引言

经验表明,常见的集团化公司企业SAP系统刚上线时,系统的权限管理往往未引起重视,企业关注更多的是系统能否顺畅运行、数据是否准确,此时为了确保系统迅速转起来,给很多用户的权限往往是放大的。


关键字:SAPGRC、SAP合规审计、SAP财务审计、SAP权限审计,SAP账号审计、SAP审计报告、404审计、内控审计

一、概述

随着时间推移,随着SAP系统的深入应用,系统内部的权限管理及用户操作行为管理等内控缺陷问题就突显出来,所带来的企业控制风险亦日益突出,主要为:

SAP系统用户账号和角色众多,管理复杂,权限过大的情况时有发生,手工维护极易出错,给企业SAP应用系统带来隐患。

以业务需要为驱动的账号和权限变更、扩展要求导致企业业务部门在权限审批过程中没有审批依据,业务部门和IT部门在权限管理过程中沟通不畅。

SAP系统用户权限没有一个清晰的授权原则,不能确切的说明为何授权或为何不授权;权限有被逐渐放大甚至失控的危险,面临过度操作风险。

岗位职责分离体系不能被有效建立和执行,存在大量的互斥职责授予同一用户的现象,增加了舞弊的可能。

企业IT部门每天花费大量的时间和人力维护SAP系统中的用户账号和权限,进行密码重置等繁琐的工作;企业员工从入职到离职的账号管理通常通过手工完成,容易出错且管理效率低下。

运维人员无法通过人工方式有效的检测所有用户账号和权限分配的合规性及合理性,对超级用户的操作审计取证困难,用户权限超过其职责,存在企业重要信息泄露的风险。

鉴于当前SAP系统权限授权现状,传统的SAP系统权限管理及用户业务操作管控方法已显得力不从心,亟需重新梳理建立建立一套灵活、有效的权限合规管理系统,既满足业务实际需要,又符合权限合规原则;同时建立一套规范、灵活、全面的SAP用户行为审计系统,规避SAP系统应用的潜在业务风险和管理风险。

二、存在的缺陷

在SAP实施过程中,权限内部控制和业务操作行为安全往往被忽略,对于SAP的权限内控管理,只能依靠审计或系统出现问题后才能发现有问题,不能做到事前防范、事中控制、事后处理。发现问题后一般整改方法有以下两种:修改用户角色,管理员通过相关事务代码对用户的角色进行删除或者添加;添加完成后,把修改后的结果传输到测试系统中,通知最终用户到测试系统中进行测试;验证完成后,再把结果传输到生产系统中使用。修改角色权限,管理员通过相关事务代码修改角色中的权限,设置访问限制等;修改完成后,把结果传输到测试系统,通知跟这个角色有关的所有用户登录到测试系统中进行测试验证;验证完成后,管理员才可以把修改结果传输到生产系统中。

上述过程对SAP系统运维人员要求非常高,需要对角色、用户权限、用户业务操作等都非常了解。即使这样,有时也需要反复多次,一个问题解决了,但其它潜在的风险又增加了,因为最终用户的权限不是由某一个角色决定的,而由该用户的全部角色共同决定的。手工操作或凭经验判断,都是不准确的,在没有任何辅助工具的情况下,导致的结果就是工作量巨大,但效率低,并且无法验证,更不能做到事前控制。

三、权限管理风险

SAP系统上线初期,系统内的权限管理往往并不引起重视,大家关注更多的是系统能否顺畅运行、数据是否准确,财务帐是否能对得上等等。随着SAP应用的日趋深入,公司业务的不断变化、用户工作岗位的变动、岗位职责的扩大与组合等内部权限管理问题就慢慢突显。

SAP系统权限机制实现的复杂性,系统权限管理人员仅仅凭借人工很难判断用户拥有的权限是否违反SOD(职责互斥,譬如有“录入采购订单”权限的人,不应同时拥有“审批采购订单”的权限)规则,是否拥有SAT关键事务代码或关键业务活动,操作人员登录SAP后进行的敏感业务操作等。特别随着应用时间的推移,企业内部不断变化的权限设置使得不合规的情况不断的积累,给SAP系统的安全运行带来不小的风险。

