SAP系统安全

SAP系统安全（精选七篇）

SAP系统安全 篇1

1 SAP系统安全机制

SAP系统有非常健全的安全性方面的设计,为我们提供了比较完善的安全性管理手段,其安全性主要包括如下几个部分:

1.1 数据传送安全

SAP系统在数据的传输与分发方面为用户提供了非常可靠的安全保障,SAP专门研发了独特的网络接口层NI(Network Inter-face),用来保证数据在各个层次上的安全的传输。NI在多个SAP系统之间相互通信中扮演非常重要的角色,是整个网络通信协议的核心,该网络通信协议是SAP所独有的,被称为SAP PROTOCAL(SAP协议)。SAP的网络安全传输可以通过两种方式实现,第一种是基于HTTP(超文本传输协议)协议的网络传输,是通过SSL(安全套接层协议)实现的;第二种是基于SAP协议的网络传输,是通过SNC(安全网络通讯) 实现的。SAP SNC提供了对数据的多层次的安全保护,第一层为身份认证层,提供系统之间的的相互认证功能,第二层为集成保护层,负责检测对数据的操作及数据的变化,第三层为加密保护层,对相互传输的数据进行安全加密。有了SNC,SAP系统之间可以实很多种形式的安全通讯。

1.2 操作系统及数据库安全

SAP系统必须运行在C2以上级别操作系统和数据库系统之上,高安全级别操作系统可以有效的保证SAP系统的安全性,另外SAP系统自身也提供很健全的安全措施,比如系统自检功能、防病毒攻击、登录口令验证、授权管理等。

1.3 集成单点登录

SAP系统中提供了标准的GSS(Generic Security Services)API接口,利用该接口SAP系统可以和其它第三方安全软件产品集成,实现单点登录功能。

1.4 系统审计功能

SAP系统中还为我们提供了非常强大的审计功能。该功能可以实现记录所有用户在SAP系统中的各种活动,比如用户登录监控、数据操作与变更记录、SAP系统参数修改记录、操作系统和数据库系统参数修改记录、系统日志文件审计等。利用该功能就可以监控和跟踪用户的活动以及业务对象的变化,并可以追溯数据破坏的过程。

1.5 密码控制策略

SAP系统提供了非常强大的用户登录及密码控制策略功能,以降低密码被盗用的可能性,提高用户口令的安全性。这可以通过SAP提供的用户密码策略系统参数实现,常用的系统参数有:login/fails_to_user_lock ( 密码登陆错误次数 )、login/password_expira-tion_time ( 定义密码过期时间 ) login/password_max_reset_valid ( 定义密码重置有效期 )、、login/min_password_lng ( 定义密码最小允许长度 )、login/min_password_digits/_letters/_specials ( 定义特殊字符密码规则 )等。

1.6 权限控制

SAP系统提供了一整套非常灵活的基于权限对象、角色、权限参数文件及用户的授权机制。SAP系统即提供了预定义的权限,还允许自定义权限,权限可以控制在事务代码、活动或域值级别。为满足多样复杂的权限控制要求,SAP系统引进了权限对象的概念。若干个相关的权限通过域值组合成一个权限对象,它代表一个权限。同时,为了方便用户权限管理,SAP系统还引入了基于角色授权的机制。若干权限对象可以被组合到一个角色,再将角色授予用户,这些用户就获得了角色中包含的所有权限对象对应的权限。另外角色也有单一角色和复合角色两种,实际授权给用户时,利用的又是参数文件。而且角色的授权还能定义有效期,这都极大地增加了权限控制管理的灵活性。

2 企业SAP系统安全管理策略

长客股份公司实施并应用SAP已经多年,SAP系统经过不断的升级和优化,现在已经覆盖企业全部的主营业务。主要的业务流程都被移植到SAP系统中,为企业各领域业务提供强有力的支持。另外随着系统的持续应用,其中也已经积累了大量的业务数据。任何系统参数、后台配置以及业务数据的更改,都可能会对整个企业的数据流、业务流产生很大的影响,机密数据信息一旦被竞争对手窃取,甚至影响到公司的生死存亡,因此对于SAP系统的安全管理一直是企业运维中最终要的事情,从流程、制度以及策略等多方面提供保障。

2.1 业务流程和制度

伴随着SAP系统的实施和应用,企业形成了完整的系统运维管理体系,其中包括系统维护管理、系统应用支持管理、程序开发与配置管理、系统业务监控与考核管理、系统权限申请及用户管理、系统用户应用培训管理等流程,通过这些流程把系统的安全管理制度化,流程化、规范化。大到系统参数维护、功能修改,小到业务数据的查看,都有完善的流程和规范的支撑,确保系统安全管理无死角、无缝隙。一旦出了系统安全事故,责任明晰没有争议,处罚有依据有标准。依靠健全的安全管理的体系,保证了系统的稳定性和安全性。

2.2 权限管理策略

企业的SAP系统在权限管理方面做得非常细,整个权限结构分为操作系统管理员、数据库管理员、SAP系统管理员、系统开发组长、系统开发人员、关键用户、最终用户。其中操作系统管理员拥有操作系统层面的权限,负责操作系统层面的系统管理工作,但是没有SAP系统管理员和数据库管理员权限;数据库管理员拥有数据库管理员的权限,负责数据库层面的管理工作,但是没有操作系统和SAP系统管理员的权限;SAP系统管理员负责SAP系统的管理工作,但是没有操作系统管理和数据库管理的权限,也没有业务操作的权限,主要拥有系统参数调整、系统开发请求传输、系统运行状态监控等权限,管理员级别权限分立对于控制系统级别的安全至关重要;系统开发组长拥有系统开发与配置、非高度敏感数据查询、异常数据修复、程序调试跟踪等权限;系统开发人员拥有系统开发与配置、非高度敏感数据查询,他们比开发组长少了异常数据修复权限和程序调试跟踪,这样的权限设置既能保证开发人员日常的开发和应用支持工作,同时也能限制开发人员私自修改系统后台数据,使得系统数据被无意或者恶意篡改和破坏的风险降到了最低;关键用户拥有本领域相关系统数据查询权限和特殊系统业务操作权限,确保满足对本部门最终用户日常的业务操作指导、数据状态分析、基本业务主数据申请或维护及特殊情况下业务处理的权限要求;最终用户具有本岗位要求的业务处理权限和查询权限,最终用户是SAP系统的核心使用者,他们的岗位差别也很大,所以权限设置也是非常的复杂和严谨,既要满足本岗位的要求,同时又不允许超越本岗位的权限范围。

最终用户的权限设计采用岗位权限制,首先定义岗位,然后定义最小粒度的角色,为每个角色分配合适的事务代码和权限对象值,在授权的时候,只要再将符合该岗位的角色组合分配该岗位对应的最终用户即可。如果有些业务对象的权限控制更加严格,需要控制到业务数据级别,则针对每一个岗位还会进行更加详细的划分,比如项目结构的维护和查询权限会按照项目甚至WBS元素来控制,采购凭证的处理权限会按照凭证类型、采购组织、采购组等控制。依靠详细的权限设计,确保每个用户只能做他该做的业务,只能查看允许他查看的数据,极大地保证了系统的安全性。不过日常权限管理工作也是非常繁重的。

最终用户如果需要申请权限要按照流程先提交权限申请表,相关部门对该用户的资质进行评定,评定项目主要包括该用户是否通过了所申请权限的业务考核、所申请权限是否与本岗位相匹配,如果评定通过才能对该用户进行授权。用户长时间不登录或者调离本岗位,该用户将被锁定,相应权限都会被收回。经再次申请之后才被重新解锁,用户需要根据新的岗位要求重新申请权限。

