列的元素，A′_ij为所述A’中第i行第j列的元素，所述第一条件为所述P中第i行示出的功能的标识和所述P’中第j列示出的功能的标识分别为所述第一职责分离规则集中第b个风险关联的两个功能的标识，所述第二条件为所述P中第i行示出的功能的标识和所述P’中第j列示出的功能的标识中至少一个所述功能的标识不为所述第一职责分离规则集中所述第b个风险关联的两个功的标识能，所述第三条件为所述P中第i行示出的功能的标识和所述P’中第j列示出的功能的标识分别为所述第二职责分离规则集中第p个风险关联的两个功能的标识，所述第四条件为所述P中第i行示出的功能的标识和所述P’中第j列示出的功能的标识中至少一个所述功能的标识不为所述第二职责分离规则集中所述第p个风险关联的两个功能的标识，j＝{1、2、…、n-1、n}，b或p为正整数。

可选地，基于所述第一矩阵和所述第二矩阵，确定所述第一职责分离规则集与所述第二职责分离规则集之间的差异，包括：

对所述第一矩阵和所述第二矩阵进行矩阵减法运算，得到差异矩阵，所述差异矩阵的元素的值包括-1、0和1；

确定值为1的元素所对应的风险、以及确定值为-1的元素所对应的风险；

将所述值为1的元素所对应的风险作为所述第一职责分离规则集中独有的风险，以及将所述值为-1的元素所对应的风险作为所述第二职责分离规则集中独有的风险，得到所述第一职责分离规则集与所述第二职责分离规则集之间的差异。

可选地，所述第一职责分离规则集为当前使用的职责分离规则集，所述第二职责分离规则集为历史使用的职责分离规则集，所述第一职责分离规则集基于所述第二职责分离规则集编辑得到，

所述方法还包括：

基于所述第一职责分离规则集与所述第二职责分离规则集之间的差异，规划本次修改、删除和/或增加的风险；

基于规划的本次修改、删除和/或增加的风险，对所述第一职责分离规则集进行编辑。

另一方面，提供了一种不同职责分离规则集之间的比对装置，所述装置包括：

获取单元，用于获取第一职责分离规则集与第二职责分离规则集，所述第一职责分离规则集与所述第二职责分离规则集均包括若干风险，各个所述风险关联两个具有职责冲突风险的功能；

运算单元，用于基于各个所述风险与所述功能的关联，建立第一矩阵与第二矩阵，所述第一矩阵与所述第二矩阵为同型矩阵，所述第一矩阵中的元素与所述第一职责分离规则集中风险关联的功能对应，所述第二矩阵中的元素与所述第二职责分离规则集中风险关联的功能对应；

确定单元，用于基于所述第一矩阵和所述第二矩阵，确定所述第一职责分离规则集与所述第二职责分离规则集之间的差异，所述差异包括，所述第一职责分离规则集中独有的风险、以及所述第二职责分离规则集中独有的风险。

可选地，所述获取单元用于，

从同一组织的系统应用与产品治理、风险与合规SAP GRC中，获取所述第一职责分离规则集与所述第二职责分离规则集，所述组织为拥有独立的企业资源计划ERP用户管理职能、且规定了一个完整的职责互斥标准的主体对象。

可选地，所述运算单元用于，

获取所述第一职责分离规则集中各个风险所关联的功能，得到第一功能集合；

获取所述第二职责分离规则集中各个风险所关联的功能，得到第二功能集合；

基于所述第一功能集合和所述第二功能集合，确定功能全集；

基于所述功能全集，建立第一功能矩阵P和第二功能矩阵P’，所述P与所述P’均为n行n列矩阵，n为所述功能全集中功能的总数量，P_i为所述功能全集中第i个功能的标识，i＝{1、2、…、n-1、n}；

根据所述P、所述P’、以及各个所述风险与所述功能的关联，建立第一矩阵A和第二矩阵A’，

A_ij为所述A中第i行第j列的元素，A′_ij为所述A’中第i行第j列的元素，所述第一条件为所述P中第i行示出的功能的标识和所述P’中第j列示出的功能的标识分别为所述第一职责分离规则集中第b个风险关联的两个功能的标识，所述第二条件为所述P中第i行示出的功能的标识和所述P’中第j列示出的功能的标识中至少一个所述功能的标识不为所述第一职责分离规则集中所述第b个风险关联的两个功的标识能，所述第三条件为所述P中第i行示出的功能的标识和所述P’中第j列示出的功能的标识分别为所述第二职责分离规则集中第p个风险关联的两个功能的标识，所述第四条件为所述P中第i行示出的功能的标识和所述P’中第j列示出的功能的标识中至少一个所述功能的标识不为所述第二职责分离规则集中所述第p个风险关联的两个功能的标识，j＝{1、2、…、n-1、n}，b或p为正整数。

