SAP Human Capital Management es muy adecuado para tratar las autorizaciones, porque el departamento de Recursos Humanos (RRHH) tiene una percepción muy distinta de las autorizaciones. Desde el punto de vista de la protección de datos, los datos que se guardan aquí son especialmente críticos, ya que afectan a la privacidad del empleado, que debe protegerse a toda costa.
El sistema SAP HCM (Human Capital Management) separa la información en cinco submódulos diferentes:
Cuando hablamos de autorizaciones, como en el resto de sistemas SAP, la clave es la Segregación de Funciones. SAP GRC ofrece una matriz de riesgo estándar con 21 riesgos de segregación de funciones (SoD) específicos para el módulo HCM. Si quieres conocer más detalles sobre la matriz de riesgos SoD para SAP GRC, te recomendamos que leas nuestro artículo relacionado.
Para tener los mínimos riesgos de SoD en nuestro sistema HCM será importante que analicemos las dos formas principales de configurar las autorizaciones del sistema HCM:
- Autorizaciones generales
- Autorizaciones estructurales específicas de RRHH
Autorizaciones generales
En esta sección llevaremos a cabo el procedimiento siguiendo la misma metodología de autorización que utilizamos para los sistemas ECC en SAP. Esta opción se basa en los Objetos de Autorización que definen los campos de autorización que se comprueban durante la ejecución de la transacción. Puede utilizar la transacción de mantenimiento de roles (PFCG) para crear perfiles de autorización y asignarlos a los usuarios. Estos perfiles pueden estar formados por transacciones a través de la pestaña “menú” y/o por objetos de autorización a través de la pestaña “autorizaciones”.
Ahora enumeraremos los objetos más importantes del sistema HCM para realizar una adecuada restricción de autorizaciones:
- P_ORGIN: HR Master Data, que se utilizan para proporcionar al usuario las autorizaciones necesarias para acceder a los datos específicos de personal que necesita:
- P_ORGXX: HR Extended Check, que se utiliza para comprobar la autorización de los datos personales (infotipos HR):
- P_PERNR: HR Personnel Number Check, que se utiliza para asignar a los usuarios diferentes autorizaciones para acceder a su propio número de personal:
Como puede ver, estos tres objetos tienen dos campos en común:
-
- INFTY: que es un término único del módulo SAP HCM para agrupar los campos de datos relacionados que se utilizan para almacenar los datos de los empleados.
- AUTH a través del cual se puede restringir el acceso:
Si desea comprobar campos adicionales del infotipo, por ejemplo, el centro de coste o la subdivisión de personal, puede utilizar el objeto de autorización P_NNNN. Este objeto debe ser creado por usted mismo y equiparlo con todos los campos del infotipo y los campos adicionales específicos del cliente.
En lo que respecta a las tablas, es importante destacar el objeto de autorización S_TABU_LIN (autorización para la unidad organizativa). Este objeto complementa los objetos de autorización S_TABU_NAM, S_TABU_DIS y S_TABU_CLI. Como sabes, S_TABU_NAM funciona a nivel de restringir el acceso a la visualización o modificación de una tabla específica del sistema. Pero el S_TABU_LIN controla el acceso a filas individuales de la tabla. Por lo tanto, la existencia de criterios organizativos es un requisito previo para el uso de este objeto de autorización.
La funcionalidad de las tablas HCM puede identificarse con los siguientes sufijos:
- PA*- PA Tablas de infotipos
- PCL* – Clusters de RRHH
- PB* – Tablas de contratación
Además, es importante indicar que cuando decidimos restringir el modelo de rol de autorización de Human Capital Management a través de “autorizaciones generales” es recomendable combinar un modelo de rol derivado del maestro con roles habilitadores. Estos roles sólo tienen objetos de autorización, no transacciones. Esto hará que la gestión del modelo sea más eficiente.
Los Roles Habilitadores son necesarios ya que los campos que queremos restringir las autorizaciones (como hemos visto en los objetos anteriores como Infotipo y Área de Personal) no se consideran valor organizativo por lo que necesitarás tener por un lado los roles con las transacciones y objetos derivados por los valores organizativos correspondientes (sociedad, centro, pedido de cliente… …) y por otro lado, roles habilitadores con sólo los objetos HCM específicos que te den acceso específico a los diferentes Infotipo y Área de Personal.
Autorizaciones estructurales
Además de la comprobación de la autorización general, que se basa en los objetos de autorización, puede definir autorizaciones adicionales mediante estructuras jerárquicas.
La separación técnica de los perfiles de autorizaciones generales y estructurales puede causar problemas de contexto para los usuarios que desempeñan diferentes funciones en una empresa. Por ejemplo, si una misma persona realiza la actividad de Gestor de Nómina para la que necesita acceso a algunos infotipos y es el gestor de un equipo que debería tener permiso para otros infotipos diferentes:
El resultado de dotar a esta persona de las autorizaciones que requiere para los dos puestos a través del modelo explicado en el apartado anterior (Autorizaciones generales) supondrá que el usuario tendrá acceso adicional a Gestor Equipo 2 en los infotipos 0008-0015 y a Gestor de Nómina los infotipos 0000-0007 por combinación de autorizaciones:
Esto puede evitarse separando los conceptos de autorizaciones generales y estructurales.
Es importante destacar que para habilitar el uso de los perfiles estructurales es un requisito previo activar la comprobación ORGPD a través de la transacción OOAC.
Los perfiles estructurales se asignan de forma diferente a los perfiles de autorización generales (transacción PFCG). Para asignar los perfiles estructurales, se utiliza una transacción específica llamada Perfiles de Autorización (OOSP). A través de esta transacción los perfiles se crean inicialmente de forma independiente a los usuarios y luego se les asigna mediante la Transacción de Autorizaciones de Usuario (OOSB) en lugar de SU01 como autorizaciones generales.
En relación con las Tablas SAP, esta información relacionada con las autorizaciones de los perfiles estructurales se puede encontrar en las siguientes tablas:
- T77PR – Definición de los datos de los perfiles de autorización
- T77UA – Asignación de perfiles a los usuarios
Por otro lado, las siguientes tablas permiten restringir el acceso a las tablas mediante reglas de organización:
- ORGCRIT – Almacenar los datos de los criterios de la organización
- V_ORGCRACT – Activación de los criterios de organización
Puntos clave a tener en cuenta
El sistema HCM tiene información sobre la privacidad de los empleados que debe ser protegida.
- La restricción de autorizaciones en un sistema HCM debe tratarse de forma diferente que en un sistema SAP ECC.
- Cada empresa debe evaluar su situación y saber en qué casos debe utilizar el modelo de autorización general o estructural.