2.3 系统数据修改策略

可能修改的系统数据主要包括系统参数、系统程序和配置、错误业务数据。系统参数定义域调整前需要编制参数修改说明书,并经系统管理员、操作系统管理员、数据库管理员和开发组长共同确认后才可以进行修改;系统程序和配置的修改需要有需求的驱动,修改需求经审批之后,才能开始做开发的修改,修改必须在开发机进行,经应用支持测试之后,传输到测试机进行关键用户测试,最终测试通过以后再经开发组长审核,则才能由系统管理员将系统开发与配置传输到生产机。错误业务数据是由于系统运行不正常、业务方案有漏洞、用户操作不规范导致,有些错误数据业务用户无法修正,需提申请由系统运维团队修改,该申请需要业务部门及所有相关业务部门领导会签后才允许执行。所有的修改都必须有齐全的手续和完整的记录。且只有系统开发组长才有权对数据进行修改。

2.4 其它系统安全策略实施

我们还充分利用系统提供的一些安全策略来提高系统的的安全性。

1) 尽量减少系统管理员用户个数,并妥善管理SAP*、DDIC、SAPCPIC、Early Watch等超级用户,且明确系统管理员的分工;有的管理员负责管理和监控系统,有的管理员负责传输请求,有的管理员负责管理权限。

2) 设置生产系统中任何程序和配置的修改都必须由传输机制来完成,保证对生产系统的修改都受控,而且也能保证开发机、测试机以及生产机中程序版本和系统配置的一致性。

3) 定义严格的密码策略,保证密码的复杂度和更换频率能够满足安全要求,我们定义密码的长度必须大于8位,密码中必须包含数字、字母以及特殊字符,而且密码每月必须进行修改,且连续5次修改的密码不能相同。

4) 定期检测系统运行状况和日志,了解系统运行状况。通过ST03,ST03N来设置系统内TRACE的时间小于等于3天;用SM19设置TRACE内容与时间段,将系统的每一步操作都控制起来;每日通过ST22, SM21,OY18, ST02, ST04查看系统内的动作;通过STAT、SM20监控每三天用户的系统动作;通过SUIM来监控用户的一些不恰当的操作;用SM20监控每两周系统管理员的动作列表。

3 结束语

SAP作为业界资深的ERP软件,在系统设计中采用了比较完善的安全机制,如果能够有效的利用这些安全机制可以极大地提高信息系统的安全性。

摘要：该文介绍了安全性对于SAP系统的重要性,并通过对长客股份公司SAP系统安全管理策略的总结,详细阐述了SAP系统的安全机制,涉及SAP系统安全管理、数据安全管理、传输安全管理、权限控制、系统审计等多方面内容。

SAP系统管理与安全应用浅析 篇2

作为企业的管理思想, ERP是一种新型的管理模式, 作为企业管理工具之一, 同时又是一套先进的信息化管理系统。随着中国国际化进程的加快, SAP在中国市场占据越来越多的份额, 刚时也给越来越多的企业带来丰厚的收益。正因如此, 众多企业开始实施并逐步将企业核心业务转移至SAP系统, 关注业务功能是否实现的同时, 对系统安全性, 可靠性、可维护性的要求也逐渐增强。

二、SAP体系架构

SAP R/3始于20世纪90年代, 该产品是大中企业计算领域中的重大飞跃。它将企业计算从大型机和专业程序员的世界转移到了应用软件、界面、数据库的世界, 从而使SAP更容易为企业终端用户所接受。

SAP R/3提供Client/Server和Web/Server两种访问模式三层架构的应用程序。SAP ERP系统依赖计算机网络, 通过网络可以将数据存储服务器和应用界面服务器进行分离 (如图1 SAP三层体系架构) 。SAP客户端 (简称GUI) 支持不同的操作系统, 安装方便, 对硬件配置要求也很低, 只要能够运行有图形界面的操作系统, 就可以满足SAP GUI的运行要求。

在SAP的三层体系架构中, 用户通过负载均衡登录应用实例服务器, 从而与数据库进行交互。由于应用实例与数据库可以分布式部署, 所以每一层都有很大的可伸缩性, 体现了SAP系统的灵活性, 能最大程度的减少硬件扩展而引起的停机时间。如果需要更强大的数据库, 可以在服务器层轻松添加, 与此同时应用实例服务器则专注于其他的工作, 如复杂的图形报表显示等。

三、SAP系统管理

SAP系统管理可以说是一个广泛的概念, 根据不同层次可以分为不同的内容。从软件层面可以分为操作系统、数据库、SAP应用三个部分, 从硬件来看又分为网络系统、承载SAP应用的服务器、数据存储器及磁带备份单元等。以下主要从软件层面分析SAP系统管理。

3.1操作系统

操作系统是一切应用软件的基础, 可以为应用程序与计算机硬件或服务提供交互平台, 可以理解为一个通道。Net Weaver作为ECC、BW、PI等现有SAP应用的基础, 可以安装在各种各样的操作系统中, 例如:Windows Microsoft Server、AIX、HP-UX、AS/400、Linux等多种操作系统。各操作系统有自己的高可用解决方案, 在特殊情况下可以最大限度的降低系统宕机时间, 保证SAP应用系统稳定、持续运行。

操作系统有五大管理功能模块:处理机管理、存储管理、设备管理、文件管理、进程管理。SAP系统管理员通常最为关注内存、文件系统、进程及CPU这四大块。合理的内存分配, 可以保证应用稳定、高效运行;充足的文件系统空间是操作系统及应用运行的基础条件;排除僵尸进程, 降低系统资源不必要的损耗。另外关注系统日志所反映系统运行的健康状况, 及时发现问题, 及早处理也在一定程度上确保应用系统的安全稳定运行。

3.2数据库

数据库最简单的形式是由表、列、行组成, 可以理解为一种电子文件归档系统, 通过关联关系将多张表连接在一起, 在其所容纳的信息集合中, 系统应用程序可以快速查找指定的数据段。

数据库管理包括表空间扩展、数据备份与恢复、性能调优、数据库版本与补丁升级等。空间是一切数据存储的根本, 了解表空间的使用情况, 可以在某种程序降低系统故障率;数据是无价的, 备份在项目实施阶段就已经备受关注, 随项目不同阶段进行相应备份策略调整。SAP系统的备份可以通过调用数据库的备份功能实现数据库备份, 也可以采用SAP提供的备份工具来执行。另外, SAP系统备份是必须的, 虽然它可能永远也用不上。备份是运维管理人员的定心丸, 也是SAP系统管理工作最重要的组成部分。但多数公司往往只重视备份, 而忽略恢复, 甚至有的公司从来没有进行过恢复演练。备份不是主要的, 定期的恢复测试才是备份的意义所在。

数据库调优可以缩短数据库层运行时间, 减少用户业务处理过程中等待数据处理时间, 增加工作效率。数据库调优对技术要求较高, 需要综合考虑各种复杂的因素。将数据存储磁盘条带化, 提高I/O利用率与数据的读写性能;规范自开发程序可以改善系统查询性能;建立索引和编写高效的SQL语句, 避免低性能操作等。任何系统的调优都是一个专业的课题, 需要对程序的应用、数据库管理系统、查询处理、并发控制、操作系统及硬件有广泛而深刻的理解。

3.3 SAP应用管理

SAP将多种组件集成到一起够成一套功能完善的信息系统, 应用管理是SAP系统管理重要部分, 可以收集部分操作系统与数据库信息, 监控系统状态, 用户登录及操作情况等。系统管理员对SAP系统的监控维护工作, 更多的是在这里完成的。主要从以下几个常用方面分析:

SAP系统有多种系统进程, 进程在每个实例中分布不一定一致, 了解每个实例进程分布情况, 监控进程的运行状态, 终止异常进程, 使有限的进程都能够处于健康状态。

检查登录用户状态, 了解有多少用户登录系统, 每个用户有多少会话, 在做什么, 占用系统资源情况如何, 结束不活动用户, 释放系统资源。

系统日志及DUMP检查。用户及系统运行过程中因操作问题、系统资源情况、程序本身等问题会产生各种各样的报错信息, 分析错误产生原因, 依据相关NOTE处理错误。

后台作业检查。用户可以将一些周期性、定期处理的作业, 以后台的形式运行。系统管理员需要定期检查这些作业的运行情况, 分析并解决运行失败的作业, 确保数据的完整一致性。

性能分析。系统缓存存储时常使用到的数据, 使得本地应用服务器实例能够从缓存中取得这些数据。这样就可以减少网络流量, 数据库的负载、访问, 从而提高系统的性能。在数据缓存中有ABAP/4字典数据、ABAP/4程序和公司数据, 在系统操作的过程中, 这些数据是不变的。经常监视缓存、命中率、交换情况, 在将来进行性能调整时会有很大作用。

其它在维护与管理方面还有系统的监控、系统日常维护、系统升级等内容, 这些工作对于每个SAP系统来说都是必不可少的。

四、SAP系统安全

一套成功的应用软件, 不应只是从业务流程是否完善、用户界面是否友好等去衡量, 还应从安全性方面考虑。众所周知, SAP ERP系统拥有复杂的业务流程, 那么它在安全性方面又下了多大功夫?

