摘要：大型企業(yè)機(jī)構(gòu)改革、工作不斷深化等帶來的業(yè)務(wù)調(diào)整，使得SAP系統(tǒng)權(quán)限調(diào)整工作變得頻繁。SAP系統(tǒng)是中海油的核心業(yè)務(wù)系統(tǒng)，貫穿整個公司的財(cái)務(wù)、采購、物流等重要環(huán)節(jié)，是企業(yè)內(nèi)控審計(jì)和外部審計(jì)的重點(diǎn)系統(tǒng)，其權(quán)限管控有著極其嚴(yán)格的要求。如何保證權(quán)限控制精準(zhǔn)實(shí)現(xiàn)，快速生成權(quán)限方案完成變更配置，將直接考驗(yàn)企業(yè)內(nèi)控成效及企業(yè)業(yè)務(wù)推進(jìn)速度。

關(guān)鍵詞：SAP? 根角色? 權(quán)限? 生成方法

Fast Generation Authority Scheme Based on Root Role in SAP System

ZOU Yuxiong

（Zhanjiang Branch of CNOOC （China） Co.， Ltd.， Zhanjiang， Guangdong Province， 524000 China）

Abstract： The business adjustment brought by the institutional reform and deepening work of large enterprises makes the permission adjustment of SAP system become frequent. SAP system is the core business system of CNOOC. It runs through important links such as finance， procurement and logistics of the whole company. It is the key system of enterprise internal control audit and external audit with its extremely strict requirements of authority control. How to ensure the accurate realization of authority control， quickly generate authority schemes and complete change configuration will directly test the effectiveness of enterprise internal control and the speed of enterprise business promotion.

Key Words： SAP; Root role; Jurisdiction; Generation method

隨著中海油深化機(jī)構(gòu)改革，采辦共享、財(cái)務(wù)共享等中心的建立，給分公司權(quán)限運(yùn)維帶來了非常嚴(yán)峻的考驗(yàn)。解決如何在原有的權(quán)限方案下自主高效完成新的權(quán)限設(shè)計(jì)，不僅可以為企業(yè)節(jié)省不菲的顧問費(fèi)用，同時為日后權(quán)限維護(hù)工作帶來極大的便利[1]。本文重點(diǎn)講述如何在系統(tǒng)原有的用戶權(quán)限角色配置方案下，使用EXCEL快速生成權(quán)限方案，同時保證新舊方案符合內(nèi)控審計(jì)及外部審計(jì)要求的方法，此方法已經(jīng)在分公司SAP權(quán)限管理中發(fā)揮了作用，證明了其有效性和可靠性[2]。

1 SAP根角色實(shí)施方案的原理

SAP通過授權(quán)對象、授權(quán)字段和字段值實(shí)現(xiàn)對操作權(quán)限的控制。根角色權(quán)限實(shí)施是以業(yè)務(wù)需求為驅(qū)動，業(yè)務(wù)操作通過業(yè)務(wù)相關(guān)性評估、管控權(quán)限評估、權(quán)限影響評估后，將事務(wù)（代碼）打包成最小功能包，這個功能包即為“根角色”[3]。根角色配置授權(quán)對象和字段，僅對操作類字段值做配置，對組織值和業(yè)務(wù)值不做配置。

根角色設(shè)計(jì)原理在本質(zhì)上指定了業(yè)務(wù)權(quán)限的分配基礎(chǔ)，所以能有效規(guī)避內(nèi)控風(fēng)險(xiǎn)[4]。根角色的設(shè)計(jì)原理保障了權(quán)限管理的兩個原則：（1）風(fēng)險(xiǎn)控制的要求：互斥的T-code本質(zhì)上不會存在于同一個根角色;互斥的本地角色能被有效的區(qū)分，而不會授權(quán)給同一個崗位角色。（2）權(quán)限最小化要求：滿足用戶業(yè)務(wù)操作需要的同時不會造成權(quán)限擴(kuò)展。

1.1 根角色、本地角色、崗位角色編碼規(guī)則

1.1.1 根角色設(shè)計(jì)原理

根角色是根據(jù)業(yè)務(wù)職責(zé)設(shè)計(jì)、有業(yè)務(wù)操作權(quán)限或者報(bào)表查詢權(quán)限、且沒有限制數(shù)據(jù)范圍的一組授權(quán)字段、授權(quán)對象、事務(wù)人代碼組合。根角色在定義時確定了不存在互斥的T-code;T-code存在于唯一一個根角色下;歸屬同一模塊且功能相近的T-code可以分配到同一個根角色下。

