SAP權(quán)限審計(jì)的一點(diǎn)想法

隨著SAP的深入應(yīng)用，我們幾乎可以在所有使用了SAP管理軟件的企業(yè)中找到這樣一個(gè)共同的現(xiàn)象：在上線之后隨著公司業(yè)務(wù)的不斷重組、用戶工作崗位的頻繁變動(dòng)、崗位職責(zé)的擴(kuò)大與組合等都需要對(duì)用戶的權(quán)限做出調(diào)整，這時(shí)候權(quán)限管理人員的疑問(wèn)就出來(lái)了，這個(gè)用戶本身有哪些權(quán)限？這個(gè)權(quán)限用戶可以申請(qǐng)嗎？因此權(quán)限管理變得更加重要與迫切。直觀的說(shuō)，權(quán)限就是“某人能干某事”與“某人不能干某事”之和。然而，尤其在用戶量大的集團(tuán)企業(yè)，哪些用戶擁有關(guān)鍵事務(wù)或敏感權(quán)（&^）？哪些用戶擁有的/印施存在權(quán)責(zé)互斥（5如）？哪些用戶擁有超級(jí)權(quán)限？哪些用戶擁有跨公司權(quán)限？在沒有管理系統(tǒng)的情況下，只能靠關(guān)鍵用戶（內(nèi)部顧問(wèn)）的經(jīng)驗(yàn)判斷，可有時(shí)并不是那么可靠。在嚴(yán)格的管理要求和法律環(huán)境情況下，對(duì)SAP系統(tǒng)的應(yīng)用帶來(lái)風(fēng)險(xiǎn)，給用戶的權(quán)限管理帶來(lái)困惑，而給每年的404審計(jì)更是帶來(lái)麻煩。依據(jù)SAPGRC的權(quán)限管理理念，我們認(rèn)為權(quán)限審計(jì)管理系統(tǒng)：其主要功能是事前及事后的合規(guī)性檢查。比如：哪些用戶擁有敏感權(quán)限（SAT）；哪些用戶存在權(quán)責(zé)互斥（SOD）；哪些用戶擁有跨公司權(quán)限等。PCAOB發(fā)布的指引和聲明強(qiáng)調(diào)，基于系統(tǒng)的控制比手工控制更可靠。有些東西可以讓用戶動(dòng)態(tài)配置：一旦可配置的應(yīng)用系統(tǒng)控制被設(shè)定為基線，同樣的控制就不必每年都進(jìn)行測(cè)試了。以后的重心可以放在日常審計(jì)管理方面，比如管理設(shè)置業(yè)務(wù)敏感權(quán)限（SAT），公司基本信息等。?基本授權(quán)可配置：授權(quán)字段是SAP權(quán)限系統(tǒng)中最底層的元素，授權(quán)字段是授權(quán)對(duì)象的組成元素，一組授權(quán)對(duì)象決定了一個(gè)TCODE的真實(shí)權(quán)限。比如同一個(gè)TCODE---VA02，在B_USERSTAT授權(quán)對(duì)象的授權(quán)字段BERSL（權(quán)限碼），賦予不同的值，操作的范圍就不同，一般情況下，VA02是維護(hù)銷售訂單，可是在授權(quán)字段BERSL里賦予審批權(quán)限，就可以審批銷售文檔；同樣的TCODE---VA02,授權(quán)字段的值不同，他所擁有的權(quán)限也就不同；SAT可配置：SAT就是關(guān)鍵事務(wù)。企業(yè)不同，對(duì)關(guān)鍵事務(wù)的要求也不同。可以根據(jù)企業(yè)實(shí)際需求進(jìn)行動(dòng)態(tài)配置，便于查詢企業(yè)中哪些用戶擁有這些關(guān)鍵事務(wù)；SOD可配置：權(quán)責(zé)互斥，可以根據(jù)企業(yè)要求或者審計(jì)要求，動(dòng)態(tài)配置同時(shí)擁有哪些事務(wù)算是權(quán)責(zé)互斥；?公司基本信息可配置：配置公司代碼，工廠，采購(gòu)組織，成本中心等，用于判斷用戶跨公司或者越權(quán)信息；可以將SAP中與權(quán)限有關(guān)的表（USR02，AGR_1251等）進(jìn)行處理；