SAP系统可以安装在多种操作系统与数据库之上, 这些操作系统和数据库系统都是通过或超过C2级安全认证, 或达到相应安全级别的, 能够有效地利用它们的安全能力, 保障SAP系统运行环境的安全可靠。

SAP提供了客户端 (SAP GUI) 登录方式, 在SAP GUI启动时, 会自动检测自身完整性, 可以防止对软件的恶意修改, 有效防止病毒的攻击和传播。用户登录必须输入密码, 在用户密码方面, 可以包含并且可以设定数字、字母、特殊符号的位数及用户密码有效期及重复次数等。

SAP系统不仅提供了预定义的权限, 还可以自定义权限。权限能控制在事务代码、活动或者组织级别。为了满足多种权限控制要求, SAP系统将权限对象概念引进。多个相关的权限字段组合成为一个权限对象, 够成SAP授权检查的基本单位。与此同时, 为方便用户的权限管理, SAP系统还引进基于角色授权的机制。多个权限对象能够被组合到一个角色, 再把角色授予账号, 该账号就获得了角色中含有的全部权限对象对应的权限。账号权限管理是一个繁琐、漫长的过程, 而且直接关系企业业务数据的安全, 业务顾问、系统管理员、企业管理者不要因为麻烦、效率低, 放任权限审核, 更不能直接将SAP_ALL、SAP_NEW等系统自带参数文件直接赋给ERP账号, 即使是非Dialog账号无法前台登录, 也应该按实际情况进行权限设定分配。

系统传输。自开发程序、系统配置等都是从开发系统或测试系统传到生产系统, 但在传输前, 有多少企业会安排专人审核这些传输?极少。这样开发人员可以在程序中跳过某些权限检查, 获得他所需要的任何权限, 这对数据、系统存在很大安全隐患。因此传输程序审核检查对系统安全也是很重要的。

网络安全。任何软件系统的实施运行都是依赖于网络的, SAP也不例外, 也可以说SAP对网络的依赖性极强。而网络安全是一个综合性的课题, 涉及技术、管理、使用等诸多方面, 既包括信息系统本身的安全问题, 也有物理的和逻辑的技术措施。安全解决方案的制定需要从整体上进行把握。在制定网络安全防范方案时, 必须做到管理和技术并重, 安全技术必须结合安全措施, 建立备份和恢复机制, 制定相应的安全标准。

五、结语

系统管理与安全涉及多方面内容, 想要做好系统管理与安全工作, 三分靠技术, 七分靠管理。系统管理员不但需要掌握系统管理的相关知识, 熟悉大型数据库 (ORACLE与其它) 及操作系统 (UNIX与Windows) , 而且要了解各个业务模块基本的知识;更重要的是企业管理者重视系统管理与安全的重要性, 如果没有有效的管理制度或没有贯彻执行, 即使提供再全面的技术保障, 也不能起到良好效果。

摘要：SAP全称:systems applications and products in data processing。基于client/server的服务架构, 该文介绍了管理与安全对于SAP系统的重要性, 通过对SAP系统架构的总结, 较为详细的介绍SAP的安全机制, 包括SAP三层体系架构、操作系统、数据库、应用管理、系统安全等多方面内容。

国外SAP系统审计思路与经验启示 篇3

一、国外SAP系统审计经验

(一) ISACA的SAP系统审计经验

ISACA是作为独立的外部审计组织, 已开展多年的企业SAP系统审计业务。ISACA通过发布专门的SAP系统审计指南《Security, Audit and Control Features》来指导具体审计过程, 以确定信息系统和相关资源是否受到充分保护、是否能保障数据和系统的完整性、是否能提供相关和可靠信息。

1. 审计流程。

ISACA将审计流程分为事前检查阶段、初步审计阶段、详细审计阶段与报告阶段。事前检查阶段审计人员通过查阅系统开发与设计阶段的重要文档、观察数据库与应用程序服务器运行环境、评价备份与恢复计划有效性等措施了解企业。在初步审计阶段识别SAP系统的运行环境与关键控制。整个审计流程中最重要的阶段为详细审计阶段, 根据组织的关键业务流程对具体系统应用控制进行实质性测试以判断相关业务的处理逻辑是否正确。在进行具体业务循环审查后通过分析控制成熟度, 使利益相关者认识到组织现有控制水平与最佳实践的差别, 体现内部控制的建立与优化。

2. 审计方法。

SAP系统环境下仅依靠传统的审计方法如访谈法、观察法、文档查阅法来评估风险与控制显然是不充分的。随着系统内部信息资源量迅猛增加, 获取审计证据的手段也面临革新。ISACA在实务中经常使用以下几种审计技术:

(1) 数据挖掘技术。数据挖掘能够探测控制薄弱点并提供具体信息, 从庞大的数据中发现有特殊意义的“知识”, 其最大的优点是能够及时取得充分可靠的审计证据, 降低审计风险。数据挖掘工具种类繁多, 从经济实惠的通用工具Microsoft Access、Excel到价格昂贵的专门工具如Audit Control Language (ACL) 、Interactive Data Extraction and Analysis (IDEA) , 满足了不同审计需求。

(2) 连续审计技术。连续审计技术借助于自动执行的程序实施数据抽取和分析, 使审计人员在事件发生的同时掌握可靠的报告信息, 通过对嵌入式审计模块和连续审计代理技术的运用能实现对数据的自动化截取与处理, 有效保证审计信息的时效性。

(3) 数据库活动监控技术。数据库活动监控技术 (DAM) 对后台数据库数据提供主动监控功能, 避免问题数据的传输, 并且能够及时通知事件相关用户。DAM节约了在数据服务器上的花费, 加快了处理速度。

3. 审计内容。

ISACA从组织控制环境、风险评估、控制活动、信息与沟通、监管的角度出发对企业收入循环、支出循环、Basis开展了一系列审计活动。

(1) 收入循环。收入流程中主要评价主数据维护、销售订单处理、发票处理和现金收据处理等环节控制手段的强健性, 其具体内容有:对主数据的变更操作是否合理、完整、准确;是否将主数据创建与变更的职责进行了分离。

(2) 支出循环。支出循环中除了对主数据维护保持同样的谨慎态度外, 还应在采购流程、支付流程上重点关注, 如是否对输入、变更、取消、审核、支付供应商款项的职能进行职责分离;是否只对已接收货物或服务支付款项等。

(3) Basis。Basis是企业安全有效运行SAP系统的基础, 包括系统应用程序安装、完善、运行、安全等内容。比如审查是否限制对Implementation Guide的访问、是否恰当设置系统参数以满足组织环境的要求。

(二) ANAO的SAP系统审计经验

与ISACA的独立审计不同, ANAO作为政府审计机关主要对政府部门开展SAP系统审计。澳大利亚各政府部门财政资金收入的80%与支出的70%都通过SAP系统运作, 因此SAP系统的安全、可靠和有效运行对于政府部门的正常运转非常重要。为此, ANAO颁布了《Security and Control Update for SAP R/3》、《SAP ECC 6.0》等一系列指导手册, 通过风险评级与流程控制保证了SAP数据流动过程的完整性、正确性与安全性。

1. 审计流程。

ANAO的SAP系统审流程分为审计计划阶段、审计实施阶段、审计报告阶段和审计后续阶段。审计计划阶段初步了解被审计单位环境与内部控制制度, 对关键模块的控制风险进行分级处理。审计实施阶段通过熟悉业务流程与系统文档, 结合配置手段对系统数据执行各项实质性测试。在出具最终审计报告之后, 定期进行跟踪审计保证对审计对象的适时评价、持续监督和及时反馈。

