引言
经验表明,常见的集团化公司企业SAP系统刚上线时,系统的权限管理往往未引起重视,企业关注更多的是系统能否顺畅运行、数据是否准确,此时为了确保系统迅速转起来,给很多用户的权限往往是放大的。
关键字:SAPGRC、SAP合规审计、SAP财务审计、SAP权限审计,SAP账号审计、SAP审计报告、404审计、内控审计
一、概述
随着时间推移,随着SAP系统的深入应用,系统内部的权限管理及用户操作行为管理等内控缺陷问题就突显出来,所带来的企业控制风险亦日益突出,主要为:
SAP系统用户账号和角色众多,管理复杂,权限过大的情况时有发生,手工维护极易出错,给企业SAP应用系统带来隐患。
以业务需要为驱动的账号和权限变更、扩展要求导致企业业务部门在权限审批过程中没有审批依据,业务部门和IT部门在权限管理过程中沟通不畅。
SAP系统用户权限没有一个清晰的授权原则,不能确切的说明为何授权或为何不授权;权限有被逐渐放大甚至失控的危险,面临过度操作风险。
岗位职责分离体系不能被有效建立和执行,存在大量的互斥职责授予同一用户的现象,增加了舞弊的可能。
企业IT部门每天花费大量的时间和人力维护SAP系统中的用户账号和权限,进行密码重置等繁琐的工作;企业员工从入职到离职的账号管理通常通过手工完成,容易出错且管理效率低下。
运维人员无法通过人