Soru geçmişi
Kurumsal ERP uygulamaları, genelde düzenleyici son tarihlere yetişmek için hızlı özelleştirmeler sayesinde teknik borç biriktirir. Bu senaryoda, bir geliştirme ortamı için tasarlanan bir taşıma talebi, kritik bir ay sonu döneminde yanlışlıkla üretim ortamına yönlendirildi. Bu yazma işlemi, bireylerin hem tedarikçi ödemelerini oluşturmasını hem de onaylamasını engelleyen ABAP kullanıcı çıkışlarına yerleştirilmiş görev ayrılığı doğrulamaları devre dışı bıraktı.
Problem
Acil kriz, üç kesişen kısıtla ilgilidir. SOX uyum ihlali, denetim riski ve potansiyel SEC bildirim gereksinimleri yaratır. BW/4HANA bağımlılığı, işlem sistemini geri almanın, yöneticilerin kazanç duyuruları için kullandığı finansal raporlama küplerini bozabileceği anlamına gelir. Ayrıca, 4 saatlik son tarih, ay sonu kapama süreci aktif bir şekilde yürütülürken geleneksel kapsamlı regresyon testlerini engellemektedir.
Çözüm
Protokol hemen bir "kod dondurma triage" prosedürünün etkinleştirilmesini gerektiriyor. Öncelikle, savunmasızlık penceresi sırasında gerçekleşen tüm işlemleri kaydetmek için acil değişiklik kaydı uygulanmalıdır. İkinci olarak, bağımlı veri yapılarının dokunulmadan kalması koşuluyla, yalnızca uyum açısından kritik kodu kurtarmak için versiyon yönetimi (SE10) kullanılarak seçici bir ABAP geri yüklemesi gerçekleştirilmelidir. Üçüncü olarak, maruz kalma süresi boyunca hiçbir politika ihlalinin gerçekleşmediğini doğrulamak için SAP GRC (Governance, Risk, and Compliance) itfaiyeci kayıtlarını eş zamanlı olarak doğrulamak gereklidir. Son olarak, bir ikinci analistin, otomatik kontroller tamamen doğrulanana kadar tüm ödeme gruplarını gözden geçirdiği geçici bir manuel kontrol geçici çözüm oluşturulmalıdır.
Kontekst ve problem tanımı
Küresel bir ilaç şirketi, mali yıl sonu kapama işlemini tamamlarken, bir junior basis yöneticisi SAP taşımasını DEVK900042 doğrudan kalite güvencesi yerine üretim ortamına uyguladı. Bu taşıma, bankacılık bilgilerini de güncel tutan ödeme onaycılarına SOX Bölüm 404 kontrollerini zorlayan özel ABAP mantığını yanlışlıkla üzerine yazdı. Aynı zamanda, BW/4HANA sistemi, üç aylık kazanç raporu için veri çıkarıyordu ve bu, uyumsuz bir sistemden mali verilerin anlık görüntüsünün alındığı 12 saatlik bir pencere yaratıyordu. CIO, taşımanın geri alınmasının verilerin çıkarılmasını iptal edeceğini ve kazanç raporlamasını geciktireceği, ancak aktif durumda bırakmanın da şirketin iç kontrolleri doğrulamasını ihlal edeceği bir ikilemle karşılaştı.
Çözüm A: Acil taşıma geri alma
Temel ekip, STMS işlemini derhal uygulayarak DEVK900042 geri taşımasını içe aktarabilir ve önceki ABAP kodu sürümünü 30 dakika içinde geri yükleyebilir.
Artıları: Bu yaklaşım, uyum maruziyet süresini en aza indirir ve standart SAP değişiklik yönetimi prosedürlerini takip eder. Veritabanı tablolarında manuel müdahale gerektirmez ve otomatik geri alma mekanizmaları ile sistem bütünlüğünü korur.
