1 随着SAP 的深入应用,我们几乎可以在所有使用了SAP 管理软件的企业中找到这样一个共同的现象:在上线之后随着公司业务的不断重组、用户工作岗位的频繁变动、岗位职责的扩大与组合等都需要对用户的权限做出调整,这时候权限管理人员的疑问就出来了,这个用户本身有哪些权限
这个权限用户可以申请吗
因此权限管理变得更加重要与迫切
直观的说,权限就是“某人能干某事” 与“某人不能干某事”之和
然而,尤其在用户量大的集团企业,哪些用户拥有关键事务或敏感权限(SAT)
哪些用户拥有的TCODE 存在权责互斥(SOD)
哪些用户拥有超级权限
哪些用户拥有跨公司权限
在没有管理系统的情况下,只能靠关键用户(内部顾问)的经验判断,可有时并不是那么可靠
在严格的管理要求和法律环境情况下,对SAP 系统的应用带来风险,给用户的权限管理带来困惑,而给每年的404 审计更是带来麻烦
依据 SAP GRC 的权限管理理念,我们认为权限审计管理系统:其主要功能是事前及事后的合规性检查
比如:哪些用户拥有敏感权限(SAT);哪些用户存在权责互斥(SOD);哪些用户拥有跨公司权限等
PCAOB 发布的指引和声明强调,基于系统的控制比手工控制更可靠
有些东西可以让用户动态配置:一旦可配置的应用系统控制被设定为基线,同样的控制就不必每年都进行测试了
以后的重心可以放在日常审计管理方面,比如管理设置业务敏感权限(SAT),公司基本信息等
● 基本授权可配置:授权字段是SAP 权限系统中最底层的元素,授权字段是授权对象的组成元素,一组授权对象决定了一个TCODE 的真实权限
比如同一个TCODE---VA02,在B_USERSTAT 授权对象的授权字段 BERSL(权限码),赋予不同的值,操作的范围就不同,一般情况下,VA02 是维护销售订单,可是在授权字段 BERSL 里赋予审批权限,就可以审批销售文档;同