可选地，所述确定单元用于，

对所述第一矩阵和所述第二矩阵进行矩阵减法运算，得到差异矩阵，所述差异矩阵的元素的值包括-1、0和1；

确定值为1的元素所对应的风险、以及确定值为-1的元素所对应的风险；

将所述值为1的元素所对应的风险作为所述第一职责分离规则集中独有的风险，以及将所述值为-1的元素所对应的风险作为所述第二职责分离规则集中独有的风险，得到所述第一职责分离规则集与所述第二职责分离规则集之间的差异。

可选地，所述第一职责分离规则集为当前使用的职责分离规则集，所述第二职责分离规则集为历史使用的职责分离规则集，所述第一职责分离规则集基于所述第二职责分离规则集编辑得到，

所述装置还包括编辑单元，所述编辑单元用于，

基于所述第一职责分离规则集与所述第二职责分离规则集之间的差异，规划本次修改、删除和/或增加的风险；

基于规划的本次修改、删除和/或增加的风险，对所述第一职责分离规则集进行编辑。

本发明实施例提供的技术方案带来的有益效果是：通过获取第一职责分离规则集与第二职责分离规则集，第一职责分离规则集与第二职责分离规则集均包括若干风险，各个风险关联两个具有职责冲突风险的功能，各个功能包括功能操作和功能许可；基于各个风险与功能的关联，建立第一矩阵与第二矩阵，第一矩阵与第二矩阵为同型矩阵，第一矩阵中的元素与第一职责分离规则集中风险对应，第二矩阵中的元素与第二职责分离规则集中风险对应；由于第一矩阵和第二矩阵为同型矩阵，同型矩阵之间可以进行矩阵加减运算，这为后续确定第一职责分离规则集与第二职责分离规则集之间的差异提供运算基础；基于第一矩阵和第二矩阵，确定第一职责分离规则集与第二职责分离规则集之间的差异，差异包括第一职责分离规则集中独有的风险、以及第二职责分离规则集中独有的风险；实现了不同职责分离规则集之间的比对，这样，当第一职责分离规则集为当前职责分离规则集，第二职责分离规则集为历史职责分离规则集时，能够通过该比对方法比对当前职责分离规则集与历史职责分离规则集，该比对方法是规范化的方法，能够通过计算机执行，不需要手工比对，能够将人力从手工对比中解放出来，提高对比的工作效率，减少人力成本的支出。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例提供的职责分离规则集的构成示意图；

图2和图3分别是本发明实施例提供的一种不同职责分离规则集之间的比对方法的流程图；

图4是本发明实施例提供的一种不同职责分离规则集之间的比对装置的结构示意图；

图5是本发明实施例提供的一种不同职责分离规则集之间的比对装置的结构框图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明实施方式作进一步地详细描述。

为便于对本发明实施例的理解，首先介绍一下职责分离规则集。职责分离规则集，也称不相容职务相互分离控制规则集合。职责分离规则集定义了一个企业或者生产经营机构在岗位不相容职务相分离的原则中应遵循的职责互斥标准的集合。不相容职务是指那些如果由一个人担任，既可能发生错误和舞弊行为，又可能掩盖其错误和弊端行为的职务。不相容职务分离的核心是“相互制衡”，不相容职务主要包括：授权批准、业务经办、会计记录、财产保管、稽核检查等职务。职责互斥标准，即哪些岗位职责的重叠和交叉会形成职责冲突风险，即哪些岗位职责是不相容职务。参见图1，职责分离规则集由若干风险组成，比如可以包括风险1、风险2、风险3、…、风险i、…。风险是定义企业岗位不相容职务相分离的原则中所需遵循的某一个互斥标准，即哪些岗位职责的重叠和交叉会形成职责冲突风险。一般地，各岗位职责所形成的风险是根据业务流程(比如财务流程、采购流程等)进行划分的。参见图1，风险1属于业务流程1，风险2～i属于业务流程2，业务流程3下的风险未示出。每个风险一般由两个功能组成。比如，风险1为功能a与功能b的风险，风险2为功能a与功能e的风险，风险3为功能c与功能d的风险，风险i为功能d与功能i的风险。

功能对应于企业的岗位职责，一般是指执行某项工作。例如，功能可以是创建采购订单、成本主数据维护、或者会计科目主数据维护。功能包括功能操作和功能许可。功能操作指，在ERP系统中为执行某项功能，所使用的事务代码。例如：创建采购订单使用的事务代码为ME21N、创建成本中心使用的事务代码为KS01、会计科目主数据维护的事务代码为FS00。功能许可指，在ERP系统中为执行某项功能，所使用的权限对象。例如：采购员在ERP系统中创建采购订单，除了需要使用事务代码ME21N以外，还应拥有以下权限对象：采购订单所属采购组织(M_BEST_EKO/EKORG)、以及创建采购订单的凭证类型(M_BEST_BSA/BSART)。

