SAP系統基于根角色權限方案快速生成方法

摘要：大型企業機構改革、工作不斷深化等帶來的業務調整，使得SAP系統權限調整工作變得頻繁。SAP系統是中海油的核心業務系統，貫穿整個公司的財務、采購、物流等重要環節，是企業內控審計和外部審計的重點系統，其權限管控有著極其嚴格的要求。如何保證權限控制精準實現，快速生成權限方案完成變更配置，將直接考驗企業內控成效及企業業務推進速度。

關鍵詞：SAP? 根角色? 權限? 生成方法

Fast Generation Authority Scheme Based on Root Role in SAP System

ZOU Yuxiong

（Zhanjiang Branch of CNOOC （China） Co.， Ltd.， Zhanjiang， Guangdong Province， 524000 China）

Abstract： The business adjustment brought by the institutional reform and deepening work of large enterprises makes the permission adjustment of SAP system become frequent. SAP system is the core business system of CNOOC. It runs through important links such as finance， procurement and logistics of the whole company. It is the key system of enterprise internal control audit and external audit with its extremely strict requirements of authority control. How to ensure the accurate realization of authority control， quickly generate authority schemes and complete change configuration will directly test the effectiveness of enterprise internal control and the speed of enterprise business promotion.

Key Words： SAP; Root role; Jurisdiction; Generation method

隨著中海油深化機構改革，采辦共享、財務共享等中心的建立，給分公司權限運維帶來了非常嚴峻的考驗。解決如何在原有的權限方案下自主高效完成新的權限設計，不僅可以為企業節省不菲的顧問費用，同時為日后權限維護工作帶來極大的便利[1]。本文重點講述如何在系統原有的用戶權限角色配置方案下，使用EXCEL快速生成權限方案，同時保證新舊方案符合內控審計及外部審計要求的方法，此方法已經在分公司SAP權限管理中發揮了作用，證明了其有效性和可靠性[2]。

1 SAP根角色實施方案的原理

SAP通過授權對象、授權字段和字段值實現對操作權限的控制。根角色權限實施是以業務需求為驅動，業務操作通過業務相關性評估、管控權限評估、權限影響評估后，將事務（代碼）打包成最小功能包，這個功能包即為“根角色”[3]。根角色配置授權對象和字段，僅對操作類字段值做配置，對組織值和業務值不做配置。

根角色設計原理在本質上指定了業務權限的分配基礎，所以能有效規避內控風險[4]。根角色的設計原理保障了權限管理的兩個原則：（1）風險控制的要求：互斥的T-code本質上不會存在于同一個根角色;互斥的本地角色能被有效的區分，而不會授權給同一個崗位角色。（2）權限最小化要求：滿足用戶業務操作需要的同時不會造成權限擴展。

1.1 根角色、本地角色、崗位角色編碼規則

1.1.1 根角色設計原理

根角色是根據業務職責設計、有業務操作權限或者報表查詢權限、且沒有限制數據范圍的一組授權字段、授權對象、事務人代碼組合。根角色在定義時確定了不存在互斥的T-code;T-code存在于唯一一個根角色下;歸屬同一模塊且功能相近的T-code可以分配到同一個根角色下。

1.1.2 本地角色設計原理

本地角色在根角色的基礎上限制數據范圍的角色。本地角色由根角色派生對授權字段賦值，明確權限控制點的限制值，并且限制值要滿足集團管控和跨所屬單位權限控制要求。本地角色對應一個根角色，一個根角色可以派生多個本地角色，因此根角色派生的本地角色也不存在互斥的T-code[5-6]。

1.1.3 崗位角色定義

崗位角色由若干個本地角色的組合。組合的本地角色需要通過SOD互斥檢查程序及內控檢查程序來保證內控管理要求。

1.2 根角色、本地角色、崗位角色的編碼規則

1.2.1 根角色編碼

T<二級單位編碼>_<功能碼>[類型]（類型包括：M維護/D顯示/P打印/A審批/C配置）

示例：T08_MM006D 轉儲單顯示

1.2.2 本地角色編碼

ZL<根角色>_<公司代碼>_[自定義細分級別]

示例：ZL08_MM006D_2106_STOCK 文昌油田作業公司_轉儲單顯示_倉庫收貨人員

1.2.3 崗位角色編碼

ZP<二級單位編碼>_<公司代碼>_<3位流水號>

示例：ZP08_2106_069 文昌油田作業公司_倉庫收貨人員

2 生成工具的設計

步驟一：獲取根角色清單及授權字段清單。

使用事務代碼SE16，表格AGR_1252導出所有根角色及其使用的授權字段。

步驟二：通過根角色與授權字段合并生成唯一標識

步驟三：根據業務配置授權字段值清單。

步驟四：根據業務快速生成權限角色方案

業務實例：根據已有本地角色生成新的本地角色。

通過參考的本地角色抽取根角色，配置新角色的組織代碼及細分級別，新的本地角色的定義。

通過視圖自動合并重復的新本地角色，同時通過關聯配置的字段值及唯一標識清單，自動完成字段值的配置方案設計。

3 結 語

本文介紹的辦法是根據SAP根角色原理通過數據采集自動分析崗位角色下權限的配置情況，能快速梳理生成崗位角色下本地角色的清單及完成相應的權限字段值配置。通過本方法可以便捷高效應對企業機構改革、機構內工作調整后SAP系統權限變更的業務，同時保證新舊權限方案的延續性，保障了內控審計與外部審計的要求。

參考文獻

[1] 李欣.G公司信息化發展戰略與規劃研究[D].秦皇島：燕山大學，2018.

[2] 張鶴馨.BJ保險公司財務共享風險評價研究[D].西安：西安石油大學，2020.

[3] 王健俊.財務共享模式下A建筑企業采購業務內部控制優化 ——基于機器學習和RPA技術[D].重慶：重慶理工大學，2020.

[4] 管淑慧.國有企業內部審計職能定位與升級路徑[J].當代會計，2021（9）：91-92.

[5] 康彥博.基于區塊鏈的數據安全關鍵技術研究[J].成都：電子科技大學，2020.

[6] 鄒宇雄.SAP系統權限自動化設計與實現[J].中國管理信息化，2019，22（11）：62-64.

中圖分類號：TP311.52 DOI：10.16660/j.cnki.1674-098x.2109-5640-4990 第一作者：鄒宇雄，（1983—），男，大學本科， 工程師，研究方向為企業信息化

作者簡介：鄒宇雄（1983-），男，本科，職稱：工程師，研究方向為企業信息化。