2. 审计方法。

(1) 系统测试法。ANAO直接调用SAP系统的t-code代码查询获取数据, 比如系统内部各类预定义的各种报表, 通过对SAP系统产生报表的审阅, 能够侦查系统异常情况或控制漏洞, 便于发现违规行为。

(2) 嵌入式审计模块法。AIS (Audit Information System) 是嵌入在SAP系统中的审计模块, 包括系统审计与业务审计两个子模块。系统审计模块主要用于管理活动与制度, 为用户提供SAP安全控制报告与审计轨迹。业务审计模块便于审计人员编制资产负债表, 并执行总账、应付账款和应收账款等关键账户的查询功能。

3. 审计内容。

政府部门与企业所用SAP系统模块不尽相同, ANAO的SAP系统审计主要关注采购与应付账款、总账、人力资源管理等业务流程。

(1) 采购与应付账款审计。采购流程包括采购申请、供应商选择、采购订单处理、货物收据、发票处理、支付处理等子流程, 与应付账款管理密切相关。对该模块重点关注:建立订单是否有相关合同或协议做支撑、变更采购申请或采购订单细节是否服从适当审批程序等。

(2) 人力资源管理审计。人力资源管理模块主要包括人事管理、工资计算等子流程, 重点审查员工固定数据维护 (Standing Data) 、员工上岗与离岗记录、员工工时记录、薪金和福利计算、执行组织计划与人员招募等内容。比如是否采取控制手段保证员工主数据的完整性、员工离职后的信息是否仍处于激活状态等。

(3) 总账审计。总账作为财务会计 (FI) 模块重要组成部分记录组织所有业务交易, 与各类信息整合后最终生成资产负债表。审计人员对组织总账控制有如下关注:是否将总账维护与登账职责充分分离、是否对总账参数配置设置完整等。

(三) 国际经验比较

通过对ISACA和ANAO有关SAP系统审计流程、内容与方法的总结, 美澳在审计内容、控制手段、审计方法上有共通之处。在内容上, 将ISACA的费用循环审计与ANAO采购及应付账款审计比较来看, 费用支出交易大部分与采购订单有关, 结合两者共性能概括采购及费用支出类交易的关键控制点, 并用于实务操作。在具体控制手段上, 两者都涉及变更管理、访问控制、职责分离、输入控制、处理控制、接口控制等, 比如在输入控制中只有被授权的个人才能输入并审核准确的数据、在处理控制中合理限制对数据和信息的访问、在参数控制中保证设置变更的合理性。在审计方法上, 除了采用传统方法, 两者大多使用计算机辅助审计技术获取可靠证据。

由于组织类型、规模、功能的差异, SAP系统的应用要求也有所不同。比如在审计内容上, 因澳大利亚政府收入来源主要为国家拨款与项目基金, 几乎不存在与销售货品相关的业务, 据此ANAO弱化了与销售收入相关的审计活动, 而ISACA将其视为关键环节。

二、我国SAP审计框架体系构建

目前国内涉及信息系统应用控制层面的相关指导有国家审计署颁布的《信息系统审计指南——计算机审计实务公告第34号》、中国内部审计协会颁布的《中国内部审计具体准则第28号——信息系统审计》等, 其应用要求分别属于强烈推荐遵循层次与非强制性层次, 更高级别的强制性要求准则尚未发布, 而在这些指南中, SAP系统审计相关内容还有极大的丰富与细化空间。在实务方面, 我国众多大型企业如中石油、中石化、联想、海尔、国家电网等已经普遍使用SAP系统, 为有效管理和使用SAP系统、更好实现经济监督职能, 亟待一套相对完整并专门针对SAP系统的审计框架体系来指导实践活动。

如上图所示, 笔者尝试构建涵盖审计目标、审计内容、审计方法等在内的SAP系统环境下的审计框架体系并重点介绍主要控制手段。

1.变更管理。变更活动主要有以下两种:一是对具体业务活动进行变更, 如变更订单金额、数量、付款单位等信息, 该类型变更会削弱交易过程的真实性和完整性, 通过分析比较系统产生变更报告与已审批变更文档, 可以有效避免此类现象发生;二是对系统配置进行变更, SAP系统提供了大量有效的系统配置 (Configuration) 功能, 基于SAP系统设置可变更 (Configurable settings) 的特点, 通过定期审核设置变更日志 (Change Documents Log) 并保证变更管理控制的充分执行, 可以有效消除非法变更。

2.访问控制。在SAP系统中, 应在“最小授权原则”的基础上通过设置行为分配各种权限。物理访问是用来保护组织使其免受非授权访问的一种措施, 要对计算机场所附近等所有可能出现物理访问风险的地方都建立有效的控制措施。

3.职责分离。SAP系统环境下职责分离能够避免由于个人负责多个关键职位而产生不正当交易风险, 是预防欺诈及恶意行为的重要控制手段, 如采购文件的创建与批准不能由同一人执行, 以防止产生虚拟订单并被用户非法掩盖, 影响采购流程的进行。在对职责分离控制进行分析时, 注意不能只考虑某一模块内部的职责分离, 而忽略了与其他相关模块的关联和系统外部的手工控制活动。

4.接口控制。SAP系统内部模块数量较多, 数据在模块与模块之间的传递与转换是系统整合的重点控制环节, 有效的接口控制能够保证接口数据的完整性、安全性和准确性。如总账系统中, 财务报表应付职工薪酬一栏中的数据来源于人力资源管理模块的工资单处理数据, 应充分保证两模块数据间的协调一致性, 并定期审查相关接口控制和SAP系统提供的对账报告。

5.输入控制。数据一般通过键盘手工输入或系统导入等方式进入系统, 输入错误的原因有人为失误或伪造数据、硬件机械故障、缺乏数据验证措施等, 会导致应用程序系统产生非预期结果。在实务中可以审查以下内容:系统输入规则、数据采集标准等政策文件;数据输入校验机制是否有效、数据输入错误处理功能是否有效等。

6.处理控制。对处理的控制应参照组织业务流程图以识别关键风险控制点, 评估系统业务设计合理性与勾稽关系, 分析系统运行逻辑, 对错误处理机制进行评价。如采购订单建立是否经历了订单申请、订单审核过程;是否对订单进行功能性分级授权以限制订单变更操作等。

7.参数控制。参数设置分为系统参数设置与业务参数设置。系统参数设置一般发生在系统初始化过程, 如SAP系统中对用户角色类型、员工编号规则、销售订单字段等内容的设置;业务参数设置在系统运行过程中经常发生, 如双重授权 (Dual Authorisation) 控制功能的开启。对参数的任何改变都会影响系统工作和内部控制的执行, 因此所有参数变更操作将受到严格的审批与控制, 应结合组织政策和业务流程审查参数设置情况以保证系统的正常运行。

三、实务案例

下面以某集团公司SAP系统审计实务为例, 详细描述相关审计内容与流程。该公司以生产资料流通为主业, 经营范围涉及国内外贸易、现代物流、流通加工等领域, 自20世纪90年代起开始大规模进行信息化建设, 现今已成功上线销售与分销 (SD) 、物料管理 (MM) 、财务会计 (FI) 、管理会计 (CO) 、财产管理 (AM) 、人事管理 (HR) 、项目管理 (PS) 等多个模块, 这些模块建立在统一的数据平台之上, 共包括约20 000张数据表, 字段超过200万个, 数据结构相当复杂。

根据被审计单位风险环境与SAP系统审计框架的审计目标, 审计人员重点关注了系统的可靠性与安全性, 警惕系统缺陷与漏洞, 督促企业加强对信息系统的经营管理并提高系统运行的效率。对部分重点审计内容和具体过程描述如表2所示。

1.销售收款循环审计。审计小组通过查阅被审单位的业务流程设计文档与操作手册、使用t-code代码调用内部报告、访谈或现场观察等方式获取被审单位的职责分离控制状况, 发现被审单位信用调查与合同审批权限由同一人掌握, 削弱了销售过程的真实性。

