Aktuelle Situation prüfen
Grundlagen SAP Berechtigungen inklusive Fiori - Online Training
Werden zu den Berechtigungsobjekten auch Berechtigungsfelder benötigt, können Sie diese in der Transaktion SU20 anlegen. Beim Anlegen eines Berechtigungsobjekts in der Transaktion SU21 legen Sie zuerst einen Namen und eine Beschreibung für das Berechtigungsobjekt fest und weisen es anschließend einer Objektklasse zu. Anschließend weisen Sie die notwendigen Berechtigungsfelder zu. Handelt es sich bei einem dieser Felder um das Feld ACTVT (Aktivität), können Sie über den Button Zulässige Aktivitäten alle zu prüfenden Aktivitäten auswählen. Das Navigationsverhalten ist hier um einiges verbessert worden.
Der Berechtigungstrace ist aber nicht standardmäßig aktiv, sondern muss explizit über den Profilparameter “auth/authorization_trace” aktiviert werden. In der Transaktion RZ11 kann man einfach und schnell überprüfen, ob der Parameter bereits gesetzt ist. In der Transaktion RZ10 setzt man den Profilparameter. Standardmäßig ist der Profilparameter in SAP-Systemen (Profilparameter transport/systemtype = SAP) aktiv und in Kundensystemen (Profilparameter transport/systemtype = CUSTOMER) inaktiv.
Bereits vorhandene Berechtigungen
Jede Abweichung zum definierten Prozess ist auf jeden Fall vollständig zu dokumentieren und zu begründen. Denn gerade Abweichungen vom Regelfall sind für einen Wirtschaftsprüfer von großem Interesse, da der Prüfer feststellen muss, ob eine Abweichung Auswirkungen auf die Korrektheit der Daten haben könnte.
Grundsätzlich sollten Sie beachten, dass in der Benutzer- und Berechtigungsverwaltung nicht alle relevanten Änderungsbelege eines Systems vorhanden sind. In der Regel erfolgt die Berechtigungsadministration im Entwicklungssystem; daher entstehen die relevanten Änderungsbelege der Berechtigungsverwaltung in den Entwicklungssystemen. Im Gegensatz dazu finden Sie die relevanten Änderungsbelege der Benutzerverwaltung in den Produktivsystemen; daher sollten Sie beachten, dass beim Import von Rollen und Profilen in den Produktivsystemen keine Änderungsbelege geschrieben werden. Es entstehen nur Transportprotokolle, die festhalten, dass Änderungen an den Objekten vorgenommen wurden. Ihre Änderungsbelege der Berechtigungsverwaltung auf den Entwicklungssystemen sind aus diesem Grund revisionsrelevant und sollten entsprechend abgesichert werden.
Sollten Sie in die Situation geraten, dass Berechtigungen erforderlich sind, die nicht im Rollenkonzept berücksichtigt wurden, ermöglicht Ihnen "Shortcut for SAP systems" die Zuweisung der Komplettberechtigung für das jeweilige Berechtigungsobjekt.
In beiden Fällen wird die Transaktion S_BCE_68001410 gestartet.
Zum Zeitpunkt der Änderung bereits angemeldete Benutzer sind von den Änderungen nicht betroffen.