Erkennen von SOD-Verstößen mit dem SOD-Tool

Wie in So analysieren Sie SOD-Verstöße in SAP ERP und S / 4HANA: eine Übersicht Es gibt 4 mögliche Kombinationen, bei denen Änderungsdaten im SAP-System gespeichert sind, Kombinationen von Daten in einer Tabelle und / oder Änderungsbelege. In anderen Artikeln haben wir beschrieben, wie SOD-Verstöße mithilfe von Daten aus Tabellen oder einer Tabelle und einem Änderungsdokument analysiert werden. In diesem Beispiel wird anhand eines Beispiels gezeigt, wie SOD-Verstöße erkannt werden, bei denen ein Benutzer Objekt A und auch ein zugehöriges Objekt B geändert hat und Daten in beiden Fällen in Änderungsdokumenten gespeichert werden.

Einer der SOD-Konflikte, die in Ihrem SAP-System oder einer anderen ERP-Lösung auftreten können, besteht darin, dass ein Benutzer einen Lieferanten ändern (z. B. die Bankdaten ändern) und eine Bestellung an denselben Lieferanten ändern oder genehmigen kann. (Beachten Sie, dass die Fälle, in denen ein Benutzer einen Lieferanten oder ein beschaffungsbezogenes Dokument erstellt, bereits im Beispiel für Änderungen und Zahlungen der Lieferantenbank im Artikel behandelt werden SOD-Kontrolle für Kreditorenbankdaten und Zahlungen.)
Das Ändern eines Lieferanten und auch das Ändern einer Lieferantenbestellung kann zu einigen fehlerhaften / betrügerischen Szenarien führen, z. B. zum Umleiten von Geld auf ein anderes Bankkonto oder zum Manipulieren von Zahlungsbedingungen.

Im Beispiel für Lieferantenänderungen und Änderungen an einer Bestellung können Sie das SOD-Tool von REMEDYNE verwenden, auf das Sie über die Admin-Transaktion oder direkt unter / n / REM / SOD_CONFIG zugreifen können.

Lieferanten und Bestellungen sind SAP-Geschäftsobjekte, für die Änderungen in Änderungsbelegen erfasst werden. Die Änderungsbelegklassen für Lieferanten und Bestellungen sind KRED bzw. EINKBELEG.

Erstellen Sie also eine neue Regel und geben Sie das Änderungsdokument ein. Klassen und Texte (siehe Hilfetext für das Tool hier: Zugriffsverletzungsmanagement (SOD-Tool).

Die Verknüpfungstabelle ist erforderlich, um sicherzustellen, dass die Ergebnisse der Suche nur SOD-Verstöße enthalten, bei denen derselbe Benutzer einen Lieferanten und eine Bestellung desselben Lieferanten geändert hat. Dies unterscheidet sich von der Analyse in SAP-Berechtigungen, die normalerweise zeigen, dass Benutzer Verstöße gegen SOD-Berechtigungen haben, und dass der Benutzer Lieferanten und Bestellungen im Allgemeinen ändern kann. Dies kann zu Situationen führen, in denen ein Benutzer ein SOD-Risiko hat, jedoch niemals Änderungen für Anbieter A und Bestellungen für denselben Anbieter A ausführt, sondern tatsächlich Anbieter A und Bestellungen für Anbieter B ändert. In diesem Zusammenhang führen Verstöße gegen die SOD-Berechtigung zu vielen Verstößen Fehlalarm.

Änderungsdokumente enthalten nur sehr grundlegende Informationen. Sie können Änderungsdokumente mit dem Bericht RSSCD100 anzeigen. Wenn Sie Änderungsdokumente mit dem Typ KRED nachschlagen, finden Sie, dass sie nur die Lieferantennummer und den Buchungskreis sowie Details der Änderung wie Benutzer, alter Wert, neuer Wert enthalten. Änderungsdokumente für Bestellungen, geben Sie EINKBELEG ein, enthalten die Bestellnummer und den Buchungskreis sowie weitere Details.
Um die Suchergebnisse bei Bestelländerungen auf diejenigen zu beschränken, bei denen ein bestimmter Anbieter geändert wurde, müssen die Bestellungen aufgelöst und mit einem Anbieter verknüpft werden.
Bestellnummern und Lieferantennummern sind beispielsweise in der Tabelle EKKO enthalten. Eine Tabelle, die Bestell- und Lieferantennummern verknüpft, kann verwendet werden, um diese Filterung durchzuführen, die Suchergebnisse einzuschränken und sie sehr spezifisch zu machen.

Im SOD-Tool gibt es eine Eingabehilfe, mit der Sie geeignete Tabellen ermitteln können, mit denen Objekte verknüpft werden können.

Nachdem Sie die Informationen in die Verknüpfungstabelle und alle Texte eingegeben haben, müssen Sie entscheiden, in welchem ​​Zeitrahmen Sie suchen möchten: Risiken in unserem Szenario werden normalerweise angezeigt, wenn 1. ein Lieferantenwechsel und dann 2. ein Bestellwechsel vorliegen. Daher sollte der Zeithorizont für Änderungen an den Lieferantenobjekten größer sein als der Zeithorizont für Bestelländerungen. Für einen kontinuierlichen Überwachungsansatz können Sie die Zeitbereiche auf z. B. 1000 Tage für Lieferanten und 1 Tag für Bestellungen festlegen, während Sie die Prüfung ausführen täglich. In unserem Beispiel verwenden wir ein größeres Zeitintervall, um mehr Testdaten zu erfassen.

Wenn Sie die SOD-Prüfung ausführen, werden Warnungen erstellt, die Sie in der Warnungs-Transaktion finden.