2.采购付款循环审计。审计小组通过查阅被审计单位SAP系统的付款流程设计文档、在SAP系统测试机上修改某供应商的信用数据并运行付款申请功能模块, 发现该功能模块不能调用供应商信用数据, 后续的付款审批和付款执行都不由供应商信用数据控制。结果表明付款申请功能模块设计与开发存在错误。

3.参数配置审计。审计小组通过访谈参数维护的管理人员、查阅参数变更文档或调整日志, 核查异常情况。结果表明该公司对员工工资等个别参数的调整在数据库上直接操作, 且不记录操作轨迹, 不利于数据安全。

4.安全审计。审计人员检查了有权限访问“用户维护”的用户、有权限维护关键或自定义表格的用户及超级用户SAP*功能是否失效, 据此判断系统是否运行安全。

参考文献

[1] .唐志豪, 吴叶葵.RTP环境下采购付款业务流程控制的审计.财会月刊, 2012;12

SAP系统中报表的开发研究 篇4

S A P(S y s t e m,A p p l i c a t i o n and Products in Data Processing),即数据处理的系统、应用和产品。严格地说,SAP是一个软件公司的名字。但现在,我们都习惯地统称SAP公司的产品为SAP。

青海省电力公司从2008年4月开始运用SAP系统以来,实施了人资模块、财务模块、物资模块、设备模块、项目模块,为了满足企业需求,开发了大量的报表,但是,关于SAP系统中报表的开发的文章却很少。本文利用ABAP/4开发平台及其提供的编程语言对报表的个性化设计和开发进行讨论,介绍如何在SAP R/3系统中进行报表的开发,以满足企业特定的业务需求。

1 ABAP简介

ABAP(Advanced Business Application Programming)是SAPR/3目前唯一的系统开发工具,属4GL,目前的版本是ABAP/4。ABAP是一种高效易用的开发语言:ABAP所面对的是针对数据库的操作,因此该语言具有它的独立性,具备数据库操作语言SQL的语句以及C语言的结构;与数据库连接时不需要加载数据库驱动程序,该过程由ABAP运行时系统完成,因此,具有与数据库层的松耦合性;在定义变量的形式上类似于VB,在设计屏幕时可以通过拖拽的方式完成,实现了“所见即所得”;接近JAVA的编程思想,面向对象的开发语言实现了数据的抽象、封装等特性;debug中可以任意改变观察点的数值,可以测试任何情况下代码的执行,具有简单易用的调试环境;可以满足企业特定的需要,对通过系统配置不能实现的功能进行二次开发(LIST报表:入库单、出库单、领料单等;ALV报表:月(年)度汇总表);可以进行各种类型的程序、界面、业务流程设计,即通常意义上的增强和接口开发(企业报表、商务信函、企业特有的业务处理;屏幕选项卡的增加、修改;第三方系统的接口,如财务管控系统集成等)。

常用的ABAP开发工具技术有:REPORT(数据库中抓取数据通过整理陈列出来,给企业高层或具有相关需求的人员查看);DIALOG(属于对话型程序,提供对话框界面,方便操作人员与系统进行数据交互,这种程序会更新数据库);REPORT与DIALOG技术合并产生的程序;开发其他类型程序(非可执行程序);多系统之间数据交换技术;增强技术;数据导入导出技术等。

2 ABAP/4报表设计

报表的运行流程和输出形式为:首先初始化报表程序,在SAPGUI中显示选择屏幕,根据用户在选择屏幕的输入从数据库中选取相关数据,然后经过整理以各种形式(普通列表、交互列表、ALV等)输出列表。

2.1 报表事件

2.1.1 报表事件分类

ABAP是事件分类语言,所有代码的设计和调用过程均与处理块相关。对于不包含自定义屏幕的普通报表,其代码结构中的主要处理块为报表事件块(由报表事件关键字引导的代码块)。也就是说,事件块决定着一个报表应用程序的代码将在何时被系统调用,只有该部分代码所属的事件被触发时,代码段才被执行。因此,所有需要实现一定功能的代码都必须隶属于某个事件[1]。

报表程序常用的驱动事件有以下4种。

1)报表过程事件。过程化事件一般有3种:INITIALIZATION初始化事件,用于程序开始运行时某些变量或者参数的初始化;START-OF-SELECTION选择开始事件,若有选择屏幕,则处理完选择屏幕后触发,报表程序默认事件块,不属于其他事件的代码,则自动插入该事件块的初始部分;END-OF-SELECTION选择结束事件,在该事件后输出列表,若使用逻辑数据库,在逻辑数据库处理结束后触发。

2)选择屏幕事件。如果报表需要使用选择屏幕接受用户输入,除定义选择屏幕元素之外,还需要编辑选择屏幕事件块来对选择屏幕行进行控制,与其相关的系列事件将在INITIALIZATION之后,START-OF-SELECTION之前被触发,现分述如下:

AT SELECTION-SCREENOUTPUT,选择屏幕PBO事件,每次选择屏幕调用之前触发,在其中进行选择屏幕输出之前的准备工作(主要是做search help时使用);

AT SELECTION-SCREEN,选择屏幕PAI事件,在选择屏幕上执行某些功能后触发,可包含多个附加项,用于控制选择屏幕状态,并对用户交互进行响应,例如:当选择屏幕中输入错误时,系统会提示“输入错误值,选择可选值”等;

AT SELECTION-SCREENON field,针对某个选择字段输入的PAI事件,该字段值传给程序时触发,可用于该字段本身正确性检查,若错误,该字段可重新输入,其他元素不可输入;

AT SELECTION-SCREENON BLOCK,选择屏幕元素区域输入的PAI事件,该区域所有字段的值传递给程序时产生,错误时,该区域元素可重输,其他区域元素不可输入;

AT S E L E C T I O N-S R E E NO N R A D I O B U T T O N G R O U Pgroup1,与元素区域PAI事件类似,对象换成了单选按钮组;

AT SELECTION-SCREENO N s e l t a b;AT S E L E C T I O N-SCREEN ON END OF seltab,使用多行选择对话框时出现,前者用于输入后正确性检查;后者用于选择表输入结束后的检查;

AT SELECTION-SCREENON HELP-REQUEST FOR field;AT SELECTION-SCREEN ONVALUE-REQUEST FOR field,选择屏幕的POH和POV事件,即F1和F4事件,分别定义字段帮助和输入帮助;

用户可以通过Back、Cancel、Exit等按钮退出选择屏幕。

3)逻辑数据库事件。若程序中使用逻辑数据库,则在start-ofselection后触发,其作用也是选择并整理数据,可以看作过程事件。

逻辑数据库事件有2种:GET node选择逻辑数据库当前级别数据源中的数据;GET node LATE选择上一级别数据源中的数据。

4)列表事件。TOP-OF-PAGE页眉控制,在每个新页面开始时触发;END-OF-PAGE页脚控制,当前页面结束时触发;AT-LINE-SELECTION行选择控制,用户选择某列表行时触发,用于交互式报表;AT-USER-COMMAND用户交互控制,选择某个GUI功能出发,用于交互式报表。

2.1.2 事件的触发

一个报表程序中可能包含多个事件块,在运行期间,系统将按照一定规则进行处理。但并不能说他们之间的执行先后次序是固定的。有的事件将反复被触发,有时事件触发与用户行为相关,尤其是交互性事件(例如行选择控制事件,如果用户在列表屏幕中不选择任何特定行,则该部分代码在整个运行期间内都不被执行)。具有一般性的报表事件触发过程如图1所示。

2.1.3 事件块的中止

在事件过程块中,如果需要中途结束当前事件,需要使用STOP、EXIT和CHECK等语句。不同语句可能转向不同的后续事件,事件的中止分为无条件中止和有条件中止2种类型。STOP和EXIT属于无条件中止语句,STOP指中止当前事件块,直接转向END-OF-SELECTION,EXIT指离开任何事件块,转向列表输出屏幕;CHECK属于有条件中止语句,指离开当前事件块,转向下一事件块。