基礎(chǔ)配制可以設(shè)計(jì)成這樣山她U*E冊(cè)管鹿H：VltivM-*篷事M*計(jì)山她U*E冊(cè)管鹿H：VltivM-*篷事M*計(jì)?F頃5…H4EKQ-1>-■崛世鈕■臣關(guān)I憤w處t諼宣■j.Lai序號(hào)導(dǎo)人1USTM□2^LR_DERNE序號(hào)導(dǎo)人1USTM□2^LR_DERNE□3瞻RtU□4UHR21□6^GR.PROF□耳USEF5.WDR□7ADCF□gALK_TEXTfi□gACR_12E2□*MDMMS事凸代碼VI□2/：：歸關(guān)聯(lián)埃置宙B?⑵關(guān)聯(lián)配置：維護(hù)TCODE---授權(quán)對(duì)象*MDMMS事凸代碼VI□2/：：歸關(guān)聯(lián)埃置宙B?5位曜季行W而4qKk*4k攻茸砌-吶*耳蝸■■酎aHlW?n■vnrri*XB.?時(shí)i警*?布1xm函膨號(hào)慢玄h-t軍后■計(jì)>nnfP^vfhnaUTJifl4苧?■忒序號(hào)事輪我瑪IS述1Mg癖|口滴?叨率曾二虱H上市|陸住M11蟲心2wz承W女生HAtiM域娘明[W—±MHi9」"砌函計(jì)心■酩弱用設(shè)電去慕設(shè)/閏留叫尊育儲(chǔ)性明I咖1時(shí)據(jù)圜那坯審批諂胃多擋二版以上審批封用#*?峽■生快收.對(duì)徵留述字設(shè)名皆字段■述七VB^c：——細(xì)■廈IP4祠的叫wmSfiihCI1.DZMJXBakME4LI；i*■球犧用^TViEG坊心.vJ/Bak-ME?Lt做ORGMbE迎V_￥BAK——￥..|SSP-WTF&￡■,MJ/BakMJ^RTH訂g"KBKELZKQ2a<E2JrA3ZT.4l'<_VB^——*GTVTi￡hQ1JZ日J(rèn)jrSEF——BEfiELJ舊用四ZiM2.ZM3.ZM7日J(rèn)JSEF——&T叫Ca81.W82.W5Ga_U3EFUSIff初Iffi*閑戶明cerrp■*BPPL?PW47EK⑶公司基礎(chǔ)信息配置：維護(hù)各分子公司（部門）相關(guān)組織機(jī)構(gòu)的檢驗(yàn)字段值；用于判斷跨公司（部門）權(quán)限。號(hào)tt尊妙卜暗u命汰房祖ftjTiifi國(guó)景州的M部h。少眼*言計(jì)unasxHH事*Wd*■Hg#計(jì)卜flnPttbHWfi■r*A-EHim丑8心"誑ttl—.g捆％B也禎H-iLVB41l3=■陞史151n#friMneix^ff=3*ritanH呵E#mWIHrBift.鼻彗gm■美*■首山竺公司是本信息堆護(hù)牌夜G褊IXWi：國(guó)郵！gq克中咨工濟(jì)湖1唾mtwG9BOMZr果翻AKI味茹中心A事酒m躬雄JT控11酒g裝無(wú)點(diǎn)牢耽的狗方控11筮EI1<<>掌**掌>>*1拿掌<*4掌掌4木■C土掌事24M*4*3**⑷SAT配置：配置敏感權(quán)限，配置公司（或?qū)徲?jì)）認(rèn)為的重要敏感權(quán)限（業(yè)務(wù)行為）。$A伊瑚&圃沸系毓;豈際成.Stf砒原葉”1酬細(xì)也:X血展8：Snr理陵肆#卜□神宙計(jì).11?^計(jì)I-國(guó)用戶網(wǎng)*■!￡EMEM心.