Eksileri: Geri alma işlemi, mevcut BW/4HANA delta başlatma işlemlerini geçersiz kılacak bir veritabanı geri almaya neden olur ve finansal küplerin 6 saatlik yeniden yüklenmesine zorlayabilir, dolayısıyla SEC dosyalama son tarihini kaçırabilir. Ayrıca, 90 dakikalık maruziyet penceresi içinde yeni tedarikçi kayıtları yaratıldıysa, geri alma işlemi, SAP ECC ve AP alt defteri arasındaki referans bütünlüğünü ihlal eden yetim girişlere sebep olabilir.
Çözüm B: Acil düzeltme taşıması ile anlık dağıtım
Geliştiriciler, yeni bir taşıma içinde SOX kontrol mantığını manuel olarak yeniden oluşturabilir ve mevcut değişikliği geri almadan derhal dağıtım yapabilir, bu da hatanın üzerine düzeltmeyi katmanlar.
Artıları: Bu, BW/4HANA çıkarımı için gerekli veri sürekliliğini korur ve veritabanı geri alma sorunlarını önler. Ay sonu kapama işleminin kesintiye uğramadan devam etmesini sağlar ve uyum kontrollerini geri yükler.
Eksileri: 4 saatlik acil baskı altında yeni ABAP kodunun oluşturulması ve test edilmesi, sözdizim hataları veya mantık hatalarının önemli bir riskini oluşturur. Doğru birim testleri olmadan SIT (Sistem Entegrasyon Testi) işlemlerinde, acil düzeltme, ilave görev ayrılığı çatışmaları veya tedarikçi ana veri yığın işlerinde performans düşüşü getirebilir.
Çözüm C: Seçici sürüm geri yükleme ile eş zamanlı izleme
Ekip, yalnızca uyum mantığını içeren belirli dahil programı bir önceki sürümden yeniden yüklemek için ABAP sürüm yönetimini (SE80) kullanabilir ve taşımanın yasadışı hata düzeltmelerinin geri yüklenmesini önleyebilir.
Artıları: Bu cerrahi yaklaşım, BW/4HANA için gerekli veri tutarlılığını korurken anında SOX kontrollerini geri yükler. Ay sonu kapama işleminin devam etmesine izin verir ve orijinal taşımadan yararlı kısımları korur. Geri yükleme, SAT (ABAP Runtime Analizi) kullanılarak doğrulanabilir ve kontrol mantığının çalıştığı onaylanabilir ve tam bir sistem yeniden başlatması gerektirmez.
Eksileri: Bu, standart taşıma yolunun dışındaki üretim kodu nesnelerinin doğrudan manipülasyonunu gerektirir ve denetim kaydı açıkları oluşturur. Prosedür, iyileştirme çerçevesi hakkında derin bilgiye sahip bir kıdemli ABAP geliştiricisini talep eder ve herhangi bir hata, tedarikçi ana veri yapısını bozabilir.
Seçilen çözüm ve gerekçesi
Ekip, Çözüm C'yi seçti çünkü bu özgün olarak taviz vermeyen SOX uyum gereksinimini karşıladı ve BW/4HANA çıkarım zamanlamasını etkilemeden çözüm üretti. Denetim kaydı endişesi geçerli olsa da, ekip bunu, acil değişim talep biletinin hemen yaratılmasıyla azaltarak gerçekleştirdi. Bu bilet, CIO ve CFO'nun şirketin acil değişim politikası gereği iki otorizasyon vermesiyle oluştu. Seçici geri yükleme işlemi yapmak 45 dakika sürdü ve Çözüm A tarafından riske atılan 6 saatlik gecikme süresinden daha kısa bir sürede başarıyla tamamlandı.
Sonuç
SOX kontrolleri, maruziyet penceresi sırasında yalnızca 47 işlem işlendiğinde 23:30'da geri yüklendi. GRC itfaiyeci kayıtları, bu süre zarfında görev ayrılığı ihlalleri meydana gelmediğini ortaya çıkardı. BW/4HANA çıkarımı 02:00'de başarıyla tamamlandı ve şirket, üç aylık kazancını zamanında dosyaladı. Olayın ardından, iş analisti, ay sonu blackout dönemlerinde herhangi bir üretim ithalatı öncesinde hem fonksiyonel liderden hem de uyum yetkilisinden CR (Değişiklik Talebi) onayı gerektiren otomatik bir SolMan (SAP Çözüm Yöneticisi) taşıma kontrol iş akışının oluşturulmasına öncülük etti.
