Autorizaciones y roles en SAP ERP

Cuando hablamos de autorización, pensamos en permiso para hacer algo. Lo mismo sucede con los sistemas de TI, veamos cómo son estos “permisos para hacer” o autorizaciones y roles en SAP ERP. 

¿Qué es posible realizar con las autorizaciones y roles en SAP ERP? 

En SAP ERP puedes realizar lo siguiente: 

1. Ver, modificar o crear algunos documentos y datos del sistema.
2. Acceder a algunas transacciones.
3. Usar algunas funciones específicas en general.
4. Todo esto es manejado en SAP por la función de control de acceso.

 

Esta estructura es fácil de entender, dada la característica del sistema de trabajar en tiempo real, y de brindar integración entre módulos. Por ejemplo, imaginemos que un usuario del departamento de ventas puede acceder a las funciones del almacén, y quiere cobrar un artículo para vender al cliente, modificando ingenuamente la cantidad disponible en inventario sin saber cómo funciona el proceso en SAP.  

Por esta razón, se deben limitar al máximo los accesos, en caso de que un usuario curioso intente manipular datos técnicos del sistema. Los resultados son potencialmente desastrosos.

En este sentido, cabe señalar que toda actividad en el sistema queda registrada, y siempre será posible rastrear al usuario que realizó una determinada acción en el sistema. Se registra incluyendo el día y la hora en que se realizó cada cambio.

En cualquier caso, el objetivo de esta estructura ciertamente no es encontrar un culpable de errores, sino más bien proteger a cualquier persona, usuarios y organización, de la posibilidad de cometer errores y volver rápidamente al punto donde se cometió un error.

Para ello, el control de autorizaciones en SAP consta de tres elementos fundamentales:

ID DE USUARIO

Cada empleado de la empresa que utiliza SAP para su trabajo recibe un nombre de usuario o código de usuario y una contraseña personal, que solo él conoce. El código de usuario puede estar formado simplemente por el nombre, por ejemplo podría ser GMASULLI, o por una estructura más compleja para evitar duplicidades. En cambio, la contraseña suele durar 3 meses, después de los cuales se le pedirá que la cambie para mantener un buen nivel de seguridad.

 

AUTORIZACIONES

Las autorizaciones en SAP controlan lo siguiente:

• Unidades Organizativas: cuando una empresa me contrata, a menos que forme parte de un equipo internacional, lo más probable es que solo tenga acceso a los datos relacionados con mi país. Lo mismo si trabajo, por ejemplo, en la unidad de negocio minorista. Es posible que no tenga acceso a materiales que solo se pueden usar para venta al por mayor. Y así.
• Transacciones y Programas: algunas funciones que no son específicas de mi trabajo simplemente se bloquean y no se me permitirá abrir la transacción correspondiente. Por supuesto, esto es aún más cierto para las transacciones de programación.
• Tablas y bases de datos: todos los datos de SAP se gestionan en una (enorme) base de datos y se estructuran en numerosas tablas de datos, que proporcionan la información necesaria para cada actividad. Estas mesas tienen autorizaciones bastante limitadas (es decir, son directamente accesibles para muy pocas personas).

La asignación de permisos a los usuarios es el resultado de un trabajo que debe considerar componentes técnicos y comerciales, ya que debe cumplir con reglas legales precisas. Es posible que haya oído hablar de la separación de funciones, lo que significa que algunas funciones comerciales no pueden ser realizadas por la misma persona. Por ejemplo, el responsable de autorizar pagos a proveedores no puede ser el mismo que lleva el registro de los mismos, para reducir el riesgo de pagos irregulares a proveedores ficticios.

Proporcionar los permisos adecuados a cada usuario para permitirles trabajar es una actividad crítica y compleja. Para agilizar este procedimiento, que de otro modo podría requerir una gran inversión en términos de tiempo, las autorizaciones en SAP se otorgan a los usuarios finales sobre la base de “roles” estándar de la empresa.

ROLES

En una empresa todos tienen su rol, lo que los lleva a realizar una serie de actividades operativas. También en SAP, para evitar la gestión de autorizaciones individuales, se crean “paquetes” de autorizaciones según la función (transacciones, informes y otras funciones). El Rol, que es la lista de transacciones que un usuario está autorizado a utilizar, también se combina con un objeto, normalmente la unidad organizativa (por ejemplo, el País, el Equipo, etc.). Por lo tanto, al final del proceso, un usuario será asignado a un elemento de la estructura organizativa y tendrá diferentes roles según las funciones operativas que realice. Si desea verificar qué tipo de permisos tiene en el sistema, puedes usar la transacción SU01 de esta forma:

1. Ingrese el código de transacción SU01 en el campo de transacción correspondiente.
2. Ingrese su nombre de usuario ahora (el que usa para iniciar sesión en SAP).
3. Haga clic en el icono de visualización.
4. Aquí verá el menú completo de sus permisos, ¿y adivine qué? Solo puede verlos pero no editarlos. ¿Por qué? ¡Por las razones explicadas en la separación de funciones, unas líneas más arriba!