：心a<iraas-H-qiEttCSo華昕|弘日耕境!Ia3Q0i<SaSATiiff01弄^4HKHSr攜理■耐美眼遑皆自O(shè)OM尋&航列」*財(cái)部治養(yǎng)時(shí)iLfl*L?MMlH勝障與事,陌例國(guó)述陟原耘峻■-1CA21IZESJtMVCDM——__2二.殄M(JO3CA9D工雖槌直扣DO0Dd043工KflfFW0D——S<2域DO曲4cm吁耳》，IH"COQD7Ck.11hiDO。0——aCk24M000CKUN8叫——10eoaB內(nèi)日訂?^NgM11CRCI1CdGD——r卜、?_]ZJ?⑸SOD配置：配置權(quán)責(zé)互斥清單。3KIES沁用勘H■■慕鼠【.：而丑心①町計(jì)kn事后和,=＜用戶曲割fi?m拊jN^iQ::紋1E1W悠祉具圈世建撈強(qiáng)司堿間Si#藤耳.紋陟酸童■酣蛾xRMMX*口幸件.plttLfiffV乂明?茜口苗擊岸￥TCdfl^-1TCWZ富述eddt-iTCEige??21?a響我*=胸上和哪QDVM1弗杓i吾訂單0D——3礎(chǔ)3HSH=i?w均皿DO——7A31理IP計(jì)納＞設(shè)[■]——3VM2：袖旭用虹皺上可蜘R0■—VM1ptran00—::婭富壬麟宣呂sccneaaSA施3甘寸K.在13以上配置均可動(dòng)態(tài)維護(hù)，可根據(jù)實(shí)際業(yè)務(wù)及管理需求進(jìn)行配置管理，以支持SAP權(quán)限的日常審閱。審計(jì)管理模塊:審計(jì)管理模塊包括事前審計(jì)和事后審計(jì)，事前審計(jì)就是用戶權(quán)限變更完成，但還沒有傳入生產(chǎn)系統(tǒng)（PRD系統(tǒng)）之前，進(jìn)行檢查審計(jì)；事后審計(jì)就是對(duì)已經(jīng)傳入生產(chǎn)系統(tǒng)（PRD系統(tǒng)）的權(quán)限進(jìn)行管理審計(jì)。事前審計(jì)：在沒有傳入生產(chǎn)系統(tǒng)（PRD系統(tǒng)）之前，進(jìn)行合規(guī)性檢查審計(jì)。Wiwit?計(jì)

Wiwit?計(jì)

akSH■nIfl.TfrPHIF日由詬的P時(shí)豆=>r^ESSCCWffi=?畫砒11翎統(tǒng)■-求斧單3牲史]6]=ra曜日兩郵和時(shí)回*LRK13Bd7flMR0IE^W-101M^ll￡12ii+AR陽(yáng)皿039MLLE1ftM.3Q.111海ELLKJnSH［沖ELLlQTTfiHim?初?兇1JI44W3ODM1WELLCnEHi&M-sa-ra1713ELLCnSH1&59-30-W17^*1心頌H怕ELLiOnSHELLKJTT5H1踏30?昭1網(wǎng)ELLP3TTSHim.勃m17143日1孫t?￡4EQ^IP4QlO2DOS-17-M21：為B13H9WD3APERMSDOkHT-M2HB白】齡DO做*2DOS-25-07［汕ei3K9W1fllPERIW2DOT-17-M211^013fc3OOlJ(iPERSM2W6-17-M21；W日1揪001知PERlh2D0&17-H21：46PERM2MM-17-WI31154En孫001*PERU2XS-17-DS21：災(zāi)選中需要檢查的傳輸請(qǐng)求號(hào)，點(diǎn)擊＜、*.'，可以模擬傳入生產(chǎn)系統(tǒng)（PRD系統(tǒng)）之后的權(quán)限變化。比如修改某個(gè)角色之后，可能會(huì)影響所有擁有這個(gè)角色的用戶權(quán)限，是否有了SOD變化，SAT變化等。三MW麻審計(jì)學(xué)二腳E仆::VKT-H-國(guó)藥翰滴束潔單?