SAP權(quán)限審計的一點想法

隨著SAP的深入應(yīng)用，我們幾乎可以在所有使用了SAP管理軟件的企業(yè)中找到這樣一個共同的現(xiàn)象：在上線之后隨著公司業(yè)務(wù)的不斷重組、用戶工作崗位的頻繁變動、崗位職責的擴大與組合等都需要對用戶的權(quán)限做出調(diào)整，這時候權(quán)限管理人員的疑問就出來了，這個用戶本身有哪些權(quán)限？這個權(quán)限用戶可以申請嗎？因此權(quán)限管理變得更加重要與迫切。直觀的說，權(quán)限就是“某人能干某事”與“某人不能干某事”之和。然而，尤其在用戶量大的集團企業(yè)，哪些用戶擁有關(guān)鍵事務(wù)或敏感權(quán)（&^）？哪些用戶擁有的/印施存在權(quán)責互斥（5如）？哪些用戶擁有超級權(quán)限？哪些用戶擁有跨公司權(quán)限？在沒有管理系統(tǒng)的情況下，只能靠關(guān)鍵用戶（內(nèi)部顧問）的經(jīng)驗判斷，可有時并不是那么可靠。在嚴格的管理要求和法律環(huán)境情況下，對SAP系統(tǒng)的應(yīng)用帶來風險，給用戶的權(quán)限管理帶來困惑，而給每年的404審計更是帶來麻煩。依據(jù)SAPGRC的權(quán)限管理理念，我們認為權(quán)限審計管理系統(tǒng)：其主要功能是事前及事后的合規(guī)性檢查。比如：哪些用戶擁有敏感權(quán)限（SAT）；哪些用戶存在權(quán)責互斥（SOD）；哪些用戶擁有跨公司權(quán)限等。PCAOB發(fā)布的指引和聲明強調(diào)，基于系統(tǒng)的控制比手工控制更可靠。有些東西可以讓用戶動態(tài)配置：一旦可配置的應(yīng)用系統(tǒng)控制被設(shè)定為基線，同樣的控制就不必每年都進行測試了。以后的重心可以放在日常審計管理方面，比如管理設(shè)置業(yè)務(wù)敏感權(quán)限（SAT），公司基本信息等。?基本授權(quán)可配置：授權(quán)字段是SAP權(quán)限系統(tǒng)中最底層的元素，授權(quán)字段是授權(quán)對象的組成元素，一組授權(quán)對象決定了一個TCODE的真實權(quán)限。比如同一個TCODE---VA02，在B_USERSTAT授權(quán)對象的授權(quán)字段BERSL（權(quán)限碼），賦予不同的值，操作的范圍就不同，一般情況下，VA02是維護銷售訂單，可是在授權(quán)字段BERSL里賦予審批權(quán)限，就可以審批銷售文檔；同樣的TCODE---VA02,授權(quán)字段的值不同，他所擁有的權(quán)限也就不同；SAT可配置：SAT就是關(guān)鍵事務(wù)。企業(yè)不同，對關(guān)鍵事務(wù)的要求也不同?？梢愿鶕?jù)企業(yè)實際需求進行動態(tài)配置，便于查詢企業(yè)中哪些用戶擁有這些關(guān)鍵事務(wù)；SOD可配置：權(quán)責互斥，可以根據(jù)企業(yè)要求或者審計要求，動態(tài)配置同時擁有哪些事務(wù)算是權(quán)責互斥；?公司基本信息可配置：配置公司代碼，工廠，采購組織，成本中心等，用于判斷用戶跨公司或者越權(quán)信息；可以將SAP中與權(quán)限有關(guān)的表（USR02，AGR_1251等）進行處理；

基礎(chǔ)配制可以設(shè)計成這樣山她U*E冊管鹿H：VltivM-*篷事M*計山她U*E冊管鹿H：VltivM-*篷事M*計?F頃5…H4EKQ-1>-■崛世鈕■臣關(guān)I憤w處t諼宣■j.Lai序號導(dǎo)人1USTM□2^LR_DERNE序號導(dǎo)人1USTM□2^LR_DERNE□3瞻RtU□4UHR21□6^GR.PROF□耳USEF5.WDR□7ADCF□gALK_TEXTfi□gACR_12E2□*MDMMS事凸代碼VI□2/：：歸關(guān)聯(lián)埃置宙B?