2.2 选择屏幕

选择屏幕(Selection Screen)是程序和用户之间的接口,常常作为报表运行过程中用户界面的一部分,在列表数据提取和列表输出之前出现。

1)选择屏幕参数。最简单的选择屏幕元素是选择参数,这种形式只能接受用户的单值输入,语句如下:

PARAMETERS name T Y P E|LIKE type|dobj

选择参数语句PARAMETERS是一种数据说明语句,因而其语法与DATA语句相似,可以参照数据类型或者数据对象进行参数申明,但参数变量的长度不可以超过8个字符。

2)复杂选择标准。使用SELECT-OPTIONS语句可以设定比较复杂的选择标准,选择标准是比选择参数更为复杂的一种用户输入形式。可以接收单值、多值以及各种形式的范围输入,并可以将输入的多行选择条件以内表的形式存储,利用这些选择条件的集合,可以方便对数据库的选择进行较复杂的限定。SELECT-OPTIONS语句如下:

SELECT-OPTIONS seltabFOR f

该语句将根据定义时的参照类型f(f需为程序中的全局基本类型元素,通常情况下f参照数据字典中的表字段生成,以提供各种帮助、值检查功能)在选择屏幕中生成2个字段,以供用户输入选择的范围。

3)选择标准文字。在选择屏幕中,参数和选择标准的说明文字出现在左侧,默认情况下是变量名称,该名称的长度最多8位,一般需要改为用户易于理解的说明文字。选择参数和标准的说明文字是一种文本元素,可以在文本元素设定界面中单击Selection texts标签,或者在编辑界面中选择Goto→Text elements→Selection texts菜单项设定。

4)使用选择变式。变式(Variants)是选择屏幕中各元素的值集,用户在选择屏幕中输入选择标准之后,如果认为该标准需要反复使用,则可以将其定义为一个变式,以避免下一次运行时相似元素的重复输入。变式和特定的选择屏幕相关,可以被系统中其他用户使用。

2.3 数据库表类型

通常情况下报表程序中输出的列表数据来自数据库表,在ABAP程序中,可使用Open SQL或者Native SQL读取数据库表。

SAP R/3中有3种数据库表:透明表、共享表和簇表。

1)透明表。透明表格与数据库中的表一一对应,有相同的表名、字段数、字段名。ABAP词典中透明表的定义相对数据库是独立的,定义的表与数据库中的表有相同的结构。当表被激活时,数据库中的物理表存储在ABAP词典中,透明表可以连接查询。

2)共享表。共享表格与数据库中的表是多对一的关系,表名不同,字段数不同,字段名不同。共享表是SAP的一个特有构思。在数据库中,所有共享表格被存储在一个表中,该表叫“表池(Table pool)”。SAP共享表格存储系统数据。

3)簇表。簇表与共享表格类似,也是多对一的关系。多数簇表存储在一个叫Table cluster的表中,当一些表有共用的PK,或数据被同步访问时,使用簇表。从单个表去理解与透明表没有差异,但是多个表组成簇表,它们在物理上对主键只存储一遍,故对簇表的关联查询可以极大提高访问速度。其实通俗地说,Cluster Table就是把一堆数据按一定规则以序列形式存放在某一个“特别大”的“字段”里,将来再按照这个特定规则来读取。提高性能,节省空间,捎带加强安全性,这就是Cluster Table的用途。

3 报表开发实例

本节以ALV报表为例来介绍报表程序的编写流程。

ALV报表属于报表的一种高级形式,显示出来的报表整洁美观,具有很大的交互功能,ALV报表的典型布局由3部分组成:表单快捷工具栏区;表单标题区;表单显示区。

ALV报表的编写流程一般有六步。

第一步:定义将要用到的表,即TALBES定义部分,然后定义TYPE-POOLS。

第二步:定义要用到的数据类型或者内表的实体对象。

第三步:定义一些需要用到的变量,通常定义的有:打印信息,输出格式设置,页眉设置,字段格式设置,ALV事件等。

第四步:定义自己的选择屏幕。

第五步:定义INITIALIZATION部分。

第六步:start-of-selection部分。

(1)用一个子函数完成对ALV表单标题区域的赋值。

(2)用一个子函数完成自己所需要数据的抓取。

(3)用一个子函数完成要显示列表的列名行(第一行)的相关赋值以及设置。

(4)用一个子函数完成输出格式的设置,比如双击一条记录是否弹出对话框,是用哪个功能键触发等等。

(5)用一个子函数来显示上面我们已经分别封装好的数据,需要调用2个常用的函数块,一个是FUNCTION'REUSE_ALV_GRID_DISPLAY',用来显示表单数据,另外一个是FUNCTION'REUSE_ALV_COMMENTARY_WRITE',用来显示表单标题。

系统实现示例如图2所示。

4 报表开发的意义

通过报表的开发,一方面提升了系统现有的功能,满足了企业特定的业务需求;另一方面,从数据库中抓取数据通过整理陈列出来,给企业高层或具有相关需求的人员查看,极大地提高管理人员的管理水平和工作效率,并为企业高层进行决策提供依据。例如,为了便于项目管理部门跟踪项目物料的采购、发货情况,作者开发了项目物资需求完成情况统计表,项目管理人员可随时跟踪查询项目物料的需求、采购申请、采购订单、收货、发货的进度及金额等信息,为管理人员提供了很大的便利。

5 结语

本文介绍了ABAP报表的运行流程和输出形式,以及报表开发中所要用到的报表事件、选择屏幕、数据库表类型,最后,以ALV报表为例介绍了报表程序的编写流程,指出了报表开发的现实意义。为SAP系统用户及从事ABAP开发的人员进行报表开发提供技术指导作用。

参考文献

[1]黄佳.SAP程序设计[M].北京:机械工业出版社,2005.

[2]蒋哲远.企业资源计划环境下通用报表服务构件的设计与实现[J].计算机集成制造系统,2011,17(9):2029–2034.

[3]吴桐,张学东,张疏影.一种基于JSP的报表设计方法[J].辽宁科技大学学报,2010,33(5):548–551.

[4]施权,张忠能.利用SAP ABAP语言解决客户特制要求的方法[J].计算机工程,2004,30(S1):84–86.

SAP系统安全 篇5

PDM (Product Data Management, 产品数据管理) 是一门用来管理所有与产品相关信息 (包括零件信息、配置、文档、CAD文件、结构、权限信息等) 和相关过程 (包括过程定义和管理) 的技术。

SAP (Systems Applications and Products in Data Processing) 是领先的ERP软件, 目前普遍应用在企业的各种专业管理中, 它集成性好, 财务、物资、项目、设备、人力资源等功能都具备。

碳钢车产品图纸、技术文件等所有信息以前在PDM系统运行, 随着唐山轨道客车有限责任公司 (以下简称唐车公司) 管理层次的提升, 要求所有信息录入SAP系统, SAP系统的图纸处理、BOM (明细) 、分工操作方式与PDM系统完全不同。PDM系统技术工作操作过程为:设计人员根据设计技术条件设计各部位图纸, 图纸在PDM系统经工艺人员评审, 图纸结构层次问题设计人员随时可以更改, 评审通过后, 不需生成工艺明细, 工艺人员直接在原明细基础上工艺分工, 之后编制工艺方案、工艺规程指导车间生产。SAP系统技术工作操作过程为:在设计图纸前需确定结构树, 图纸层次结构依据结构树设计, 结构树确定后图纸层次结构较难更改, 工艺人员在EBOM (Engineering Bom, 设计物料清单) 基础上需搭建MBOM (Manufacturing Bom ERP, 系统使用的物料清单) , 在MBOM基础上进行工艺分工, MBOM激活后编制工艺方案、工艺文件。基于SAP系统运行特点, 设计和工艺原有的工作模式不适应新系统, 为达到较好的运行效果, 力求技术工作更严谨, 必须采用设计和工艺相联合的技术工作。

