¿Cómo elegir la mejor función única de autorización para concedérsela a un usuario que ha solicitado una autorización adicional?
Para la mayoría de las organizaciones, este es un proceso complejo, ya que existen miles de funciones. Incluso si solo hay unas 15 funciones que realmente coinciden con la solicitud del usuario, es necesario repasarlas una a una para comprobar posibles problemas como, por ejemplo, una violación de la segregación de funciones, riesgos relacionados con actividades sensibles, normas generales de la empresa o incluso posibles repercusiones en la concesión de licencias. Esta tarea puede llevar un par de horas en organizaciones más pequeñas y hasta dos días en organizaciones más grandes. ¡Y suele ser responsabilidad de una sola persona!
Entonces, ¿cuál es la causa principal de estos problemas?
Bueno, todo viene del hecho de que no concedemos autorizaciones únicas para cada tarea, sino que las combinamos en grupos, les ponemos una descripción, añadimos entradas de menú y luego llamamos a los grupos «funciones de autorización». Hecho esto, estas «funciones de autorización» se conceden a los usuarios finales. Pero aquí está el truco: cuando se otorga una función de autorización también se conceden todas las autorizaciones dentro de su grupo. A veces hay cientos o miles de autorizaciones distintas en una sola función de autorización.
Bien. Pongamos que un usuario solicita permiso para una «ejecución de pago» (código T F110). Si lo comprueba, encontrará que la autorización requerida existe en muchas funciones diferentes —funciones asignadas a empleados de contabilidad, responsables de contabilidad, así como funciones individuales como «finanzas sensibles», «códigos T muy sensibles» y «ejecución de pagos». La elección de la mejor función que otorgar al usuario es una tarea muy complicada. Deben tenerse en cuenta todos los factores anteriores.
Xpandion creo RoleAdvisor con el fin de ayudar a las organizaciones a encontrar la mejor función que conceder a los usuarios en tan solo unos pocos clics.
RoleAdvisor de filtra y puntúa todas las funciones pertinentes según distintos aspectos, como las directrices estándar (por ejemplo, la segregación de funciones y otros), los riesgos de los objetos sensibles, las autorizaciones que tiene ya el empleado y, por último, el uso tanto del solicitante como de sus compañeros. También puede ser personalizado por la organización mediante conjuntos de normas; por ejemplo, «conceder funciones que ya utilizan otros antes de conceder otras nuevas» o «preferir las funciones pequeñas a las grandes».
Le presentamos RoleAdvisor en acción
Paso 1: Solicitud del usuario
El proceso comienza cuando un usuario solicita permisos de acceso adicionales para una actividad mediante un código T de SAP; por ejemplo, SE16, o enviando un mensaje: «Me gustaría tener permiso para liberar órdenes de compra similar al que tiene Jaime». El empleado lo solicita siguiendo el proceso de solicitud de autorización o con un correo electrónico para el equipo de asistencia técnica. A continuación, la solicitud se introduce en la pantalla del RoleAdvisor. Puede limitar las posibilidades de ciertos valores como las sociedades existentes o los centros de trabajo en el desplegable «Nivel de organización».
También puede limitar las posibles funciones a las que incluyan determinadas actividades (códigos T) o a las de un determinado grupo de funciones de autorización (como las funciones financieras locales) en el menú de búsqueda «Función»; o limitarlo a funciones con/sin valores organizativos específicos, tales como sociedades, centros de trabajo, etc. Incluso puede utilizar otro usuario como referencia utilizando el menú de búsqueda «Usuario de referencia».
Paso 2: El Asesor de Roles califica las funciones de autorización relevantes según los riesgos
Como se puede ver arriba, hay cuatro funciones de autorización que se ajustan a la solicitud del usuario.
¿Ve los triángulos amarillos a la izquierda?
Estos triángulos indican que tres de las funciones son sensibles. Añadir cualquiera de ellos creará un conflicto de segregación de funciones (columna «Violaciones SOD»). Es fácil ver que solo hay una función que no es sensible y que por tanto no implica una violación de la SoD. Sin embargo, también se puede ver que, si se agrega esta función, el usuario recibirá 78 actividades adicionales, así como 11 actividades de alto riesgo (puede ver la lista de actividades haciendo clic en el número). De esta forma, podrá comprender rápidamente las implicaciones de la concesión de cada función de autorización y elegir la mejor en pocos segundos.
Paso 3: Conceder la mejor función de autorización directamente a través de RoleAdvisor
El último paso es conceder finalmente la función al usuario. Puede hacerlo directamente desde la herramienta para que todo sea automático, más seguro y bien documentado con vistas a la próxima auditoría.
Haga clic en «Cambiar a modo de modificación», seleccione la función que desea asignar y luego presione «Aplicar». Esto abrirá un nuevo flujo de trabajo para conceder la función al usuario, ya sea en el sistema de producción o en el control de calidad para realizar más pruebas (después se trasladará al sistema de producción)
Notificar al usuario
El sistema envía automáticamente un mensaje de correo electrónico al usuario para notificarle que se le ha concedido la autorización adicional y que puede empezar a utilizar la nueva función. Esto es importante; a veces, los usuarios olvidan que han solicitado la función, lo que hace que la tarea no se ejecute. Alertar al usuario de la aprobación mediante el envío de un mensaje de correo electrónico consigue que la mayoría de los usuarios se sientan satisfechos y aumenta los niveles de productividad.
