SAP系統(tǒng)基于根角色權(quán)限方案快速生成方法

摘要：大型企業(yè)機(jī)構(gòu)改革、工作不斷深化等帶來(lái)的業(yè)務(wù)調(diào)整，使得SAP系統(tǒng)權(quán)限調(diào)整工作變得頻繁。SAP系統(tǒng)是中海油的核心業(yè)務(wù)系統(tǒng)，貫穿整個(gè)公司的財(cái)務(wù)、采購(gòu)、物流等重要環(huán)節(jié)，是企業(yè)內(nèi)控審計(jì)和外部審計(jì)的重點(diǎn)系統(tǒng)，其權(quán)限管控有著極其嚴(yán)格的要求。如何保證權(quán)限控制精準(zhǔn)實(shí)現(xiàn)，快速生成權(quán)限方案完成變更配置，將直接考驗(yàn)企業(yè)內(nèi)控成效及企業(yè)業(yè)務(wù)推進(jìn)速度。

關(guān)鍵詞：SAP? 根角色? 權(quán)限? 生成方法

Fast Generation Authority Scheme Based on Root Role in SAP System

ZOU Yuxiong

（Zhanjiang Branch of CNOOC （China） Co.， Ltd.， Zhanjiang， Guangdong Province， 524000 China）

Abstract： The business adjustment brought by the institutional reform and deepening work of large enterprises makes the permission adjustment of SAP system become frequent. SAP system is the core business system of CNOOC. It runs through important links such as finance， procurement and logistics of the whole company. It is the key system of enterprise internal control audit and external audit with its extremely strict requirements of authority control. How to ensure the accurate realization of authority control， quickly generate authority schemes and complete change configuration will directly test the effectiveness of enterprise internal control and the speed of enterprise business promotion.

Key Words： SAP; Root role; Jurisdiction; Generation method

隨著中海油深化機(jī)構(gòu)改革，采辦共享、財(cái)務(wù)共享等中心的建立，給分公司權(quán)限運(yùn)維帶來(lái)了非常嚴(yán)峻的考驗(yàn)。解決如何在原有的權(quán)限方案下自主高效完成新的權(quán)限設(shè)計(jì)，不僅可以為企業(yè)節(jié)省不菲的顧問(wèn)費(fèi)用，同時(shí)為日后權(quán)限維護(hù)工作帶來(lái)極大的便利[1]。本文重點(diǎn)講述如何在系統(tǒng)原有的用戶權(quán)限角色配置方案下，使用EXCEL快速生成權(quán)限方案，同時(shí)保證新舊方案符合內(nèi)控審計(jì)及外部審計(jì)要求的方法，此方法已經(jīng)在分公司SAP權(quán)限管理中發(fā)揮了作用，證明了其有效性和可靠性[2]。

1 SAP根角色實(shí)施方案的原理

SAP通過(guò)授權(quán)對(duì)象、授權(quán)字段和字段值實(shí)現(xiàn)對(duì)操作權(quán)限的控制。根角色權(quán)限實(shí)施是以業(yè)務(wù)需求為驅(qū)動(dòng)，業(yè)務(wù)操作通過(guò)業(yè)務(wù)相關(guān)性評(píng)估、管控權(quán)限評(píng)估、權(quán)限影響評(píng)估后，將事務(wù)（代碼）打包成最小功能包，這個(gè)功能包即為“根角色”[3]。根角色配置授權(quán)對(duì)象和字段，僅對(duì)操作類字段值做配置，對(duì)組織值和業(yè)務(wù)值不做配置。

根角色設(shè)計(jì)原理在本質(zhì)上指定了業(yè)務(wù)權(quán)限的分配基礎(chǔ)，所以能有效規(guī)避內(nèi)控風(fēng)險(xiǎn)[4]。根角色的設(shè)計(jì)原理保障了權(quán)限管理的兩個(gè)原則：（1）風(fēng)險(xiǎn)控制的要求：互斥的T-code本質(zhì)上不會(huì)存在于同一個(gè)根角色;互斥的本地角色能被有效的區(qū)分，而不會(huì)授權(quán)給同一個(gè)崗位角色。（2）權(quán)限最小化要求：滿足用戶業(yè)務(wù)操作需要的同時(shí)不會(huì)造成權(quán)限擴(kuò)展。

1.1 根角色、本地角色、崗位角色編碼規(guī)則

1.1.1 根角色設(shè)計(jì)原理

根角色是根據(jù)業(yè)務(wù)職責(zé)設(shè)計(jì)、有業(yè)務(wù)操作權(quán)限或者報(bào)表查詢權(quán)限、且沒(méi)有限制數(shù)據(jù)范圍的一組授權(quán)字段、授權(quán)對(duì)象、事務(wù)人代碼組合。根角色在定義時(shí)確定了不存在互斥的T-code;T-code存在于唯一一個(gè)根角色下;歸屬同一模塊且功能相近的T-code可以分配到同一個(gè)根角色下。

