Los resultados son cruciales a la hora de redise\u00f1ar un concepto de autorizaci\u00f3n. Se clasifican en distintos niveles de riesgo. A su vez, tambi\u00e9n es relevante la rapidez con que pueden eliminarse los riesgos.<\/p>\n
Un ejemplo de defecto son los par\u00e1metros del sistema que no tienen la configuraci\u00f3n correcta. El informe RSPARAM muestra los par\u00e1metros del sistema. Aqu\u00ed se pueden mostrar ajustes como el registro general del sistema, que generalmente debe estar activado, ya que de lo contrario se violar\u00e1n las leyes (alto riesgo, pero se puede rectificar r\u00e1pidamente).<\/p>\n
Tambi\u00e9n se pueden comprobar all\u00ed los ajustes relativos a la longitud y complejidad de las contrase\u00f1as o al control de los usuarios est\u00e1ndar de SAP y corregirlos en caso necesario.<\/p>\n
Otro ejemplo son las autorizaciones asignadas. Aqu\u00ed tambi\u00e9n podemos encontrar autorizaciones cr\u00edticas asociadas a un riesgo elevado. Por ejemplo, el objeto de autorizaci\u00f3n S_SCD0 con la actividad 06.<\/p>\n
Este objeto de autorizaci\u00f3n puede utilizarse para borrar documentos de modificaci\u00f3n (prohibici\u00f3n de borrado). Esto infringir\u00eda el HGB en un sistema relevante desde el punto de vista financiero.<\/p>\n
La evaluaci\u00f3n del riesgo de las autorizaciones asignadas depende de muchos factores. Un factor son, por supuesto, las autorizaciones jur\u00eddicamente cr\u00edticas, como se muestra en el ejemplo anterior.<\/p>\n
Estas cuestiones de autorizaci\u00f3n son relativamente f\u00e1ciles de asignar a un nivel de riesgo. Sin embargo, tambi\u00e9n hay riesgos que dependen de la empresa. En este caso, debe analizarse de antemano exactamente d\u00f3nde existen datos de la empresa relevantes para el riesgo.<\/p>\n
Por ejemplo, un banco que realiza sus operaciones bancarias fuera de SAP y s\u00f3lo encamina sus flujos de caja internos a trav\u00e9s de SAP no considera que el sistema financiero interno sea tan cr\u00edtico. Otro ejemplo ser\u00eda una empresa qu\u00edmica que almacena sus recetas en SAP.<\/p>\n
Esta empresa lo considerar\u00eda muy cr\u00edtico y, por tanto, lo clasificar\u00eda como riesgo muy alto. Por tanto, los riesgos deben definirse en funci\u00f3n de cada empresa.<\/p>\n
El esfuerzo necesario para rectificar los problemas de autorizaci\u00f3n detectados puede ser muy elevado en determinadas circunstancias. Esto suele estar relacionado con la estructura de la autorizaci\u00f3n.<\/p>\n
Resulta dif\u00edcil, por ejemplo, si los roles de autorizaci\u00f3n se han establecido de forma demasiado gruesa o demasiado granular. Tambi\u00e9n se producen incoherencias si no se respeta sistem\u00e1ticamente un concepto de autorizaci\u00f3n definido.<\/p>\n
Es necesario que los expertos realicen un an\u00e1lisis preliminar detallado para determinar si pueden corregirse las deficiencias e incoherencias del actual sistema de autorizaci\u00f3n o si ser\u00eda mejor crearlo desde cero.<\/p>\n
La pregunta entonces es: \u00bfson mayores el tiempo y los costes de una correcci\u00f3n que de un redise\u00f1o del sistema?<\/p>\n
Un redise\u00f1o requiere un alto nivel de compromiso por parte de los empleados. En particular, los administradores de autorizaciones y el departamento especializado est\u00e1n muy implicados. Esto supone una gran carga de trabajo adicional para los empleados, adem\u00e1s de su trabajo cotidiano.<\/p>\n
A menudo tambi\u00e9n se recurre a empresas externas, lo que supone costes adicionales para un proyecto de este tipo. Si es necesario redise\u00f1ar el concepto de autorizaci\u00f3n, los costes deben reducirse al m\u00ednimo.<\/p>\n