Acaba, standart taşıma belgelerini atlayarak acil kod değişiklikleri gerçekleştirirken gereksinim izleme nasıl sağlanır?
Kriz durumlarında, standart Jira veya SAP Charm iş akışları genellikle çok fazla zaman alır. Adaylar sık sık sonradan belgeler oluşturmayı öneriyor, bu da SOX denetim gereksinimlerini ön onay almakta ihlal eder. Doğru yaklaşım, CAB (Değişiklik Danışma Kurulu) başkanının, tıpkı zaman damgalı bir e-posta veya ServiceNow acil bileti aracılığıyla kaydedilen geçici sözlü onayı verdiği bir "acil değişim köprüsü" kurmaktır. Ayrıca, tüm katılımcılardan, teknik ve iş gerekçesini detaylandıran 24 saat içinde yeminli bir ifade imzalamaları gerekmektedir. Bu, çevrimiçi kayıtları korurken, derhal harekete geçmeyi sağlar. Ek olarak, analistin, tam değişim kaydına eklenmek üzere SE80 sürüm karşılaştırmasının hangi kod satırlarının değiştiğini gösteren ekran kayıtlarını yakalaması gerekir.
Restore edilmiş finansal kontrollerin belirli görev ayrılığı ihlallerini önleyip önlemediğini nasıl doğrulursunuz? Canlı ödemeler işlemeyin.
Çoğu aday, geliştirme ortamında birim testleri çalıştırmayı öneriyor, ancak bu, üretimde mevcut olan veri özel durumlarını göz ardı eder. Sağlam yöntem, SAP GRC Erişim Kontrolü'nün acil erişim yönetimi özelliğini kullanarak bir "hayali" simülasyon oluşturmaktır. Analist, çelişen rollere (hem tedarikçi oluşturucu hem de onaycı) sahip geçici bir itfaiyeci kimliği oluşturur ve ardından sistemdeki test tedarikçisini düzeltmeden çalıştırır. Bu, var olan ABAP kodunun yetkilendirme hatasını doğru şekilde tetikleyip tetiklemediğini doğrular (sy-subrc <> 0) ve test verilerini kalıcı hale getirmeden. ST22 kısa döküm günlüğü, beklenen yetkilendirme kontrol hatasının gerçekleştiğini onaylamak için gözden geçirilmelidir, bu da denetçiler için kontrol etkinliğinin teknik kanıtını sağlar.
Belgesiz mevcut olan ABAP kullanıcı çıkışları ile aşağı akış BW/4HANA çıkarım işleri arasındaki teknik bağımlılıkları nasıl haritalarsınız?
Adaylar genellikle teknik sahiplerden röportaj yapmayı öneriyor, ancak acil senaryolar söz konusu olduğunda bu kişiler mevcut olmayabilir. Sistematik yaklaşım, BW'deki RSA1'i kullanarak şu anda işlenen InfoPackages'ı tanımlamak ve ardından SM37 arka plan iş günlükleri aracılığıyla SAP ECC çıkarım işlerini bulmaktır (tipik olarak RSA3 veya özel LBWE çıkarıcıları). Olay sırasında SM12 kilit girişlerini analiz ederek, tedarikçi ana verisi tablolarının (LFA1, LFB1) çıkarım süreci tarafından kilitlenip kilitlenmediğini belirleyebiliriz; bu durumda geri alma bir DUMP hatasına neden olabilir. Ayrıca, BW çıkarımının ST05 SQL izini incelemek, hangi ABAP iyileştirme noktalarının tetiklendiğini doğrulayarak, gelecekte başvurmak üzere Confluence'da saklanabilecek gerçek zamanlı bir bağımlılık haritası oluşturur.