信息系统审计师和SAP实施与控制[2]

　　培训

　　对各级用户的培训是非常必要的，SAP环境将改变许多员工的角色，需要增加新的技能。工作变更的本质要求管理者通过新工作的定义，报酬认可，重新评估薪酬体系等方式来支持新的工作环境，培训和培训能够提高用户解决问题的能力。

　　此外，也有必要对项目培训进行培训，包括技术、业务、变更管理等培训。由于系统非常复杂，很难掌握，模式固定，因此实验是进行尝试的最好选择。

　　跟上变化

　　项目团队要能预期到实施R/3的问题。项目团队要跟得上信息系统变化，这样才能克服问题，今天的C/S环境中，公司实施SAP需要了解所有关键成功因素。信息系统培训师和项目团队要鼓励考虑到这些关键因素，为R/3实施确定一个成功的路线。

　　建立培训和控制

　　SAP和R/3为组织创建了一个变更的、对网络计算更多依赖的环境，因此需要重新评估信息安全体系，安全体系是各种计算和网络要素的基础，安全体系提供一个日常管理和监督工具以及技术，授权验证过程等。

　　基本组件的安全特点

　　信息系统审计师要保证有足够的控制减少业务培训和安全漏洞，幸运的是SAP BC模型有内置的安全特点，提供应用、数据、培训等安全解决方案，SAP安全控制能够支持身份培训、授权、验证机制，保证只有授权用户才能访问特殊的交易与R/3系统。此外，SAP程序和数据也进行了内部保护，由于SAP的安全与控制特性，R/3的复杂环境能够受到充分保护。

　　安全系统有效性取决于安全措施的组合，安全措施需要确定使用系统的用户身份，以下是信息系统审计师需要审查的领域，这些是SAP独特的安全组件：

　　◆　登录过程

　　◆　用户交控记录

　　◆　SAP

　　◆　TSTC

　　◆　授权对象

　　◆　授权价值集合

　　◆　授权轮廓

　　◆　附加授权检验

　　◆　变更

　　◆　访问控制总量

　　总之，R/3的用户访问过程非常详细，在用户发起交易时，SAP执行访问校验过程，通过ID号与密码获取访问权限，但进入系统后，如果交易没有被定义或被锁在TSTC表内，也不能进行交易。此外，如果定义了附加授权检验，则授权集合也要接受检验，如果用户没有被授权附加检验，则拒绝。最后还要检验详细的用户授权，决定用户是否有权访问某个对象。

[1]  [2]  [3]