Para ello, examinamos c\u00f3mo puede llevarse a cabo el redise\u00f1o, qu\u00e9 riesgos entra\u00f1a y qu\u00e9 herramientas de SAP on-board pueden utilizarse. Los programas inform\u00e1ticos especializados pueden complementar las herramientas integradas de SAP en muchos puntos o automatizar por completo algunos pasos del proceso.<\/p>\n
Esto puede reducir a\u00fan m\u00e1s el esfuerzo necesario. Deber\u00eda estudiarse la posibilidad de utilizar este tipo de software.<\/p>\n
Primer paso:<\/strong><\/p>\n Como parte de un redise\u00f1o de la autorizaci\u00f3n, primero debe examinar detenidamente la documentaci\u00f3n existente para cualquier concepto de autorizaci\u00f3n existente y completarla si es necesario.<\/p>\n Esta documentaci\u00f3n tambi\u00e9n debe definir las convenciones de nomenclatura, la administraci\u00f3n de usuarios (por ejemplo, bajas por maternidad) y la creaci\u00f3n de funciones mediante el generador de perfiles, por ejemplo.<\/p>\n El mayor reto a la hora de crear un concepto de autorizaci\u00f3n es sopesar las opciones: Por un lado, deben incluirse todos los puntos importantes. Por otro lado, los puntos que cambian con frecuencia no deben escribirse con demasiado detalle.<\/p>\n Segundo paso:<\/strong><\/p>\n El siguiente paso es realizar una comprobaci\u00f3n de autorizaci\u00f3n en los sistemas. Lamentablemente, esto s\u00f3lo es posible de forma muy limitada con las herramientas integradas de SAP. Esto se debe a restricciones t\u00e9cnicas y a informes est\u00e1ndar propensos a errores.<\/p>\n A continuaci\u00f3n viene la fase de implementaci\u00f3n, en la que tres preguntas son decisivas: \u00bfQU\u00c9 tiene que hacer un usuario en el sistema SAP, C\u00d3MO tiene que hacerlo y D\u00d3NDE tiene que hacerlo?<\/p>\n El \"qu\u00e9\" suele asignarse a trav\u00e9s de la transacci\u00f3n. El \"c\u00f3mo\" se regula mediante los valores de campo correspondientes (por ejemplo, actividades de \"Lectura\" o \"Modificaci\u00f3n\").<\/p>\n El \"d\u00f3nde\" se controla a trav\u00e9s de las denominadas unidades organizativas. Es decir, la sociedad en la que deben efectuarse las contabilizaciones. La pregunta de qu\u00e9 puede hacer un usuario, es decir, qu\u00e9 operaci\u00f3n necesita, puede responderse con un an\u00e1lisis del puesto de trabajo.<\/p>\n Esto significa que usted se sienta con cada empleado de la empresa y repasa las transacciones individuales que el usuario necesita y toma nota de ellas.<\/p>\n Se trata de un proceso que lleva mucho tiempo. Para acelerarlo, puede utilizar la informaci\u00f3n disponible en el sistema. Para ello existen tres m\u00e9todos principales:<\/p>\n 1. a trav\u00e9s de la transacci\u00f3n ST03N. En este punto, el sistema registra qu\u00e9 transacci\u00f3n ha sido llamada por qu\u00e9 usuario. En la mayor\u00eda de los casos, la informaci\u00f3n est\u00e1 disponible desde los \u00faltimos tres meses en el sistema SAP.<\/p>\n Consejo: El plazo puede ampliarse a unos 14 meses. De este modo, las operaciones tambi\u00e9n se tienen en cuenta para los estados financieros anuales.<\/p>\n 2. los favoritos creados por el usuario tambi\u00e9n pueden utilizarse para an\u00e1lisis posteriores. Las transacciones Z* o Y* poco utilizadas que no se muestran en el an\u00e1lisis ST03 suelen almacenarse aqu\u00ed. Los favoritos pueden leerse de forma centralizada a trav\u00e9s de una tabla. Tabla: SMEN_BUFFC<\/p>\n 3. transacciones que un usuario ten\u00eda en sus antiguos roles (tabla AGR_1251 y tabla AGR_USERS). Esta informaci\u00f3n tambi\u00e9n puede utilizarse. Sin embargo, hay que tener en cuenta que los roles antiguos suelen contener demasiadas transacciones.<\/p>\n Una vez determinada y analizada esta informaci\u00f3n sobre todos los usuarios a partir del sistema, hay que filtrarla y evaluarla. El riesgo es que la informaci\u00f3n se olvide o se malinterprete.