Manual Sistema Sap Soporte Seguridad y Mantenimiento PDF

DOCUMENTO DEL SISTEMA DE
GESTIN DE CALIDAD
MANUAL SISTEMA SAP
Soporte, Seguridad y Mantenimiento
Cdigo: TIC-D02
Vigencia: 16-04-2013
Versin: 00
Pgina 1 de 55
DOCUMENTO DEL SISTEMA DE GESTIN DE

CALIDAD
MANUAL SISTEMA SAP

TIC-D02 V00
REVISADO
APROBADO
RICARDO LADINO
Lder de Tecnologa de la
Informacin y Comunicacin
Fabio Rodriguez
Gerente TIC
____________________
____________________
FECHA DE APROBACIN
16 de abril de 2013

GESTIN DE CALIDAD
MANUAL SISTEMA SAP
Cdigo: TIC-D02
Versin: 00
Pgina 2 de 55
ANTECEDENTES
INTRODUCCIN
Una vez realizada la inversin de la implantacin de un sistema sofisticado como el SAP, las empresas
enfrentan el reto de proveer un soporte eficiente al sistema implantado, para obtener el retorno de la
inversin realizado. Esto se logra maximizando la utilizacin del sistema mediante un servicio
oportuno, a la comunidad usuaria, de calidad y a un costo razonable.
Para lograr lo anterior se ha contrato el soporte de consultora especializado en SAP con Consultora
Organizacional, y segundo, se crea el Sistema SAP de Americana de Colchones; lo que nos permite
tener un soporte de primera mano y profesional.
El Sistema SAP de Americana de Colchones es el que nos ocupa en este documento y su sinergia con
el equipo consultor y de Hosting.
Entre los beneficios de esta estructura podemos destacar:
Flexibilidad en la prestacin del servicio de soporte al contar con consultores especializados en

los distintos mdulos y reas del conocimiento SAP, tanto externos como internos
Servicio escalable segn la necesidades del usuario
Total cubrimiento tanto en lo funcional como en infraestructura
Seguridad de la informacin y equipo de soporte permanente (Hosting)

GESTIN DE CALIDAD
MANUAL SISTEMA SAP
OBJETIVOS
Cdigo: TIC-D02
Versin: 00
Pgina 3 de 55
Describir el sistema SAP y los componentes implementados en Americana de Colchones

Describir la organizacin del soporte del sistema SAP para proveer un soporte eficiente y
competente.
Asegurar la mxima utilizacin de SAP.
Describir y definir los parmetros de Seguridad y Auditora del sistema
Asegurar el mantenimiento del sistema y su mejoramiento continuo
Dar pautas para expandir el sistema SAP a aquellas funciones y procesos donde su utilizacin
agregue valor al negocio y para evaluar nuevos productos SAP y su beneficio para el negocio.
ALCANCE
Este procedimiento aplica para todas las sociedades de la organizacin (Americana de Colchones,
Dormiluna, Serta Colombia y Orthobed)
QU
ES SAP?
Pregunta simple y complicada a la vez la que plantea el ttulo, simple porque la mayora de la gente que
trabaj con SAP puede contestarla, complicada porque seguramente a cualquier explicacin o
definicin se le puedan agregar o modificar muchsimos puntos.
El primer punto que podemos hacer notar es que SAP es una empresa, no un producto a diferencia de
como la mayora de la gente suele decir. SAP es una empresa Alemana fundada en 1972 y significa:
Systeme, Anwendungen und Produkte (Sistemas, Aplicaciones y Productos), hoy por hoy es la
organizacin lder en proveer sistemas integrales para grandes organizaciones a nivel mundial.
El producto estrella de la compaa, al que todos simplemente llaman SAP, es su ERP (Enterprise
Resource Planning), pudindose escuchar como nombre del mismo SAP R/3 o ms actualmente SAP
ECC (Enterprise Central Components)
Para entender qu es lo que SAP le aporta a la organizacin, necesitamos saber lo que es un ERP, y la
definicin de este es que es un sistema integrado de gestin de la organizacin. Ahora pongamos esto
en claro, un sistema de estas caractersticas nos va a permitir administrar prcticamente todas las reas
de la organizacin: Produccin, Ventas, Cuentas a Cobrar, Cuentas a Pagar, Contabilidad,
Mantenimiento, Compras, Tesorera, Inventarios, Recursos Humanos, y un largo etc.
Todos estos conjuntos de actividades estn integrados en el aplicativo y cualquier actividad impacta en
la otra automticamente, de ah el mote de sistema integrado, o muchas veces llamado de
Backoffice.
Ahora ya sabemos que el producto estrella de SAP es su ERP, y que este es bsicamente donde la gran
mayora de los empleados de la organizacin realizan sus tareas diarias.

GESTIN DE CALIDAD
MANUAL SISTEMA SAP
Cdigo: TIC-D02
Versin: 00
Pgina 4 de 55
Adicionalmente SAP tiene otros productos como su CRM (Customer Relationship Management), que
se encarga de Administrar las relaciones con los clientes, registrando todos los contactos con los
mismos, y muchas veces utilizado para brindar una mejor atencin a los mismos contando con toda la
informacin de contacto con el mismo.
Tambin podemos encontrar su Datawarehouse (SAP BW), el SAP SRM (Supplier Relationship
Managemente o Administracin de relaciones con los proveedores), SAP MDM (Master Data
Management), SAP Portal, y muchos otros.
3.1 Cmo funciona SAP?

La idea es explicar bsicamente en qu consiste una instalacin SAP, como se lo usa, y dems
informaciones que toda persona que vaya a trabajar con SAP (principalmente implementndolo)
debera saber y MUCHAS veces NO sabe. As que vamos a empezar con una breve pero "espero"
til Introduccin a SAP.
Lo que en seguida que vamos a aclarar es especficamente cmo funciona la herramienta y cmo es
un landscape tpico de SAP.
Lo primero que hay que entender es que SAP es un sistema cliente/servidor en tres capas, de ah el
nombre original SAP R/3.
Ahora que significa que un sistema es de 3 capas?
Significa que los datos (toda la informacin que surge de operar el sistema) est almacenada en una
base de datos y esta es una capa, la lgica del negocio (los programas que dicen que se va a hacer
con esos datos) estn en otra capa separada, y la presentacin de la informacin est en una tercer
capa y es la que le muestra al usuario el resultado de esos programas y su interfaz de usuario.
Que son las capas o layers?
Son divisiones, que pueden ser tanto lgicas como fsicas y que para nuestro mayor entendimiento
significan que las capas a modo de ejemplo seran:
Capa de Datos:
Un servidor exclusivamente dedicado a una Base de Datos Oracle (muy comnmente utilizada
en instalaciones de SAP aunque podra ser DB2, SQLServer, etc)
Capa de lgica de negocio:
Uno o ms servidores dedicados a almacenar los programas (el sistema SAP en s mismo) que
en la terminologa de SAP se llaman "Application Server" y que normalmente son servidores
Unix o Linux

GESTIN DE CALIDAD
MANUAL SISTEMA SAP
Cdigo: TIC-D02
Versin: 00
Pgina 5 de 55
Capa de presentacin:
La interfaz del usuario propiamente dicha y lo que ve el usuario que interacta con el sistema.
Este aplicativo se llama SAPGUI y es el que el usuario ejecuta en su men de inicio de
Windows, a travs del SAP Logon (el cual se encarga de a validar el usuario y su contrasea)
Entonces, resumiendo, un landscape tpico (landscape se le suele llamar a como est compuesto un
ambiente, por cuantos servidores, con qu aplicativos, etc.,) estara conformado por un servidor de
Base de Datos Unix corriendo Oracle, uno o ms "Application Servers" corriendo Unix y la
instalacin de SAP, y n usuarios finales conectndose con el Application Server a travs del SAP
Logon y SAP GUI.
Hasta ahora vimos cmo es un landscape de SAP ERP con un nico sistema, pero la realidad es que
esto no cubre las necesidades de una organizacin promedio. Por qu? Porque este sistema es solo
un ambiente productivo.
Qu es
un ambiente productivo?
Es el ambiente donde la empresa opera, y sobre el cual se realizan todas las operaciones diarias de la
organizacin, contiene toda la informacin sobre compras, pagos, cobranzas, contabilidad, ventas,
produccin, servicios, etc. y al mismo acceden los usuarios de las reas especficas (Contabilidad,
Tesorera, Ventas, Servicio al cliente, Talento Humano, etc.)

GESTIN DE CALIDAD
MANUAL SISTEMA SAP
Cdigo: TIC-D02
Versin: 00
Pgina 6 de 55
Qu otros ambientes necesitamos?

Una empresa promedio se encuentra constantemente realizando mejoras sobre su software,
reparando errores, o en pos de implementar nuevas funcionalidades. Nos puede parecer correcto o
incorrecto, pero esto es as cuando se trabaja con grandes ERPs.
Para conseguir esto un landscape tpico sera:
- Un ambiente de desarrollo:
Donde acceden los parametrizadores (consultores de producto) y desarrolladores (programadores
ABAP o JAVA) que no posee informacin del trabajo diario de la organizacin.
- Un ambiente de Calidad:
Al que acceden los consultores de producto, consultores funcionales, y usuarios para probar el
correcto funcionamiento del programa o funcionalidad configurada en el ambiente de desarrollo
pero sin alterar los datos del da a da de la organizacin, con datos de prueba no crticos o
censurados.
- Un ambiente de Produccin:
Donde los consultores y desarrolladores no acceden, salvo en casos particulares y solos como
visualizacin, y es en donde la organizacin posee sus datos operativos y al que acceden todos los
usuarios finales del sistema.
Este landscape es propio de un sistema SAP en produccin (cuando ya opera para la empresa) en el
caso de las implementaciones en las que participan habitualmente los consultores el ambiente puede
solo contener el Ambiente de Desarrollo en una primera etapa, y posteriormente para la llegada de
las pruebas integrales suele incorporarse el Ambiente de Calidad, y finalmente cerca de la fecha de
implementacin el Ambiente Productivo.
Qu es un mandante?
Ya vimos que bsicamente pueden existir tres ambientes (Desarrollo, Calidad, y Produccin) y para
que servan cada uno de los mismos. Ahora, los ambientes dijimos que normalmente estn ubicados
en equipos (computadoras/servidores) distintos, cada ambiente en su respectivo servidor (generalizo
para simplificar), el hecho es que cada ambiente, o sistema puede a su vez contener otras divisiones
dentro de s mismo.
A modo de ejemplo, un ambiente de desarrollo, puede contener una subdivisin que sea la que va a
poseer las parametrizaciones propiamente dichas, otra que haga las veces de ambiente de pruebas
unitarias (para que los mismos desarrolladores o parametrizadores prueben el funcionamiento de lo
que definen), etc.
Estas subdivisiones se llaman Mandantes en SAP