=平爵時(shí)ftftaTfitmD?tagjs^竹略顰H肯豪*才日期解蝕時(shí)聞-s巾■西■廈^LRKiawraZM3RQhsSS-W-IOIM蠟UWI^I^E=>nSMgl^E眼*Qt?m癡LLE11M-3D-1112：Ha用四J!K8-5（8語(yǔ)震明裕sWiEMsSOMfiE>EAT■良R<■d?1E3i?■13如鑿5IS?耍8?￡孀曲境00的#帝育街赤LUESWSHMiawM.ii崛”f可12IH州我昊H.的就￡耐我由誠(chéng)捎LATOR點(diǎn)擊模擬SAT審計(jì)，可以查看SAT的審計(jì)結(jié)果:mr碇3B1RA,oVM?#?d4EW*e50O*i4G>，虹奉計(jì)割咄碩麻o后色3E彳計(jì)s■翩W+?n用戶（顯詈通*n??￡<&。幼瘀由,°具叫做曾S3圈口￡1［口那a）的剽所|口根噩所在會(huì)m用戶禰位闋頃門用戶暗*會(huì)司h31GQH4Z1CQO9山版一王一UMI^btrnwi.胸一32CQKIZ1GQ685H—王一醫(yī)玄劍UMr_tHJrn|ffl.胸一35CO她。詞9內(nèi)荷?壞GK—王一rtr即UMIltMimsn.麗一XCCfnW己海內(nèi)滲叮尊滴甚一王_u54t_BUi-n￡n伺珥一3EcoH421。網(wǎng)京一王_.E—留FlH4Z1F4Mu哲*d*姬"王一UM!^(Mjrnen■RH—3TFlHMZ1F4M彌5可用一王一UMr_&imsfi.E—1H1Z1F■WWg-E—ESflljHfHHlm-|FfH4Z1F-SEg手工g麻_王_成主血U54l_Mm頓.E—如FlKIZ1F-CT前手工g可用一王一UMILtMJmsn.E—4LFlI-T121F-SS耳點(diǎn)一王一uMiijasMi?m—42FlHM21F-33"KM可用一王_ffiTWNUML^U^W■Rfl—J4SFlE1F-M叵林W牌杵.酬可用一王一姒肄39U悝!_皿間:麗一44Fl1*1Z1心?--三一u￡4r_HumMi麗-\選中某行，點(diǎn)擊□明細(xì)，可以詳細(xì)查看SAT所定義的角色---授權(quán)對(duì)象---授權(quán)字段---字段值的關(guān)系，很清淅地看到用戶擁有這樣權(quán)限的原因?！?切if￡5SAP楹眼命此系繞±ki'u93川懷際汁*隼*函計(jì)-「由函計(jì)■4WMSfl:sir技寸■nfl?>吧SA仲詁明翊肖色名再am坷字度名捋9.M盤::Tl標(biāo)成嗇25ib?=M2L-PO9Tli-jC；FWKjauKTEH曲54IM。ACTVT■0詢ZHI+FKjL"FO5TlhKjFJMKJMKT-EfME'JMMDACTVT■aiDjEHhH=K3L4=W5TlMGFJMEBUKT^dKMWDElg&B?FZH沖F/「pam峪F川KJ3UKT-ErffelKWIAC1VTD101,02ZHMfhGU^CISIlMSFKK-BJKT-F^dHMMDBUKR5B-q?EHhHF麗WQICEFWKJBUKT-P/4IS：］51fflO就wrD101.022HI■才*」做訝￡￡F_AAlkJ3Uk.TEH厘51財(cái)。ACMg01,02EH滸WTNraCEFKEBUK作7乖耶1曬HUfflSF?fl-ZH卜片*■#，￡!￡￡F_wik_sukT￡招陌51財(cái)。ACIYT01Ewmr^FWR-iw?ncEFjWIK—BUKT-E74E3S1MDELKRSBe小FKK-BUKTMWB3K21。。AGTTTDIOIOSF_A^k_0Uk就TZFg41,EHK421D圖日盾土毗依此方法，還可以確認(rèn)是否存在SOD（權(quán)責(zé)分離），跨公司權(quán)限等問(wèn)題。事后審計(jì)：對(duì)生產(chǎn)系統(tǒng)（PRD系統(tǒng)）中已存在的權(quán)限進(jìn)行審計(jì)管理。