需要说明的是，本发明实施例提供的不同职责分离规则集之间的比对方法适用于风险由两个功能组成的场景。

此外，在本发明实施例中，组织指，拥有独立的ERP用户管理职能，且规定了一个完整的职责互斥标准的主体对象，例如该主体对象可以是生产经营机构。一个企业包括至少一个组织。如中国石油集团公司下属大庆油田是一个组织，中国石油湖北销售分公司是一个组织。需要说明的是，组织是离散的、平铺的，即从属于一个企业的不同组织之间没有任何隶属关系，仅仅是一个独立的单元。

图2示出了本发明实施例提供的一种不同职责分离规则集之间的比对方法。参见图2，该方法流程包括如下步骤。

步骤101、获取第一职责分离规则集与第二职责分离规则集。

其中，第一职责分离规则集与第二职责分离规则集均包括若干风险，各个风险关联两个具有职责冲突风险的功能。

步骤102、基于各个风险与功能的关联，建立第一矩阵与第二矩阵。

其中，第一矩阵与第二矩阵为同型矩阵，第一矩阵中的元素与第一职责分离规则集中风险关联的功能对应，第二矩阵中的元素与第二职责分离规则集中风险关联的功能对应。

步骤103、基于第一矩阵和第二矩阵，确定第一职责分离规则集与第二职责分离规则集之间的差异。

其中，差异包括，第一职责分离规则集中独有的风险、以及第二职责分离规则集中独有的风险。

具体地，第一职责分离规则集中独有的风险是第一职责分离规则集中具有且第二职责分离规则集中不具有的风险，类似地，第二职责分离规则集中独有的风险是第二职责分离规则集中具有且第一职责分离规则集中不具有的风险。

作为可选的第一实施方式，第一职责分离规则集为当前使用的职责分离规则集，第二职责分离规则集为历史使用的职责分离规则集，第一职责分离规则集可以基于第二职责分离规则集编辑得到。相比于现有技术中手工比对当前职责分离规则集与历史职责分离规则集，该比对方法是规范化的方法，能够通过计算机执行，不需要手工比对，能够将人力从手工对比中解放出来，提高对比的工作效率，减少人力成本的支出。

一个组织可以存在多套职责分离规则集，这些规则集包括针对同一类业务的规则集，还包括针对不同业务的规则集。针对同一类业务的规则集，包括上市分公司的不同时间版本的规则集；针对不同业务的规则集，包括上市分公司的规则集、以及未上市公司的规则集。目前，SAP GRC虽然不提供前职责分离规则集与历史职责分离规则集之间的比对，但提供当前不同职责分离规则集之间的比对，其存在的缺陷在于，比对结果以清单列表的形式进行展示，仅仅展示了差异风险的标识，工作人员须基于差异风险的标识再手动查询该差异风险包括的功能，一定程度上影响了比对效率。作为可选的第二实施方式，各个功能可以包括功能操作和功能许可；第一职责分离规则集和第二职责分离规则集均为当前使用的职责分离规则集，比如第一职责分离规则集为上市分公司的规则集，第二职责分离规则集为未上市公司的规则集。由于风险与功能关联，功能又包括功能操作和功能许可，因此，通过差异可以直观地了解差异风险所包含的功能内容，提高比对效率。

图3示出了本发明实施例提供的一种不同职责分离规则集之间的比对方法。参见图3，该方法流程包括如下步骤。

步骤201、获取第一职责分离规则集与第二职责分离规则集。

其中，第一职责分离规则集与第二职责分离规则集均包括若干风险，各个风险关联两个具有职责冲突风险的功能，各个功能包括功能操作和功能许可。

由于职责分离规则与业务流程的密切相关，而组织之间的业务流程一般存在很大区别，因此，职责分离规则集的比对主要在同一个组织内进行。基于此，本步骤201包括：从同一组织的SAP GRC中，获取第一职责分离规则集与第二职责分离规则集。

获取方式为，从SAP GRC中下载并存储职责分离规则集。可以周期性地对职责分离规则集进行下载存储，也可以在编辑职责分离规则集之前对待编辑的职责分离规则集进行下载存储。

具体地，可以在SAP GRC中使用事务代码：GRAC_DOWNLOAD_RULES导出至少一个指定的职责分离规则集的数据，导出的数据以文本的形式存储在文本文件中。

在下载职责分离规则集时，可以将当前ERP系统中使用的若干个规则集所有数据打包一起下载。下载的数据包括六个文本文件：规则集.txt、风险规则集关系.txt、风险.txt、功能许可.txt、功能操作.txt、以及功能.txt。规则集.txt中存储导出的各个职责分离规则集的标识，风险规则集关系.txt中存储各个规则集的标识与相应的风险的标识之间的对应关系，风险.txt中存储所有规则集包含的风险的具体内容(具体是风险的标识与功能的标识之间的对应关系)，功能许可.txt中存储各个功能许可的具体内容，功能操作.txt中存储各个功能操作的具体内容，功能.txt中存储各个功能的标识分别与功能许可的标识和功能操作的标识之间的对应关系。

