¿Qué autorizaciones SAP debería concederle a este usuario?

Authorizations To Grant

Muchas pequeñas y medianas empresas tienen este problema. Digamos que un representante de ventas se encuentra en otro país. ¿Qué autorizaciones debería obtener? ¿Debería tener acceso a SAP? Si es así, ¿debería tener permiso para solo leer los informes de SAP (view only) o debería ser capaz también de emitir informes? La respuesta no es fácil, desde luego; podría implicar la solución o la reparación de las violaciones de la segregación de funciones durante el proceso de evaluación.

¿De quién se trata?

Muchas organizaciones trasladan a un responsable de desarrollo empresarial o a un vendedor de alto nivel a otro país para que sea su representante local. Otras lo contratarán directamente en el país remoto como agente local. Independientemente de cómo se haga, la primera decisión respecto a las autorizaciones es determinar qué funciones comerciales debe desempeñar y, por tanto, qué permisos necesita. En la mayoría de los casos, la respuesta será una de las siguientes funciones comerciales:

  1. Acceso al correo electrónico corporativo y al calendario de la organización.
  2. Acceso a SAP y a otras aplicaciones empresariales básicas para actividades de autoservicio (como pedir vacaciones o reportar sus horas y tareas) y para ver informes.
  3. Acceso a SAP para la emisión de propuestas comerciales (mientras que de la aprobación de la propuesta se encargan otros responsables).
  1. Acceso a SAP para emitir propuestas comerciales, aprobarlas, emitir facturas de clientes y gestionar pagos.

De acuerdo con la respuesta a las preguntas anteriores, esta persona obtendrá los permisos adecuados para utilizar la red y el sistema SAP.

Mientras que las opciones 1, 2 e incluso 3 son bastante sencillas desde el punto de vista de las autorizaciones SAP, la cuarta, la más interesante, resulta todo un desafío en cuanto a las autorizaciones SAP. En este caso, el representante es esencialmente una oficina de servicio completo en el extranjero, con una atención a los clientes integral. Esta es la situación más arriesgada desde el punto de vista del fraude: si una sola persona puede hacer todo en lo tocante a la atención al cliente, es probable que viole alguna norma de la SOD. Por tanto, la organización deberá supervisar su actividad. Además, podrá cometer un fraude mucho más fácilmente que cualquier otro empleado de la organización que no tenga esa amplitud de funciones comerciales.

Controlar el remoto «hombre orquesta»

Si se encuentra con una situación del tipo «hombre orquesta» remoto, debería hacer lo siguiente:

  1. Identificar qué funciones comerciales se requieren exactamente y definir las autorizaciones correctas para esta persona
  2. Comprobar si hay alguna violación de las reglas de la SOD y, si es así, consultar con los responsables de SOX o con sus auditores cómo tratarlas.
    • En la mayoría de los casos, si hay violaciones de la SOD, se le pedirá que mitigue los riesgos definiendo informes para cada riesgo.
    • En esta situación también se recomienda hacer un seguimiento de la actividad de esta persona, porque quizá, en algún momento del futuro, un auditor podría venir y preguntar: «¿Cómo se hace el seguimiento de la actividad de esta persona?». Necesita estar preparado.
  1. De vez en cuando, inspeccione las autorizaciones de esta persona y verifique que siguen siendo válidas.

¿Qué permisos debería tener esta persona?

Desde el punto de vista de la seguridad, conceder una gran cantidad de autorizaciones para un vendedor a distancia que se ocupa de todas las funciones comerciales en un territorio puede ser muy estresante. Aunque es una situación muy común, cada persona es un individuo con mente propia, y no hay dos casos iguales. Tal vez sea mejor implementar un control compensatorio para proteger a su empresa de cualquier posible fraude.

Si se encuentra esta situación en su empresa, por favor comparta en los comentarios de esta entrada cómo la maneja y qué políticas implementa.

Compártalo en sus redes:

Share on facebook
Share on google
Share on twitter
Share on linkedin