⑵關(guān)聯(lián)配置：維護TCODE---授權(quán)對象*MDMMS事凸代碼VI□2/：：歸關(guān)聯(lián)埃置宙B?5位曜季行W而4qKk*4k攻茸砌-吶*耳蝸■■酎aHlW?n■vnrri*XB.?時i警*?布1xm函膨號慢玄h-t軍后■計>nnfP^vfhnaUTJifl4苧?■忒序號事輪我瑪IS述1Mg癖|口滴?叨率曾二虱H上市|陸住M11蟲心2wz承W女生HAtiM域娘明[W—±MHi9」"砌函計心■酩弱用設(shè)電去慕設(shè)/閏留叫尊育儲性明I咖1時據(jù)圜那坯審批諂胃多擋二版以上審批封用#*?峽■生快收.對徵留述字設(shè)名皆字段■述七VB^c：——細■廈IP4祠的叫wmSfiihCI1.DZMJXBakME4LI；i*■球犧用^TViEG坊心.vJ/Bak-ME?Lt做ORGMbE迎V_￥BAK——￥..|SSP-WTF&￡■,MJ/BakMJ^RTH訂g"KBKELZKQ2a<E2JrA3ZT.4l'<_VB^——*GTVTi￡hQ1JZ日JjrSEF——BEfiELJ舊用四ZiM2.ZM3.ZM7日JJSEF——&T叫Ca81.W82.W5Ga_U3EFUSIff初Iffi*閑戶明cerrp■*BPPL?PW47EK⑶公司基礎(chǔ)信息配置：維護各分子公司（部門）相關(guān)組織機構(gòu)的檢驗字段值；用于判斷跨公司（部門）權(quán)限。號tt尊妙卜暗u命汰房祖ftjTiifi國景州的M部h。少眼*言計unasxHH事*Wd*■Hg#計卜flnPttbHWfi■r*A-EHim丑8心"誑ttl—.g捆％B也禎H-iLVB41l3=■陞史151n#friMneix^ff=3*ritanH呵E#mWIHrBift.鼻彗gm■美*■首山竺公司是本信息堆護牌夜G褊IXWi：國郵！gq克中咨工濟湖1唾mtwG9BOMZr果翻AKI味茹中心A事酒m躬雄JT控11酒g裝無點牢耽的狗方控11筮EI1<<>掌**掌>>*1拿掌<*4掌掌4木■C土掌事24M*4*3**⑷SAT配置：配置敏感權(quán)限，配置公司（或?qū)徲嫞┱J為的重要敏感權(quán)限（業(yè)務(wù)行為）。$A伊瑚&圃沸系毓;豈際成.Stf砒原葉”1酬細也:X血展8：Snr理陵肆#卜□神宙計.11?^計I-國用戶網(wǎng)*■!￡EMEM心.：心a<iraas-H-qiEttCSo華昕|弘日耕境!Ia3Q0i<SaSATiiff01弄^4HKHSr攜理■耐美眼遑皆自O(shè)OM尋&航列」*財部治養(yǎng)時iLfl*L?MMlH勝障與事,陌例國述陟原耘峻■-1CA21IZESJtMVCDM——__2二.殄M(JO3CA9D工雖槌直扣DO0Dd043工KflfFW0D——S<2域DO曲4cm吁耳》，IH"COQD7Ck.11hiDO。0——aCk24M000CKUN8叫——10eoaB內(nèi)日訂?^NgM11CRCI1CdGD——r卜、?_]ZJ?⑸SOD配置：配置權(quán)責互斥清單。3KIES沁用勘H■■慕鼠【.：而丑心①町計kn事后和,=＜用戶曲割fi?m拊jN^iQ::紋1E1W悠祉具圈世建撈強司堿間Si#藤耳.紋陟酸童■酣蛾xRMMX*口幸件.plttLfiffV乂明?茜口苗擊岸￥TCdfl^-1TCWZ富述eddt-iTCEige??21?a響我*=胸上和哪QDVM1弗杓i吾訂單0D——3礎(chǔ)3HSH=i?w均皿DO——7A31理IP計納＞設(shè)[■]——3VM2：袖旭用虹皺上可蜘R0■—VM1ptran00—::婭富壬麟宣呂sccneaaSA施3甘寸K.在13以上配置均可動態(tài)維護，可根據(jù)實際業(yè)務(wù)及管理需求進行配置管理，以支持SAP權(quán)限的日常審閱。審計管理模塊:審計管理模塊包括事前審計和事后審計，事前審計就是用戶權(quán)限變更完成，但還沒有傳入生產(chǎn)系統(tǒng)（PRD系統(tǒng)）之前，進行檢查審計；事后審計就是對已經(jīng)傳入生產(chǎn)系統(tǒng)（PRD系統(tǒng)）的權(quán)限進行管理審計。事前審計：在沒有傳入生產(chǎn)系統(tǒng)（PRD系統(tǒng)）之前，進行合規(guī)性檢查審計。Wiwit?計

