SAP权限检查管理系统..docVIP

背景： 随着SAP的深入应用，我们几乎可以在所有使用了SAP管理软件的企业中找到这样一个共同的现象：在上线之后随着公司业务的不断重组、用户工作岗位的频繁变动、岗位职责的扩大与组合等都需要相应的对相应用户的SAP权限出调整，这时候权限人员的疑问就出来了，这个用户本身有哪些权限？这个权限用户可以申请吗？PCAOB发布的指引和声明强调基于系统的控制比手工控制更可靠一旦可配置的应用系统控制被设定为基线，同样的控制就不必每年都被再测试了。B_USERSTAT授权对象的授权字段BERSL（权限码），赋予不同的值，操作的范围就不同，一般情况下，VA02是维护销售订单；可是要在BERSL里赋予审批权限，就可以审批销售文档；同样是TCODE：VA02，授权字段的值不同，他所拥有的权限就不同； ● SAT可配置：SAT就是关键事务；企业不同，对关键事务的要求也不同；可以根据企业实际需求进行动态配置；便于查询企业中哪些用户拥有这些关键事务； ● SOD可配置：权责互斥，可以根据企业要求或者审计要求，动态配置同时拥有哪些事务算是权责互斥； ● 公司基本信息可配置：配置公司代码，工厂，采购组织，成本中心等，用于判断用户跨公司或者越权信息； ● 数据处理实现原理：将SAP中与权限有关的表（USR02，AGR_1251等）数据落地本地，第一次需要初始化，以后通过增量更新数据； 系统功能简介： 登陆及基础配置 ⑴ 登陆界面： 进入系统之后，根据管理需要，进行基础配置，比如： ⑵ 数据的初始化： ⑶ 关联配置：维护TCODE---授权对象---授权字段之间的关系；定义一个真实的业务行为； ⑷ 公司基础信息配置：维护各分子公司（部门）相关组织机构的检验字段值；用于判断跨公司（部门）权限； ⑸ SAT配置：配置敏感权限，属公司（或审计）认为的重要敏感权限（业务行为）； ⑹ SOD配置：配置权责互斥清单； 这些配置都是动态的，根据实际业务及管理需求进行配置，基础配置完成之后，可以使用系统做一些管理查询，比如： 审计管理模块： ⑴ SOD审计结果，也就是用户的权限在权责互斥方面是有问题的；用户同时拥有了我们在SOD配置中所配置的业务； ⑵ SAT审计结果，也就是哪些用户拥有我们所定义的敏感权限； ⑶ 跨公司权限：哪些用户拥有跨公司（部门）的权限； ⑷ 同名账号：一个用户拥有多个账号； 用户授权管理模块： 超级权限检查：哪些用户在生产系统中拥有SAPALL权限或者SAP_NEW参数文件的用户；或者授权对象为S_TCODE，字段TCD值为*的用户； 数据查询模块： ⑴ 根据角色查用户：查询哪些用户拥有这些角色； ⑵ 根据用户查角色：一个用户拥有哪些角色； ⑶ 数据备份：为了安全，可以将数据库备份在此系统之外； 上面为对系统的简要介绍，愿我们的系统能为企业的ERP权限管理带来管理上的提升；带来SAP的更规范更安全使用！ 2