<\/p>\n El uso de un producto de software adicional puede ser muy \u00fatil en este punto. Una vez hecho esto para todos los usuarios y departamentos, puede empezar a estructurar las funciones de autorizaci\u00f3n correspondientes en funci\u00f3n de las subtareas de los departamentos y a\u00f1adir las transacciones asociadas.<\/p>\n Hay que asegurarse de que las funciones se asignan posteriormente a personas responsables (propietarios de los datos). Por ello, las funciones de autorizaci\u00f3n deben ser lo m\u00e1s independientes posible de los m\u00f3dulos.<\/p>\n Uno de los mayores retos es determinar qu\u00e9 tareas deben realizar los distintos departamentos fuera de su \u00e1mbito de responsabilidad.<\/p>\n El \u00e1rea de responsabilidad se refiere aqu\u00ed al m\u00f3dulo SAP. Por ejemplo, los empleados de finanzas trabajan tanto en un m\u00f3dulo COM como en un m\u00f3dulo HCM.<\/p>\n Tras este paso del proyecto, se crearon todos los roles en relaci\u00f3n con las \u00e1reas especializadas correspondientes con las transacciones. En el siguiente paso, deben definirse las funciones creadas.<\/p>\n Hay que aclarar el c\u00f3mo y el d\u00f3nde. Tambi\u00e9n en este caso el departamento especializado est\u00e1 muy implicado y hay varias opciones para definir las funciones creadas.<\/p>\n Una opci\u00f3n es aprovechar la experiencia de los empleados de los departamentos especializados y definir las funciones en consecuencia. Sin embargo, como la definici\u00f3n de las funciones suele ser muy t\u00e9cnica, enseguida se llega al l\u00edmite.<\/p>\n La siguiente opci\u00f3n es utilizar la informaci\u00f3n de seguimiento (ST01) que se genera en el sistema SAP. Tras la activaci\u00f3n, los resultados pueden leerse y utilizarse para la caracterizaci\u00f3n de funciones. Sin embargo, se considera que esta opci\u00f3n requiere mucho tiempo.<\/p>\n Dado que para definir las funciones se requiere mucha experiencia y que las herramientas est\u00e1ndar s\u00f3lo son de ayuda limitada, la experiencia demuestra que en la mayor\u00eda de los casos las funciones se definen con demasiados derechos.<\/p>\n El \u00e1rea de controlling plantea un reto particular. Las empresas suelen tener varios centenares de centros de costes que deben separarse por funciones organizativas.<\/p>\n El resultado de la caracterizaci\u00f3n manual de roles suele ser incompleto e impreciso. Punto importante para la caracterizaci\u00f3n de roles: En ning\u00fan caso debe omitirse el mantenimiento SU24 al definir los valores de los campos.<\/p>\n SU24 se utiliza para establecer los valores por defecto del generador de perfiles (PFCG). Un SU24 correctamente mantenido simplifica y acelera considerablemente la posterior administraci\u00f3n de las funciones de autorizaci\u00f3n.<\/p>\n Esto tambi\u00e9n aumenta la calidad de las funciones de autorizaci\u00f3n. Por tanto, este paso deber\u00eda considerarse en cualquier caso. Sin embargo, el esfuerzo manual que supone es tan elevado que deber\u00eda utilizarse software especializado.<\/p>\n Como \u00faltimo paso antes de la puesta en marcha, hay que realizar una prueba intensiva de las funciones. Todo el escenario de la prueba debe planificarse al detalle y ser supervisado por los miembros del proyecto.<\/p>\n Para ello, deben crearse previamente protocolos de prueba que sirvan de gu\u00eda al empleado y le permitan registrar los resultados. Los resultados de las pruebas deben ser aplicados sin demora por el administrador autorizado.<\/p>\n Una vez corregidos los resultados de las pruebas iniciales, se realizan nuevas pruebas. Este proceso debe llevarse a cabo hasta que no haya m\u00e1s errores de autorizaci\u00f3n.<\/p>\n Tambi\u00e9n debe realizarse una prueba negativa. En ella se comprueba si los usuarios pueden hacer algo que en realidad no deber\u00edan hacer. Por ejemplo, inscribirse en otra sociedad.