1.1.2 本地角色設(shè)計(jì)原理

本地角色在根角色的基礎(chǔ)上限制數(shù)據(jù)范圍的角色。本地角色由根角色派生對(duì)授權(quán)字段賦值，明確權(quán)限控制點(diǎn)的限制值，并且限制值要滿足集團(tuán)管控和跨所屬單位權(quán)限控制要求。本地角色對(duì)應(yīng)一個(gè)根角色，一個(gè)根角色可以派生多個(gè)本地角色，因此根角色派生的本地角色也不存在互斥的T-code[5-6]。

1.1.3 崗位角色定義

崗位角色由若干個(gè)本地角色的組合。組合的本地角色需要通過(guò)SOD互斥檢查程序及內(nèi)控檢查程序來(lái)保證內(nèi)控管理要求。

1.2 根角色、本地角色、崗位角色的編碼規(guī)則

1.2.1 根角色編碼

T<二級(jí)單位編碼>_<功能碼>[類型]（類型包括：M維護(hù)/D顯示/P打印/A審批/C配置）

示例：T08_MM006D 轉(zhuǎn)儲(chǔ)單顯示

1.2.2 本地角色編碼

ZL<根角色>_<公司代碼>_[自定義細(xì)分級(jí)別]

示例：ZL08_MM006D_2106_STOCK 文昌油田作業(yè)公司_轉(zhuǎn)儲(chǔ)單顯示_倉(cāng)庫(kù)收貨人員

1.2.3 崗位角色編碼

ZP<二級(jí)單位編碼>_<公司代碼>_<3位流水號(hào)>

示例：ZP08_2106_069 文昌油田作業(yè)公司_倉(cāng)庫(kù)收貨人員

2 生成工具的設(shè)計(jì)

步驟一：獲取根角色清單及授權(quán)字段清單。

使用事務(wù)代碼SE16，表格AGR_1252導(dǎo)出所有根角色及其使用的授權(quán)字段。

步驟二：通過(guò)根角色與授權(quán)字段合并生成唯一標(biāo)識(shí)

步驟三：根據(jù)業(yè)務(wù)配置授權(quán)字段值清單。

步驟四：根據(jù)業(yè)務(wù)快速生成權(quán)限角色方案

業(yè)務(wù)實(shí)例：根據(jù)已有本地角色生成新的本地角色。

通過(guò)參考的本地角色抽取根角色，配置新角色的組織代碼及細(xì)分級(jí)別，新的本地角色的定義。

通過(guò)視圖自動(dòng)合并重復(fù)的新本地角色，同時(shí)通過(guò)關(guān)聯(lián)配置的字段值及唯一標(biāo)識(shí)清單，自動(dòng)完成字段值的配置方案設(shè)計(jì)。

3 結(jié) 語(yǔ)

本文介紹的辦法是根據(jù)SAP根角色原理通過(guò)數(shù)據(jù)采集自動(dòng)分析崗位角色下權(quán)限的配置情況，能快速梳理生成崗位角色下本地角色的清單及完成相應(yīng)的權(quán)限字段值配置。通過(guò)本方法可以便捷高效應(yīng)對(duì)企業(yè)機(jī)構(gòu)改革、機(jī)構(gòu)內(nèi)工作調(diào)整后SAP系統(tǒng)權(quán)限變更的業(yè)務(wù)，同時(shí)保證新舊權(quán)限方案的延續(xù)性，保障了內(nèi)控審計(jì)與外部審計(jì)的要求。

參考文獻(xiàn)

[1] 李欣.G公司信息化發(fā)展戰(zhàn)略與規(guī)劃研究[D].秦皇島：燕山大學(xué)，2018.

[2] 張鶴馨.BJ保險(xiǎn)公司財(cái)務(wù)共享風(fēng)險(xiǎn)評(píng)價(jià)研究[D].西安：西安石油大學(xué)，2020.

[3] 王健俊.財(cái)務(wù)共享模式下A建筑企業(yè)采購(gòu)業(yè)務(wù)內(nèi)部控制優(yōu)化 ——基于機(jī)器學(xué)習(xí)和RPA技術(shù)[D].重慶：重慶理工大學(xué)，2020.

[4] 管淑慧.國(guó)有企業(yè)內(nèi)部審計(jì)職能定位與升級(jí)路徑[J].當(dāng)代會(huì)計(jì)，2021（9）：91-92.

[5] 康彥博.基于區(qū)塊鏈的數(shù)據(jù)安全關(guān)鍵技術(shù)研究[J].成都：電子科技大學(xué)，2020.

[6] 鄒宇雄.SAP系統(tǒng)權(quán)限自動(dòng)化設(shè)計(jì)與實(shí)現(xiàn)[J].中國(guó)管理信息化，2019，22（11）：62-64.

中圖分類號(hào)：TP311.52 DOI：10.16660/j.cnki.1674-098x.2109-5640-4990 第一作者：鄒宇雄，（1983—），男，大學(xué)本科， 工程師，研究方向?yàn)槠髽I(yè)信息化

作者簡(jiǎn)介：鄒宇雄（1983-），男，本科，職稱：工程師，研究方向?yàn)槠髽I(yè)信息化。