A cosa serve e perché potrebbe essere importante controllarla in fase di audit?
A cosa serve la tabella TVARV
Questa tabella è stata definita da SAP per ospitare delle variabili da utilizzare poi nelle varianti di esecuzione di report.
In passato esisteva solamente questa tabella, la TVARV appunto, valida cross client. Dalla release SAP_BASIS 6.10 esiste una ulteriore tabella TVARVC ovvero una tabella dipendente dal mandante.
Analogamente sono state definite delle transazioni ad hoc per mantenere il contenuto di questa tabella: STVARV and STVARVC. Vedi anche OSS note 1994216 - How to maintain variant variables in table TVARVC
Ma per quel motivo potrebbe essere critica?
Di per sé non è una funzionalità critica. Chiaramente è una tabella delicata da mantenere. Potrei, cambiando dei valori influenzare i risultati di report o programmi.
Quando quindi può creare dei punti di attenzione da tenere presente?
Potrebbe diventare più critica se, tramite la definizione di variabili custom, vado a definire delle logiche di comportamento all'interno dei programmi.
In altre parole se una certa variabile presente in tabella influenza il comportamento di un programmi custom, potrei modificare una variabile per ottenere dei risultati diversi.
Mentre nello standard potrebbero esserci criticità?
La nota "OSS 1903484 - RFFOAVIS_FPAYM: Spool authorization for payment advice note print output" descrive un modo per far sì che il programma di stampa degli avvisi di pagamento introduca una etichetta (classificazione), su ogni stampa per far si che queste stampe siano visibili solo da determinate persone autorizzate. Proprio nel caso in cui venga utilizzata una variante di selezione.
In questo caso la modifica di questo valore nella tabella potrebbe comportare la stampa di questi dati in maniera non classificata permettendo di vedere il contenuto anche a persone non autorizzate.
Cosa fare quindi?
Durante le attività di audit controlla:
- Chi mantiene e chi ha accesso alla tabella
- Se le variabili sono tutte standard oppure se ci sono delle variabili custom che influenzano il comportamento dei programmi. Es. se hai quella variabile impostata puoi fare una azione o meno.