下载的职责分离规则集，即导出的文本文件，可以导入到本地数据库中存储，与过去导入的数据共同作为比对的数据源。

需要说明的是，由于后续比对过程是基于导出的文本文件，具体包括文本文件中存储的标识之间的对应关系，因此，对于职责分离规则集的标识、以及规则集中元素(包括功能和风险)的标识，应按照统一的命名规范进行命名。

在本实施例中，结合组织序号分配规则集的标识、以及规则集中元素的标识。

其中，组织序号为组织的标识，不同组织的组织序号不同。职责分离规则集的标识可以设为组织序号+规则集识别码，规则集识别码可以基于职责分离规则集的修改顺序预先分配，不同职责分离规则集的规则集识别码不同。功能的标识可以设为组织序号+功能识别码，功能识别码可以基于功能的内容预先分配，不同功能的功能识别码不同。与功能的标识类似，风险的标识、功能许可的标识和功能操作的标识的设置方式不再赘述。

其中，可以基于职责分离规则集的标识，确定第一职责分离规则集与第二职责分离规则集是否同属一个组织，在第一职责分离规则集的标识与第二职责分离规则集的标识中的组织序号相同时，确定第一职责分离规则集与第二职责分离规则集同属一个组织。

步骤202、确定第一职责分离规则集与第二职责分离规则集的风险所关联的所有功能，确定功能全集F。

步骤202可以包括：

首先，获取第一职责分离规则集中各个风险所关联的功能，得到第一功能集合，获取第二职责分离规则集中各个风险所关联的所有功能，得到第二功能集合。具体可以通过规则集.txt、风险规则集关系.txt、风险.txt、功能许可.txt、功能操作.txt、以及功能.txt获取所有功能。其中，第一功能集合F1＝{f′₁,f′₂,f′₃,…f′_k,…}，第二功能集合F2＝{f″₁,f″₂,f″₃,…f″_t,…}，f_k′为F1中第k个功能，f″_t为F2中第t个功能。f′_k＝{f′k-ID，f′k-功能操作，f′k-功能许可}，f’k-ID为F1中第k个功能的标识，f’k-功能操作为F1中第k个功能包含的功能操作，f’k-功能许可为F1中第k个功能包含的功能许可。f″_t＝{f″t-ID，f″t-功能操作，f″t-功能许可}，f”t-ID为F2中第t个功能的标识，f”t-功能操作为F2中第t个功能包含的功能操作，f”t-功能许可为F2中第t个功能包含的功能许可，k或t为正整数。需要说明的是，由于功能的标识都是统一的，因此，F1和F2中，存在相同的功能的标识。

其次，基于所述第一功能集合和所述第二功能集合，确定功能全集。具体地，将两个功能集合F1和F2做并集运算，F＝F1∪F2,得到功能全集F＝{P₁,P₂,P₃,…P_i,··}。需要说明的是，本实施例为了区别各个功能所属功能集合(包括F1、F2和F)，将各个功能集合中功能的标识进行了区分，但是，F1、F2和F中同一个功能的标识是一致的。比如，F1中f′₃和F2中f″₄均可以表示F中P₆。

步骤203、基于功能全集，建立第一功能矩阵P和第二功能矩阵P’，P与P’均为n行n列矩阵，n为功能全集F中功能的总数量。P_i为所述功能全集中第i个功能的标识，i＝{1、2、…、n-1、n}。

步骤204、根据第一功能矩阵P、第二功能矩阵P’、以及各个风险与功能的关联，建立第一矩阵A和第二矩阵A’。

A_ij为所述第一矩阵A中第i行第j列的元素，A′_ij为所述第二矩阵A’中第i行第j列的元素，第一条件为P中第i行示出的功能的标识和P’中第j列示出的功能的标识分别为第一职责分离规则集中第b个风险关联的两个功能的标识，第二条件为P中第i行示出的功能的标识和P’中第j列示出的功能的标识中至少一个功能的标识不为第一职责分离规则集中第b个风险关联的两个功能的标识。第三条件为P中第i行示出的功能的标识和P’中第j列示出的功能的标识分别为第二职责分离规则集中第p个风险关联的两个功能的标识，第四条件为P中第i行示出的功能的标识和P’中第j列示出的功能的标识中至少一个功能的标识不为第二职责分离规则集中第p个风险关联的两个功能的标识，j＝{1、2、…、n-1、n}，b或p为正整数。