⑴SAT審計(jì)結(jié)果，也就是哪些用戶擁有我們所定義的敏感權(quán)限。I.曲市計(jì)'____.__________一備百加31峋衲加E迥聘中nifiia宜..審m簞牯司W(wǎng)MMI^KrD?l^lW4IV!袍唔員g曰圈i胡赤"日事蚯計(jì)崎舶怦汁卯表■rSfjgqi計(jì)a5；（i晚■用尸皿始宣行笛停0*胃墓任響]e)st三Mip計(jì)障與m用戶m鞍懊扭闞描謖板圈陣在會(huì)日用戶魅容用戶崗幌闈戶裁口用戶所祝公司球1ppa-civ---Hfiomil涂訂率8瑩b-—明---flEit：b—&——比冏路羿呂￡FPm——NRO可——IF——跖展您——巳——m村嘩3C41+43FPB——NR8W囚——B——4H45B—包-—r?ftfeis.T￥計(jì)+CD白_Q_一C223主產(chǎn)（S豐朝午S-—彌——一ElfJMf6…&-一?刀用戶圖msybi-W——31I3W：.Etf|F乜——若——CKVE包——包——*°ftHKflGGD日七*一weizwMfN-—玷---yf：ui￡B—色——ijs,百予7CO日偵蝴，lOTIffl*WM>-H-hUlfB—色-—n#!￡訐的，osimuh?&CO9---CW工不勘構(gòu)午可-—?-一ilHJUf號(hào)——電——9CDa-CiV35l44?N?ti?9?b-—/―Eltuirb—K-—1>]CDB-CsV—e/dEta-—#----3f:MWta—k——選中某行，點(diǎn)擊□明細(xì)，可以詳細(xì)查看SAT所定義的角色---授權(quán)對(duì)象---授權(quán)字段---字段值的關(guān)系，很清淅地看到用戶擁有這樣權(quán)限的原因。BfT[CA2l]授相的字■函iW；a?a番米但F-ZBT-D>PCC_BiENR_ERWT-E^65S150Q蠟TV!T01.02zet-cq-fcc_aenr_erwT-E^d6531500ACTVTd01.02ZDT-CO-PCC_ROUTT-EV46641ED0虻TVT-01s02ZDr-COPCC_ROUTT-E?6i8l5DflACTVT-01,02zdi-co-pc——C_RDLfTTEMfl5Si5flfl此ERH9MOO站?！鯶HT-匚O-PCC_RCLrr虻TVT013再ZBT-CO-PCC.ROUTT-EV奄洵5D1蠟TV!02U1.Q2ZBT-COPGC_ROUTT-E^65S15D0抵RK6MOOwe*tZBT-COFCC.ROLFTT-Ewd6531501ACTVT0201.02ZBT-CD-PCC_ROLfT任伽潮MM1煉RKS.MDO*A??M-zbf-copcc_ROcrrT?EWMflH5M阪如MOO由ZHF-匚OFCS_TCODEi-E^nasiMDTCDCA21CA21.⑵SOD審計(jì)結(jié)果，也就是用戶的權(quán)限在權(quán)責(zé)互斥方面是有問(wèn)題的；用戶同時(shí)擁有了我們?cè)赟OD配置中所配置的業(yè)務(wù)。eite-15■U.JiillsSrf聰甚卒計(jì)3或舞秋唳■由理1—孫口甲計(jì)列表*：u3SCCTUI+e知r彳計(jì)Beite-15■U.JiillsSrf聰甚卒計(jì)3或舞秋唳■由理1*：u3SCCTUI+e知r彳計(jì)B聰河牌B同名的可I?