1 随着SAP 的深入应用,我们几乎可以在所有使用了SAP 管理软件的企业中找到这样一个共同的现象:在上线之后随着公司业务的不断重组、用户工作岗位的频繁变动、岗位职责的扩大与组合等都需要对用户的权限做出调整,这时候权限管理人员的疑问就出来了,这个用户本身有哪些权限?这个权限用户可以申请吗?因此权限管理变得更加重要与迫切。 直观的说,权限就是“某人能干某事” 与“某人不能干某事”之和。然而,尤其在用户量大的集团企业,哪些用户拥有关键事务或敏感权限(SAT)?哪些用户拥有的TCODE 存在权责互斥(SOD)?哪些用户拥有超级权限?哪些用户拥有跨公司权限? 在没有管理系统的情况下,只能靠关键用户(内部顾问)的经验判断,可有时并不是那么可靠。在严格的管理要求和法律环境情况下,对SAP 系统的应用带来风险,给用户的权限管理带来困惑,而给每年的404 审计更是带来麻烦。 依据 SAP GRC 的权限管理理念,我们认为权限审计管理系统:其主要功能是事前及事后的合规性检查。比如:哪些用户拥有敏感权限(SAT);哪些用户存在权责互斥(SOD);哪些用户拥有跨公司权限等。PCAOB 发布的指引和声明强调,基于系统的控制比手工控制更可靠。 有些东西可以让用户动态配置:一旦可配置的应用系统控制被设定为基线,同样的控制就不必每年都进行测试了。以后的重心可以放在日常审计管理方面,比如管理设置业务敏感权限(SAT),公司基本信息等。 ● 基本授权可配置:授权字段是SAP 权限系统中最底层的元素,授权字段是授权对象的组成元素,一组授权对象决定了一个TCODE 的真实权限。比如同一个TCODE---VA02,在B_USERSTAT 授权对象的授权字段 BERSL(权限码),赋予不同的值,操作的范围就不同,一般情况下,VA02 是维护销售订单,可是在授权字段 BERSL 里赋予审批权限,就可以审批销售文档;同样的TCODE---VA02,授权字段的值不同,他所拥有的权限也就不同; ● SAT 可配置:SAT 就是关键事务。企业不同,对关键事务的要求也不同。可以根据企业实际需求进行动态配置,便于查询企业中哪些用户拥有这些关键事务; ● SOD 可配置:权责互斥,可以根据企业要求或者审计要求,动态配置同时拥有哪些事务算是权责互斥; ● 公司基本信息可配置:配置公司代码,工厂,采购组织,成本中心等,用于判断用户跨公司或者越权信息; 可以将 SAP 中与权限有关的表(USR02,AGR_1251 等)进行处理; 2 基础配制可以...