2 实施方案

以往唐车公司设计和工艺分别承担不同的职责, 并分别按照各自的职责开展工作。

设计职责包括:根据市场需求分析, 设计出顾客满意的产品;负责唐车公司新产品的设计工作, 提供完整的图纸和相关的技术文件;按照标准化、模块化、谱细化的原则进行新产品的设计;建立一流的机械、电气、软件设计和管理平台, 利用信息化平台技术提高设计质量和效率;负责本部门SAP系统的使用和维护。

工艺职责包括:为唐车公司产品生产从工艺准备到产品制造的全过程提供工艺支持;负责对合同中与工艺相关的技术条件进行评审, 参加技术交流和设计部门的设计评审;负责制定制造技术准备计划, 提出新增设备、工装、工具计划;负责制造BOM的编制, 工作中心的确定和工艺路线编制;负责产品工艺方案、工艺规程、WPS文件等工艺文件的编制;负责产品制造中工艺技术的支持工作;负责组织新产品试制后的工艺总结和整改工作;负责工艺文件、工艺图纸的编制和修订。

现基于SAP系统运行特点, 工艺人员必须参与到设计工作中, 设计人员参与到工艺工作中, 故采取以下具体运行模式:

(1) 设计人员搭建最初的结构树, 工艺人员与设计人员共同评审结构树, 结合车间生产布局和生产流程, 本着合理、方便、实用原则完善结构树。

以出口安哥拉二等座车内装侧墙板部位为例, 最初由设计人员搭建的结构树为:侧墙布置包括乘务员室侧墙安装、开水炉间侧墙安装、客室侧墙安装、厕所侧墙木骨安装;各安装下层根据具体情况分为木骨安装、防寒材安装、侧墙板安装、压线安装等结构层次, 各层次图纸内容包括各子件组成及安装结构、尺寸等详细信息。

而设计与工艺相联合后, 设计、工艺人员结合车间生产布局和生产流程共同评审确定的结构树为:侧墙布置包括侧墙防寒材安装、一位小间侧墙安装、二位小间侧墙安装、客室侧墙安装;各安装下层根据具体情况分为骨架安装、侧墙板安装、压线安装等结构层次, 各层次图纸内容包括各子件组成及安装结构、尺寸等详细信息;

(2) 设计人员在确定的结构树基础上设计图纸, 申请物料号, 图纸挂入SAP系统评审, 工艺人员严格遵照结构树图纸层次结构评审图纸, 配件组成件与组装件混杂的图纸要求设计人员分清楚;

(3) 设计人员搭建EBOM, 厂内自制件搭建到原材料层。工艺人员在EBOM基础上维护物料、工艺分工、搭建MBOM, 将设计漏搭建的原材料层物料告知设计人员, 设计人员搭建完成后完善MBOM;

(4) 为确保前期技术工作的充分、全面, 设计、工艺人员分别总结各部位需保证的关键参数以及对上道工序的要求, 所有部位人员共同评审确定关键参数, 工艺人员把需保证的关键参数和保证参数采取的措施编制到工艺方案、工艺规程中。

以上述二等座车内装侧墙板部位为例, 工艺人员总结的需保证的关键参数以及对上道工序的要求如表1所示, 设计人员总结的需保证的关键参数以及对上道工序的要求如表2所示。

经过设计、工艺人员对车体、侧墙、设备部位的共同评审, 一致通过表1和表2中关键参数和尺寸, 并由工艺人员把相应要求编制到工艺方案和工艺规程中, 采取相应工艺措施保证关键参数和尺寸。

为保证车体窗口中心线尺寸偏差±2 mm, 车体侧墙总组成采用反装法, 先在侧墙胎上划出窗口中心线位置, 将上、下侧墙板放置侧墙组焊胎上, 根据侧墙胎中心线画出车体及窗口中心线, 用拉紧装置拉紧, 将窗口模块、侧墙上边梁、窗间纵向梁、M型补强梁等摆放在侧墙板相应位置上, 在风缸压紧状态下调整侧墙骨架和侧墙板之间的间隙;侧墙吊出翻转, 以侧柱根部及窗口中心为定位基准用样板画出窗口位置线, 对侧墙板与侧墙板接缝部位进行焊接打磨 (窗口部位不焊) , 打磨后用等离子切割开出窗口。内装侧墙骨架安装用拉线和尺杆两种方法检测平度, 骨架表面平整, 允许根据现车情况加垫调整, 侧墙板安装从中间向两端安装, 以窗口中心为定位基准。

3 结论

SAP系统安全 篇6

SAP系统中, 物料价格有标准价、移动平均价等多种定价方式。当系统使用标准价格时, 物料价格的更改就可以有两种期间模式。两种模式的区别就是前一期间物料价格的更改是否会作用于当前期间, 而不同的模式会对企业财务记账产生不同的影响。

二、两种期间模式

SAP系统允许将物料的价格更改记账到前一期间或上年期末上, 以及当前期间。库存价值是否要变化就要看物料价格更改使用的是什么样的期间模式。当一个物料价格被改变, 库存的总价值被改变, 而库存的总价值=总数量×价格;物料价格变化形成一个对库存科目的记帐, 价值为:总数量×价格的差异。对方科目被记入一个收入或支出科目中。

2.1配置方法。在S A P系统中, 利用事务代码OMRN, 我们可以定义一个公司物料价格更改的期间模式, 有两种。配置的时候, “已经执行的价格”不勾选, 表明前期物料价格的更改只有效作用于前一期间或上年期末, 不会影响当前期间。勾选的话表明物料价格更改还同时作用于当前期间。

下面以实例说明不同配置方法对系统记账的影响。物料A, 公司当前期间为10月。9月底时库存数量为150, 物料标准价格为10;10月库存数量为200, 标准价格为11;9月底的价格要改为12。

2.2不执行价格改变。

(1) 在这种模式下, 对前一期间的影响: (1) 标准价由10.0变为12.0, 则9月库存商品的价值变化是:150× (12-10) =300, 此价值将记账到库存商品科目中, 如果引起库存价值增加, 则借方记库存商品科目, 否则记入贷方。会计凭证内容为:借:库存商品300;贷:库存变化 (收入) 300。 (2) 此300元的价值累加到库存总价值中, 库存商品9月底的总价值现在上升为1800。

(2) 于当前期间:前一期间增加的300元价值会结转本期来, 导致库存价值变化 (本例为增加) , 但由于不在当前期间作价格更改, 即当前期间物料价格保持不变仍为11。这时, 系统需要一个分录用以冲减这个增加的价值, 因此形成的会计凭证内容是:借:库存变化 (支出) 300;贷:库存商品300。这样调整以后, 库存商品10月初的总价值仍然为200×11=2200。

2.3执行价格改变。对于前一期间, 同上例。对于当前期间: (1) 当前期间标准价由11.0变为12.0, 相应的价值变化为:200× (12-11) =200; (2) 此时库存总价值增加到2200+200=2400; (3) 另外还有前一期间结转过来的300, 变为2400+300; (4) 此300的价值需要从库存科目中扣减掉, 于是库存科目记帐金额为:200-300=-100;形成的会计凭证内容分别是: (1) 借:库存商品100;贷:库存变化 (收入) 100; (2) 借:库存变化 (支出) 300;贷:库存商品300。这样调整以后, 库存商品10月初的总价值为 (200×11) +200-300+300=2400。

三、结论

SAP系统允许将物料的价格更改记账到前一期间或上年期末上, 以及当前期间。库存价值是否要变化就要看物料价格更改使用的是什么样的期间模式。本文描述了两种模式最后对系统的不同影响, 希望本文可以给大家学习和理解SAP系统带来帮助。H

参考文献

[1]黄梯云.管理信息系统 (第三版) (面向21世纪课程教材) [M].高等教育出版社, 2005:161-204.

[2]Peter Jones, John Burger.SAP ERP财务与控制模块配置[M].人民邮电出版社, 2011:108-120.

