SAP 权限检查管理系统

背景：

随着SAP的深入应用，我们几乎可以在所有使用了SAP管理软件的企业中找到这样一个共同的现象：在上线之后随着公司业务的不断重组、用户工作岗位的频繁变动、岗位职责的扩大与组合等都需要相应的对相应用户的SAP权限做出调整，这时候权限管理人员的疑问就出来了，这个用户本身有哪些权限？这个权限用户可以申请吗？因此权限管理变得更加重要与迫切，直观的说，权限就是“某人能干某事”与“某人不能干某事”之和，然而，尤其在用户量大的集团企业，哪些用户拥有关键事务或敏感权限（SAT），哪些用户拥有TCODE存在权责互斥（SOD），在没有管理系统的情况下，只能靠关键用户（内部顾问）的经验判断，可有时并不是那么可靠，在管理要求和法律环境严格的情况下，对SAP系统的应用带来风险，给用户的权限管理带来困惑，而给每年的404审计更是带来麻烦；

系统概述：

依据SAP GRC的权限管理理念，我们开发的权限检查管理系统；其主要功能是事后的合规性检查，比如：哪些用户拥有有敏感权限（SAT）；哪些用户存在权责互斥（SOD）；哪些用户拥有跨公司权限等；PCAOB发布的指引和声明强调，基于系统的控制比手工控制更可靠，现在我们简要介绍一下这个产品：

产品最大的特点就是可配置：一旦可配置的应用系统控制被设定为基线，同样的控制就不必每年都被再测试了。以后的重心可以放在安全管理方面，比如设置哪些业务是敏感权限，公司基本信息配制管理；

●基本授权可配置：授权字段是权限系统中最底层的元素，授权字段是授权对象的组成元素，一组授权对象决定了一个TCODE的真实权限；比如同一个TCODE---V A02，在B_USERSTAT授权对象的授权字段BERSL（权限码），赋予不同的值，操作的范围就不同，一般情况下，V A02是维护销售订单；可是要在BERSL里赋予审批权限，就可以审批销售文档；同样是TCODE：V A02，授权字段的值不同，他所拥有的权限就不同；

●SAT可配置：SAT就是关键事务；企业不同，对关键事务的要求也不同；可以根据企业实际需求进行动态配置；便于查询企业中哪些用户拥有这些关键事务；

●SOD可配置：权责互斥，可以根据企业要求或者审计要求，动态配置同时拥有哪些事务算是权责互斥；

●公司基本信息可配置：配置公司代码，工厂，采购组织，成本中心等，用于判断用户跨公司或者越权信息；

●数据处理实现原理：将SAP中与权限有关的表（USR02，AGR_1251等）数据落地本地，第一次需要初始化，以后通过增量更新数据；

系统功能简介：

登陆及基础配置

⑴登陆界面：

进入系统之后，根据管理需要，进行基础配置，比如：

⑵数据的初始化：

⑶关联配置：维护TCODE---授权对象---授权字段之间的关系；定义一个真实的业务行为；

⑷公司基础信息配置：维护各分子公司（部门）相关组织机构的检验字段值；用于判断跨公司（部门）权限；

⑸SAT配置：配置敏感权限，属公司（或审计）认为的重要敏感权限（业务

行为）；

⑹SOD配置：配置权责互斥清单；

这些配置都是动态的，根据实际业务及管理需求进行配置，基础配置完成之后，可以使用系统做一些管理查询，比如：

审计管理模块：

⑴SOD审计结果，也就是用户的权限在权责互斥方面是有问题的；用户同时拥有了我们在SOD配置中所配置的业务；

⑵SAT审计结果，也就是哪些用户拥有我们所定义的敏感权限；

⑶跨公司权限：哪些用户拥有跨公司（部门）的权限；

⑷同名账号：一个用户拥有多个账号；

用户授权管理模块：

超级权限检查：哪些用户在生产系统中拥有&SAPALL权限或者SAP_NEW参数文件的用户；或者授权对象为S_TCODE，字段TCD值为*的用户；

数据查询模块：

⑴根据角色查用户：查询哪些用户拥有这些角色；

⑵根据用户查角色：一个用户拥有哪些角色；

⑶数据备份：为了安全，可以将数据库备份在此系统之外；

上面为对系统的简要介绍，愿我们的系统能为企业的ERP权限管理带来管理上的提升；带来SAP的更规范更安全使用！