■四￡1X1彳計(jì)b■由時(shí)nfci十閑月珈1EIF或#3山SAid*51￡號(hào)礎(chǔ)UQR2SR02-VMJ2^.401中一國(guó)一SR卜4Z—'1f?IZ1E頑牌朋Wfl1itlPUBU*lii—A三扈HE-V*JDETttMB^ra-wH上年ttltffl仆『1fllPIMin*由_王一HI-Wfl■u*■還IJ二UGU±5HICfB仆『1flWMin*di—王一SRHZ—h頑Wtt滴甚立情二諷H上革it俯枷1MlFfMil*山_w-SRK1一MidWtt滴甚豆色二識(shí)H岫D1MlPiMin*中_馬一圈口腿H1戶■玄會(huì)?司中-山一山一也一中_用尸力口初一|pma|i￡i軸￡-王一生,一選中某行，點(diǎn)擊□明細(xì)，可以詳細(xì)查看SOD所定義的角色---授權(quán)對(duì)象---授權(quán)字段---字段值的關(guān)系，很清淅地看到用戶擁有這樣權(quán)限的原因。。HIB5A、。HIB5A、=VPA^i-t三卅會(huì)司根IH卉康悟戶可HZRR!i接權(quán)時(shí)金樞限粗字改名1*ZHZ-WIMMF1——0.U3ER3Wy如gi6ER3L?-CH^lZiJH.CHiaLZiSS.CH^ZOO?■2HZNM-LW1——S.USERSTATT-EY4.01fia?OQERSL-CH^Ou2.CHaLZUUJ.CH^Z￡i07ZHZNM-LM3——Q.USERSW「胡網(wǎng)I的洶STSMA-CH^COSl.CH-U.C0￡2.CH*L^Sb——0?UGER9TAT「BW伯映1STSMa,CAMC0S1.CH^LCOSi0H?LCTQ6ZHZWM-fcW,B_USER3TATT-EV-IBIBZ^OOST5WA■■CH^LCOB!,CH^LODS2CH^LCOSBZHZ-SD-iDRD9_TCODET-E\!4532G4(?TCD7AD274027UT.=nj--nN、r'.=ivMTTnnETiEnimrr?—HZ蠣2(W1j內(nèi)E必折攢或海蒙枝限演手燦a辭標(biāo)麻宣LZHZ-SD-——3_TCODET-ES'4532&4JX?1CDflV心ZHZSD——匕昭KMTT-Ev*53103X1flCTuT0101.&2ZH.Z-SD——心日*LMTT-￡V4.5318200心TUTK!01.022HZ-9D——七也職WTT-Pi'iSaSflOOO心N010102ZHE-SDOBW_.MilT-EV4532DOOOi-CTUTazoi.azZHZ-SD———必&WJWTT-EV*532C+KACTUT0101,02，,rrii■.rra!jAn?-ica—⑶跨公司權(quán)限：哪些用戶擁有跨公司（部門）的權(quán)限。swSJI市計(jì)目80C<1+ftfe^TS計(jì)■E頃5、BmUfls3?..i￡?tmiM甫卜o皿也曰LL4胃?靛#養(yǎng)質(zhì)枚nnfflpain1CDtCW——KM1b—可——2CQKW——KW1巍——外——可——a——3CD旺由——心1式女壽景鼻扣甘——貌——對(duì)K9s—ta——4CDBj2^——KXA1D——和——杵版s—&——aGO&OVK.W1J舞■—B-—Q..-g——萸］度率野聘命孕冒——彌——制版ta——ta——7CD旺W同1W小■—滲稚版b—ta—9CQ&CW——KW1ul弗——A3-■.a——9CO做就第南著學(xué)度——井——E——可——wCDBJ2W——k^JIrtffRMr弁——辭——^snab—&——曾糧所旺嘗司闈戶牲占用戶胴用戶暗在會(huì)司攜家幽戶g用房.負(fù)正序?qū)あ韧噘~號(hào)：一個(gè)用戶擁有多個(gè)賬號(hào)SAF模眼畝討系豪零少aniasEAE牌*硼#nfiflSA白導(dǎo)氏＜2451?HM卜：n■站殷IBiUns樣fll世司llJ*童m系沖Q童齒虹1常存號(hào)周尸君拜白——FWM-—網(wǎng)『_一富——BNUMW-———16盤——卵U————f——e-so——MM——的—