SAP用户权限风险分析_sap用户权限风险分析

SAP用户权限风险分析由刀豆文库小编整理，希望给你工作、学习、生活带来方便，猜你可能喜欢“sap用户权限风险分析”。

一、SAP用户企业权限风险内控存在的风险

在日趋复杂的信息化环境中，分散的业务流程对信息安全提出了更高的要求，公司治理、风险管理、合规管理越来越困难，传统的支离破碎的风险管理控制方法及权限风险合规检查已显得力不从心，加大了企业风险。

随着日常业务的开展，SAP权限管理遇到的挑战。SAP权限管理常见的问题：

1、系统上线前，为了提高进度出现授权过大及不当，一个多岗

2、功能业务流程模块变得越来越复杂化，出现转岗及换岗，授权处理模糊化

3、缺乏实时全面集中手段支持IT审计的持续管理

4、业务环节及IT的职责分配冲突，例如存在用户既可以创建供应商主数据又可以对供应商付款

5、开发环境中的程序员可以在生产环境中释放变量请求

6、超级用户管理不善，比如没有对SAP*这个帐号实施足够的安全措施

7、权限设置过大，如太多的用户拥有SAP_ALL的权限

8、权限分配不准确，关键授权对象如S_Develop、S_Program等授予了不恰当的用户

9、关键交易代码管理不善，如一些敏感交易代码没有被锁定或监控

二、SAP用户企业现有内控防范手段

企业通常会通过三方面的手段来防范风险：

1、有效沟通

从实际的业务需求出发，与业务团队、管理层及最终用户进行很好的沟通，制定合理的控制策略，以达到最终用户对内部控制更多的理解，并从实际工作中就注重提高安全控制意识。在最终用户的立场上看，权限的限制像捆住了他们的手脚，使得他们不能尽情地对系统功能进行访问、修改和操作。但从内控的立场上来看，安全控制就是为了保证系统访问的安全，不能让用户“为所欲为”。内控和用户使用的方便一直以来都是一个相互制衡的话题，这就需要进行有效沟通。

2、提高认识

企业高级管理层和业务所有者的认同和支持。对安全和风险的认知是风险防范的一个重要方面，经常组织员工进行相关培训，提高认识，增加风险防范意识。

3、加强内控

及早着手开展SAP内控，培养核心操作人员，建立合理的流程及控制体系，建立相应的补偿控制措施，分散风险，防患于未然。在SAP实施过程中，内部控制和安全团队往往被忽略。当系统上线稳定后，随着系统的使用，管理层会逐渐发现SAP的内部控制问题。此时再想重新改正，一来“劳民伤财”，二来“积重难返”，很难通过内部和外部审计。

三、SAP用户企业现有内控方法缺陷

现有的风险防范手段，对企业管理层要求很高，但真正实施起来的话，所涉及的范围太广，工作量太大，根本不知从何入手。对于SAP的权限管理，只能依靠外部审计或系统出现问题后才能发现有问题，不能做到事前防范、事中控制、事后处理。发现问题后一般整改方法有以下两种：

一、修改用户角色：

1、管理员通过相关事务代码对用户的角色进行删除或者添加；

2、添加完成后，把修改后的结果传输到测试系统中，通知最终用户到测试系统中进行测试；

3、验证完成后，再把结果传输到生产系统中使用。

二、修改角色权限：

1、管理员修改通过相关事务代码修改角色中的权限，设置访问限制等；

2、修改完成后，把结果传输到测试系统，通知跟这个角色有关的所有用户登录到测试系统中进行测试验证；

3、验证完成后，管理员才可以把修改结果传输到生产系统中。

上述过程对管理员要求非常高，需要对角色、用户权限都非常了解。即使这样，有时也需要反复多次。一个问题解决了，但其它潜在的风险又增加了，因为最终用户的权限不是由某一个角色决定的，而由该用户的全部角色共同决定的。所以手工操作或凭经验判断，都是不准确的，在没有任何辅助工具的情况下，导致的结果就是工作量巨大，但效率低，并且无法验证，更不能做到事前控制。