Überprüfung SAP-Berechtigungen durch Wirtschaftsprüfer

Alles Rund um SAP®.
8 Beiträge • Seite 1 von 1
8 Beiträge Seite 1 von 1

Überprüfung SAP-Berechtigungen durch Wirtschaftsprüfer

Beitrag von Matthias_L. (Specialist / 226 / 0 / 0 ) »
Hallo Forum,

bei uns hat sich ein Wirtschaftsprüfer angekündigt und will das Berechtigungskonzept und kritische Berechtigungen überprüfen.

Was ist denn aus Eurer Sicht wichtig zu prüfen, bevor der Prüfer kommt ?

1. SAP_ALL - wer hat dieses Profil mit evtl. Erläuterung
2. Prüfung, wer Entwicklungsberechtigungen hat
3. Prüfung, wer Benutzerpflegeberechtigungen hat
4. S_TABU_DIS - wer hat dieses Objekt mit Anlegen/Ändern Aktivität für welche Berechtigungsgruppen ?

Danke + Gruß
Matthias

gesponsert
Stellenangebote auf ABAPforum.com schalten
kostenfrei für Ausbildungsberufe und Werksstudenten


Beitrag von DeathGuardian (Expert / 759 / 0 / 3 ) »
OH, da gibts soviele!
z.B. wer darf im Produktiven-System debuggen UND Werte ÄNDERN!

Beitrag von Diko (ForumUser / 73 / 0 / 1 ) »
Hallo,

einfach mal den Report RSUSR005 starten bzw. in der TA SUIM unter dem Zweig Benutzer schauen, da gibt's einige "kritische" Auswertungen.

Was anderes macht ein WP i.d.R. auch nicht.

Gruß

Diko

Überprüfung SAP-Berechtigungen

Beitrag von wreichelt (Top Expert / 1046 / 30 / 192 ) »
Hallo,
es gibt noch weitere zum Beispiel: wer kann Lieferant anlegen/ändern
Bestellung anlegen/ändern und auch nochRE-buchen und und .
Eine besondere Gruppe sind auch Azubis die beim durchgang durch den
Betrieb evtl. mehr Berechtigungen haben als viele ander MA.
Gruß Wolfgang

Beitrag von Arno Simon (ForumUser / 84 / 0 / 1 ) »
Es gilt aber auch den WP daran zu hindern pauschal allen Benutzern SAP_ALL & SAP_NEW zu entziehen! Es gibt gewisse Systembenutzer wie z.B. WF-BATCH (oder wie der Benutzer für die Batchbearbeitung von Workflows bei Euch heißt), die in der Regel WF-BATCH benötigen! Auch wenn nur einige Bereiche über Workflows beackert werden, benötigt dieser Benutzer z.B. weitreichendere Berechtigungen.

Ein Kollege hat mal einer anderen Mitarbeiterin und mir 2 Monate Arbeit beschert... Er hatte WF-BATCH eben jene Berechtigungen entzogen und somit den gesamten Unternehmensverkehr per WF lahmgelegt - innerhalb von 5 Minuten für rd. 1 Woche!

vG

Arno

Beitrag von poldi (Specialist / 116 / 0 / 0 ) »
Hallo Matthias!

Bei uns war auch mal 1998 so ein netter Herr (der noch mehr geprüft hat).
Hier so einige Punkte (eventuell jetzt veraltet): SAP* wird mit unbegrenzten Rechten neu erstellt, wenn er gelöscht wird (login/no:automatic_user_sapstar=0)
Standardpasswörter für SAPCPIC, EARLY-WATCH,DDIC nicht geändert
USER-IDs für Trainees haben keine eindeutig zuordenbare Bezeichnung
USER-IDs für externe Berater sind keiner User-Group zugeordnet
Antragsformulare für Änderungen von User-IDs sind nicht nach Benutzername oder User-ID geordnet
keine Trennung von Benutzer- und Profil/AGR-Pflege
User haben uneingeschränkten Zugriff
User für externen Berater nicht gelöscht, obwohl die Arbeit beendet wurde
gemeinsame Nutzung einer User-ID
viele User, welche Änderungsbelege pflegen können
wer kann SCCO,SCC",SCC5
Nutzer haben Berechtigung für XXL-Listviewer und können damit Daten herunterladen (PAR1, PAR2 bei HR)
Nutzung von Standardprofilen (SAP_ALL, S_A.SYSTEM, P_BAS_ALL)
Benutzer sind in der Lage, den Report RPUDELN (den gibt es nicht mehr) zu starten und können dadurch Personalnummern löschen
Berechtigungen BATCH-INPUT-Mappen
Zugriff auf fremde SPOOL-Aufträge

Viele Grüße und viel Glück
Wilfried
Wir sind lustig und haben es gar nicht nötig!

Beitrag von GastX (Specialist / 277 / 4 / 18 ) »
Hallo,
wie diko schon erwähnte, der Report RSUSR005 bzw. die TA SUIM, dazu würde ich aber noch den RSUSR003 (Standardpasswörter) nehmen.

Die Systemänderbarkeit sollte natürlich auf Produktion nicht gegeben sein.

Auch werden gerne die Profilparameter des Systems geprüft, z.B.
login/fails_to_user_lock nach wieviel Fehlversuchen wird User gesperrt
login/min_password_lng Mindestlänge des Passwortes
login/password_expiration_time muss nach best. Zeit ein neues gesetzt werden
login/failed_user_auto_unlock wenn auf 1, wird der User nachts wieder entsperrt

Und dann war da noch der Parameter rec/client, um Änderungen an steuerungsrelevanten Tabellen zu protokollieren.

Gruß,
Frank

Beitrag von Matthias_L. (Specialist / 226 / 0 / 0 ) »
Vielen Dank euch allen - es gab kaum Probleme bei der Prüfung durch die WPs !

Matthias

Seite 1 von 1

Vergleichbare Themen

4
Antw.
2438
Views
Revisionssicherheit mit Transporten und Wirtschaftsprüfer
von andy-meyer » 04.04.2018 16:51 • Verfasst in SAP - Allgemeines
12
Antw.
11395
Views
URL Überprüfung
von Luigi91 » 28.03.2014 07:55 • Verfasst in ABAP Objects®
0
Antw.
1150
Views
36
Antw.
9162
Views
Überprüfung der Sprachpflege
von Spookykid » 06.05.2011 18:23 • Verfasst in ABAP® für Anfänger
0
Antw.
929
Views
Überprüfung von Feldinhalten
von KLeinerj » 01.12.2005 07:58 • Verfasst in ABAP® Core

Aktuelle Forenbeiträge

Daten an Tabelle binden
vor 8 Stunden von Bright4.5 3 / 1482
Regex in where
vor 10 Stunden von tar 6 / 153

Newsletter Anmeldung

Keine Beiträge verpassen! Wöchentlich versenden wir lesenwerte Beiträge aus unserer Community.
Die letzte Ausgabe findest du hier.
Details zum Versandverfahren und zu Ihren Widerrufsmöglichkeiten findest du in unserer Datenschutzerklärung.

Aktuelle Forenbeiträge

Daten an Tabelle binden
vor 8 Stunden von Bright4.5 3 / 1482
Regex in where
vor 10 Stunden von tar 6 / 153

Unbeantwortete Forenbeiträge

aRFC im OO-Kontext
vor 5 Wochen von ralf.wenzel 1 / 3261
Hilfe bei SWEC/SWE2
September 2024 von retsch 1 / 9821