GESTIN DE CALIDAD
MANUAL SISTEMA SAP
Cdigo: TIC-D02
Versin: 00
Pgina 7 de 55
Los mandantes poseen nombres numricos, siendo a modo de ejemplo un ambiente de SAP de
nombre DEV (por Development), y mandante 200, otro mandante en el mismo equipo puede ser
UNI (por Pruebas Unitarias) y mandante 210. Otro ambiente puede ser QAS y el nmero de
mandante el 300, y el ambiente productivo PRD y mandante 400.
Los mandantes poseen maestros de usuario distintos, esto quiere decir que en un mismo sistema
(DEV) un usuario puede tener acceso al mandante 200 pero no al 210, o puede acceder a los dos
pero con distintos permisos.
La informacin operativa que se cargue en un mandante no es compartida con el otro, a pesar de que
la informacin por pertenecer a un mismo sistema, se aloja en una misma base de datos. Las tablas
con las que trabaja SAP poseen normalmente un indicador de mandante, por lo que SAP siempre lee
este campo primero y solo muestra la informacin del mandante en el cual el usuario se autentic.
Estas tablas se llaman tablas DEPENDIENTES de mandante.
Existen otras tablas especiales, con datos de configuracin del sistema en su mayora que son
llamadas INDEPENDIENTES de mandante, y que son compartidas por todos los mandantes de un
mismo sistema.
Pero ahora, cuando les digan: "Entra a DEV al mandante 210 y fjate un poco que hay por ah..." por
lo menos van a tener una idea de que les estn hablando...
Instancias y Ambientes
Cada ambiente (desarrollo, testing, produccin) es una instalacin distinta de SAP, a cada
instalacin se las llama instancia.
Bsicamente a la instancia, la podemos definir como un sistema SAP independiente de otro,
salvo por las conexiones que nosotros especficamente definamos. Entonces en este ejemplo, un
ambiente de desarrollo, uno de testing y otro de produccin son independientes entre s salvo que
nosotros explcitamente conectemos estas instancias.
Estas instancias son instalaciones que pueden compartir un mismo equipo como en el caso del
presente grfico:
Servidor A
Instancia PRD
Instancia QAS
Instancia DEV
Cdigo: TIC-D02
Versin: 00
Pgina 8 de 55

GESTIN DE CALIDAD
MANUAL SISTEMA SAP
Como tambin pueden encontrarse en equipos distintos, cada uno ejecutando una instancia:
ServidorPRD
A
Instancia
ServidorQAS
B
Instancia
ServidorDEV
C
Instancia
El tema es an ms complejo podramos encontrar en un mismo equipo o en varios equipos

distribuidas varias instancias que podemos llamar application servers y que atiendan a un mismo
sistema de manera de poder distribuir la carga de transacciones entre distintos application servers.
Ambiente de Produccin
App Server A
App Server B
Instancia PRD
Instancia QAS
App Server C
Instancia DEV
Adicionalmente y para sumar complejidad, cada sistema debe tener su propia base de datos, de
manera que un sistema productivo estndar podra tener un servidor productivo con una instancia de
Application Server ms un servidor de base de datos. O infinitas variantes con la base de datos
instalada en el mismo application entre otras opciones posibles.
Qu es un dato maestro?
Un dato maestro es una entidad que puede ser utilizada en varios mdulos de SAP, pero se
encuentra almacenada en un nico repositorio, buscando de esta manera evitar datos repetidos,
unificar y por ende poder guardar historiales permitiendo sacar mtricas, resmenes, etc.
Qu es una transaccin?
Para ingresar al sistema hacemos click sobre el SAP Frontend o ms comnmente conocido como
SAP Logon, este va a ser el encargado de traer SAP a nuestro escritorio. Tcnicamente hablando es
la capa de presentacin de la herramienta.
Ahora una vez dentro de la herramienta nuestra manera de interactuar con la aplicacin es a travs
de transacciones. Las mismas son bsicamente nombres que intentan ser mnemotcnicos para llamar
a programas o funcionalidades. Hablando ms simple:
- Existe una transaccin que se llama FB02 que por ejemplo permite modificar un documento
contable.

GESTIN DE CALIDAD
MANUAL SISTEMA SAP
Cdigo: TIC-D02
Versin: 00
Pgina 9 de 55
- Otra por ejemplo se llama SU01 que permite dar de alta un usuario en el sistema
Desde la aplicacin vamos a disponer de un men donde podemos acceder a las transacciones
agrupadas en carpetas por funcionalidad, o vamos a poder ejecutar directamente desde una caja de
texto en la parte superior izquierda invocndola por nombre de transaccin.
Entonces a modo de introduccin tendra que quedar claro que las transacciones son el medio por
el que los usuarios finales interactan con el sistema y a travs de las cuales realizan sus
diversas actividades en el sistema, como ser Aprobar una compra (funcional), Crear un nuevo
usuario (Seguridad) o Administrar el desempeo del equipo (Basis).
Como primer conclusin podemos decir que en principio si queremos restringir el acceso a una
funcionalidad tenemos que empezar restringiendo una transaccin.
Ms adelante vamos a ver que esto es mucho ms complicado de lo que inicialmente suena, pero por
ahora es bueno tener esa idea instalada.
3.2 SAP Solution Manager

Muchas veces tambin conocido con nombre de superheroe, SolMan, es una nueva herramienta que
est comenzando a ser adoptada por varias compaas que ya disponen de alguna instalacin de
SAP, de forma de plasmar sus procesos de negocios y la documentacin de los mismos en ella.
En las nuevas implementaciones de SAP ECC, se est utilizando la herramienta como puerta de
acceso a la parametrizacin de SAP y a la documentacin del mismo sistema.
Qu quiero decir con esto?
Solution Manager nos permite vincular pasos de nuestros procesos con pasos de configuracin.
De esta manera en una implementacin, un usuario define el modelo de negocio, y luego se vinculan
los puntos de customizing y transacciones afectadas por este proceso, de manera de que la teora
concuerde con la prctica.
Este es uno de los usos ms tpicos que se le da a Solution Manager, adems de repositorio de la
documentacin vinculada con los pasos de configuracin que mostramos ms arriba. La herramienta
apunta a ser una solucin mucho ms amplia, incluyendo manejo de BCSets, Administracin de
Transportes, Material de Capacitacin, Administracin de helpdesk (tiene incluidas funciones del
CRM de SAP), Evaluacin del proyecto, y Herramientas de Testing entre otras funciones avanzadas,
desarrolladas por ahora con distinto grado de madurez.
SAP est intentando imponerlo como un estndar en todas sus implementaciones, y busca que sea
un estndar de facto para todos sus clientes, y futuros clientes, de manera de ir ordenando un poco
los ambientes de desarrollo caticos que suelen ser una constante en muchas implementaciones.
Cdigo: TIC-D02
Versin: 00
Pgina 10 de 55

GESTIN DE CALIDAD
MANUAL SISTEMA SAP
SISTEMA SAP EN AMERICANA
En la primera etapa se instalaron los sistemas SAP ERP y SAP BI. El sistema SAP est compuesto por
una serie de reas funcionales o mdulos que responden de forma completa y en tiempo real a los
procesos operativos de la compaa. Aunque pueden ser agrupados en tres grandes reas (financiera,
logstica y recursos humanos), funcionan de un modo integrado, dado que existen conexiones naturales
entre los distintos procesos.
A continuacin se describe de forma general el alcance funcional de cada uno de los mdulos y submdulos implementados en Americana, la descripcin detallada del mdulo la puede hallar en
SOLMAN.
4.1
SAP ERP (Enterprise Resource Planning)
4.1.1
FI Contabilidad Financiera (Financial Accounting)
FI - GL
FI - NEW GL
FI - AA
FI - AR
FI - AP
FI - BL
FI - LC
General Ledger Accounting

Asset Accounting
Accounts Receivable
Accounts Payable
Bank Accounting
Consolidation
Cuentas Mayor
Nueva contabilidad General
Gestin de Activos
Cuentas por Cobrar
Cuentas Por Pagar
Contabilidad Bancaria
Consolidacin de Sociedades
Alcance funcional del Proceso Administrativo y Financiero

Proveedores
y socios
Desarrollo
Planeacin
Compras
Produccin
(Fabricacin
contra
inventario)
Ventas
Produccin
(Fabricacin
bajo pedido)
Distribucin
Contabilidad Financiera
Libro Mayor
Particin de documentos / desglose
Deudores
Acreedores
Gestin de Caja
Cierre del periodo en contabilidad financiera
Reporting de segmento
Gestin de activos
Contabilidad de Activos Fijos
Alta de activo fijo por capitalizacin directa
Alta de activo fijo por activos fijos construidos (Ordenes de inversin)
Gestin Contable
Servicios
Clientes

GESTIN DE CALIDAD
MANUAL SISTEMA SAP
Cdigo: TIC-D02
Versin: 00
Pgina 11 de 55
Etapas del proceso preliminares

Cierre del perodo para movimientos de inventario
Cierre del periodo para Ordenes de servicio
Valoracin de stock para cierre del ejercicio
Controlling de gastos generales real
Ordenes Internas de Costos para I+D
Orden CO para marketing y otros gastos generales reales
Los mdulos del rea financiera o brevemente FI de SAP R/3 proporcionan una visin completa de
las funciones contables y financieras e incluyen un amplio sistema de informacin y de generacin
de informes para facilitar la toma de decisiones.
El modulo FI facilita el manejo de toda la informacin financiera de la empresa, de acuerdo al Plan
de Cuentas, y automatiza los reportes a entes externos del Libro Mayor: Cuentas por Pagar, Cuentas
por Cobrar y otros libros auxiliares.
La tarea central de la contabilidad principal consiste en proporcionar un cuadro general de la
contabilidad y las cuentas externas. El registro de todas las operaciones contables (contabilizaciones
de referencia y liquidaciones desde la contabilidad interna) en un sistema de software
completamente integrado con todas las otras reas operacionales de la empresa garantizando que los
datos de contabilidad siempre estn completos y sean exactos.
4.1.2
TR Tesorera (Treasury)
TR CM
TR FM
TR TM
TR RM
Cash Management
Funds Management
Treasury Management
Tisk Management
Gestin de caja
Gestin financiera
Gestin de tesorera
Gestin de riesgos
Alcance funcional del Proceso de Tesorera

Realiza funciones para integrar la previsin y gestin de recursos de caja con las necesarias
aplicaciones financieras y logsticas. Proporciona las herramientas necesarias para analizar la
presupuestacin, asientos contables electrnicos, anlisis del mercado de divisas, entre otros.
4.1.3
CO Costos (Controlling)
CO - OM-CEL
CO - OM-CCA
CO - OM-OPA
CO - PC
CO - PA
EC - PCA
Contabilidad de Clases de Coste

Contabilidad de centros de coste
rdenes Internas
Costos de Produccin- Contabilidad de costos
del Producto
Anlisis de Rentabilidad
Contabilidad de Centros de Beneficio
Cdigo: TIC-D02
Versin: 00
Pgina 12 de 55

