Hallo,
wer was darf ist zuerst doch einmal ein fachliches Problem. Es wird in Deinem Unternehmen ja sowas wie interne Richtlinien gegeben (4-Augen Prinzip, grenzen etc., unabhängig von irgendwelchen EDV-Lösungen).
Diese Fachlichkeit muss sich im SAP wiederfinden. Die aus dem Berechtigungskonzept gebauten Rollen (+ deren Profile) sollten eigentlich keine kritischen Berechtigungen aufweisen (oder es wurde explizit erlaubt).
Und falls die Rollen ordnungsgemäß gewartet werden, sollte das auch so bleiben.
Den Bedarf zur Überprüfung (ob mit SAP Bordmittel oder SoD addon von Drittanbietern) sehe ich in zwei Fällen:
1.) Die Rollen selber werden oft erweitert (ich brauch noch dies und jenes, es erfolgt keine kritische Prüfung).
2.) Die Rechte aus Rollen addieren sich ja bekanntlich. Wenn ich viele Rollen habe, kann ich eventuell etwas, was ich mit den einzelnen Rollen allein nicht kann.
Also: Ersteinmal gucken, ob mein Berechtigungskonzept das wirkliche Leben (interne Anweisungen, Gesetze, Compliance) wiederspiegelt.
Dann: Mache ich aus den oben genannten Punkten Stichproben / Überprüfungen: Wann und womit?
Abgesehen davon gehen einige Sachen technischer Art grundsätzlich nicht (änderndes Debugging in der Produktion z. B., aber sehr wohl in der Entwicklung).
Gruß