SAP权限审计的一点想法 - 图文

随着SAP的深入应用，我们几乎可以在所有使用了SAP管理软件的企业中找到这样一个共同的现象：在上线之后随着公司业务的不断重组、用户工作岗位的频繁变动、岗位职责的扩大与组合等都需要对用户的权限做出调整，这时候权限管理人员的疑问就出来了，这个用户本身有哪些权限？这个权限用户可以申请吗？因此权限管理变得更加重要与迫切。

直观的说，权限就是“某人能干某事” 与“某人不能干某事”之和。然而，尤其在用户量大的集团企业，哪些用户拥有关键事务或敏感权限（SAT）？哪些用户拥有的TCODE存在权责互斥（SOD）？哪些用户拥有超级权限？哪些用户拥有跨公司权限？

在没有管理系统的情况下，只能靠关键用户（内部顾问）的经验判断，可有时并不是那么可靠。在严格的管理要求和法律环境情况下，对SAP系统的应用带来风险，给用户的权限管理带来困惑，而给每年的404审计更是带来麻烦。

依据SAP GRC的权限管理理念，我们认为权限审计管理系统：其主要功能是事前及事后的合规性检查。比如：哪些用户拥有敏感权限（SAT）；哪些用户存在权责互斥（SOD）；哪些用户拥有跨公司权限等。PCAOB发布的指引和声明强调，基于系统的控制比手工控制更可靠。

有些东西可以让用户动态配置：一旦可配置的应用系统控制被设定为基线，同样的控制就不必每年都进行测试了。以后的重心可以放在日常审计管理方面，比如管理设置业务敏感权限（SAT），公司基本信息等。

● 基本授权可配置：授权字段是SAP权限系统中最底层的元素，授权字段是授权对象的组成元素，一组授权对象决定了一个TCODE的真实权限。比如同一个TCODE---VA02，在B_USERSTAT授权对象的授权字段BERSL（权限码），赋予不同的值，操作的范围就不同，一般情况下，VA02是维护销售订单，可是在授权字段BERSL里赋予审批权限，就可以审批销售文档；同样的TCODE---VA02，授权字段的值不同，他所拥有的权限也就不同；

● SAT可配置：SAT就是关键事务。企业不同，对关键事务的要求也不同。可以根据企业实际需求进行动态配置，便于查询企业中哪些用户拥有这些关键事务；

● SOD可配置：权责互斥，可以根据企业要求或者审计要求，动态配置同时拥有哪些事务算是权责互斥；

● 公司基本信息可配置：配置公司代码，工厂，采购组织，成本中心等，用于判断用户跨公司或者越权信息；

可以将SAP中与权限有关的表（USR02，AGR_1251等）进行处理；

1

基础配制可以设计成这样

⑴ 数据的初始化：将R3中与权限有关的实体表数据，导入本地数据库。

⑵ 关联配置：维护TCODE---授权对象---授权字段之间的关系；定义一个真实的业务行为。

⑶ 公司基础信息配置：维护各分子公司（部门）相关组织机构的检验字段值；用于判断跨公司（部门）权限。

2

⑷ SAT配置：配置敏感权限，配置公司（或审计）认为的重要敏感权限（业务行为）。

⑸ SOD配置：配置权责互斥清单。

以上配置均可动态维护，可根据实际业务及管理需求进行配置管理，以支持SAP权限的日常审阅。

3

审计管理模块：

审计管理模块包括事前审计和事后审计，事前审计就是用户权限变更完成，但还没有传入生

产系统（PRD系统）之前，进行检查审计；事后审计就是对已经传入生产系统（PRD系统）的权限进行管理审计。

事前审计：在没有传入生产系统（PRD系统）之前，进行合规性检查审计。

选中需要检查的传输请求号，点击

，可以模拟传入生产系统（PRD系统）之后的权

限变化。比如修改某个角色之后，可能会影响所有拥有这个角色的用户权限，是否有了SOD变化，SAT变化等。

4

点击模拟SAT审计，可以查看SAT的审计结果：

选中某行，点击

，可以详细查看SAT所定义的角色---授权对象---授权字段---字段值

的关系，很清淅地看到用户拥有这样权限的原因。

依此方法，还可以确认是否存在SOD（权责分离），跨公司权限等问题。

事后审计：对生产系统（PRD系统）中已存在的权限进行审计管理。

⑴ SAT审计结果，也就是哪些用户拥有我们所定义的敏感权限。

5

本文来源：https://www.bwwdw.com/article/ga5t.html