GESTIN DE CALIDAD
MANUAL SISTEMA SAP
Alcance funcional del Proceso Controlling

Las funciones de este mdulo estn diseadas para una efectiva contabilidad interna de costos y
ganancias (Contabilidad Analtica).
El mdulo de Controlling proporciona la informacin para facilitar las decisiones de gestin.
Facilita la coordinacin, el control y la optimizacin de todos los procesos en una empresa. Esto
implica registrar tanto el consumo de los factores de fabricacin como los servicios suministrados
por una empresa.
El modulo CO se utiliza para representar la estructura de costos de la empresa y los factores que
tienen influencia en los mismos, lo que genricamente se conoce como contabilidad interna de las
compaas
Adems de documentar sucesos reales, la tarea principal de Controlling es la planificacin. Puede
determinar desviaciones mediante la comparacin de datos reales con datos de plan. La
determinacin de dichas desviaciones permite controlar flujos empresariales.
Las cuentas de explotacin, como la que corresponde al clculo del margen de cobertura, se utilizan
para controlar la rentabilidad de reas concretas de una organizacin y de la organizacin completa
Integracin
Controlling (CO) y Gestin financiera (FI) son componentes que funcionan de forma autnoma
dentro del sistema SAP. El flujo de datos entre los dos componentes se efecta a intervalos
regulares.
As pues, todos los datos pertinentes a los Costos fluyen automticamente desde la Gestin
financiera hacia Controlling. Asimismo, el sistema asigna Costos e ingresos a objetos de imputacin
a cuentas CO, como centros de Costo, procesos empresariales, proyectos u rdenes. En Controlling
se gestionan las cuentas correspondientes de la Gestin financiera como clases de Costo o clases de
ingreso. Esto permite comparar y reconciliar los valores de Controlling y de la Gestin financiera.
Dentro de los componentes de SAP el Modulo CO, cuenta con funcionalidades o submodulos que le
permiten a la Empresa Gestionar los Ingresos, Costos y Gastos.
4.1.4
SD Ventas y Distribucin (Sales and Distribution)
SD-BF
SD-BF-PR
SD-BF-CM
SD-BF-OC
SD-SLS
SD-BIL
SD-IS-REP
Basic Functions and Master Data

Pricing and Conditions
Credit and Risk Management
Output Determination
Sales
Billing
Reports and Analyses
Funciones Bsicas
Determinacin de precio y condiciones
Gestin de crditos y de riesgos
Determinacin de mensajes
Gestin de Ventas
Facturacin
Sistemas de Informacin
Cdigo: TIC-D02
Versin: 00
Pgina 13 de 55

GESTIN DE CALIDAD
MANUAL SISTEMA SAP
SD-MD
SD-XX
SD-FT
Datos Maestros
Gestin de exportaciones
Foreign Trade / Customs
Alcance funcional del Proceso de Ventas y Distribucin
Proveedores
y socios
Desarrollo
Planeacin
Compras
Produccin
(Fabricacin
contra
inventario)
Ventas
Produccin
(Fabricacin
bajo pedido)
Distribucin
Orden de venta al Recaudo

(Fabricacin contra inventario)
Oferta a un cliente
Gestin de pedidos de cliente
Venta contra almacn
Terceros con / sin aviso de entrega
Tratamiento de pedidos de clientes
potenciales
Proceso de exportacin de
comercio exterior
Tratamiento de pedidos de clientes
con anticipo
Gestin de crditos
Lean Warehouse Management
Facturacin de acuerdo a la
normatividad
Apliacin del Recuado
Gestin de Cartera
Orden de Venta al Recaudo
(Facturacin bajo pedido)
Fabricacin contra pedido SIN
configuracin de variantes
Ventas de artculo comprado
Fabricacin contra pedido CON
configuracin de variantes
Otros Egresos, Crditos, Dbitos,
Cierre de Ventas
Tratamiento de pedidos de cliente
multisociedad
Tratamiento de artculos en
consigna
Entrega gratuita
Gestin de embalajes en prstamo
Servicios Clientes
Cdigo: TIC-D02
Versin: 00
Pgina 14 de 55

GESTIN DE CALIDAD
MANUAL SISTEMA SAP
Creacin de nota de Cargo

Creacin de Abonos
Cierre de operaciones en ventas
Gestin de Devoluciones
Devoluciones y Reclamaciones
Recuperacin de Lotes
El mdulo de Ventas y Distribucin es una Herramienta utilizada para la administracin de todo el

proceso Comercial y logstico con clientes, soportando el crecimiento comercial de cualquier lnea
de negocio.
El proceso comercial de SAP empieza con la creacin y actualizacin de relaciones con el cliente y
finaliza con la facturacin de la entrega de mercancas o el servicio proporcionado al cliente. La
contabilizacin de los pagos recibidos, forma parte del componente Contabilidad financiera del
Sistema SAP.
El ciclo Gestin de pedidos de cliente puede empezar con las actividades preventa. Como parte de la
gestin de pedidos de cliente, se crea un documento de ventas.
Durante el aprovisionamiento, el Sistema SAP determina el proveedor de mercancas, en funcin de
los datos almacenados en el sistema. Como parte de la gestin de expedicin, se organiza y se lleva
a cabo la entrega de mercancas.
En la gestin de facturacin, se crea la factura y se trasladan todos los datos necesarios a Finanzas.
Como parte de la gestin de pagos, se comprueban las partidas abiertas y se contabilizan los pagos
recibidos.
4.1.5
MM Gestin de Materiales (Materials Management)
MM-MRP
MM-CBP
MM-PUR
MM-SVR
MM-IM
MM-WM
MM-IV
MM-IS
LO MD
LO LIS
MM-FT-IMP
Planificacin de necesidades de materiales

Consumption-Based Planning
Purchasing
External Services Management
Inventory Management
Logistics Invoice Verification
Information System
Gestin de Compras
Gestin de servicios
Gestin de Inventarios
Gestin de almacenes
Verificacin de Facturas
Sistema de Informacin
Gestin de Datos Maestros
Sistema de informacin para logstica
Gestin de Importaciones
Cdigo: TIC-D02
Versin: 00
Pgina 15 de 55

GESTIN DE CALIDAD
MANUAL SISTEMA SAP
El mdulo de SAP Materials Management, comnmente llamado MM, administra y controla los
materiales y servicios de la organizacin. Es decir, participa dentro del proceso de una organizacin
desde que surge la necesidad de compra de un material / servicio hasta que el mismo es recibido /
consumido, y finalmente facturado.
Alcance funcional del Gestin de Materiales
Proveedores
y socios
Desarrollo
Planeacin
Compras
Produccin
(Fabricacin
contra
inventario)
Ventas
Produccin
Distri/
(Fabricacin
bucin
bajo pedido)
Servicios
Clientes
Del abastecimiento al pago

Oferta y/o Contrato de
Aprovisionamiento
Aprovisionamiento sin calidad
Creacin de un pedido para
bienes de consumo
Aprovisionamiento y consumo de
stock de artculos en consigna
Gestin de calidad para
aprovisionamiento
Aprovisionamiento y/o Servicios
de aprovisionamiento externo de
terceros
Recibo a satisfaccin
Registro de la factura de acuerdo
a la normatibilidad
Programacin de pagos y
generacin de medios
Otros ingresos y
devoluciones
Devolucin al
proveedor
Subcontratacin
Transferencia y gestin de inventarios
Traslado con entrega
Traslado sin entrega
Gestin de stocks: renovacin, rechazo, bloqueo
Gestin de lotes
Inventario / recuento y ajustes de inventario
Aprovisionamiento interno: traslado de stock multisociedad
El objetivo del mdulo MM-Administracin de materiales es proporcionar un soporte detallado de

las actividades diarias de consumo y aprovisionamiento de materiales en los procesos de
produccin, incluidos la energa y los servicios.
Planificacin de las necesidades sobre consumo (MM-CBP) La funcin principal es la de
supervisar stocks y crear automticamente propuestas de pedidos para el departamento de compras y
fabricacin.
Cdigo: TIC-D02
Versin: 00
Pgina 16 de 55

GESTIN DE CALIDAD
MANUAL SISTEMA SAP
Compras (MM-PUR) las tareas incluyen aprovisionamiento externo de materiales y servicios,

determinacin de posibles fuentes para provisin, supervisin de entregas y pago a proveedores
Gestin de Servicios (MM-SRV) Ofrece el soporte necesario al ciclo completo de licitacin: la
fase de concesin de pedidos y la aceptacin de servicios, as como el proceso de verificacin de
facturas.
El ciclo de aprovisionamiento tpico para una prestacin de servicio o un material comprende las
siguientes fases:
1.
2.
3.
4.
5.
6.
7.
8.
4.1.6
Determinacin de necesidades
Determinacin de la fuente de aprovisionamiento
Seleccin del proveedor
Gestin de pedidos
Control de pedidos
Entrada de mercanca
Verificacin de facturas
Gestin de pagos
PP Planeacin de la produccin (Production Planning and Control)
PP BD
PP SOP
PP MRP
PP SFC
PP -MP
PP- CRP
PP- PC
PP - IS
PP - CFG
PP -REM
Basic Data
Sales & Operations Planning
Material Requirements Planning
Production Orders
Master Planning
Capacity Planning
Datos Bsicos
Planificacin de la produccin ventas
Planeacin de requerimiento de Materiales
rdenes de fabricacin
Plan Maestro
Plan de capacidades
Costes de productos
Sistema de informacin
Configuracin de producto
Repetitive Manufacturing
Alcance funcional del Proceso de Produccin

Proveedores
y socios
Desarrollo
Planeacin
Compras
Produccin
(Fabricacin
contra
inventario)
Ventas
Produccin
(Fabricacin
bajo pedido)
Distribucin
Servicios
Planeacin
Planificacin de Ingresos
SOP a travs de transferencia de la planificacin a largo plazo a LIS/PIS/capacidad
Planificacin del precio de material de compra
Planificacin general de centros de costo
Planificacin de centros de costo de Fabricacin
Planificacin de I+D en ordenes internas
Clculo del costo estndar
Clientes

GESTIN DE CALIDAD
MANUAL SISTEMA SAP
Cdigo: TIC-D02
Versin: 00
Pgina 17 de 55
Plan trimestral: previsin de cantidades de ventas con CO-PA

Ordenes internas para planificacin de mercadeo y de otros gastos generales
Clculo del costo por componente
El Proceso de Planificacin de la Produccin PP es el encargado dentro de SAP de realizar la

planificacin, programacin, ejecucin a travs de rdenes (de fabricacin, rdenes de proceso o
fabricacin repetitiva) y contina con los diferentes procesos que tienen que ver con el rea de
fabricacin de la compaa
El ciclo de fabricacin comienza cuando se crea entonces una necesidad, esta necesidad se debe
suplir y para ello se planea como hacerlo. Entonces se generan rdenes de fabricacin que pueden
ser rdenes para fabricacin discreta u/o rdenes de fabricacin continua, en los cuales el proceso se
determina mediante tiempos automticos de fabricacin y notificacin a travs de tiempos, con el
consecuente consumo de recursos y materiales que integran la lista de materiales escogida para
fabricar el producto. El ciclo termina con la liquidacin de la orden de produccin.
Integracin
El proceso debe garantizar una perfecta integracin entre:
Gestin de materiales (MM)
Representacin de todos los procesos necesarios para la gestin de piezas o materiales.
Aprovisionamiento externo de materiales y servicios.
Funciones de gestin de stocks.
Gestin de piezas de reserva que deben renovarse.
Planificacin de produccin y control (PP)
Suministro de datos sobre actividades de mantenimiento o reparacin realizadas en los puestos
de trabajo de Fabricacin mediante la tabla de planificacin grfica.
Gestin financiera (FI)
Gestin de datos de deudor y acreedor.
Creacin y verificacin de facturas.
Controlling (CO)
Supervisin, distribucin y evaluacin de Costos de la empresa internos que se originan por
las actividades.