SAP系统提供了强大的细粒度的权限管理机制,但是企业在实际应用中由于缺乏足够的资源和工具来应对复杂的并且不断变化的权限需求,往往不能够真正利用SAP系统权限管理机制的优点,从而导致用户权限的放大。SAP用户权限的放大,会出现大量跨部门跨公司的权限,能查看或修改或删除不属于自己职责范围内的数据。由于SAP系统的复杂授权体系,基于传统经验的手工授权控制,容易存在用户权限授予超过其岗位职责的风险,发生用户权限过大、职责冲突难以分离的情况,从而诱发业务舞弊事件的可能,并导致公司财务数据的失真和泄露的风险。

四、业务操作风险

SAP系统现有日志体系,虽然实现了完整的用户业务操作日志记录,但是系统并未提供面向用户业务操作行为管理和追溯取证的管理工具,对于完整用户操作行为的行为审计就变得十分困难。

如何针对SAP系统进行审计,并且实现用户业务操作过程的监控审计,从而全面规避各种复杂环境下未知的安全管理和审计管理等突出风险,如何提高SAP系统管理和审计水平,满足系统管理和日常审计标准要求,已经成为企业当下亟需解决的重大问题。

作为服务于集团公司的核心业务系统,SAP系统的审计日志功能受限于系统性能和用户体验,及实际效果(仅仅能记录操作的事务代码),并未完全开启。因此,企业的业务管理和日常审计过程中可能存在诸如“SAP系统数据非法删除后不能取证”、“特权用户的操作没有日志记录”等一系列违规事件。伴随着SAP系统应用规模的扩大,用户的增长,以及SAP系统资产价值的增加,系统面临的安全威胁和业务风险也愈加严重。。

五、权限咨询及治理

SAP权限管控体系建设。SAP系统账号权限治理。

六、信息系统建设

更多SAP权限管控解决方案,欢迎联系我们,索取资料。

关于赛锐信息

作为SAP的资深合作伙伴,赛锐信息是一家专业提供SAP行业化管理软件解决方案的顾问公司,致力于为企业提供SAPERP系统咨询服务、IT规划、业务流程优化、信息系统实施、行业信息系统方案开发,运营外包及售后维护等全面的服务方案。已服务1000+家不同行业、规模的大中小型企业客户。在电子高科技、汽车零部件、印刷包装、医疗器械、快消品、专业服务等行业信息化管理领域具有领导性地位。

赛锐信息:集团化公司SAP权限管控解决方案相关推荐

  1. 赛锐信息:基于SAP ERP系统的企业内部审计介绍

    引言 企业内部审计是建立于组织内部.服务于管理部门的一种独立的检查.监督和评价活动,它主要用于对企业会计及相关信息的真实.合法.完整,对资产的安全.完整,对企业自身经营业绩.经营合规性进行检查.监督和 ...

  2. 赛锐信息:优化SAP系统运行时的建议

    要优化系统性能和运行时,需遵循以下建议: 1.一个分配循环中不得包含超过 50 个分配段,因为这样会大大增加系统运行时. 2.请检查是否有必要在相关循环中设置迭代标识. 由于数据在分摊过程中通过一个科 ...

  3. SAP License:雾里看花系列——德国!SAP!中国企业!高管! SAP权限管控

    游学德国,近距离接触德国企业和德国人,使得此前停留在概念中.片断式的德国与德国企业变得更加立体与丰满,曾经有过的一些疑问,也似乎找到了答案,而更多的思考,却让人觉得,这一切还不足够.去德国之前,也接触 ...

  4. 赛锐信息:SAP实施中最常见的安全挑战

    随着SAP技术不断发展以增强和简化用户体验,SAP 安全问题反而比以往任何时候都更具挑战性. 尽管增加的移动性和互连性带来了明显的生产力优势,但这种进步也使SAP基础架构日益开放-在这个在线威胁前所未 ...

