Qual é o modelo correto de perfil no SAP?

O conceito de autorização no SAP, tanto no ECC (ABAP) ou S4H (Fiori) visa proteger transações e programas de uso não autorizado.

Os sistemas da SAP não permitem que os usuários executem transações ou programas a menos que estejam definidas explicitamente as suas respectivas autorizações.

Os times envolvidos na manutenção dos perfis de acesso deveriam ser divididos em 2 grupos para não gerarmos riscos de SoD:

1- Administrador de Roles – responsável pela criação/manutenção e gerar análise de SoD.

2- Administração de Users – responsável pela criação/manutenção de usuários.

O que dos devemos evitar nos nossos ambientes:

a- Que equipes de TI possuam SAP_ALL em produção

b- Usuários de negócios com mais de 40 a 50 transações associadas.

c- Número elevado de perfis.

O grande desafio de um projeto de revisão de perfis é a mudança cultural das áreas envolvidas no processo, manter a equipe focada no tema e tornar o projeto num processo contínuo.

Qual o modelo certo de perfis, Composto, Derivado, Simples, Restritivo?

O modelo certo é aquele que se adequa a realidade da empresa, desde que os riscos de SoD – Segregação de Função sejam reduzidos.

Nos primórdios do SAP, montávamos os perfis por módulo (FI, CO, MM, HR, etc), pois não havia a cobrança de uma segregação de função (atividade essa que ficava com o time de BASIS), após o processo da SOX, esse conceito mudou e começamos a avaliar os riscos de SoD (atividade executada por um time exclusivo).

O mercado já trabalhou com os perfis orientado ao processo, o desenho era de acordo com o processo das empresas, cuja característica era ter vários perfis por usuário.

Outro conceito foi o perfil orientado por usuário, onde o desenho era de acordo com a atividade de cada profissional, cuja característica era ter um perfil por usuário.

Atualmente vem se trabalhando com o perfil orientado por cargo/papel ou Job Position, onde o desenho é de acordo com o cargo/posição do colaborador. Podemos montar o “LEGO” de acordo com a realidade da empresa (Composto, simples, derivado, restritivo). O importante é mapear bem os processos e identificar a real necessidade dos acessos de nossos colaboradores em suas respectivas áreas, evitando a liberação de transações para facilitar o processo, ou o “ele sempre fez assim”, sem pensar nos riscos que um perfil mau configurado pode gerar na empresa.

E outro ponto importante é a figura do Key-User e o dono do risco, esses são peças-chaves para mantermos uma boa prática de gestão de acessos. Sem eles vamos continuar tendo Gaps com as auditorias externas.