GESTIN DE CALIDAD
MANUAL SISTEMA SAP
4.1.7
Cdigo: TIC-D02
Versin: 00
Pgina 18 de 55
QM Gestin de la Calidad
QM
QM - MD
QM - PT
QM IM
QM QC
QM CA
QM - QN
Quality Management
Quality Planning
Quality Inspection
Quality Control
Quality Certificates
Quality Notifications
Gestin de la Calidad
Datos Maestros
Herramientas de planificacin
Proceso de inspeccin
Control de calidad
Certificados de calidad
Notificaciones de calidad
Alcance funcional del Proceso de Gestin de la Calidad

Datos Bsicos: Creacin de los datos necesarios para la gestin de calidad, maestro de materiales,
planes de inspeccin, catlogos, caractersticas de inspeccin, mtodos de inspeccin,
procedimientos de inspeccin.
Gestin de calidad en compras: Procesos para poder realizar una entrada de compras con
generacin de inspecciones de calidad, toma de resultados, aceptacin de lote y evaluacin de
proveedores.
Gestin de calidad en fabricacin: Procesos para gestionar la calidad durante la fabricacin.
Inspecciones por proceso, inspecciones por producto (con y sin puntos de inspeccin), gestin y
muestras.
Gestin de calidad en ventas: Incluye la emisin de un certificado de calidad durante la expedicin
de una entrega de ventas
4.1.8
CS Servicio al cliente
CS - MD
CS
Datos Maestros
Gestin de Ordenes de Servicio
Alcance funcional del Proceso de Servicio al Cliente

SAP CS (Customer Service) comprende una gama completa de procesos que van desde la entrada de
avisos de servicio a la planificacin y el tratamiento, la terminacin y la facturacin de los costes
incurridos.
Cuando se solicita una prestacin de servicio, contestar utilizando una de las siguientes opciones:
Cdigo: TIC-D02
Versin: 00
Pgina 19 de 55

GESTIN DE CALIDAD
MANUAL SISTEMA SAP
Aviso de servicio:
El aviso de servicio no puede comportar costes ni ingresos, por lo tanto slo puede registrar y
procesar una prestacin de servicio solicitada en un aviso de servicio, si no deben documentarse ni
los costes de personal ni los costes de material. En este caso, no necesita crear una orden individual.
Puede describir la condicin de un objeto tcnico en el aviso de servicio.
Orden de servicio:
Si debe enviarse un especialista al cliente y es necesario planificar el material, las utilidades y el
personal para rectificar un problema, debe utilizar una orden de servicio para la gestin del servicio.
Un pedido de cliente puede crearse basndose en un plan de mantenimiento, un aviso de servicio o
un pedido de cliente.
Pedido de cliente:
Si deben enviarse piezas de recambio y otros materiales al cliente, pero no es necesario realizar una
planificacin, se utilizar el pedido de cliente para la gestin del servicio.
4.1.9
PM Mantenimiento de Planta
PM EQM
PM
PM PRM
PM WOC
Equipment and Technical Objects

Preventive Maintenance
Maintenance Order Management
PM WCM Work Clearance Management

PM IS
Information System
Equipos y objetos tc
Mantenimiento Correctivo
Mantenimiento Preventivo
Administracin de rdenes de
Mantenimiento
Gestin de descargos
Sistema de informacin
Alcance funcional del Proceso de Mantenimiento

Proveedores
y socios
Desarrollo
Planeacin
Compras
Produccin
(Fabricacin
contra
inventario)
Ventas
Produccin
(Fabricacin
bajo pedido)
Distribucin
Servicios
Clientes
Mantenimiento
Mantenimiento interno
Programacin de Servicios de Mantenimiento
El objetivo del mdulo PM Mantenimiento de Planta, es el de proveer una planeacin y el control

del mantenimiento de la planta a travs de la calendarizacin, as como las inspecciones,
mantenimientos de daos y administracin de servicios para asegurar la disponibilidad de los
sistemas operacionales, incluyendo plantas y equipos entregados a los clientes.
Cdigo: TIC-D02
Versin: 00
Pgina 20 de 55

GESTIN DE CALIDAD
MANUAL SISTEMA SAP
El Modulo PM encarga del control complejo de los sistemas de control de plantas. Incluye soporte
para disponer de representaciones grficas de las plantas y se puede conectar con sistemas de
informacin geogrfica (GIS), y contener diagramas detallados
El mdulo de PM, tiene implcitas todas las metodologas de mantenimiento existentes: RCM, RBI,
TPMetc., es utilizado como un SCM para administrar la gestin de Mantenimiento de manera
eficaz y efectiva.
Es una herramienta que por su integralidad con otros mdulos de SAP, permite controlar y
administrar los costos de las actividades de mantenimiento en la compaa ya sea que su trabajo de
mantenimiento sea propio, con Outsourcing o que la compaa preste servicios de mantenimiento a
sus clientes.
4.1.10 LE Ejecucin Logstica (Logistics Execution)
LE-TRA
LE-DSD
LE-SHP
LE-WM
LE-MOB
Task and Resource Management

Direct Store Delivery Backend
Shipping
Warehouse Management
Mobile Data entry
LE-TRM
Task and Resource Management
Gestin del Transporte
Sistema de Gestin de Almacenes

Soporte a la gestin de almacenes va
cdigo de barras y radio frecuencia
Alcance funcional del Proceso de Transporte

Proveedores
y socios
Desarrollo
Planeacin
Produccin
(Fabricacin
Compras
contra
inventario)
Ventas
Produccin
(Fabricacin
bajo pedido)
Distribucin
Servicios Clientes
Gestin del Transporte

Planificacin
Gestin del Transporte Notificacin
Determinacin de los costos del
transporte
El transporte es un elemento esencial de la cadena logstica. Afecta tanto a las mercancas de entrada
como a las de salida. La planificacin y gestin eficaz del transporte garantizan su envo puntual y
su llegada a tiempo. Los gastos de transporte tienen un papel esencial en el clculo del precio de un
producto. Es importante que los gastos de transporte sean mnimos para que el precio del producto
sea competitivo. La planificacin y gestin eficaz del transporte permiten mantener bajos los Costos.

GESTIN DE CALIDAD
MANUAL SISTEMA SAP
Cdigo: TIC-D02
Versin: 00
Pgina 21 de 55
El componente de transporte incluye funciones bsicas de la gestin de transporte:

Planificacin de transporte y despacho de expedicin
Clculo de gastos de transporte
Liquidacin de gastos de transporte
Clculo de gastos de transporte para clientes individuales
Facturacin del porte del cliente
Seleccin del agente de servicios
Gestin del medio de transporte y de las funciones
Seguimiento y supervisin de los transportes
Gestin de los gastos de transporte
Dentro de la gestin de almacenes (WM), podemos realizar las siguientes tareas:
Definicin fsica de almacn
Control de stock en ubicaciones
Control y realizacin de los movimientos de material (E/S, picking, traspasos, ajustes)
y aplicaciones de estrategias FIFO, LIFO
Trazabilidad de materiales y movimientos mediante Cdigos de Barras
El uso de transacciones SAP desde terminales RF es posible de la versin 4.6.
SAP WM se integra con terminales inalmbricas mediante unas transacciones estndar especficas
para el uso de radio frecuencia.
4.1.11 HCM Human Capital Management
HCM OM
HCM - PA
HCM - PT
HCM - PY
Personnel Management
Personnel Time Management
Payroll
Gestin de la Organizacin
Administracin de Personal
Gestin de Tiempos y Asistencia
Calculo de la Nomina
Alcance funcional del Proceso

La Estructura Organizacin (OM) permite desarrollar grupos de personal propuesto o real. El
mdulo permite establecer y actualizar en el sistema un modelo detallado de su organizacin,
tambin permite extraer informacin para apoyar los procesos de toma de decisiones de la sociedad
mediante las caractersticas de organigrama del mdulo
El sistema de Administracin de personal (PA) consiste en describir las jerarquas de organizacin y
las relaciones entre empleados, permitiendo el almacenamiento y la gestin de los datos de los
empleados, manteniendo su historial. Permite almacenar, visualizar y actualizar los movimientos
(medidas de personal) y datos de diferentes tipo de informacin (infotipos) de un empleado durante
su vida laboral.

GESTIN DE CALIDAD
MANUAL SISTEMA SAP
Cdigo: TIC-D02
Versin: 00
Pgina 22 de 55
La gestin de tiempos posibilita la representacin flexible de todos los procedimientos de personal

relacionados con el registro y la evaluacin de los datos de tiempos del empleado (vacaciones,
permisos, incapacidades, etc.).
El clculo de la nmina implica el clculo del pago del trabajo realizado por cada empleado. En un
sentido ms limitado, implica un gran nmero de procesos de trabajo que se han hecho inevitables a
causa de la creciente importancia de las obligaciones del empresario de facilitar proteccin social y
mdica, lo que abarca, desde la legislacin laboral, fiscal, de la seguridad social, civil y de
notificaciones de alta hasta los derechos a la informacin y a la informacin estadstica.
4.2
SAP BW Business Warehouse

BW
BEX
Business Warehouse
Business Explorer
Bodega de la Informacin
Query Designer
Analyzer
Alcance funcional del Proceso de Business Warehouse

Business Warehouse o SAP BW, que recientemente es llamado SAP BI o SAP Business Information
Warehouse es una de las herramientas que hace ms tiempo acompaa a SAP ERP, con el SAP
pretende cubrir otra de las necesidades de la organizacin, y precisamente es la necesidad de obtener
informacin confiable para la alta gerencia de la organizacin.
El datawarehouse de SAP bsicamente es un repositorio de la informacin transaccional del sistema
ERP, organizada de tal manera que se adapta mejor a las necesidades de reporting, disminuyendo los
tiempos de consulta y optimizando el uso de recursos de hardware.
En resumidas cuentas, es otra base de datos que peridicamente extrae informacin de operaciones
que se realizan sobre el sistema de gestin integral (ERP) con el fin que las gerencias puedan
obtener informacin sobre su gestin, definir escenarios futuros, y tomar decisiones.
Esta separacin se debe a que las consultas gerenciales no son de operaciones especficas, sino ms
bien sobre datos sumarizados. Por ejemplo: Las ventas mensuales de cada uno de los locales que
poseen, o las comisiones pagadas a cada vendedor anualmente, u otro tipo de consultas mucho ms
complicadas. Esta informacin es ms eficiente extraerla del sistema de operacin habitual a uno
distinto, sumarizarla previamente y ejecutar los reportes sobre la misma.
Sobre el sistema SAP BW los usuarios finales solamente ejecutaran consultas de informacin, y
emitirn reportes que pueden visualizarse en Microsoft Excel o en el Portal de SAP.

