Autorizaciones y roles en SAP ERP

En general, cuando hablamos de autorización, pensamos en el permiso para hacer algo. Lo mismo ocurre con los sistemas informáticos como SAP. En concreto, este “hacer” algo se refiere a:

• Ver, modificar o crear determinados documentos y datos en el sistema
• Acceso a determinadas transacciones
• Utilizar algunas funciones específicas en general.

Todo esto se gestiona en SAP mediante la función de control de acceso.

La razón de esta estructura es fácil de entender, dada la característica del sistema de trabajar en tiempo real, y proporcionar integración entre módulos. Imaginemos, por ejemplo, que un usuario del departamento de ventas puede acceder a las funciones del almacén, y quiere recoger un artículo para venderlo al cliente, cambiando ingenuamente la cantidad disponible en el inventario sin saber cómo funciona el proceso en SAP… se pueden pensar muchos ejemplos similares.

Con mayor razón, el problema de limitar el acceso al máximo puede aplicarse al caso en que un usuario curioso intente manipular los datos del sistema técnico. Los resultados son potencialmente desastrosos.

En este sentido, hay que tener en cuenta que cada actividad en el sistema se registra, y siempre será posible localizar al usuario que realizó una determinada acción en el sistema. También se registra el día y la hora en que se realizó cada cambio.
En cualquier caso, el objetivo de esta estructura no es, desde luego, encontrar un culpable de los errores, sino proteger a todos, tanto a los usuarios como a la organización, para que no se equivoquen y puedan volver rápidamente al punto en el que se cometió un error.

Para ello, el control de autorizaciones en SAP consta de tres elementos básicos:

IDENTIDAD DEL USUARIO

Cada empleado de la empresa que utiliza SAP para su trabajo recibe un nombre o código de usuario y una contraseña personal que sólo él conoce. El código de usuario puede estar formado simplemente por el nombre, por ejemplo yo podría ser GMASULLI, o por una estructura más compleja para evitar duplicidades. La contraseña, en cambio, suele durar 3 meses, tras los cuales se le pedirá que la cambie, para mantener un buen nivel de seguridad.

AUTORIZACIONES

Las autorizaciones en SAP controlan los siguientes elementos:

• Unidades organizativas. Si estoy empleado en España, a menos que forme parte de un equipo internacional, lo más probable es que sólo tenga acceso a los datos relacionados con mi país. Lo mismo ocurre si trabajo, por ejemplo, en la business unit retail (unidad de negocio minorista). Es posible que no tenga acceso a materiales que sólo puedan utilizarse para la venta al por mayor. Y así sucesivamente.
• Transacciones y programas. Algunas funciones que no son específicas de mi trabajo están simplemente bloqueadas, y no se me permite abrir la transacción correspondiente. Por supuesto, esto se aplica aún más a las transacciones de programación.
• Tablas y bases de datos. Todos los datos de SAP se gestionan en una (enorme) base de datos, y se estructuran en numerosas tablas de datos, que proporcionan la información necesaria para cada tarea. Estas tablas tienen autorizaciones bastante limitadas (es decir, son directamente accesibles para muy pocas personas).

La asignación de autorizaciones a los usuarios es un trabajo que debe tener en cuenta componentes técnicos y empresariales, ya que debe cumplir con normas legales precisas. Es posible que haya oído hablar de la segregación de funciones (Segregation of Duties): esto significa que ciertas funciones empresariales no pueden ser realizadas por la misma persona. Por ejemplo, la persona encargada de autorizar los pagos a los proveedores no puede ser la misma que lleva los registros de los mismos, para reducir el riesgo de pagos irregulares a proveedores ficticios.

Proporcionar las autorizaciones adecuadas a cada usuario para que pueda trabajar es una actividad crítica y compleja. Para agilizar este procedimiento, que de otro modo llevaría mucho tiempo, las autorizaciones en SAP se conceden a los usuarios finales sobre la base de “roles” corporativos estándar.

ROLES

En una empresa, cada uno tiene su propio papel, que le lleva a realizar una serie de actividades operativas. También en SAP, para evitar la gestión de autorizaciones individuales, se crean “paquetes” de autorizaciones según la función (transacciones, informes y otras funciones). El rol, es decir, la lista de transacciones que un usuario está autorizado a utilizar, también se combina con un objeto, normalmente la unidad organizativa (por ejemplo, país, equipo, etc.). Por lo tanto, al final del proceso un usuario será asignado a un elemento de la estructura organizativa, y tendrá diferentes roles dependiendo de las funciones operativas realizadas.

Si quieres comprobar qué tipo de permisos tienes en el sistema, la transacción SU01 puede ayudarte:

1. Introduce el código de transacción SU01 en el campo de transacción.
2. Ahora ingresa tu nombre de usuario (el que usas para conectarte a SAP)
3. Haz clic en el icono de visualización

Aquí verás el menú completo de tus autorizaciones, y ¿adivina qué? Sólo puede verlos pero no editarlos. ¿Por qué? Por las razones explicadas en la separación de funciones unas líneas más arriba 😉