Olá Daulet,
Em primeiro lugar, _SYS_REPO é o proprietário de todos os objetos no repositório e ninguém pode fazer login diretamente em _SYS_REPO. Portanto, questiono por que seu auditor está preocupado com o privilégio do esquema SAP de _SYS_REPO. Ele precisa de privilégios no esquema SAP se quiser construir e ativar modelos que leiam do esquema SAP.
A maioria desses privilégios de esquema SAP para _SYS_REPO são concedidos automaticamente pelo Software Provisioning Manager, quando o SAP é instalado no banco de dados HANA.
Consulte mais em 2101316 - SAP HANA: Privilégios do usuário de banco de dados ABAP
Fiquei sabendo que no HEC, _SYS_REPO tem apenas privilégio de SELECT em SAPABAP1 (não verifiquei no HEC para confirmar), mas no caso de on-premise, o Software Provisioning Manager vai um pouco além e concede privilégios adicionais também para evitar possíveis problemas frequentes de privilégios de modelagem.
lars.breddemann explicou bem os detalhes aqui https://answers.sap.com/questions/190291/too-many-privileges-for-sysrepo.htmlVocê pode remover o debug de _SYS_REPO (não deve ser um problema), no entanto, acredito que você deve ser capaz de explicar ao auditor que _SYS_REPO não é um usuário para fazer login. Portanto, não deveria se preocupar com seus privilégios.