  5. 赛锐信息:FlexBroswer,一劳永逸解决业务系统Flash问题

    引言 大连车务段Flash生产系统事故的文章近期在业内引起了大范围的传播,公众号原文于发布后的第二天就删除了.各路段子手一拥而上,变着花样的嘲讽,诸如"不可思议,怎么会这样的低级错误&quo ...

  6. 赛锐信息-AMS系列产品简介

    AMS系列产品是国内首个用于SAP权限风险识别的增强系统,也是同行业用户精益化管理解决方案中最优的解决方案,作为用户管理.风险规避和信息审计的辅助工具,其有助于规范企业的管理行为,帮助建立合规的管控流 ...

  7. 赛锐信息:在云中交付SAP解决方案

    由新西兰SUSE技术销售工程师Roger Brown撰写 您一直在努力保持预算水平,进行了运营支出与资本支出的讨论,并听取了专家的意见.现在,您致力于将云用于您将来的SAP和其他计算需求.您已经知道云 ...

  8. SAP License:赛锐信息访谈启示录(三)

    主持人:入行做SAP顾问多久? 李老师:从2005年到2015年,从对SAP一无所知到终于懂了一点皮毛,整整在SAP咨询服务圈里摸爬滚打了近十个年头,这十年虽然也经历了经济危机时期各种类型的咨询公司的 ...

  9. 赛锐信息:SAP系统用户账号类型介绍

    引言 在使用 SU01 维护用户时,在登录数据选项卡中会要求选择用户类型,一般我们都选择第一项 Dialog,不同的license账号类型又涉及不同的费用问题. 关键字: SAP 账号.SAP Lic ...

最新文章

  1. QT的QByteArray 类的使用
  2. 接受map_[译] 图解 Map、Reduce 和 Filter 数组方法
  3. ADSL断流问题分析
  4. mysql pxc测试_Mysql同步机制 - PXC 压力测试 tpcc安装及使用
  5. 数据结构和算法——栈、队列、堆
  6. 【LeetCode笔记】剑指 Offer 45. 把数组排成最小的数(Java、字符串、Lambda)
  7. CYQ.Data 轻量数据层之路
  8. 任正非:明年应届生招聘人数至少8000人
  9. mapreduce排序比较器的选取
  10. Eclipse的.properties文件输出中文成unicode编码
  11. Mac程序开机启动项优化
  12. Android 福彩3D体彩排列(源码+算法)
  13. python怎么回到开头_python如何回到cod的开始
  14. 《最强大脑——77招让你成为脑力最好的人》读书笔记
  15. 基于R语言的Meta分析【全流程、不确定性分析】方法与Meta机器学习技术应用
  16. 通过Is夹角来实现MTPA和FW
  17. 【iOS-cocos2d-X 游戏开发之十一】New CCSprite()带来的错误使用CCUserDefault及pvr.ccz在Cocos2dx中要注意!
  18. 智慧电力视频监控系统解决电力安全巡检难题
  19. 同惠LCR测试仪TH2829产品技术参数
  20. dbeaver 设置编码_宝鼎伺服马达编码器磨损维修

热门文章

  1. uat测试用例和sit测试用例_软件测试用例设计时的颗粒度
  2. 组装复杂json请求数据和解析复杂json数据
  3. java 内存 静态_java中内存分配以及static的用法(转)
  4. 学习5g通信心得体会_5G,不仅仅是速度,更可能是改变命运的机会
  5. ctfshow-萌新-web5( 利用位运算符控制SQL获取网站敏感信息)
  6. 腾讯课堂:了解it技术圈的虚拟化容器化之docker
  7. 关于DataV大屏分辨率那些事
  8. 写一个在一个字符串(n)中寻找一个子串(m)第一个位置的函数。
  9. 没有人愿意把自己放在被动的位置,一切皆是有原因的
  10. 中西造园水法浅比【ZZ】