Ein weiteres Prüffeld stellen die SAP-Berechtigungen dar. Im organisatorischen Konzept muss unter anderem festgelegt sein, wie ein neuer Benutzer im System anzulegen ist, wer dies genehmigt und wie Berechtigungen an Benutzer vergeben werden. Für diesen Prozess müssen schriftliche Antrags- und Freigabeverfahren existieren. Hat das Unternehmen ein Dateneigentümerkonzept entwickelt, sind das Antrags- und Freigabeverfahren sowie die technische Umsetzung zu kontrollieren.
Weiter muss geprüft werden, wie die Vergabe der Berechtigungen im System umgesetzt ist. Hier gilt es, gesetzliche Vorgaben sowie Funktionstrennungen einzuhalten. Ein Beispiel für getrennte Funktionen betrifft Bestellungen. Nicht ein und derselbe Benutzer darf eine Bestellung pflegen und den Wareneingang buchen. Somit liegt ein Verstoß vor, falls ein SAP-Nutzer über beiden Berechtigungen verfügen sollte.
Berücksichtigen sollten Firmen darüber hinaus die Anwendungsentwicklung. Applikationen entstehen auf Entwicklungssystemen, und erst nach erfolgten Tests und Freigaben gelangen Neuentwicklungen auf das Produktivsystem. Es soll also nach Möglichkeit niemand, außer dem Notfallbenutzer, über Entwicklerberechtigungen auf dem Produktivsystem verfügen. Wer über Entwicklerrechte verfügt, kann gegen geltende Gesetze verstoßen: Der mit solche Befugnissen ausgestattete Anwender könnte beispielsweise Belege fälschen oder löschen ("elektronische Radieren").
In diesem Zusammenhang sollten Firmen analysieren, ob sie überhaupt über ein Notfallbenutzerkonzept verfügen. Darin sollte klar definiert sein, was ein Notfall ist, wie im Falle eines solchen vorgegangen wird und wer den Notfall-User verwaltet. Eine Methode, Risiken zu begrenzen, bietet das Vier-Augen-Prinzip.
