摘要：大型企业机构改革、工作不断深化等带来的业务调整，使得SAP系统权限调整工作变得频繁。SAP系统是中海油的核心业务系统，贯穿整个公司的财务、采购、物流等重要环节，是企业内控审计和外部审计的重点系统，其权限管控有着极其严格的要求。如何保证权限控制精准实现，快速生成权限方案完成变更配置，将直接考验企业内控成效及企业业务推进速度。

关键词：SAP  根角色  权限  生成方法

Fast Generation Authority Scheme Based on Root Role in SAP System

ZOU Yuxiong

（Zhanjiang Branch of CNOOC （China） Co.， Ltd.， Zhanjiang， Guangdong Province， 524000 China）

Abstract： The business adjustment brought by the institutional reform and deepening work of large enterprises makes the permission adjustment of SAP system become frequent. SAP system is the core business system of CNOOC. It runs through important links such as finance， procurement and logistics of the whole company. It is the key system of enterprise internal control audit and external audit with its extremely strict requirements of authority control. How to ensure the accurate realization of authority control， quickly generate authority schemes and complete change configuration will directly test the effectiveness of enterprise internal control and the speed of enterprise business promotion.

Key Words： SAP; Root role; Jurisdiction; Generation method

随着中海油深化机构改革，采办共享、财务共享等中心的建立，给分公司权限运维带来了非常严峻的考验。解决如何在原有的权限方案下自主高效完成新的权限设计，不仅可以为企业节省不菲的顾问费用，同时为日后权限维护工作带来极大的便利[1]。本文重点讲述如何在系统原有的用户权限角色配置方案下，使用EXCEL快速生成权限方案，同时保证新旧方案符合内控审计及外部审计要求的方法，此方法已经在分公司SAP权限管理中发挥了作用，证明了其有效性和可靠性[2]。

1 SAP根角色实施方案的原理

SAP通过授权对象、授权字段和字段值实现对操作权限的控制。根角色权限实施是以业务需求为驱动，业务操作通过业务相关性评估、管控权限评估、权限影响评估后，将事务（代码）打包成最小功能包，这个功能包即为“根角色”[3]。根角色配置授权对象和字段，仅对操作类字段值做配置，对组织值和业务值不做配置。

根角色设计原理在本质上指定了业务权限的分配基础，所以能有效规避内控风险[4]。根角色的设计原理保障了权限管理的两个原则：（1）风险控制的要求：互斥的T-code本质上不会存在于同一个根角色;互斥的本地角色能被有效的区分，而不会授权给同一个岗位角色。（2）权限最小化要求：满足用户业务操作需要的同时不会造成权限扩展。

1.1 根角色、本地角色、岗位角色编码规则

1.1.1 根角色设计原理

根角色是根据业务职责设计、有业务操作权限或者报表查询权限、且没有限制数据范围的一组授权字段、授权对象、事务人代码组合。根角色在定义时确定了不存在互斥的T-code;T-code存在于唯一一个根角色下;归属同一模块且功能相近的T-code可以分配到同一个根角色下。

1.1.2 本地角色设计原理

本地角色在根角色的基础上限制数据范围的角色。本地角色由根角色派生对授权字段赋值，明确权限控制点的限制值，并且限制值要满足集团管控和跨所属单位权限控制要求。本地角色对应一个根角色，一个根角色可以派生多个本地角色，因此根角色派生的本地角色也不存在互斥的T-code[5-6]。

1.1.3 岗位角色定义

岗位角色由若干个本地角色的组合。组合的本地角色需要通过SOD互斥检查程序及内控检查程序来保证内控管理要求。

1.2 根角色、本地角色、岗位角色的编码规则

1.2.1 根角色编码

T<二級单位编码>_<功能码>[类型]（类型包括：M维护/D显示/P打印/A审批/C配置）

示例：T08_MM006D 转储单显示

1.2.2 本地角色编码

ZL<根角色>_<公司代码>_[自定义细分级别]

示例：ZL08_MM006D_2106_STOCK 文昌油田作业公司_转储单显示_仓库收货人员

1.2.3 岗位角色编码

ZP<二级单位编码>_<公司代码>_<3位流水号>

示例：ZP08_2106_069 文昌油田作业公司_仓库收货人员

2 生成工具的设計

步骤一：获取根角色清单及授权字段清单。

使用事务代码SE16，表格AGR_1252导出所有根角色及其使用的授权字段。

步骤二：通过根角色与授权字段合并生成唯一标识

步骤三：根据业务配置授权字段值清单。

步骤四：根据业务快速生成权限角色方案

业务实例：根据已有本地角色生成新的本地角色。

通过参考的本地角色抽取根角色，配置新角色的组织代码及细分级别，新的本地角色的定义。

通过视图自动合并重复的新本地角色，同时通过关联配置的字段值及唯一标识清单，自动完成字段值的配置方案设计。

3 结 语

本文介绍的办法是根据SAP根角色原理通过数据采集自动分析岗位角色下权限的配置情况，能快速梳理生成岗位角色下本地角色的清单及完成相应的权限字段值配置。通过本方法可以便捷高效应对企业机构改革、机构内工作调整后SAP系统权限变更的业务，同时保证新旧权限方案的延续性，保障了内控审计与外部审计的要求。

参考文献

[1] 李欣.G公司信息化发展战略与规划研究[D].秦皇岛：燕山大学，2018.

[2] 张鹤馨.BJ保险公司财务共享风险评价研究[D].西安：西安石油大学，2020.

[3] 王健俊.财务共享模式下A建筑企业采购业务内部控制优化 ——基于机器学习和RPA技术[D].重庆：重庆理工大学，2020.

[4] 管淑慧.国有企业内部审计职能定位与升级路径[J].当代会计，2021（9）：91-92.

[5] 康彦博.基于区块链的数据安全关键技术研究[J].成都：电子科技大学，2020.

[6] 邹宇雄.SAP系统权限自动化设计与实现[J].中国管理信息化，2019，22（11）：62-64.

中图分类号：TP311.52 DOI：10.16660/j.cnki.1674-098x.2109-5640-4990 第一作者：邹宇雄，（1983—），男，大学本科， 工程师，研究方向为企业信息化

作者简介：邹宇雄（1983-），男，本科，职称：工程师，研究方向为企业信息化。