Du kannst auch per Transaktion ST01 einen Berechtigungstrace durchführen:
--> Transaktion aufrufen, Haken bei "Berechtigungsprüfung" und dann Button [Trace an].
--> Jetzt in der SE80 u.ä. alles machen, was mittels Berechtigung gesteuert werden soll
--> In ST01 Button [Trace aus] und dann die [Auswertung] ansehen
Im Trace sind dann alle Berechtigungsprüfungen mit Angabe vom Berechtigungsobjekt und Berechtigungswerten (und Ergebnis der Prüfung) ersichtlich.
Bei einem Kurztest in der SE80 waren das nur Prüfungen über S_DEVELOP wie von Enno vermutet und einige S_DATASET (Dateiprüfungen), welche aber zu vernachlässigen sind.
Man kann auch aus so einem Trace direkt eine Berechtigungsrolle erstellen (s. z.B.
http://rz10.de/2013/09/rollen-aus-einem ... erstellen/), allerdings möchtest Du ja eigentlich eher eine negative Berechtigungsausrichtung aufgrund des Ergebnisses, d.h. relevante Berechtigungen sperren, und das geht nicht automatisiert (soweit ich weiß).
Ansonsten: Betreffenden User kopieren, bei der Userkopie die Berechtigung zu S_DEVELOP entziehen und dann testen, ob der Login noch irgendetwas darf, was nicht sein soll.
Gruße, Ingo