Wiwit?計

akSH■nIfl.TfrPHIF日由詬的P時豆=>r^ESSCCWffi=?畫砒11翎統(tǒng)■-求斧單3牲史]6]=ra曜日兩郵和時回*LRK13Bd7flMR0IE^W-101M^ll￡12ii+AR陽皿039MLLE1ftM.3Q.111海ELLKJnSH［沖ELLlQTTfiHim?初?兇1JI44W3ODM1WELLCnEHi&M-sa-ra1713ELLCnSH1&59-30-W17^*1心頌H怕ELLiOnSHELLKJTT5H1踏30?昭1網(wǎng)ELLP3TTSHim.勃m17143日1孫t?￡4EQ^IP4QlO2DOS-17-M21：為B13H9WD3APERMSDOkHT-M2HB白】齡DO做*2DOS-25-07［汕ei3K9W1fllPERIW2DOT-17-M211^013fc3OOlJ(iPERSM2W6-17-M21；W日1揪001知PERlh2D0&17-H21：46PERM2MM-17-WI31154En孫001*PERU2XS-17-DS21：災(zāi)選中需要檢查的傳輸請求號，點擊＜、*.'，可以模擬傳入生產(chǎn)系統(tǒng)（PRD系統(tǒng)）之后的權(quán)限變化。比如修改某個角色之后，可能會影響所有擁有這個角色的用戶權(quán)限，是否有了SOD變化，SAT變化等。三MW麻審計學(xué)二腳E仆::VKT-H-國藥翰滴束潔單?=平爵時ftftaTfitmD?tagjs^竹略顰H肯豪*才日期解蝕時聞-s巾■西■廈^LRKiawraZM3RQhsSS-W-IOIM蠟UWI^I^E=>nSMgl^E眼*Qt?m癡LLE11M-3D-1112：Ha用四J!K8-5（8語震明裕sWiEMsSOMfiE>EAT■良R<■d?1E3i?■13如鑿5IS?耍8?￡孀曲境00的#帝育街赤LUESWSHMiawM.ii崛”f可12IH州我昊H.的就￡耐我由誠捎LATOR點擊模擬SAT審計，可以查看SAT的審計結(jié)果:mr碇3B1RA,oVM?#?d4EW*e50O*i4G>，虹奉計割咄碩麻o后色3E彳計s■翩W+?n用戶（顯詈通*n??￡<&。幼瘀由,°具叫做曾S3圈口￡1［口那a）的剽所|口根噩所在會m用戶禰位闋頃門用戶暗*會司h31GQH4Z1CQO9山版一王一UMI^btrnwi.胸一32CQKIZ1GQ685H—王一醫(yī)玄劍UMr_tHJrn|ffl.胸一35CO她。詞9內(nèi)荷?壞GK—王一rtr即UMIltMimsn.麗一XCCfnW己海內(nèi)滲叮尊滴甚一王_u54t_BUi-n￡n伺珥一3EcoH421。網(wǎng)京一王_.E—留FlH4Z1F4Mu哲*d*姬"王一UM!^(Mjrnen■RH—3TFlHMZ1F4M彌5可用一王一UMr_&imsfi.E—1H1Z1F■WWg-E—ESflljHfHHlm-|FfH4Z1F-SEg手工g麻_王_成主血U54l_Mm頓.E—如FlKIZ1F-CT前手工g可用一王一UMILtMJmsn.E—4LFlI-T121F-SS耳點一王一uMiijasMi?m—42FlHM21F-33"KM可用一王_ffiTWNUML^U^W■Rfl—J4SFlE1F-M叵林W牌杵.酬可用一王一姒肄39U悝!_皿間:麗一44Fl1*1Z1心?--三一u￡4r_HumMi麗-\選中某行，點擊□明細，可以詳細查看SAT所定義的角色---授權(quán)對象---授權(quán)字段---字段值的關(guān)系，很清淅地看到用戶擁有這樣權(quán)限的原因?！?切if￡5SAP楹眼命此系繞±ki'u93川懷際汁*隼*函計-「由函計■4WMSfl:sir技寸■nfl?>吧SA仲詁明翊肖色名再am坷字度名捋9.M盤::Tl標成嗇25ib?=M2L-PO9Tli-jC；FWKjauKTEH曲54IM。