GESTIN DE CALIDAD
MANUAL SISTEMA SAP
4.3
Cdigo: TIC-D02
Versin: 00
Pgina 23 de 55
Estructura del Sistema SAP en Americana
Al adquirir SAP ERP, Americana entra a forma parte de la ms exclusiva lite de compaas
alrededor del mundo, y para trabajar el mejor software y ms completo ERP del mundo, necesita
tener la mejor estructura interna de soporte, generando un rea de trabajo que pueda mantener la
continuidad operativa de su solucin, integrando la mejor metodologa para procesos de soporte,
mejora continua, y seguridad de sus aplicaciones, PCs, servidores y redes, apoyando efectivamente
el 100% de las actividades informticas en la empresa.
Para poder dar cumplimiento a los objetivos trazados y teniendo en cuenta la gran cantidad de
mdulos y componentes instalados se ha estructurado el Sistema SAP de Americana en cinco
equipos interdependientes entre s: a saber:
Soporte funcional y procedimental
Soporte de Infraestructura
Administracin de Seguridad y Auditora
Capacitacin y Promocin Interna
Mantenimiento del sistema y mejora continua
Ellos debern proveer un soporte eficiente y competente, asegurar la mxima utilizacin de SAP,
expandir el sistema SAP a aquellas funciones y procesos donde su utilizacin agregue valor al
negocio adems de evaluar nuevos productos SAP y su beneficio para el negocio.
En los apartados subsiguientes se describe cada una de ellas y sus funciones:
SOPORTE FUNCIONAL Y PROCEDIMENTAL
Gracias a la tecnologa de SAP Best Practices se form, durante el Proyecto SAP Tierra Prometida y
Everest, el grupo de Lderes Funcionales especializados en cada uno de los mdulos implementados
y quienes tienen a su cargo:
Estabilizar la implementacin de SAP y los mdulos bsicos
Configuracin (parametrizacin) y personalizacin (inicial e implementacin)
Resolucin de problemas funcionales y procedimentales a los usuarios
Creacin del equipo de soporte para el mdulo a su cargo
Definicin de roles y perfiles y asignacin a cada uno de los usuarios
Creacin y mantenimiento del manual del Mdulo, ste debe contener:

-
Estructura funcional del modelo de negocio del mdulo

Parametrizacin y/o configuracin del mdulo

GESTIN DE CALIDAD
MANUAL SISTEMA SAP
Cdigo: TIC-D02
Versin: 00
Pgina 24 de 55
Descripcin detallada del funcionamiento del mdulo

Descripcin de las transacciones y su utilidad
Descripcin de los reportes
Funciones y responsabilidades en cada uno de los componentes de ser necesario
Mantenimiento de datos maestros y responsable
Descripcin de errores comunes y soluciones
Mantenimiento y actualizacin de procedimientos e instructivos
Mejoras y/o nuevas funcionalidades de SAP no estndares requeridas por el negocio y

mantenimiento (DESARROLLOS Z).
Debido a la afinidad de algunos mdulos y de tamao se crean los siguientes equipos para de Soporte
Funcional y Procedimental:
Financiero: FI / TR / CO
Ventas y Distribucin: SD / LE
Adquisiciones: MM
Produccin y Calidad: PP / QM
Servicio al Cliente y Mantenimiento: CS / PM
Talento Humano: HCM
SAP BI
Los lderes funcionales integrantes de cada equipo tienen la tarea de darle forma, entrenar a los
miembros y divulgar su funcionamiento (ver esquema general del soporte funcional).
Todos los mdulos disponen del Soporte Funcional de Consultora Organizacional.
El procedimiento de soporte funcional es el siguiente:

GESTIN DE CALIDAD
MANUAL SISTEMA SAP
5.1 Financiero: FI / TR / CO
Pendiente la elaboracin del documento por parte del equipo de soporte
5.2 Ventas y Distribucin: SD / LE

5.3 Adquisiciones: MM
5.4 Servicio al Cliente y Mantenimiento: CS / PM

5.5 Talento Humano: HCM

Cdigo: TIC-D02
Versin: 00
Pgina 25 de 55

GESTIN DE CALIDAD
MANUAL SISTEMA SAP
Cdigo: TIC-D02
Versin: 00
Pgina 26 de 55
5.6 SAP BI
6
SOPORTE DE INFRAESTRUCTURA
El Soporte de Infraestructura cubre los siguientes campos:
Gestin de recursos de comunicacin y seguridad con el Data Center de Consultora Organizacional
Mantenimiento de conexiones SAP Logon
Monitoreo de performance de canales de internet
Generacin de polticas de Seguridad en SAP en coordinacin con Consultora
Verificacin del cumplimiento de los servicios de Hosting contratados con Consultora Organizacional
Atencin y solucin de incidentes por disponibilidad del servicio SAP:
Lentitud en el sistema
Suspensin total o parcial del servicio
ADMINISTRACIN DE SEGURIDAD Y AUDITORA
7.1
SEGURIDAD (Usuarios, roles y perfiles)
La seguridad en un ambiente de estas caractersticas es vital para cualquier empresa y debe ser cuidado con el
mximo detalle.
En un sistema como el que describimos anteriormente se puede encontrar bsicamente toda la informacin del
da a da de la empresa, as como realizar operaciones de compra, venta, movimientos de stock, entre miles de
posibilidades. A causa de esto justamente es la necesidad de implementar restricciones en el acceso y la
generacin de esta informacin es crtica para la organizacin que cuenta con SAP.

GESTIN DE CALIDAD
MANUAL SISTEMA SAP
Cdigo: TIC-D02
Versin: 00
Pgina 27 de 55
Un empleado con acceso al sistema solo tiene que poder realizar las acciones que le corresponden
a su rol en la organizacin identificndose unvocamente en el sistema, y quedando registradas
sus actividades en el mismo.
Las tareas inherentes al equipo de Seguridad son:
Mantenimiento de usuarios: creacin, actualizacin, bloqueo/desbloqueo, cambios de claves,

vencimiento de accesos
Interaccin con el equipo funcional y usuarios clave para el papel / la gestin de perfiles.
o
o
o
Gestin de roles y perfiles

Gestin de autorizaciones y autorizaciones a objetos
Gestin de accesos a transacciones
Pruebas de roles, perfiles y autorizaciones.
De usuarios de SAP, el papel y la gestin de perfiles
El cumplimiento de SOX, SOD matriz y el cumplimiento de los requisitos de auditora
SAP de gestin de licencias y de auditora
SAP NetWeaver CUA y la gestin de identidad
7.1.1 Cmo funciona la seguridad en SAP?

1. El usuario ingresa en SAP R/3 y se le permite su acceso
2. Se cargan desde el maestro de usuarios los roles que el usuario posee (tabla AGR_USERS), a partir
de los mismos se obtienen los perfiles que tienen las autorizaciones para esos roles (AGR_1016).
Aunque es altamente probable que el sistema SAP directamente mir la tabla UST04 (usuarios y
perfiles). En caso de perfiles compuestos estos se encuentran definidos en la tabla UST10C. A su vez la
relacin entre autorizacin y perfiles est en la UST10S, y por ltimo los valores que se le otorgan a los
objetos de autorizacin se encuentran en la tabla UST12 (probablemente SAP internamente utilice
algunas otras tablas o no haga un uso de todas estas, pero es interesante repasarlo porque puede ser
de utilidad).
3- Esta informacin recopilada es almacenada en el buffer del usuario, el cual tiene para cada usuario
todas las autorizaciones que el mismo posee cuando est logueado en el sistema, esta informacin
puede consultarse para el propio usuario o para otro distinto mediante la transaccin SU56 o si se
necesita un mayor anlisis en la tabla USRBF2 (y vnculos a la tabla UST12).
4- A partir de este momento el usuario ya tiene acceso al sistema y todos sus permisos estn cargados.
El sistema se encuentra a la espera de una accin por parte del mismo.
5- El usuario decide ejecutar una transaccin, por ejemplo la FB02 (modificar documento contable).
6- SAP verifica SIEMPRE que el usuario en su buffer posea el permiso para la transaccin. Para esto
chequea que el objeto de autorizacin S_TCODE posea el campo TCD y entre sus valores se encuentre
el FB02. Este chequeo no depende de la transaccin si no que se ejecuta SIEMPRE que una es
llamada.
7- Si se posee el valor FB02 se permite la ejecucin del cdigo de la transaccin y se procede con el
mismo, en caso negativo se rechaza automticamente la solicitud informndole al usuario.

GESTIN DE CALIDAD
MANUAL SISTEMA SAP
Cdigo: TIC-D02
Versin: 00
Pgina 28 de 55
8- Dependiendo de la transaccin a ejecutar, la misma puede chequear como primera instancia (antes
de la ejecucin del cdigo) que se posea un objeto de autorizacin con un valor determinado para ms
de un campo. Este objeto, campos y valores se especifican en la definicin de la misma a travs de la
transaccin SE93 o la tabla TSTCA donde tambin pueden consultarse. Este chequeo acta igual que
el del cdigo de transaccin y se realiza previo a la ejecucin del programa correspondiente a la
transaccin. En el caso de la transaccin FB02 se chequea el objeto F_BKPF_BUK y la actividad
(campo ACTVT) con valor 02 (modificacin), el campo Sociedad (BUKRS) en esta instancia, no se
verifica ya que el valor de chequeo est en blanco). Cabe destacar que no todas las transacciones
realizan este chequeo inicial.
9- A partir de este momento se inicia la ejecucin del cdigo.
10- El cdigo ABAP de la transaccin se ejecuta hasta que dentro del mismo aparezca la instruccin
AUTHORITY_CHECK.
11- A travs de esta instruccin el programa verifica que los valores especificados para cada campo en
la misma se encuentren en el buffer del usuario que la ejecuta. En caso de tenerlos se permite que se
contine la transaccin y en caso de ausencia no se permite continuar o se bloquea el acceso a
determinada informacin. Es a decisin del programador de la transaccin en qu momento se realiza
el chequeo, a veces se verifica cuando uno ingresa un valor (por ejemplo la sociedad en la FB02) en
donde se verifica el mismo objeto que antes F_BKPF_BUK, pero pidiendo la actividad 02 (modificar) y la
sociedad para la cual va a realizarse la modificacin (BUKRS).
NOTA 1: Se debe tener en cuenta que los campos de un objeto de autorizacin siempre se verifican en
conjunto, es decir que la actividad 02 (modificar) solo autoriza a la Sociedad que se encuentra dentro de
la misma autorizacin. Podra ocurrir que dentro de un mismo rol se tenga permiso para modificar una
Sociedad pero solo para Visualizar otra. Por eso es importante tener en cuenta que estas se han
verificadas en bloque
NOTA 2: Es importante destacar que es posible y hasta habitual que un usuario tenga ms de un ROL
asignado, en este caso se produce lo que se conoce como suma de autorizaciones y esto quiere decir
que los valores solicitados de objetos de autorizacin pueden encontrarse en cualquiera de los roles
que el usuario tiene asignado. Ejemplo: Si en el rol 1 el usuario tiene el acceso a la transaccin FB02
(objeto S_TCODE), y en el objeto F_BKPF_BUK la actividad con valor 03 y la sociedad en 0001, pero el
programa solicite 02 y 0001 el usuario no podra ingresar a la transaccin. Ahora si agregamos un
segundo rol al usuario sin ningn objeto S_TCODE pero con el objeto F_BKPF_BUK con valor de
actividad 02 y sociedad 0001 el usuario ahora si va a poder tener acceso a ejecutar esta transaccin (el
primer rol le da el S_TCODE con FB02 y el segundo el F_BKPF_BUK con actividad 02)
Por ltimo cabe destacar que la transaccin FB02 necesita de otros objetos de autorizacin para ser
ejecutada pero el nombrado aqu fue solo a modo de ejemplo.
Es importante recordar que los mandantes poseen maestros de usuario distintos, esto quiere decir que en un
mismo sistema (DEV) un usuario puede tener acceso al mandante 200 pero no al 210, o puede acceder a
los dos pero con distintos permisos.

