文档介绍:SAP 运 维 制 度
目的
确保SAP系统有序、高效运行,保障信息化共性平台系统中数据、 流程、权限的完整性、
有效性和安全性。
范围
适用于SAP系统的运维管理。
职责
公司SAP运维管理采用数据/权限集中、运维分层管理的原则。
公司信息化信息系统运营室 /开发室:负责制定SAP运维总体规划,审核SAP的配置变 更和开发变更需求;负责SAP共性业务模块的系统管理工作,组织信息化应用系统的持续改 进;协助业务归口管理部门制定数据操作和业务流程管理制度。
经营单元信息化系统运营室 /开发室:负责SAP在经营单元运行管理细则的制定、 个性
化系统权限设计、业务变更实现方案的制定和日常技术支持。
公司内控业务归口管理部门: 负责在SAP运行的公司共性业务和资源整合需求的审核,
共性数据(如财务科目、共性物料、供应商和客户等)标准规范、配套管理制度和流程的制
定;负责对共性数据质量进行监控。
经营单元业务归口管理部门:负责日常应用管理职能,按公司内控业务归口管理部门
制定的业务应用管理要求、制度和标准,负责本经营单元数据和业务需求的必要性审核, 完
成数据处理工作。
SAP权限及账号管理
SAP按公司内控管理要求,基于职责分离原则设计系统权限。 系统权限的设置与账号权
限分配实行公司统一管控。
SAP权限设计及管理规范
SAP权限设计架构
项目
说明
Source Role
又称权限职能包,由多个事务代码组成,是业务部门可操作的基本不可拆分的职能集
(源角色)
合;经审计核定权责互斥矩阵,形成公司层级权限角色设计模板。
Common Role
(通用角色)
由源角色拷贝形成;除从源角色复制得来的 FICO的通用角色不允许调整外,经营单元
可根据实际业务使用情况对其他通用角色进行调整(客户化事务代码与标准事务代码 不得维护在同一通用角色中);调整后符合审计管控需求的通用角色形成经营单元层 级的权限设计通用角色,即经营单元的权限职能包。通用角色须限定组织机构级别的 权限对象取值以确保其只能在本经营单元使用。
Local Role
(本地角色)
继承自通用角色(两者事务代码完全一致),并通过对组织机构(如公司代码,利润 中心,工厂)、单据类型(如凭证类型,订单类型等)及其它权限对象赋值以限定可 操作业务范围。
User (用户)
通过本地角色的分配,获取操作权限。
SAP权限角色编码规范
角色
规则及示例
说明
源角色
Z:AA_BBBBB_CC_S
【示例】SD销售订单创建角色
编码:Z:SD_XSDD_04_S
命名:销售订单创建
AA:模块,如 FI/CO/SD/MM/PP
BBBBB职能包名称名词主语的汉语拼音首写字
母(如销售订单维护,则 BBBB助XSDD
CC:职能包名称执行动词的编码(字典见《SAP 系统权限设计及管理规范》附件)
S: Source简写,为固定字母
通用角色
Z:AA_BBBBB_CC_DDD
【示例】混凝土 SD销售订单创建角色
编码:Z:SD_XSDD_04_HNT
命名:销售订单创建-混凝土
AA/BBBBB/CC说明同上
DDD经营单元名称的汉语拼音首写字母, 至少
2个字母(如工起,则 DDD为GQ
本地角色
Z:AA_BBBBB_CC_DDD_XXXXXX
【示例】混凝土用于 1100销售组织1101
销售办公室的SD销售订单创建角色
编码:Z:SD_XSDD_04_HNT_110001
命名:销售订单创建-混凝土 -甘青销售办 公室
AA/BBBBB/CC/DD说明同上
XXXXXX本地角色所涉及的与模块相关的授权 范围编码(字典见《SAP系统权限设计及管理 规范》附件)
SAP权限方案变更 权限职能包变更
为保证在已授权用户的权限不被不合理扩大的情况下将新功能赋予对应权限职能包, 变
更须遵循分层管理、统一管控原则:
a) 经营单元信息化 SAP内部顾问填写《权限设计变更申请单》发起变更流程;
b) 经营单元业务归口部门对业务合理性进行审核;
c) 经营单元信息化SAP模块负责人对技术可行性和系统合理性进行审核;
d) 公司信息化SAP模块负责人对整体权限架构和设计合理性进行审核, 若变更涉及多
个经营单元,公司信息化模块负责人需协调相关经营单元信息化模块负责人组织完
成本经营单元对该方案的审核;
公司信息化运营室主任对整体权限架构和设计合理性进行审核;
公司数据库管理员将权限方案部署到测试环境;
经营单元权限设计变更申请人完成权限测试并反馈测试报告;
公司数据库管理员在申请人测试通过后