ACTVT■0詢ZHI+FKjL"FO5TlhKjFJMKJMKT-EfME'JMMDACTVT■aiDjEHhH=K3L4=W5TlMGFJMEBUKT^dKMWDElg&B?FZH沖F/「pam峪F川KJ3UKT-ErffelKWIAC1VTD101,02ZHMfhGU^CISIlMSFKK-BJKT-F^dHMMDBUKR5B-q?EHhHF麗WQICEFWKJBUKT-P/4IS：］51fflO就wrD101.022HI■才*」做訝￡￡F_AAlkJ3Uk.TEH厘51財。ACMg01,02EH滸WTNraCEFKEBUK作7乖耶1曬HUfflSF?fl-ZH卜片*■#，￡!￡￡F_wik_sukT￡招陌51財。ACIYT01Ewmr^FWR-iw?ncEFjWIK—BUKT-E74E3S1MDELKRSBe小FKK-BUKTMWB3K21。。AGTTTDIOIOSF_A^k_0Uk就TZFg41,EHK421D圖日盾土毗依此方法，還可以確認是否存在SOD（權(quán)責分離），跨公司權(quán)限等問題。事后審計：對生產(chǎn)系統(tǒng)（PRD系統(tǒng)）中已存在的權(quán)限進行審計管理。⑴SAT審計結(jié)果，也就是哪些用戶擁有我們所定義的敏感權(quán)限。I.曲市計'____.__________一備百加31峋衲加E迥聘中nifiia宜..審m簞牯司W(wǎng)MMI^KrD?l^lW4IV!袍唔員g曰圈i胡赤"日事蚯計崎舶怦汁卯表■rSfjgqi計a5；（i晚■用尸皿始宣行笛停0*胃墓任響]e)st三Mip計障與m用戶m鞍懊扭闞描謖板圈陣在會日用戶魅容用戶崗幌闈戶裁口用戶所祝公司球1ppa-civ---Hfiomil涂訂率8瑩b-—明---flEit：b—&——比冏路羿呂￡FPm——NRO可——IF——跖展您——巳——m村嘩3C41+43FPB——NR8W囚——B——4H45B—包-—r?ftfeis.T￥計+CD白_Q_一C223主產(chǎn)（S豐朝午S-—彌——一ElfJMf6…&-一?刀用戶圖msybi-W——31I3W：.Etf|F乜——若——CKVE包——包——*°ftHKflGGD日七*一weizwMfN-—玷---yf：ui￡B—色——ijs,百予7CO日偵蝴，lOTIffl*WM>-H-hUlfB—色-—n#!￡訐的，osimuh?&CO9---CW工不勘構(gòu)午可-—?-一ilHJUf號——電——9CDa-CiV35l44?N?ti?9?b-—/―Eltuirb—K-—1>]CDB-CsV—e/dEta-—#----3f:MWta—k——選中某行，點擊□明細，可以詳細查看SAT所定義的角色---授權(quán)對象---授權(quán)字段---字段值的關(guān)系，很清淅地看到用戶擁有這樣權(quán)限的原因。BfT[CA2l]授相的字■函iW；a?a番米但F-ZBT-D>PCC_BiENR_ERWT-E^65S150Q蠟TV!T01.02zet-cq-fcc_aenr_erwT-E^d6531500ACTVTd01.02ZDT-CO-PCC_ROUTT-EV46641ED0虻TVT-01s02ZDr-COPCC_ROUTT-E?6i8l5DflACTVT-01,02zdi-co-pc——C_RDLfTTEMfl5Si5flfl此ERH9MOO站?！鯶HT-匚O-PCC_RCLrr虻TVT013再ZBT-CO-PCC.ROUTT-EV奄洵5D1蠟TV!02U1.Q2ZBT-COPGC_ROUTT-E^65S15D0抵RK6MOOwe*tZBT-COFCC.ROLFTT-Ewd6531501ACTVT0201.02ZBT-CD-PCC_ROLfT任伽潮MM1煉RKS.MDO*A??M-zbf-copcc_ROcrrT?EWMflH5M阪如MOO由ZHF-匚OFCS_TCODEi-E^nasiMDTCDCA21CA21.⑵SOD審計結(jié)果，也就是用戶的權(quán)限在權(quán)責互斥方面是有問題的；用戶同時擁有了我們在SOD配置中所配置的業(yè)務(wù)。