GESTIN DE CALIDAD
MANUAL SISTEMA SAP
7.1.2
Cdigo: TIC-D02
Versin: 00
Pgina 29 de 55
Administracin de usuarios
7.1.2.1 Tipos de Usuario en SAP

En todo sistema SAP hay 5 opciones para definir los tipos de usuario, con sus diferentes restricciones de
acceso y condiciones a la hora de ingresar al sistema. Es importante establecer correctamente los tipos de
usuario ya que no debera tener una configuracin similar un usuario final, un usuario de interfaz, o uno de
sistema, entre otras opciones.
Los 5 tipos de usuario en SAP son los siguientes:
1- Usuarios de Dilogo Dialog users (A)
Es el tipo de usuario con el que deben acceder normalmente los usuarios finales que necesitan interactuar
con el sistema a travs del SAP GUI. Todos los parmetros de logueo definidos son verificados al iniciar
sesin, como as tambin las restricciones de loguins mltiples. Normalmente la mayora de los usuarios de
nuestra organizacin deben estar encuadrados dentro de este tipo.
2- Usuarios de Sistema System Users (B)
Los usuarios definidos bajo esta tipologa son no interactivos, lo que significa que no pueden loguearse a
travs del SAP GUI al sistema. Comnmente son utilizados como usuarios de procesamiento por lotes,
workflow, procesos ALE, etc. Su contrasea solo puede ser cambiada por el administrador del sistema y se
permiten logueos mltiples. Uso interno dentro del mismo sistema.
3- Usuarios de Comunicacin Communication Users (C)
Utilizados para comunicacin RFC entre sistemas, son los comnmente utilizados para las interfaces con
otros sistemas. No es posible establecer logueos por parte de usuarios finales a travs del SAP GUI.
4- Usuario de Servicio Service User (S)
Es propicio para su utilizacin por parte de usuarios que requieren acceso annimo. No respetan las normas
de expiracin de contrasea y la misma solo puede ser cambiada por el administrador del sistema. Las
autorizaciones que se le otorguen al mismo deben ser mnimas y restringidas especficamente a la
necesidad por la que se cre el usuario. Su uso no es recomendable salvo necesidad especfica, ya que son
logoneables mediante SAP GUI.
5- Usuario de Referencia Reference User (L)
Este tipo de usuarios es poco utilizado en general. No admiten logons de dilogo y pueden ser utilizados
para traspasar sus autorizaciones al usuario que lo tiene como referente.
El esquema general de tipos de usuario es bastante simple, pero lo importante es aplicarlo correctamente
restringiendo a los usuarios batch o de sistema para que no puedan tener logon directo al sistema, y a los
usuarios de interfaz con su respectivo usuario de comunicacin.
Esto es importante ya que muchas veces los permisos de estos usuarios son demasiado amplios (debieran
restringirse, pero ese ya es otro tema), y sus contraseas pueden estar comprometidas al tener que ser
almacenadas en otros sistemas para su conexin.

GESTIN DE CALIDAD
MANUAL SISTEMA SAP
Cdigo: TIC-D02
Versin: 00
Pgina 30 de 55
7.1.2.2 Usuarios por defecto

Estos usuarios existen por diversos motivos, principalmente vinculados con el propio funcionamiento del
sistema, la instalacin o la configuracin del mismo.
Cualquier usuario creado por defecto por el sistema implica un riesgo, ya que a los mismos se les conocen
habitualmente varias vulnerabilidades. Lo primordial: cambiar sus contraseas por defecto y de ser posible
bloquear los usuarios sin borrarlos. Una buena forma de verificar preventivamente esto es ejecutar desde la
transaccin SA38 el report RSUSR003, el cual brinda la informacin sobre las contraseas por defecto de
estos usuarios.
7.1.3 Roles, perfiles, autorizaciones

7.1.3.1 Roles y permisos
Una vez que accedemos a SAP si nuestro usuario no tiene efectivamente ningn tipo de permiso al sistema
(solo el acceso) no vamos a poder realizar ninguna actividad sobre el mismo.
La manera de asignar estos permisos es a travs de Roles (alias Papeles, alias Grupos de Autorizacin).
Los Roles, son un medio para permitir que un usuario acceda a una transaccin o pueda ejecutar una
funcin determinada dentro de alguna transaccin.
Para entender el concepto hace falta explicar el concepto de Objeto de Autorizacin: Es un objeto que nos
brinda SAP como marco para crear Autorizaciones y es la unidad fundamental de la seguridad en SAP.
Un Objeto de Autorizacin tiene el siguiente formato:
Nombre del Objeto: S_TCODE (Permiso de acceso a las transacciones)
Campo: TCD (Cdigo de Transaccin)
Este es el objeto por excelencia (S_TCODE), en donde uno determina las transacciones a las que el usuario
debera tener acceso. Para ser ms claros:
Paso 1:
El usuario pfernandez necesita acceder a las transacciones SU01 (ABM de Usuarios) y SU10 (Gestin de
Usuarios en Lote)
Paso 2:
Ante la necesidad se crea un ROL de nombre Z: GESTION_USUARIOS al cual se le asignan las dos
transacciones en el men a travs de la transaccin PFCG.
Paso 3:
Automticamente SAP crea una autorizacin para el rol Z: GESTION_USUARIOS para el objeto
S_TCODE, al que le agrega en el campo TCD los valores: SU01 y SU10.
Paso 4:
Se asigna al usuario pfernandez el rol Z: GESTION_USUARIOS dndole a travs del mismo el acceso a
las transacciones SU01 y SU10
Paso 5:
El usuario pfernandez, accede al sistema con su usuario y contrasea y una vez dentro, ejecuta la
transaccin SU01.
Paso 6:

GESTIN DE CALIDAD
MANUAL SISTEMA SAP
Cdigo: TIC-D02
Versin: 00
Pgina 31 de 55
SAP analiza el pedido de ejecucin de la transaccin SU01, y se fija que entre los permisos de
pfernandez se encuentre el objeto de autorizacin S_TCODE con el campo TCD con el valor SU01. Si es
correcto permite el acceso a la transaccin.
Cabe destacar que el control del objeto S_TCODE est implcito en SAP y se realiza siempre que se llama a
una transaccin, por eso el objeto S_TCODE es tan popular dentro de la seguridad SAP
Esta explicacin es a fines educativos solamente, porque la generacin de un rol es mucho ms compleja
que los pasos seguidos anteriormente, pero da una idea general de como es el proceso.
Tambin recuerden que segn la versin de SAP con la que trabajemos a veces pueden llamarse Roles, o
pueden ser Grupos de Autorizacin o en algn lugar tambin pueden ser Papeles.
7.1.3.2 Perfiles de autorizacin

Antiguamente la seguridad de SAP era un poco ms rudimentaria que la actual, era manejada mediante
Perfiles de Autorizacin. Los perfiles no tienen una diferencia sustancial conceptual con lo que es un Rol,
simplemente las herramientas para trabajar con ellos eran ms limitadas (transacciones SU02, SU03).
Bsicamente un perfil era un conjunto de autorizaciones, y el perfil se le asignaba directamente a un usuario.
Ahora porque explicar que es un perfil si lo relatamos en pasado, como algo que ya no existe porque esto
no es tan as Al margen de las instalaciones ms viejas de SAP (4.0 y anteriores), en las versiones
actuales SAP trabaja con perfiles por debajo de los roles.
Qu quiere decir eso? Que lo que vemos como roles es simplemente una capa superior a la capa de
perfiles que est debajo solo que con la complejidad del manejo de perfiles simplificada porque lo hace SAP
automticamente.
Bsicamente por cada rol creado puede existir uno o ms perfiles creados automticamente por SAP que
van a ser los que efectivamente nos den las autorizaciones.
Por eso si ustedes van a ver las autorizaciones especficas van a encontrarse que tienen una pestaa de
Roles y otra de Perfiles (que su nombre empieza con la letra T y no pueden ser modificados manualmente) a
travs de los cuales tienen los permisos asignados.
Hasta ahora es bastante anecdtico el motivo por el que explico los perfiles, pero hay un motivo ms
profundo, todava pueden crearse perfiles manualmente y asignrselos a un usuario, o utilizar un perfil
creado anteriormente de la misma manera.
Y adicionalmente existen perfiles que vienen en la instalacin de SAP que pueden ser asignados a los
usuarios finales y que muchas veces contienen permisos sumamente amplios, como es el caso del famoso
perfil SAP_ALL.
El caso especfico del perfil SAP_ALL, que se trataremos ms adelante, bsicamente podemos decir que
nos brinda un acceso irrestricto al sistema a travs de sus permisos.
Aprovechando la introduccin del perfil SAP_ALL puedo contarles que existen a su vez perfiles simples y
perfiles compuestos, siendo la diferencia que los segundos son perfiles de perfiles, o perfiles que solamente
contienen otros perfiles dentro (con sus consiguientes autorizaciones)
Resumiendo Existen perfiles que son creados automticamente por SAP (T-*), existen otros que ya vienen
con el sistema y poseen autorizaciones sumamente amplias (SAP_ALL), y a su vez los perfiles pueden
contener dentro de si otros perfiles (perfiles compuestos).

GESTIN DE CALIDAD
MANUAL SISTEMA SAP
Cdigo: TIC-D02
Versin: 00
Pgina 32 de 55
Uno de los riesgos a tener en cuenta es que por cmo est dispuesta la pantalla donde uno consulta los
usuarios (una pestaa de roles y otra de perfiles) uno puede llegar a confundirse pensando que un usuario
no tiene ninguna autorizacin crtica mirando el contenido de la pestaa de roles, cuando en realidad si uno
revisara la pestaa de perfiles uno podra ver que adicionalmente tiene asignado por ejemplo, los permisos
de SAP_ALL.
Un error comn, algunos pueden llamarlo tonto, pero sepan que puede pasar. Igualmente ms adelante
vamos a ver maneras ms prcticas de revisar los permisos que efectivamente tiene un usuario.
Ejemplo de uso de la PFCG y vnculo de roles y perfiles
7.1.3.3 Roles derivados (Padres e Hijos, Herencia)