其中，第一矩阵与第二矩阵为同型矩阵，第一矩阵中的元素与第一职责分离规则集中风险关联的功能对应，第二矩阵中的元素与第二职责分离规则集中风险关联的功能对应。

具体地，可以遍历第一职责分离规则集中各个风险，确定各个风险所关联的两个功能；基于各个风险所关联的两个功能，生成第一矩阵A。例如，首先查看第一职责分离规则集中第1个风险R’1，假设第1个风险R’1关联的两个功能的标识分别为P1和P2，那么，第1个风险R’1对应的第一矩阵中的元素的位置为A₁₂，即第一矩阵A中第1行第2列的元素，且A₁₂＝1。以此类推，在所有风险遍历完后，假若第一矩阵A中还存在一些位置的元素未填满，则将未填满的元素均取0。此外，第二矩阵A’的生成方式与第一矩阵A类似，在此不再赘述。

由于第一矩阵中元素是数值0或1，后续比对结果也是数值的形式表示，为了便于基于比对结果确定区别风险的内容，因此，本步骤204还可以包括：建立并存储第一职责分离规则集中风险的标识与第一矩阵中的元素所在位置的对应关系，以及建立并存储第二职责分离规则集中风险的标识与第二矩阵中的元素所在位置的对应关系。例如，上述第一矩阵A中A₁₂所在位置为第1行第2列，对应的第一风险的标识为R’1。

步骤205、对第一矩阵和第二矩阵进行矩阵减法运算，得到差异矩阵。

其中，差异矩阵的元素的值包括-1、0和1。

从步骤204可知，第一矩阵与第二矩阵中的元素包括1和0，在对第一矩阵和第二矩阵进行矩阵减法运算之后，得到一个差异矩阵。

步骤206、确定值为1的元素所对应的风险、以及确定值为-1的元素所对应的风险。

基于第一职责分离规则集中风险的标识与第一矩阵中的元素所在位置的对应关系，以及第二职责分离规则集中风险的标识与第二矩阵中的元素所在位置的对应关系(参见步骤204)，可以确定值为1的元素所对应的风险、以及确定值为-1的元素所对应的风险。具体地，将值为1的元素所在的位置分别作为第一矩阵中的元素所在位置和第二矩阵中的元素所在位置，以获取对应的风险的标识。

步骤207、将值为1的元素所对应的风险作为第一职责分离规则集中独有的风险，以及将值为-1的元素所对应的风险作为第二职责分离规则集中独有的风险，得到第一职责分离规则集与第二职责分离规则集之间的差异。

步骤208、显示第一职责分离规则集与第二职责分离规则集之间的差异。

可以显示各个差异风险所包括的功能、以及各个功能所包括的功能操作和功能许可。

步骤209、基于第一职责分离规则集与第二职责分离规则集之间的差异，规划本次修改、删除和/或增加的风险。

具体地，由指定人员规划本次修改、删除和/或增加的风险。

步骤210、基于规划的本次修改、删除和/或增加的风险，对第一职责分离规则集进行编辑。

具体地，指定人员将规划的本次修改、删除和/或增加的风险更新至相关职责分离规则集中，以更新当前职责分离规则集。

图4示出了本发明实施例提供了一种不同职责分离规则集之间的比对装置，该装置包括获取单元301、运算单元302和确定单元303。

获取单元301用于，获取第一职责分离规则集与第二职责分离规则集，第一职责分离规则集与第二职责分离规则集均包括若干风险，各个风险关联两个具有职责冲突风险的功能。

运算单元302用于，基于各个所述风险与所述功能的关联，建立第一矩阵与第二矩阵，所述第一矩阵与所述第二矩阵为同型矩阵，所述第一矩阵中的元素与所述第一职责分离规则集中风险关联的功能对应，所述第二矩阵中的元素与所述第二职责分离规则集中风险关联的功能对应。

确定单元303用于，基于第一矩阵和第二矩阵，确定第一职责分离规则集与第二职责分离规则集之间的差异，差异包括，第一职责分离规则集中独有的风险、以及第二职责分离规则集中独有的风险。

在一种实施方式中，获取单元301用于，从同一组织的SAP GRC中，获取第一职责分离规则集与第二职责分离规则集，组织为拥有独立的ERP用户管理职能、且规定了一个完整的职责互斥标准的主体对象。

在一种实施方式中，运算单元302用于，获取所述第一职责分离规则集中各个风险所关联的功能，得到第一功能集合；获取所述第二职责分离规则集中各个风险所关联的功能，得到第二功能集合；基于所述第一功能集合和所述第二功能集合，确定功能全集；基于所述功能全集，建立第一功能矩阵P和第二功能矩阵P’，所述P与所述P’均为n行n列矩阵，n为所述功能全集中功能的总数量，P_i为所述功能全集中第i个功能的标识，i＝{1、2、…、n-1、n}。