eite-15■U.JiillsSrf聰甚卒計3或舞秋唳■由理1—孫口甲計列表*：u3SCCTUI+e知r彳計Beite-15■U.JiillsSrf聰甚卒計3或舞秋唳■由理1*：u3SCCTUI+e知r彳計B聰河牌B同名的可I?■四￡1X1彳計b■由時nfci十閑月珈1EIF或#3山SAid*51￡號礎(chǔ)UQR2SR02-VMJ2^.401中一國一SR卜4Z—'1f?IZ1E頑牌朋Wfl1itlPUBU*lii—A三扈HE-V*JDETttMB^ra-wH上年ttltffl仆『1fllPIMin*由_王一HI-Wfl■u*■還IJ二UGU±5HICfB仆『1flWMin*di—王一SRHZ—h頑Wtt滴甚立情二諷H上革it俯枷1MlFfMil*山_w-SRK1一MidWtt滴甚豆色二識H岫D1MlPiMin*中_馬一圈口腿H1戶■玄會?司中-山一山一也一中_用尸力口初一|pma|i￡i軸￡-王一生,一選中某行，點擊□明細，可以詳細查看SOD所定義的角色---授權(quán)對象---授權(quán)字段---字段值的關(guān)系，很清淅地看到用戶擁有這樣權(quán)限的原因。。HIB5A、。HIB5A、=VPA^i-t三卅會司根IH卉康悟戶可HZRR!i接權(quán)時金樞限粗字改名1*ZHZ-WIMMF1——0.U3ER3Wy如gi6ER3L?-CH^lZiJH.CHiaLZiSS.CH^ZOO?■2HZNM-LW1——S.USERSTATT-EY4.01fia?OQERSL-CH^Ou2.CHaLZUUJ.CH^Z￡i07ZHZNM-LM3——Q.USERSW「胡網(wǎng)I的洶STSMA-CH^COSl.CH-U.C0￡2.CH*L^Sb——0?UGER9TAT「BW伯映1STSMa,CAMC0S1.CH^LCOSi0H?LCTQ6ZHZWM-fcW,B_USER3TATT-EV-IBIBZ^OOST5WA■■CH^LCOB!,CH^LODS2CH^LCOSBZHZ-SD-iDRD9_TCODET-E\!4532G4(?TCD7AD274027UT.=nj--nN、r'.=ivMTTnnETiEnimrr?—HZ蠣2(W1j內(nèi)E必折攢或海蒙枝限演手燦a辭標麻宣LZHZ-SD-——3_TCODET-ES'4532&4JX?1CDflV心ZHZSD——匕昭KMTT-Ev*53103X1flCTuT0101.&2ZH.Z-SD——心日*LMTT-￡V4.5318200心TUTK!01.022HZ-9D——七也職WTT-Pi'iSaSflOOO心N010102ZHE-SDOBW_.MilT-EV4532DOOOi-CTUTazoi.azZHZ-SD———必&WJWTT-EV*532C+KACTUT0101,02，,rrii■.rra!jAn?-ica—⑶跨公司權(quán)限：哪些用戶擁有跨公司（部門）的權(quán)限。swSJI市計目80C<1+ftfe^TS計■E頃5、BmUfls3?..i￡?tmiM甫卜o皿也曰LL4胃?靛#養(yǎng)質(zhì)枚nnfflpain1CDtCW——KM1b—可——2CQKW——KW1巍——外——可——a——3CD旺由——心1式女壽景鼻扣甘——貌——對K9s—ta——4CDBj2^——KXA1D——和——杵版s—&——aGO&OVK.W1J舞■—B-—Q..-g——萸］度率野聘命孕冒——彌——制版ta——ta——7CD旺W同1W小■—滲稚版b—ta—9CQ&CW——KW1ul弗——A3-■.a——9CO做就第南著學(xué)度——井——E——可——wCDBJ2W——k^JIrtffRMr弁——辭——^snab—&——曾糧所旺嘗司闈戶牲占用戶胴用戶暗在會司攜家幽戶g用房.負正序?qū)あ韧噘~號：一個用戶擁有多個賬號SAF模眼畝討系豪零少aniasEAE牌*硼#nfiflSA白導(dǎo)氏＜2451?HM卜：n■站殷IBiUns樣fll世司llJ*童m系沖Q童齒虹1常存號周尸君拜白——FWM-—網(wǎng)『_一富——BNUMW-———16盤——卵U————f——e-so——MM——的—