信息系统审计师和SAP实施与控制[3]

　　在R/3中，用户访问能力由用户主控记录授权价值集合、授权轮廓来管理。为保证所有用户访问符合公司管理策略、规程、准则，必须对变更实施控制，包括用户主控记录，轮廓，授权价值集合等。R/3系统提供了标准授权对象，这样它们可用于控制不同用户组的管理者行动，指定管理者也能够维护或用户能够添加到用户主控记录中的轮廓。此外，也要限定管理者维护的授权集合。

管理控制

　　管理控制通过文档化策略与规程进行实施，由人来实施而不是系统实施。这些控制表达访问数据，系统开发，客户化修正，维护过程。SAP系统提供的自动控制过程在实施了控制规程后更为有效。通过建立基于业务的策略和规程，表达访问控制、保密完整性、标准等问题。

EDI和标准

　　SAP R/3对于外界入侵不具有免疫力，R/3支持EDI，SAP最近发布了R/3过程的网络能力，EDI和网络使标准变得尤为必要，因为外部入侵者可以破坏系统完整性，危害公司资产，所以安全政策要满足EDI和网络的要求。

[1] [2] [3]