Добрый день.

коллеги, сложилась такая ситуация.

Наша компания состоит из 50 Балансовых единиц. Т.е. на каждой балансовой единицы есть свои начальники и администраторы. Полномочия ведения прав пользователей вести чисто сектором Базис нет возможности, т.к сотрудников около 4000, права разделил, и раздал администраторам.

Вопрос в том, как отследить то, на каком основании Администраторы выдают роли пользователям, т.к. аудит за это может спросить. Или это только при помощи Z?

Есть инструмент SAP GRC Access Control, возможно это то, что вам нужно.

http://www.deloitte.com/assets/Dcom-Russia/Local%20Assets/Documents/ERS/dttl_Presentation_3_02042012.pdf
http://sap-events.ru/upload/40/162/aef/aefc351ac98c194c00e0f3092a3de650.pptx

Можно создать 3-4 роли на каждое БЕ, и дать администратору в БЕ полномочия давать и убирать только эти роли.

у нас для каждой БЕ по 130 ролей....

Если я правильно понял вводную - вы пытаетесь найти решение административной проблемы программными средствами. Это невозможно.
Напишите регламентирующую документацию по предоставлению полномочий.
Любое изменение полномочий делается только по требованию лица, которому предоставлены соответствующие полномочия. Административно. На уровне письменного документа с подписями соответствующих лиц. Каждый человек, который имеет физическую возможность изменить полномочия, должен изменять эти самые полномочия только по указанию соответствующего лица. Указание д.б. или в письменной форме или в электронной. И вся ответственность ложится на это лицо. Для последующих разговоров с аудиторами.

Поддерживаю предыдущего оратор, можно усилить контроль административно еще следующим образом, для присвоения ролей требовать согласования лин. руководителя + владельца роли (владельца информации) + согласование Basis (security) = равно конечное присвоение 4000 сотрудников не так много, тем более не каждый же день запрашивают роли.
Да еще можно роли разбить по блокам т.е. создать мануал типа логистам - вот эти роли, кадрам - эти и т.д. кесареву касарево.
У нас на предприятии система налажена и отработана, если есть вопросы спрашивайте.

Diokar, а как у вас проходит согласование? Вы используете какой-то электронный документорот?
Интересен ваш опыт в этой части.
У топикстартера, как я понимаю, много организаций, разнесенных территориально.