<\/p>\n A menudo no se realiza esta prueba negativa. Por lo tanto, existe el riesgo de que las funciones con autorizaciones excesivas no se reconozcan y no se ajusten.<\/p>\n Una vez completado el tedioso y laborioso escenario de prueba, las funciones pueden trasladarse al sistema de producci\u00f3n y asignarse a cada usuario.<\/p>\n Antes de poner en marcha un nuevo concepto de autorizaci\u00f3n, tambi\u00e9n debe disponerse aqu\u00ed de una planificaci\u00f3n detallada. No se recomienda convertir a todos los usuarios al mismo tiempo.<\/p>\n Se recomienda convertir a uno o dos usuarios de cada \u00e1rea. Esto permite ver si no se han tenido en cuenta todos los pasos en la prueba previa y si esto podr\u00eda dar lugar a problemas de autorizaci\u00f3n. Debe planificarse o mapearse un \"escenario alternativo\" (el usuario recupera su antiguo rol) utilizando un software especial.<\/p>\n Tres o cuatro meses despu\u00e9s de la finalizaci\u00f3n del proyecto, las antiguas funciones de autorizaci\u00f3n pueden eliminarse del sistema.<\/p>\n El requisito previo es, por supuesto, que las nuevas funciones sean funcionales. Por \u00faltimo, cabe se\u00f1alar que deben respetarse los procesos definidos previamente en el concepto. S\u00f3lo as\u00ed podr\u00e1 mantenerse el nuevo concepto de autorizaci\u00f3n, que se ha desarrollado con tanto esmero.<\/p>\n Conclusi\u00f3n: Si existen graves deficiencias en un concepto de autorizaci\u00f3n de SAP, un redise\u00f1o suele ser la soluci\u00f3n m\u00e1s eficaz. Sin embargo, el redise\u00f1o requiere mucho tiempo y es arriesgado.<\/p>\n Los programas inform\u00e1ticos especializados pueden ayudar a minimizar el esfuerzo y los riesgos. El resultado es una mayor calidad y menores costes. El software especializado tambi\u00e9n puede utilizarse para controlar y apoyar la actividad diaria.<\/p>\n <\/p>\n <\/p>\n Hay casos en los que puede ser necesario redise\u00f1ar completamente un concepto de autorizaci\u00f3n porque una \"r\u00e1pida puesta en orden\" s\u00f3lo mejora la situaci\u00f3n a corto plazo.<\/p>\n Si el nivel de detalle de los conceptos de autorizaci\u00f3n es demasiado alto, se requiere una gran cantidad de trabajo de mantenimiento. Las soluciones inform\u00e1ticas pueden ayudar en este sentido.<\/p>\n Tanto el mantenimiento de los conceptos de autorizaci\u00f3n como la comprobaci\u00f3n pueden realizarse mediante programas inform\u00e1ticos especiales.<\/p>\n Cree peri\u00f3dicamente una descarga masiva de los roles modificados. Esto le permitir\u00e1 acceder a una versi\u00f3n anterior de los roles en cualquier momento. Ocurre de vez en cuando que los cambios de roles que llevan mucho tiempo se sobrescriben en caliente.<\/p>\n Existe el riesgo de que los empleados se vean gravemente perjudicados en su trabajo diario debido a la falta de autorizaciones.<\/p>\n Al utilizar el software adecuado, es importante asegurarse de que se basa en funciones est\u00e1ndar de SAP, para que las empresas no dependan de soluciones especiales que imposibiliten el mantenimiento manual de las autorizaciones.<\/p>","protected":false},"excerpt":{"rendered":" Existen varias razones para redise\u00f1ar las autorizaciones en el entorno SAP. A menudo, los auditores o la auditor\u00eda interna han encontrado deficiencias o incoherencias en el sistema de autorizaci\u00f3n. Esto puede llevar a tener que redise\u00f1ar el concepto de autorizaci\u00f3n.