SAP 权限检查管理系统

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

背景:

随着SAP的深入应用,我们几乎可以在所有使用了SAP管理软件的企业中找到这样一个共同的现象:在上线之后随着公司业务的不断重组、用户工作岗位的频繁变动、岗位职责的扩大与组合等都需要相应的对相应用户的SAP权限做出调整,这时候权限管理人员的疑问就出来了,这个用户本身有哪些权限?这个权限用户可以申请吗?因此权限管理变得更加重要与迫切,直观的说,权限就是“某人能干某事”与“某人不能干某事”之和,然而,尤其在用户量大的集团企业,哪些用户拥有关键事务或敏感权限(SAT),哪些用户拥有TCODE存在权责互斥(SOD),在没有管理系统的情况下,只能靠关键用户(内部顾问)的经验判断,可有时并不是那么可靠,在管理要求和法律环境严格的情况下,对SAP系统的应用带来风险,给用户的权限管理带来困惑,而给每年的404审计更是带来麻烦;

系统概述:

依据SAP GRC的权限管理理念,我们开发的权限检查管理系统;其主要功能是事后的合规性检查,比如:哪些用户拥有有敏感权限(SAT);哪些用户存在权责互斥(SOD);哪些用户拥有跨公司权限等;PCAOB发布的指引和声明强调,基于系统的控制比手工控制更可靠,现在我们简要介绍一下这个产品:

产品最大的特点就是可配置:一旦可配置的应用系统控制被设定为基线,同样的控制就不必每年都被再测试了。以后的重心可以放在安全管理方面,比如设置哪些业务是敏感权限,公司基本信息配制管理;

●基本授权可配置:授权字段是权限系统中最底层的元素,授权字段是授权对象的组成元素,一组授权对象决定了一个TCODE的真实权限;比如同一个TCODE---V A02,在B_USERSTAT授权对象的授权字段BERSL(权限码),赋予不同的值,操作的范围就不同,一般情况下,V A02是维护销售订单;可是要在BERSL里赋予审批权限,就可以审批销售文档;同样是TCODE:V A02,授权字段的值不同,他所拥有的权限就不同;

●SAT可配置:SAT就是关键事务;企业不同,对关键事务的要求也不同;可以根据企业实际需求进行动态配置;便于查询企业中哪些用户拥有这些关键事务;

●SOD可配置:权责互斥,可以根据企业要求或者审计要求,动态配置同时拥有哪些事务算是权责互斥;

●公司基本信息可配置:配置公司代码,工厂,采购组织,成本中心等,用于判断用户跨公司或者越权信息;

●数据处理实现原理:将SAP中与权限有关的表(USR02,AGR_1251等)数据落地本地,第一次需要初始化,以后通过增量更新数据;

系统功能简介:

登陆及基础配置

⑴登陆界面:

进入系统之后,根据管理需要,进行基础配置,比如:

⑵数据的初始化:

⑶关联配置:维护TCODE---授权对象---授权字段之间的关系;定义一个真实的业务行为;

⑷公司基础信息配置:维护各分子公司(部门)相关组织机构的检验字段值;用于判断跨公司(部门)权限;

⑸SAT配置:配置敏感权限,属公司(或审计)认为的重要敏感权限(业务

行为);

⑹SOD配置:配置权责互斥清单;

这些配置都是动态的,根据实际业务及管理需求进行配置,基础配置完成之后,可以使用系统做一些管理查询,比如:

审计管理模块:

⑴SOD审计结果,也就是用户的权限在权责互斥方面是有问题的;用户同时拥有了我们在SOD配置中所配置的业务;

⑵SAT审计结果,也就是哪些用户拥有我们所定义的敏感权限;

⑶跨公司权限:哪些用户拥有跨公司(部门)的权限;

⑷同名账号:一个用户拥有多个账号;

用户授权管理模块:

超级权限检查:哪些用户在生产系统中拥有&SAPALL权限或者SAP_NEW参数文件的用户;或者授权对象为S_TCODE,字段TCD值为*的用户;

数据查询模块:

⑴根据角色查用户:查询哪些用户拥有这些角色;

⑵根据用户查角色:一个用户拥有哪些角色;

⑶数据备份:为了安全,可以将数据库备份在此系统之外;

上面为对系统的简要介绍,愿我们的系统能为企业的ERP权限管理带来管理上的提升;带来SAP的更规范更安全使用!

相关文档
最新文档