Em vez de uma tabela Z, que pode ser modificada facilmente com a manha do debug na SE16, acho que ficaria mais legal ainda um authority check sobre um authorization object Z. Daí fica mais facil fazer o segregation of duties (usuario chave pode até ter debug em producao, mas dificilmente vai ter perfil pra modificar perfil de autorização na PFCG).
Obvio que o ideal mesmo era ter esse authorization object standard, mas enquanto isso... :-)