Ya sabemos que existen roles simples (los grupos de autorizacin), otros que pueden ser compuestos (los
roles que contienen roles simples, una suerte de grupo), pero hasta ahora no habamos odo hablar de Roles
Derivados o Herencia de Roles.
Los Roles Derivados son un concepto muy vinculado con los niveles organizacionales. Ya que bsicamente
nos permiten definir un Rol como Padre, y despus un conjunto de Hijos que van a heredar de este algunas
caractersticas.
Entre estas caractersticas los hijos van a heredar los cdigos de transaccin que el padre posea, como as
tambin (si estn definidos) los valores de los objetos de autorizacin. Pero ah se encuentra la diferencia
con una simple copia de roles Van a heredar todos los valores MENOS los que estn definidos como
niveles organizacionales, estos ltimos van a variar de cada hijo en hijo. Esto resulta muy til a la hora de
crear permisos abiertos por locacin geogrfica o por departamento dentro de la organizacin, o por
cualquier criterio para el que se hayan definido criterios como Sociedad, Divisin, Centro, Organizacin de
Compras, etc. De esta manera estos roles compartirn por ejemplo, las actividades que pueden realizarse
sobre una Sociedad, pero no la Sociedad sobre las que pueden realizarse.
Por ejemplo:
Podramos tener un rol de nombre
Z: ANLS_CBLE como padre,
y dos hijo llamados
Z: ANLS_CBLE-1000 y
Z: ANLS_CBLE-2000
Cada uno con permisos a una sociedad distinta. El da de maana en caso de necesitarse una modificacin
en la funcionalidad, solo se tocaran los roles padre y la misma se distribuira en los roles hijos.
Cuando estn trabajando con este tipo de roles, podrn apreciar que en los hijos no pueden realizarse
inclusiones de nuevas transacciones, ya que SAP limita esto y solo pueden realizarse en el padre y
heredadas en los hijos.
Cdigo: TIC-D02
Versin: 00
Pgina 33 de 55

GESTIN DE CALIDAD
MANUAL SISTEMA SAP
7.1.3.4 Metodologa de Construccin de Roles

A lo largo de un proyecto de implementacin de SAP o una reingeniera de la seguridad del sistema nos
encontramos con distintas tareas a realizar para construir los roles que le sean funcionales a la organizacin.
Aqu se muestra una alternativa metodolgica para trabajar utilizada en varios proyectos exitosos de
implementacin de la seguridad de SAP.
Identificacin de
roles
Seleccin
de
transaccione
Anlisis de
razonabilidad y
evaluacin de
segregacin de
funciones
Definicin
de variantes
Prueba de
seguridad
Aprobacin
funcionamiento
del rol
Asignacin
de usuarios
Evaluacin de
segregacin de
funciones
Etapa 1 Identificacin de Roles

Entradas
Tareas
Salidas
Actores
Mapa de Procesos de la organizacin

Una vez que los procesos se encuentran modelados se comienzan a identificar
las actividades indivisibles que pueden ser agrupadas en roles. A su vez sobre
estos roles se realizar un primer anlisis de segregacin de funciones para
detectar
de procesos con roles asignados a las actividades
Analistas de Procesos, Analistas Funcionales SAP, Usuarios Clave, Control
Interno, Administracin de Seguridad.
Etapa 2 Seleccin de Transacciones

Entradas
Tareas
Salidas
Actores
Mapas de procesos con roles asignados a las actividades

Definicin de transacciones necesarias para ejecutar las actividades definidas en
el mapa de procesos. Armado de roles y anlisis de Segregacin de Funciones
por cdigo de transaccin. Apertura de roles de negocio en roles del sistema de
acuerdo a las necesidades de mantenimiento u optimizacin (agrupar actividades
de visualizacin, incorporar reportes necesarios para ejecutar la actividad
principal, etc.)
Definicin de roles del sistema con sus respectivas transacciones. Planilla de
Roles, Transacciones y Objetos de Autorizacin a completar.
Analistas Funcionales SAP, Control Interno, Administracin de Seguridad

GESTIN DE CALIDAD
MANUAL SISTEMA SAP
Cdigo: TIC-D02
Versin: 00
Pgina 34 de 55
Etapa 3 Definicin de Variantes

Entradas
Tareas
Salidas
Actores
Definicin de roles del sistema con sus respectivas transacciones. Planilla de Roles,
Transacciones y Objetos de Autorizacin a completar.
Elaboracin de una planilla de criterios de apertura por niveles organizativos u otras
necesidades especficas. Definicin de las necesidades de apertura basndose en
la confidencialidad, requerimientos del negocio, distribucin geogrfica, y control
interno. Construccin de las variantes.
Variantes de rol construidas y listas para las pruebas.
Usuarios Clave Control Interno, Administracin de Seguridad, Analistas Funcionales
SAP (apoyo)
Etapa 4 Prueba de Roles

Entradas
Tareas
Roles y variantes construidos (al menos uno de prueba).

Elaboracin de los casos de pruebas positivas y negativas (que no tiene que poder
hacer). Ejecucin de las pruebas. Registracin de resultados y correccin de errores.
Salidas
Actores
Roles Aceptados y Construidos.

Usuarios Clave, Control Interno, Administracin de Seguridad, Analistas Funcionales
SAP.
Etapa 5 Asignacin a Usuarios

Entradas
Tareas
Salidas
Actores
de Roles y Variantes (Puede comenzar el relevamiento de asignacin antes de la

finalizacin de la prueba)
Relevamiento de asignacin de usuarios a roles. Puede hacerse un relevamiento
previo para validar el criterio de roles con el negocio, y luego abrirlo en las variantes
respectivas. Anlisis de Segregacin de funciones en la asignacin.
Seguridad creada y documentada
Usuarios Clave, Control Interno, Administracin de Seguridad.
Comentarios sobre el proceso:

- Es de suma importancia incorporar una actividad anterior a todas estas etapas, involucrando a los
participantes del proyecto desde el lado funcional, para comentarles como es el proceso, cul sera su
participacin y el grado en que debern involucrarse en el proceso. Del xito, y la comprensin de esta
charla depender mucho el xito final del proyecto.
- Las dos revisiones de segregacin de funciones a lo largo del proyecto atacan problemas distintos. El
primero trata que los roles en s mismos no contengan problemas de segregacin, de ser as, la simple
asignacin del rol estara dndole un problema al usuario al que se le asigna. Este caso no puede ocurrir
nunca porque implicara una mala definicin del rol por parte de los responsables. La segunda revisin es ya
para controlar que a un usuario no se le presenten problemas de segregacin de funciones por poseer ms
de un rol y estos entren en conflicto entre s, y es distinto al control anterior.

GESTIN DE CALIDAD
MANUAL SISTEMA SAP
Task
Cdigo: TIC-D02
Versin: 00
Pgina 35 de 55
Information
Maintain users (create, change, delete, and so

on)
User Maintenance Functions
Maintain roles (create, change, delete, and so

on)
Role Maintenance Functions
Assigning roles to users
Assigning Roles
Mass changes of user data
Mass Changes
Logging off inactive users
Logging Off Inactive Users
Maintain Internet users
Creating and Maintaining Internet Users
Setting Password Controls
Logon and Password Security in the SAP

System
7.1.4 El sistema de transporte en SAP (Control de Cambios)

El sistema de transporte en la plataforma SAP es de suma importancia desde el punto de vista de la
seguridad. A travs del mismo nos garantizamos la separacin de los ambientes, y el control de cambios. A
continuacin hacemos una introduccin a los principales aspectos del mismo; el control de cambios es tan
necesario en el desarrollo de un sistema informtico, como el sistema mismo. Un control estricto y una
gestin de la configuracin eficiente, disminuye los riesgos en el proyecto y las posibilidades de xito
aumentan considerablemente.
Mediante el sistema de transporte nosotros vamos a realizar el traspaso de datos, estructuras, programas,
parametrizaciones, roles, etc. entre los distintos ambientes, a travs de lo que en SAP se conocen como
rdenes de transporte.
Las rdenes de transporte son la estructura en la que se almacena la informacin a transportar, las mismas
estn constituidas por tareas individuales (pueden tener una sola) las cuales deben asociarse a usuarios
individuales, los cuales adjuntaran sus modificaciones en las mismas.
Cuando uno modifica un objeto en el sistema (ABAP, Customizing, etc.) el tipo de objeto es seleccionado
automticamente y se solicita una orden de transporte la cual si uno posee los permisos puede crearla, o
simplemente asignarla a una orden ya creada que tengamos asignada con su correspondiente tarea.
Siempre dependiente de los permisos que poseamos (S_CTS_ADMI) podramos reasignar ordenes de otros
usuarios, crear rdenes para otros usuarios, etc.
Una vez creada la orden o asignadas las modificaciones a una tarea, la misma debe liberarse para que sea
incluida en la orden y la misma pueda procesarse, la documentacin que se desee debe incluirse antes de
liberar la tarea. A su vez la orden tambin necesita ser Liberada por la persona con la responsabilidad y los
permisos adecuados para hacerlo, para poder realizar esta tarea deben estar todas las tareas de la misma
liberadas.

GESTIN DE CALIDAD
MANUAL SISTEMA SAP
Cdigo: TIC-D02
Versin: 00
Pgina 36 de 55
Cuando la orden es liberada, el sistema se encarga de guardar el versionado de los objetos involucrados,
desbloquear los objetos tomados por la orden, y guardados los archivos de datos en el directorio
correspondiente del sistema operativo, a su vez se marca la orden como import en el sistema destino.
Dentro del Transport Organizer (SE09) se realizan todas las tareas de liberacin y monitoreo de las
rdenes. Adicionalmente puede utilizarse como sistema de consulta la transaccin SE03.
Dentro del workflow de transporte debe incluirse la verificacin de tablas, programas, y dems objetos
modificados, para verificar que los cambios que se realizan no afectan la seguridad e integridad del sistema.
Los objetos de autorizacin que principalmente regulan el comportamiento del usuario respecto al sistema
de transportes son el S_CTS_ADMI para las funciones administrativas y el S_TRANSPRT, en lo referente a
las autorizaciones de crear, modificar y liberar rdenes y tareas.

GESTIN DE CALIDAD
MANUAL SISTEMA SAP
Cdigo: TIC-D02
Versin: 00
Pgina 37 de 55
7.1.4.1 El sistema de transporte en SAP

Vamos a describir los objetos de autorizacin relacionados con el sistema de transporte de SAP y dar una
breve descripcin de los mismos y sus posibilidades de configuracin.
Principalmente los objetos de autorizacin que ms nos van a interesar son:
S_TRANSPRT
Permite realizar tareas de creacin, administracin y visualizacin de rdenes de transporte, usualmente
poseen distintos permisos al mismo los desarrolladores, parametrizadores, lderes, y administradores de
transporte.
Los campos son Actividad (ACTVT) y Request Type (TTYPE) en base a los cuales podemos definir distintas
actividades a realizar dependiendo del tipo de Orden (Request)
Las actividades son:
01: Agregar o Crear
02: Modificar
03: Visualizar
05: Bloquear
06: Borrar
43: Libera
50: Cambiar el mandante de origen
60: Importar
65: Reorganizar
75: Liberar otras rdenes
90: Cambiar Dueo
Los principales tipos de orden pueden ser (TTYPE):
CLCP: Copia de Cliente
CUST: Orden de Customizing
DLOC: Orden local
DTRA: Orden transportable
MOVE: Relocation transports (all three types)
TASK: Tareas
TRAN: Transporte de Copias
De esta manera, si queremos definir solo permisos de visualizacin sobre las rdenes podemos establecer
la actividad en 03 para todos los tipos de orden.