<\/p>","protected":false},"author":38,"featured_media":61274,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"pmpro_default_level":"","footnotes":""},"categories":[5,1571],"tags":[],"coauthors":[19920],"class_list":["post-61575","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-it-management","category-1571","pmpro-has-access"],"acf":[],"featured_image_urls_v2":{"full":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",1000,387,false],"thumbnail":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015-150x150.jpg",150,150,true],"medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",400,155,false],"medium_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015-768x297.jpg",768,297,true],"large":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",1000,387,false],"image-100":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015-100x39.jpg",100,39,true],"image-480":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015-480x186.jpg",480,186,true],"image-640":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015-640x248.jpg",640,248,true],"image-720":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015-720x279.jpg",720,279,true],"image-960":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015-960x372.jpg",960,372,true],"image-1168":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",1000,387,false],"image-1440":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",1000,387,false],"image-1920":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",1000,387,false],"1536x1536":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",1000,387,false],"2048x2048":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",1000,387,false],"trp-custom-language-flag":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",18,7,false],"bricks_large_16x9":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",1000,387,false],"bricks_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",1000,387,false],"bricks_large_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",1000,387,false],"bricks_medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",600,232,false],"bricks_medium_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015.jpg",600,232,false],"profile_24":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015-24x24.jpg",24,24,true],"profile_48":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015-48x48.jpg",48,48,true],"profile_96":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015-96x96.jpg",96,96,true],"profile_150":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015-150x150.jpg",150,150,true],"profile_300":["https:\/\/e3mag.com\/wp-content\/uploads\/2019\/07\/2015-300x300.jpg",300,300,true]},"post_excerpt_stackable_v2":" F\u00fcr ein Redesign der Berechtigungen im SAP-Umfeld gibt es verschiedene Gr\u00fcnde. Oft haben Wirtschaftspr\u00fcfer oder die interne Revision M\u00e4ngel oder Inkonsistenzen im Berechtigungswesen festgestellt. Das kann dazu f\u00fchren, dass das Berechtigungskonzept neu aufgesetzt werden muss.<\/p>\n","category_list_v2":"IT-Management<\/a>, MAG 15-09<\/a>","author_info_v2":{"name":"Revista E-3","url":"https:\/\/e3mag.com\/es\/author\/e-3-magazin\/"},"comments_num_v2":"0 comentarios","_links":{"self":[{"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/posts\/61575","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/users\/38"}],"replies":[{"embeddable":true,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/comments?post=61575"}],"version-history":[{"count":0,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/posts\/61575\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/media\/61274"}],"wp:attachment":[{"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/media?parent=61575"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/categories?post=61575"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/tags?post=61575"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/e3mag.com\/es\/wp-json\/wp\/v2\/coauthors?post=61575"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Paso 3:<\/h3>\n
Riesgo: funciones con derechos excesivos<\/h3>\n
Calidad y seguridad gracias a los cuidados SU24<\/h3>\n
\nConsejo 1<\/h3>\n
Consejo 2<\/h3>\n
Consejo 3<\/h3>\n
Consejo 4<\/h3>\n
Consejo 5<\/h3>\n
Consejo 6<\/h3>\n