根据第一矩阵P、第二矩阵P’、以及各个风险与功能的关联，建立第一矩阵A和第二矩阵A’，

A_ij为所述A中第i行第j列的元素，A′_ij为所述A’中第i行第j列的元素，所述第一条件为所述P中第i行示出的功能的标识和所述P’中第j列示出的功能的标识分别为所述第一职责分离规则集中第b个风险关联的两个功能的标识，所述第二条件为所述P中第i行示出的功能的标识和所述P’中第j列示出的功能的标识中至少一个所述功能的标识不为所述第一职责分离规则集中所述第b个风险关联的两个功的标识能，所述第三条件为所述P中第i行示出的功能的标识和所述P’中第j列示出的功能的标识分别为所述第二职责分离规则集中第p个风险关联的两个功能的标识，所述第四条件为所述P中第i行示出的功能的标识和所述P’中第j列示出的功能的标识中至少一个所述功能的标识不为所述第二职责分离规则集中所述第p个风险关联的两个功能的标识，j＝{1、2、…、n-1、n}，b或p为正整数。

在一种实施方式中，确定单元303用于，对第一矩阵和第二矩阵进行矩阵减法运算，得到差异矩阵，差异矩阵的元素的值包括-1、0和1；确定值为1的元素所对应的风险、以及确定值为-1的元素所对应的风险；将值为1的元素所对应的风险作为第一职责分离规则集中独有的风险，以及将值为-1的元素所对应的风险作为第二职责分离规则集中独有的风险。

其中，第一职责分离规则集为当前使用的职责分离规则集，第二职责分离规则集为历史使用的职责分离规则集，第一职责分离规则集基于第二职责分离规则集编辑得到。基于此，在一种实施方式中，该装置还包括编辑单元304，编辑单元304用于，基于所述第一职责分离规则集与所述第二职责分离规则集之间的差异，规划本次修改、删除和/或增加的风险；基于规划的本次修改、删除和/或增加的风险，对所述第一职责分离规则集进行编辑。

本发明实施例通过获取第一职责分离规则集与第二职责分离规则集，第一职责分离规则集与第二职责分离规则集均包括若干风险，各个风险关联两个具有职责冲突风险的功能，各个功能包括功能操作和功能许可；基于各个风险与功能的关联，建立第一矩阵与第二矩阵，第一矩阵与第二矩阵为同型矩阵，第一矩阵中的元素与第一职责分离规则集中风险对应，第二矩阵中的元素与第二职责分离规则集中风险对应；由于第一矩阵和第二矩阵为同型矩阵，同型矩阵之间可以进行矩阵加减运算，这为后续确定第一职责分离规则集与第二职责分离规则集之间的差异提供运算基础；基于第一矩阵和第二矩阵，确定第一职责分离规则集与第二职责分离规则集之间的差异，差异包括第一职责分离规则集中独有的风险、以及第二职责分离规则集中独有的风险；实现了不同职责分离规则集之间的比对，这样，当第一职责分离规则集为当前职责分离规则集，第二职责分离规则集为历史职责分离规则集时，能够通过该比对方法比对当前职责分离规则集与历史职责分离规则集，该比对方法是规范化的方法，能够通过计算机执行，不需要手工比对，能够将人力从手工对比中解放出来，提高对比的工作效率，减少人力成本的支出。

需要说明的是：上述实施例提供的不同职责分离规则集之间的比对装置在比对不同职责分离规则集时，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将设备的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。另外，上述实施例提供的不同职责分离规则集之间的比对装置与不同职责分离规则集之间的比对方法实施例属于同一构思，其具体实现过程详见方法实施例，这里不再赘述。

图5示出了本发明实施例提供的一种不同职责分离规则集之间的比对装置。该装置可以为计算机1800等设备，具体来讲，计算机1800包括中央处理单元(CPU)1801、包括随机存取存储器(RAM)1802和只读存储器(ROM)1803的系统存储器1804，以及连接系统存储器1804和中央处理单元1801的系统总线1805。计算机1800还包括帮助计算机内的各个器件之间传输信息的基本输入/输出系统(I/O系统)1806，和用于存储操作系统1813、应用程序1814和其他程序模块1815的大容量存储设备1807。

基本输入/输出系统1806包括有用于显示信息的显示器1808和用于用户输入信息的诸如鼠标、键盘之类的输入设备1809。其中显示器1808和输入设备1809都通过连接到系统总线1805的输入输出控制器1810连接到中央处理单元1801。基本输入/输出系统1806还可以包括输入输出控制器1810以用于接收和处理来自键盘、鼠标、或电子触控笔等多个其他设备的输入。类似地，输入输出控制器1810还提供输出到显示屏、打印机或其他类型的输出设备。

大容量存储设备1807通过连接到系统总线1805的大容量存储控制器(未示出)连接到中央处理单元1801。大容量存储设备1807及其相关联的计算机可读介质为计算机1800提供非易失性存储。也就是说，大容量存储设备1807可以包括诸如硬盘或者CD-ROM驱动器之类的计算机可读介质(未示出)。

