SAP 权限检查管理系统.doc

背景： 随着SAP的深入应用，我们几乎可以在所有使用了SAP管理软件的企业中找到这样一个共同的现象：在上线之后随着公司业务的不断重组、用户工作岗位的频繁变动、岗位职责的扩大与组合等都需要相应的对相应用户的SAP权限做出调整，这时候权限管理人员的疑问就出来了，这个用户本身有哪些权限？这个权限用户可以申请吗？因此权限管理变得更加重要与迫切，直观的说，权限就是“某人能干某事” 与“某人不能干某事”之和，然而，尤其在用户量大的集团企业，哪些用户拥有关键事务或敏感权限（SAT），哪些用户拥有TCODE存在权责互斥（SOD），在没有管理系统的情况下，只能靠关键用户（内部顾问）的经验判断，可有时并不是那么可靠，在管理要求和法律环境严格的情况下，对SAP系统的应用带来风险，给用户的权限管理带来困惑，而给每年的404审计更是带来麻烦；系统概述：依据SAP GRC的权限管理理念，我们开发的权限检查管理系统；其主要功能是事后的合规性检查，比如：哪些用户拥有有敏感权限（SAT）；哪些用户存在权责互斥（SOD）；哪些用户拥有跨公司权限等；PCAOB发布的指引和声明强调，基于系统的控制比手工控制更可靠，现在我们简要介绍一下这个产品：产品最大的特点就是可配置：一旦可配置的应用系统控制被设定为基线，同样的控制就不必每年都被再测试了。以后的重心可以放在安全管理方面，比如设置哪些业务是敏感权限，公司基本信息配制管理； 基本授权可配置：授权字段是权限系统中最底层的元素，授权字段是授权对象的组成元素，一组授权对象决定了一个TCODE的真实权限；比如同一个TCODE-VA02，在B_USERSTAT授权对象的授权字段BERSL（权限码），赋予不同的值，操作的范围就不同，一般情况下，VA02是维护销售订单；可是要在BERSL里赋予审批权限，就可以审批销售文档；同样是TCODE：VA02，授权字段的值不同，他所拥有的权限就不同； SAT可配置：SAT就是关键事务；企业不同，对关键事务的要求也不同；可以根据企业实际需求进行动态配置；便于查询企业中哪些用户拥有这些关键事务； SOD可配置：权责互斥，可以根据企业要求或者审计要求，动态配置同时拥有哪些事务算是权责互斥； 公司基本信息可配置：配置公司代码，工厂，采购组织，成本中心等，用于判断用户跨公司或者越权信息； 数据处理实现原理：将SAP中与权限有关的表（USR02，AGR_1251等）数据落地本地，第一次需要初始化，以后通过增量更新数据；系统功能简介：登陆及基础配置 登陆界面：进入系统之后，根据管理需要，进行基础配置，比如： 数据的初始化： 关联配置：维护TCODE-授权对象-授权字段之间的关系；定义一个真实的业务行为； 公司基础信息配置：维护各分子公司（部门）相关组织机构的检验字段值；用于判断跨公司（部门）权限； SAT配置：配置敏感权限，属公司（或审计）认为的重要敏感权限（业务行为）； SOD配置：配置权责互斥清单；这些配置都是动态的，根据实际业务及管理需求进行配置，基础配置完成之后，可以使用系统做一些管理查询，比如：审计管理模块： SOD审计结果，也就是用户的权限在权责互斥方面是有问题的；用户同时拥有了我们在SOD配置中所配置的业务； SAT审计结果，也就是哪些用户拥有我们所定义的敏感权限； 跨公司权限：哪些用户拥有跨公司（部门）的权限； 同名账号：一个用户拥有多个账号；用户授权管理模块： 超级权限检查：哪些用户在生产系统中拥有&SAPALL权限或者SAP_NEW参数文件的用户；或者授权对象为S_TCODE，字段TCD值为*的用户；数据查询模块： 根据角色查用户：查询哪些用户拥有这些角色； 根据用户查角色：一个用户拥有哪些角色；