1.1.2 本地角色設(shè)計(jì)原理

本地角色在根角色的基礎(chǔ)上限制數(shù)據(jù)范圍的角色。本地角色由根角色派生對授權(quán)字段賦值，明確權(quán)限控制點(diǎn)的限制值，并且限制值要滿足集團(tuán)管控和跨所屬單位權(quán)限控制要求。本地角色對應(yīng)一個根角色，一個根角色可以派生多個本地角色，因此根角色派生的本地角色也不存在互斥的T-code[5-6]。

1.1.3 崗位角色定義

崗位角色由若干個本地角色的組合。組合的本地角色需要通過SOD互斥檢查程序及內(nèi)控檢查程序來保證內(nèi)控管理要求。

1.2 根角色、本地角色、崗位角色的編碼規(guī)則

1.2.1 根角色編碼

T<二級單位編碼>_<功能碼>[類型]（類型包括：M維護(hù)/D顯示/P打印/A審批/C配置）

示例：T08_MM006D 轉(zhuǎn)儲單顯示

1.2.2 本地角色編碼

ZL<根角色>_<公司代碼>_[自定義細(xì)分級別]

示例：ZL08_MM006D_2106_STOCK 文昌油田作業(yè)公司_轉(zhuǎn)儲單顯示_倉庫收貨人員

1.2.3 崗位角色編碼

ZP<二級單位編碼>_<公司代碼>_<3位流水號>

示例：ZP08_2106_069 文昌油田作業(yè)公司_倉庫收貨人員

2 生成工具的設(shè)計(jì)

步驟一：獲取根角色清單及授權(quán)字段清單。

使用事務(wù)代碼SE16，表格AGR_1252導(dǎo)出所有根角色及其使用的授權(quán)字段。

步驟二：通過根角色與授權(quán)字段合并生成唯一標(biāo)識

步驟三：根據(jù)業(yè)務(wù)配置授權(quán)字段值清單。

步驟四：根據(jù)業(yè)務(wù)快速生成權(quán)限角色方案

業(yè)務(wù)實(shí)例：根據(jù)已有本地角色生成新的本地角色。

通過參考的本地角色抽取根角色，配置新角色的組織代碼及細(xì)分級別，新的本地角色的定義。

通過視圖自動合并重復(fù)的新本地角色，同時通過關(guān)聯(lián)配置的字段值及唯一標(biāo)識清單，自動完成字段值的配置方案設(shè)計(jì)。

3 結(jié) 語

本文介紹的辦法是根據(jù)SAP根角色原理通過數(shù)據(jù)采集自動分析崗位角色下權(quán)限的配置情況，能快速梳理生成崗位角色下本地角色的清單及完成相應(yīng)的權(quán)限字段值配置。通過本方法可以便捷高效應(yīng)對企業(yè)機(jī)構(gòu)改革、機(jī)構(gòu)內(nèi)工作調(diào)整后SAP系統(tǒng)權(quán)限變更的業(yè)務(wù)，同時保證新舊權(quán)限方案的延續(xù)性，保障了內(nèi)控審計(jì)與外部審計(jì)的要求。

參考文獻(xiàn)

[1] 李欣.G公司信息化發(fā)展戰(zhàn)略與規(guī)劃研究[D].秦皇島：燕山大學(xué)，2018.

[2] 張鶴馨.BJ保險(xiǎn)公司財(cái)務(wù)共享風(fēng)險(xiǎn)評價研究[D].西安：西安石油大學(xué)，2020.

[3] 王健俊.財(cái)務(wù)共享模式下A建筑企業(yè)采購業(yè)務(wù)內(nèi)部控制優(yōu)化 ——基于機(jī)器學(xué)習(xí)和RPA技術(shù)[D].重慶：重慶理工大學(xué)，2020.

[4] 管淑慧.國有企業(yè)內(nèi)部審計(jì)職能定位與升級路徑[J].當(dāng)代會計(jì)，2021（9）：91-92.

[5] 康彥博.基于區(qū)塊鏈的數(shù)據(jù)安全關(guān)鍵技術(shù)研究[J].成都：電子科技大學(xué)，2020.

[6] 鄒宇雄.SAP系統(tǒng)權(quán)限自動化設(shè)計(jì)與實(shí)現(xiàn)[J].中國管理信息化，2019，22（11）：62-64.

中圖分類號：TP311.52 DOI：10.16660/j.cnki.1674-098x.2109-5640-4990 第一作者：鄒宇雄，（1983—），男，大學(xué)本科， 工程師，研究方向?yàn)槠髽I(yè)信息化

作者簡介：鄒宇雄（1983-），男，本科，職稱：工程師，研究方向?yàn)槠髽I(yè)信息化。