根据本发明的各种实施例，计算机1800还可以通过诸如因特网等网络连接到网络上的远程计算机运行。也即计算机1800可以通过连接在系统总线1805上的网络接口单元1811连接到网络1812，或者说，也可以使用网络接口单元1811来连接到其他类型的网络或远程计算机系统(未示出)。

上述存储器还包括一个或者一个以上的程序，一个或者一个以上程序存储于存储器中，被配置由CPU执行。当CPU执行存储器中的程序时，可以实现图2或图3示出的方法。

在示例性实施例中，还提供了一种包括指令的计算机可读存储介质，例如包括指令的存储器，上述指令可由计算机1800的中央处理单元1801加载并执行以完成图2或图3示出的方法。不失一般性，计算机可读介质可以包括计算机存储介质和通信介质。计算机存储介质包括以用于存储诸如计算机可读指令、数据结构、程序模块或其他数据等信息的任何方法或技术实现的易失性和非易失性、可移动和不可移动介质。计算机存储介质包括RAM、ROM、EPROM、EEPROM、闪存或其他固态存储其技术，CD-ROM、DVD或其他光学存储、磁带盒、磁带、磁盘存储或其他磁性存储设备。当然，本领域技术人员可知计算机存储介质不局限于上述几种。上述的系统存储器1804和大容量存储设备1807可以统称为存储器。

本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成，也可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。

以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (10)

1.一种不同职责分离规则集之间的比对方法，其特征在于，所述方法包括：

获取第一职责分离规则集与第二职责分离规则集，所述第一职责分离规则集与所述第二职责分离规则集均包括若干风险，各个所述风险关联两个具有职责冲突风险的功能；

基于各个所述风险与所述功能的关联，建立第一矩阵与第二矩阵，所述第一矩阵与所述第二矩阵为同型矩阵，所述第一矩阵中的元素与所述第一职责分离规则集中风险关联的功能对应，所述第二矩阵中的元素与所述第二职责分离规则集中风险关联的功能对应；

基于所述第一矩阵和所述第二矩阵，确定所述第一职责分离规则集与所述第二职责分离规则集之间的差异，所述差异包括，所述第一职责分离规则集中独有的风险、以及所述第二职责分离规则集中独有的风险。

2.根据权利要求1所述的方法，其特征在于，所述获取第一职责分离规则集与第二职责分离规则集，包括：

从同一组织的系统应用与产品治理、风险与合规中，获取所述第一职责分离规则集与所述第二职责分离规则集，所述组织为拥有独立的企业资源计划ERP用户管理职能、且规定了一个完整的职责互斥标准的主体对象。

3.根据权利要求1所述的方法，其特征在于，所述基于各个所述风险与所述功能的关联，建立第一矩阵与第二矩阵，包括：

获取所述第一职责分离规则集中各个风险所关联的功能，得到第一功能集合；

获取所述第二职责分离规则集中各个风险所关联的功能，得到第二功能集合；

基于所述第一功能集合和所述第二功能集合，确定功能全集；

基于所述功能全集，建立第一功能矩阵P和第二功能矩阵P’，所述P与所述P’均为n行n列矩阵，n为所述功能全集中功能的总数量，P_i为所述功能全集中第i个功能的标识，i＝{1、2、…、n-1、n}；

根据所述P、所述P’、以及各个所述风险与所述功能的关联，建立第一矩阵A和第二矩阵A’，

A_ij为所述A中第i行第j列的元素，A′_ij为所述A’中第i行第j列的元素，所述第一条件为所述P中第i行示出的功能的标识和所述P’中第j列示出的功能的标识分别为所述第一职责分离规则集中第b个风险关联的两个功能的标识，所述第二条件为所述P中第i行示出的功能的标识和所述P’中第j列示出的功能的标识中至少一个所述功能的标识不为所述第一职责分离规则集中所述第b个风险关联的两个功的标识能，所述第三条件为所述P中第i行示出的功能的标识和所述P’中第j列示出的功能的标识分别为所述第二职责分离规则集中第p个风险关联的两个功能的标识，所述第四条件为所述P中第i行示出的功能的标识和所述P’中第j列示出的功能的标识中至少一个所述功能的标识不为所述第二职责分离规则集中所述第p个风险关联的两个功能的标识，j＝{1、2、…、n-1、n}，b或p为正整数。

4.根据权利要求3所述的方法，其特征在于，基于所述第一矩阵和所述第二矩阵，确定所述第一职责分离规则集与所述第二职责分离规则集之间的差异，包括：

对所述第一矩阵和所述第二矩阵进行矩阵减法运算，得到差异矩阵，所述差异矩阵的元素的值包括-1、0和1；

确定值为1的元素所对应的风险、以及确定值为-1的元素所对应的风险；

将所述值为1的元素所对应的风险作为所述第一职责分离规则集中独有的风险，以及将所述值为-1的元素所对应的风险作为所述第二职责分离规则集中独有的风险，得到所述第一职责分离规则集与所述第二职责分离规则集之间的差异。