在SAP系统中实现电厂的运行管理 篇7

针对电厂运行管理的系统, 当前大多数电厂采用的是B/S架构模式, 通过JAVA语言等编译, 硬件上需要WEB服务器和数据库服务器, 而且基于使用安全的考虑, 通常还需要分成开发、测试、生产三套服务器。当系统完成开发测试后, 将程序包部署到正式的生产服务器上, 然后通过网络进行数据源的连接。当然, 也有一些信息化落后的电厂, 仍然使用着纸质的记录簿来管理。

通过调查研究发现, 电厂员工在使用B/S架构的运行管理系统时, 经常会碰到数据取数缓慢, 系统卡死等情况。特别是交接班日志, 时常要等待较长时间才能打开。这主要是程序在设计的过程中, 用户常会要求把主体设备的运行参数, 以及相关的缺陷单、工作票等信息集中在交接班管理界面里显示, 以方便他们的查询和分析。而运行管理和设备检修管理通常是两套不同的系统, 两者基于系统间的接口和协议相互集成, 所以数据在交互的过程中, 稳定性难以保证。

随着大数据时代的到来, 企业信息化管理对软件的集成性、稳定性、安全性, 以及使用效率等要求越来越高, 而SAP作为电力行业主推的信息管理软件, 在国内几大发电集团, 如华能、大唐、国电、华电等已得到全面的推广使用。通过SAP系统, 使企业在财务、项目、物资供应、设备检修等方面得到了行之有效的管理。虽然, SAP系统没有标准的运行管理模块, 但是它具备灵活的定制开发功能。作为一个开放式的系统, 它预留着众多的内部增强出口和与外部软件之间的接口和协议。因此, 企业从经济实用的角度出发, 与其购买1套独立的运行管理软件, 还不如在现有SAP平台的基础上, 进行定制开发。这样不仅省去了服务器等硬件成本和维护费用, 而且在同一个系统中, 运行管理可以和设备检修管理、两票管理等进行无缝集成, 从而大大提升数据之间的交互能力和系统使用的稳定性。

1 功能模块设计

电厂运行管理系统通常由基础数据配置、交接班、定期工作等几部分功能组成。系统功能的设计需要先了解电厂运行相关的组织架构及岗位职能, 在系统里定义岗位角色及相关的权限, 使不同岗位的用户操作不同的系统功能, 实现权责分明。通过对电厂运行管理的需求分析, 大致可以分成三个模块来实现其功能, 即:基础数据准备及配置、运行交接班管理、定期工作管理。根据企业的运行管理制度, 设计出界面友好, 功能完善, 参数可见的应用系统。

1.1 基础数据准备及配置的设计

基础数据的准备及配置是为了服务于其他两个模块, 使它们的数据能够有效结合, 从而减少数据库的容量。通过调用该模块的数据, 还可以有效、合理的优化资源, 使程序的编写更加清晰明了, 实现数据共享, 减少资源浪费。首先, 需要根据运行管理的组织结构, 确定相应的岗位, 针对系统中需要实现的每一个功能点, 建立相应的角色。然后, 根据企业管理结构, 将角色分配到相应的岗位, 每个用户按各自岗位分配相应的权限, 以实现人员与工作范围职责的划分。基础数据配置中还需要定义运行人员信息、班组信息、班次类型、倒班类型、运行岗位、专业数据, 功能区域等配置表。

1.2 运行交接班管理模块设计

运行交接班管理主要以交接班日志的维护执行和交接班日志的配置为主, 同时记录值班记事、设备状态及参数、交接班过程等三个部分。通过交接班的有效管理, 可以方便运行人员查看设备状态及重要参数, 在此需要与SAP PM模块中的设备管理、检修管理、两票管理进行数据交互。运行交接班管理是运行管理最重要的一个环节。

1.3 定期工作管理模块设计

定期工作即设备的定期试验、轮换与维护, 是确保备用设备可靠工作, 保证自动装置、保护和信号装置正常发挥作用的重要措施, 定期工作管理要求运行人员严格按照规定的时间和项目计划完成设备试验和轮换, 并作相应的记录。

定期工作管理需要根据全厂设备运行的情况制定相应的检查项目。设备的定期检查是电厂安全管理的核心, 也是确保设备可靠运行的重要措施。通过合理的定期检查, 可以使电厂的安全系数得到有效的提高。

2 系统的实现

系统的总体实现, 要分多个步骤、多个层次进行, 将系统的开发任务分模块、按功能并行进行, 在底层数据结构确定的情况下, 对于不同模块进行代码编译, 最后对于所有模块进行集成, 从而提高工作效率。本系统是在SAP软件的基础上进行定制开发, 无需额外的服务器和网络链接。在同一软件中实现运行管理、设备管理、检修管理等生产的过程管理, 无需系统间的切换, 使电厂运行管理的流程更加的完善和简洁, 也使系统的应用更加的稳定和高效。

运行管理的权限和基础数据配置可以使用SAP标准的功能。在此, 我们将重点阐述交接班管理模块和定期工作管理模块的实现过程。

2.1 运行交接班管理模块的实现

电厂发电运行的岗位根据其职能的不同可以分为领导、专工、值长、主副值、巡操、化学运行、燃料运行等, 在系统中需要根据其职能建立相应的角色。不同的角色在处理交接班管理模块时需要对应不同的权限和操作内容。交接班管理模块主要由三部分组成, 分别为:值班记事、设备状态及参数、交接班过程。

值班记事要求当班人员根据机组的运行情况及时记录生产过程中发生的重要内容。值班记事包括如下内容:记事类型, 即各交接班日志根据其日志的特点选择记事类型;记事时间, 系统可以默认当前填写时间为记事时间, 在填写记事时可修改记事时间;记事内容, 简洁扼要的填写记事内容;相关设备位置, 选择事件发生的相关设备位置 (KKS码) , 每个事件需要对应一个设备位置。

设备状态及参数功能用于管理设备的运行状态, 设备状态采用配置的方式。标准状态包括:运行、备用、检修这三种状态, 每种状态在界面中采用不同的颜色 (符号) 进行区分, 便于当班人员进行状态识别, 如:状态为运行时颜色标记为红色 (勾) 、状态为备用时颜色标记为绿色 (圈) 、状态为检修时颜色标记为黄色 (叉) 。当成功进行交接班后, 前一班的设备状态, 自动带入到下一班的日志中。在当班过程中, 当班人员可以根据设备实际状态的变化, 修改日志中相关设备的状态。每个日志的状态都可以根据电厂实际管理的需要进行设定。交接班前需要对设备的状态进行提交, 才可交班。参数主要是交接班日志中记录的一些重要数据, 比如:发电量、煤耗等。参数和设备运行方式一起, 作为交接班人员参考和历史留存。

交接班过程是运行人员交班和接班之间交清设备运行情况, 明确责任的过程。交班前需对运行设备状态进行确认, 确认后才可执行交班动作。接班时接班人需到已交班的日志中进行接班的确认操作。接班操作确认后, 再新建一份值班日志, 作为当班日志。

2.2 定期工作模块的实现

定期工作模块的功能在于帮助用户针对不同的项目类型制定需要定期执行的任务, 并提醒任务执行人在指定的时间内完成定期工作任务。本模块主要实现三个功能, 分别为:定期工作制定、定期工作执行和定期工作延期。

定期工作计划制定是针对不同专业、不同项目类型、不同执行周期制定计划并分配相应任务到岗位角色。定期工作项目类型:长期有效的定期工作和临时工作制定。

相关岗位人员根据系统提示未执行的定期工作, 进行定期工作执行。执行完成后, 用户根据实际的执行情况, 填写定期工作的执行结果;如果工作未能完成则填写相关的情况说明, 并提出延期要求。

定期工作的延期是特定授权人进行的工作, 授权人根据执行人的情况说明, 对相应的定期工作进行延期。是否可以延期, 可以根据定期工作制定时的延期标志进行判断, 如果延期标志为“否”, 则该项定期工作任务将不允许进行延期处理。

3 总结

运行管理的水平是衡量一个发电企业管理能力的重要标志, 搭建一套行之有效的运行管理系统是电厂信息化建设的重中之重。本文介绍的运行管理系统是以SAP系统为基础平台, 根据运行管理的业务需求进行灵活定制, 可以实现与设备管理、检修管理的无缝集成, 具备基础数据配置、交接班管理、定期工作管理和报表查询等功能。