集团化公司SAP权限管控解决方案

引言

      经验表明，常见的集团化公司企业SAP系统刚上线时，系统的权限管理往往未引起重视，企业关注更多的是系统能否顺畅运行、数据是否准确，此时为了确保系统迅速转起来，给很多用户的权限往往是放大的。

     关键字： SAP GRC、 SAP 合规审计、 SAP 财务审计、SAP 权限审计， SAP 账号审计、 SAP 审计报告、 404 审计、 内控审计

一、概述

     随着时间推移，随着SAP系统的深入应用，系统内部的权限管理及用户操作行为管理等内控缺陷问题就突显出来，所带来的企业控制风险亦日益突出，主要为：

1. SAP系统用户账号和角色众多，管理复杂，权限过大的情况时有发生，手工维护极易出错，给企业SAP应用系统带来隐患。
2. 以业务需要为驱动的账号和权限变更、扩展要求导致企业业务部门在权限审批过程中没有审批依据，业务部门和IT部门在权限管理过程中沟通不畅。
3. SAP系统用户权限没有一个清晰的授权原则，不能确切的说明为何授权或为何不授权；权限有被逐渐放大甚至失控的危险，面临过度操作风险。
4. 岗位职责分离体系不能被有效建立和执行，存在大量的互斥职责授予同一用户的现象，增加了舞弊的可能。
5. 企业IT部门每天花费大量的时间和人力维护SAP系统中的用户账号和权限，进行密码重置等繁琐的工作；企业员工从入职到离职的账号管理通常通过手工完成，容易出错且管理效率低下。
6. 运维人员无法通过人工方式有效的检测所有用户账号和权限分配的合规性及合理性，对超级用户的操作审计取证困难，用户权限超过其职责，存在企业重要信息泄露的风险。

鉴于当前SAP系统权限授权现状，传统的SAP系统权限管理及用户业务操作管控方法已显得力不从心，亟需重新梳理建立建立一套灵活、有效的权限合规管理系统，既满足业务实际需要，又符合权限合规原则；同时建立一套规范、灵活、全面的SAP用户行为审计系统，规避SAP系统应用的潜在业务风险和管理风险。

二、存在的缺陷

      在SAP实施过程中，权限内部控制和业务操作行为安全往往被忽略，对于SAP的权限内控管理，只能依靠审计或系统出现问题后才能发现有问题，不能做到事前防范、事中控制、事后处理。发现问题后一般整改方法有以下两种：修改用户角色，管理员通过相关事务代码对用户的角色进行删除或者添加；添加完成后，把修改后的结果传输到测试系统中，通知最终用户到测试系统中进行测试；验证完成后，再把结果传输到生产系统中使用。修改角色权限，管理员通过相关事务代码修改角色中的权限，设置访问限制等；修改完成后，把结果传输到测试系统，通知跟这个角色有关的所有用户登录到测试系统中进行测试验证；验证完成后，管理员才可以把修改结果传输到生产系统中。

     上述过程对SAP系统运维人员要求非常高，需要对角色、用户权限、用户业务操作等都非常了解。即使这样，有时也需要反复多次，一个问题解决了，但其它潜在的风险又增加了，因为最终用户的权限不是由某一个角色决定的，而由该用户的全部角色共同决定的。手工操作或凭经验判断，都是不准确的，在没有任何辅助工具的情况下，导致的结果就是工作量巨大，但效率低，并且无法验证，更不能做到事前控制。

三、权限管理风险

      SAP系统上线初期，系统内的权限管理往往并不引起重视，大家关注更多的是系统能否顺畅运行、数据是否准确，财务帐是否能对得上等等。随着SAP应用的日趋深入，公司业务的不断变化、用户工作岗位的变动、岗位职责的扩大与组合等内部权限管理问题就慢慢突显。

     SAP系统权限机制实现的复杂性，系统权限管理人员仅仅凭借人工很难判断用户拥有的权限是否违反SOD（职责互斥，譬如有“录入采购订单”权限的人，不应同时拥有“审批采购订单”的权限）规则，是否拥有SAT关键事务代码或关键业务活动，操作人员登录SAP后进行的敏感业务操作等。特别随着应用时间的推移，企业内部不断变化的权限设置使得不合规的情况不断的积累，给SAP系统的安全运行带来不小的风险。

     SAP 系统提供了强大的细粒度的权限管理机制，但是企业在实际应用中由于缺乏足够的资源和工具来应对复杂的并且不断变化的权限需求，往往不能够真正利用SAP系统权限管理机制的优点，从而导致用户权限的放大。SAP用户权限的放大，会出现大量跨部门跨公司的权限，能查看或修改或删除不属于自己职责范围内的数据。由于SAP系统的复杂授权体系，基于传统经验的手工授权控制，容易存在用户权限授予超过其岗位职责的风险，发生用户权限过大、职责冲突难以分离的情况，从而诱发业务舞弊事件的可能，并导致公司财务数据的失真和泄露的风险。

四、业务操作风险

      SAP系统现有日志体系，虽然实现了完整的用户业务操作日志记录，但是系统并未提供面向用户业务操作行为管理和追溯取证的管理工具，对于完整用户操作行为的行为审计就变得十分困难。

     如何针对SAP系统进行审计，并且实现用户业务操作过程的监控审计，从而全面规避各种复杂环境下未知的安全管理和审计管理等突出风险，如何提高SAP系统管理和审计水平，满足系统管理和日常审计标准要求，已经成为企业当下亟需解决的重大问题。

     作为服务于集团公司的核心业务系统，SAP系统的审计日志功能受限于系统性能和用户体验，及实际效果（仅仅能记录操作的事务代码），并未完全开启。因此，企业的业务管理和日常审计过程中可能存在诸如“SAP系统数据非法删除后不能取证”、“特权用户的操作没有日志记录”等一系列违规事件。伴随着SAP系统应用规模的扩大，用户的增长，以及SAP系统资产价值的增加，系统面临的安全威胁和业务风险也愈加严重。。

五、权限咨询及治理

      SAP权限管控体系建设。SAP系统账号权限治理。

六、信息系统建设

      更多SAP权限管控解决方案，欢迎联系我们，索取资料。

关于赛锐信息

作为SAP的资深合作伙伴，赛锐信息是一家专业提供SAP行业化管理软件解决方案的顾问公司，致力于为企业提供SAP ERP系统咨询服务、IT规划、业务流程优化、信息系统实施、行业信息系统方案开发，运营外包及售后维护等全面的服务方案。已服务1000+家不同行业、规模的大中小型企业客户。在电子高科技、汽车零部件、印刷包装、医疗器械、快消品、专业服务等行业信息化管理领域具有领导性地位。