5.根据权利要求1所述的方法，其特征在于，所述第一职责分离规则集为当前使用的职责分离规则集，所述第二职责分离规则集为历史使用的职责分离规则集，所述第一职责分离规则集基于所述第二职责分离规则集编辑得到，

所述方法还包括：

基于所述第一职责分离规则集与所述第二职责分离规则集之间的差异，规划本次修改、删除和/或增加的风险；

基于规划的本次修改、删除和/或增加的风险，对所述第一职责分离规则集进行编辑。

6.一种不同职责分离规则集之间的比对装置，其特征在于，所述装置包括：

获取单元，用于获取第一职责分离规则集与第二职责分离规则集，所述第一职责分离规则集与所述第二职责分离规则集均包括若干风险，各个所述风险关联两个具有职责冲突风险的功能；

运算单元，用于基于各个所述风险与所述功能的关联，建立第一矩阵与第二矩阵，所述第一矩阵与所述第二矩阵为同型矩阵，所述第一矩阵中的元素与所述第一职责分离规则集中风险关联的功能对应，所述第二矩阵中的元素与所述第二职责分离规则集中风险关联的功能对应；

确定单元，用于基于所述第一矩阵和所述第二矩阵，确定所述第一职责分离规则集与所述第二职责分离规则集之间的差异，所述差异包括，所述第一职责分离规则集中独有的风险、以及所述第二职责分离规则集中独有的风险。

7.根据权利要求6所述的装置，其特征在于，所述获取单元用于，

从同一组织的系统应用与产品治理、风险与合规SAP GRC中，获取所述第一职责分离规则集与所述第二职责分离规则集，所述组织为拥有独立的企业资源计划ERP用户管理职能、且规定了一个完整的职责互斥标准的主体对象。

8.根据权利要求6所述的装置，其特征在于，所述运算单元用于，

获取所述第一职责分离规则集中各个风险所关联的功能，得到第一功能集合；

获取所述第二职责分离规则集中各个风险所关联的功能，得到第二功能集合；

基于所述第一功能集合和所述第二功能集合，确定功能全集；

基于所述功能全集，建立第一功能矩阵P和第二功能矩阵P’，所述P与所述P’均为n行n列矩阵，n为所述功能全集中功能的总数量，P_i为所述功能全集中第i个功能的标识，i＝{1、2、…、n-1、n}；

根据所述P、所述P’、以及各个所述风险与所述功能的关联，建立第一矩阵A和第二矩阵A’，

A_ij为所述A中第i行第j列的元素，A′_ij为所述A’中第i行第j列的元素，所述第一条件为所述P中第i行示出的功能的标识和所述P’中第j列示出的功能的标识分别为所述第一职责分离规则集中第b个风险关联的两个功能的标识，所述第二条件为所述P中第i行示出的功能的标识和所述P’中第j列示出的功能的标识中至少一个所述功能的标识不为所述第一职责分离规则集中所述第b个风险关联的两个功的标识能，所述第三条件为所述P中第i行示出的功能的标识和所述P’中第j列示出的功能的标识分别为所述第二职责分离规则集中第p个风险关联的两个功能的标识，所述第四条件为所述P中第i行示出的功能的标识和所述P’中第j列示出的功能的标识中至少一个所述功能的标识不为所述第二职责分离规则集中所述第p个风险关联的两个功能的标识，j＝{1、2、…、n-1、n}，b或p为正整数。

9.根据权利要求8所述的装置，其特征在于，所述确定单元用于，

对所述第一矩阵和所述第二矩阵进行矩阵减法运算，得到差异矩阵，所述差异矩阵的元素的值包括-1、0和1；

确定值为1的元素所对应的风险、以及确定值为-1的元素所对应的风险；

将所述值为1的元素所对应的风险作为所述第一职责分离规则集中独有的风险，以及将所述值为-1的元素所对应的风险作为所述第二职责分离规则集中独有的风险，得到所述第一职责分离规则集与所述第二职责分离规则集之间的差异。

10.根据权利要求6所述的装置，其特征在于，所述第一职责分离规则集为当前使用的职责分离规则集，所述第二职责分离规则集为历史使用的职责分离规则集，所述第一职责分离规则集基于所述第二职责分离规则集编辑得到，

所述装置还包括编辑单元，所述编辑单元用于，

基于所述第一职责分离规则集与所述第二职责分离规则集之间的差异，规划本次修改、删除和/或增加的风险；

基于规划的本次修改、删除和/或增加的风险，对所述第一职责分离规则集进行编辑。

Images