GESTIN DE CALIDAD
MANUAL SISTEMA SAP
Cdigo: TIC-D02
Versin: 00
Pgina 38 de 55
O configurar solo la modificacin de tareas, o la liberacin de las rdenes de customizing (CUST) o

workbench (DTRA) de manera de que un rol solo pueda utilizar tareas previamente creadas y asignadas y el
otro tenga el permiso de generar las rdenes y tareas, o reasignarlas.
S_CTS_ADMI
El otro objeto que entra en juego en la administracin es el S_CTS_ADMI que posee un solo campo
(CTS_ADMFCT) que representan tareas a las que se tiene permiso de ejecucin.
Estas pueden ser:
TABL - Modificacin de rutas de transporte (importante resguardar esta autorizacin y no darla
indiscriminadamente)
INIT Iniciar el sistema de transporte despus de una copia de mandante
SYSC Permite definir el nivel de cambios en la transaccin SCC1 y parametrizar el sistema de
transporte
IMPT Permiso de Import, aunque su uso ya no debiera aplicarse ya que existen cdigos ms
especficos que detallamos a continuacin.
IMPA - Importar todas las rdenes de transporte de la cola de import.
IMPS Importar las rdenes de transporte al sistema destino individualmente.
INBX - Tratar el pool de trabajo de TMS Workflow
TADD - Transmitir rdenes de transporte a una cola de import (addtobuffer).
TDEL - Borrar rdenes de transporte de la cola de import.
TQAS - Activar o borrar rdenes de una cola de import
TADM -Ejecutar comandos del programa para control de transportes.
QTEA Autorizacin para realizar transportes al sistema productivo.
En base a las mismas puede definirse una correcta segregacin de funciones de las actividades
diferencindose al encargado de requerir el cambio, el que ejecuta la tarea, el que la libera en un ambiente,
el que la importa en otro y as segn las necesidades puntuales de control que la organizacin requiera.
7.1.5 SAP ALL o Permisos Amplios

El perfil SAP_ALL, es un permiso del cual, si trabajamos con SAP lo vamos a escuchar nombrar
innumerables veces, y ms de una vez puede producir que abramos los ojos en sobremanera!
Este permiso bsicamente consta de todas autorizaciones posibles en SAP ECC (Enterprise Central
Components) con lo cual quien tenga este perfil asignado a su usuario va a poder realizar cualquier actividad
sobre el sistema.
El perfil es un perfil compuesto (por el nmero de autorizaciones que tiene no puede ser un perfil simple), el
cual otorga acceso a todas las transacciones del sistema y posee valores amplios (*) en todos los objetos de
autorizacin estndar.

GESTIN DE CALIDAD
MANUAL SISTEMA SAP
Cdigo: TIC-D02
Versin: 00
Pgina 39 de 55
La problemtica oculta tras este perfil es que muchas veces vamos a escuchar que es indispensable para
realizar tareas de administracin del sistema, entre otras cosas.
Esto NO es as, si bien escasos (muy escasos) procesos deben obligatoriamente ejecutarse con permisos
sumamente amplios ms veces el requerimiento obligatorio es del usuario SAP*, que del perfil SAP_ALL.
Con lo cual este solo debiera ser incorporado en el proceso de cambios de emergencia de ser necesario, y
no como un permiso habitual asignado a los usuarios de administracin (o cualquier otro).
Usted confiara en un Jr de Sistemas para que tenga todos los permisos en el sistema? Para que apruebe
las rdenes de compra? Para que las haga? Para que ejecute pagos?
7.1.6 Seguridad en la ejecucin de programas

A la hora de asegurar la ejecucin de actividades sobre el sistema SAP habitualmente nos acordamos de
restringir el acceso a determinadas transacciones, objetos de autorizacin, etc.
Pero muchas veces, por necesidades incorrectamente satisfechas al momento de la implementacin, o por
un apresurado mantenimiento del cdigo, entre otras posibilidades, quedan puertas abiertas que podran
permitir la ejecucin de actividades no deseadas en el sistema.
Personalmente, pienso que muchas de estos permisos se dan por inconsciencia, o desconocimiento de lo
que se est autorizando por parte de los dueos o responsables de los datos. Ya que ellos conocen la
informacin que quieren restringir, pero no conocen los medios por los que se puede acceder a la misma.
Cuantas veces uno habr escuchado: Los sueldos solo los pueden ver un grupo reducido de personas, y
por otro lado se entregan los permisos de visualizacin de tablas indiscriminados, el debug con modificacin
de variables, la ejecucin libre de programas, entre tantos otros.
Hablando de estas posibilidades, una de ellas es la de permitir la ejecucin directa de programas en el
ambiente de produccin. Para muchos puede sonar a una atrocidad, pero otros probablemente digan que
ven esa posibilidad habitualmente habilitada en su sistema.
Principalmente estamos hablando de las transacciones SA38 y SE38.
A veces encontramos que los programadores pueden acceder a produccin con estos permisos, otras veces
los parametrizadores, e incluso otras veces hasta los usuarios finales, con el inocente fin de poder Ejecutar
un reporte.
El primer tema a plantear a la hora de resolver estos inconvenientes es el de que todo desarrollo para ser
ejecutado en un ambiente productivo debera tener asignado un cdigo de transaccin. Como
administradores de seguridad deberamos exigir el cumplimiento de esto, ms siendo que la tarea de utilizar
la transaccin SE93 para crear un cdigo no demanda ms de 1 minuto. De esta manera podramos
restringir la ejecucin de cualquier programa como si una transaccin estndar se tratara.
Ahora el segundo caso es cuando no podemos lograr esto, ya sea por falta peso de nuestro sector, o porque
las necesidades organizacionales son otras (casos puntuales, ejecucin de programas estndar, pedidos
ridculos pero con suficiente peso, etc.). Ante esta situacin lo ideal es no brindar permisos excesivos.
La ejecucin de programas est restringida por el objeto S_PROGRAM, el cual tiene un grupo de
autorizacin de programas y un cdigo de accin posible (SUBMIT Ejecutar un programa, BTCSUBMIT
Ejecutar como proceso de fondo, VARIANT Ejecutar con una variante)

GESTIN DE CALIDAD
MANUAL SISTEMA SAP
Cdigo: TIC-D02
Versin: 00
Pgina 40 de 55
Lo primordial es la utilizacin de este grupo de autorizaciones, el cual puede definirse en la misma

transaccin SE38 a la hora de crear el programa. Pero hay que tener en cuenta que un nmero importante
de programas estndar de SAP NO TIENEN GRUPO DE AUTORIZACION ASIGNADO, permitiendo as la
ejecucin de los mismos con sin chequear el campo de grupo. En este caso existe un programa estndar
que permite el mantenimiento masivo de los grupos de autorizacin llamado SREPOAUTH.
Tambin hay que tener en cuenta que los programas pueden ser ejecutados como proceso de fondo (de no
tener las transacciones SA38/SE38) con las transacciones SM36/SM37, las cuales tambin hay que prever,
sobre todo para quienes tienen permisos para la ejecucin de procesos de fondo.
De esta manera tenemos bastantes herramientas para restringir la ejecucin de programas ante distintas
circunstancias que se nos planten, en el trabajo cotidiano.
7.1.7 Seguridad en la Gestin de Procesos Batch

A la hora de asegurar un sistema, un factor importante es la ejecucin de procesos de fondo en SAP.
La posibilidad de ejecutar procesos de fondo es agradecida por muchos usuarios, y administradores ya que
permite descargar los workprocess de dilogo de tareas pesadas para el sistema, pero que no necesitan una
mayor interaccin con el mismo.
De esta manera, procesos de clculo, queries, largos reportes, etc., son ejecutados desde la SM36/SM37 o
desde el men de los mismos cuando lo permiten.
Para poder ejecutar procesos batch es necesario contar con el objeto S_BTCH_JOB, el cual tiene como
opciones en su campo:
DELE Eliminar jobs de fondo
LIST Visualizar rdenes SPOOL creadas mediante job
PLAN Copiar o repetir jobs
PROT Visualizar logs de proceso de job
RELE Liberar jobs (se realiza automticamente si se planifica)
SHOW Visualizar cola de jobs
Estas opciones deben configurarse funcionalmente a la necesidad del rol, aunque probablemente no sean
para usuarios comunes los permisos de PLAN, DELE y la autorizacin de RELE puede estar segregada en
el administrador del sistema. (Los usuarios planifican un job, y el administrador lo libera cuando considera
que el sistema tiene menos carga)
Tambin tenemos el objeto S_BTCH_ADM, que solo tiene las posibilidades de Yes y NO (Y/N), lo cual
brinda autorizacin cross mandantes, y todos los permisos, la cual solo debe asignarse a administradores
donde corresponde.
Y por ltimo, uno que nos resulta interesante a la hora de revisar la seguridad es el S_BTCH_NAM. Este
curioso objeto nos brinda la posibilidad que los jobs que nosotros creemos sean ejecutados por otro usuario,
especficamente puede ser cualquiera de los usuarios que enumeremos en este objeto (seleccionable a la
hora de crear el job, por parte del usuario).
Este objeto es de especial importancia, ya que en caso de poseerlo, nos permitira ejecutar un proceso de
fondo con permisos que no son los nuestros, y claramente el riesgo est en que es una prctica comn
utilizar un usuario con amplios permisos como BATCH, de manera que no de errores.

GESTIN DE CALIDAD
MANUAL SISTEMA SAP
Cdigo: TIC-D02
Versin: 00
Pgina 41 de 55
De esta manera un usuario podra ejecutar reportes para los que habitualmente no tiene permiso en forma
batch y consultar el spool resultante del mismo.
En caso de requerirse este tipo de ejecucin apersonada, los permisos deberan estar correctamente
restringidos, para las necesidades especficas de la organizacin.
7.1.8 Seguridad de las impresiones

Muchas veces la seguridad de un sistema SAP, est enfocada en prevenir la ejecucin de determinadas
actividades sobre el sistema. Restringir quin y cmo puede interactuar con el mismo.
Ese es un primer paso, cuando nace la preocupacin por la seguridad y el control interno. Despus de esto,
es comn que la preocupacin recaiga en quien tiene la posibilidad de ver la informacin que est en el
sistema. No solo nos importar quien puede ejecutar acciones, si no tambin nos importar quien puede
visualizar los pagos realizados por la empresa, los proveedores, los sueldos, los clientes, y un largo etc. de
informacin que en sistema como SAP es almacenada, y que tiene VALOR para la organizacin.
Muchas veces se toman recaudos especficos, bajados desde la alta cpula de la organizacin para que
determinada informacin no sea visible por todos o por cualquiera y sin embargo quedan agujeros por
donde esta puede ser consultada. Muchas veces es el acceso directo a tablas, el acceso directo a
programas, la posibilidad de hacer queries, etc.
Vamos a ver un factor, que muchas veces es despreciado, y que tiene potencialmente mucha importancia:
La gestin del spool de impresin.
La posibilidad de ver lo que otros usuarios mandaron a imprimir.
Esto est regulado por los objetos de SPOOL, principalmente S_SPO_ACT, el cual otorga permisos para el
SPOOL de OTROS usuarios, si uno quiere visualizar el SPOOL propio, no necesita autorizacin especial a
este objeto. Las transacciones desde donde se puede gestionar el SPOOL de impresin son la SP01 y SP02
(principalmente la primera que permite ver SPOOLs ajenos)
Ahora pueden garantizarse distintas acciones (DISP Visualizar, PRNT Imprimir, REPR Reimprimir,
DELE Borrar, USER Cambiar propietario, DOWN Download) las cuales actan sobre el objeto de
autorizacin especificado (Campo SPOAUTH)
Una excepcin en los valores de este campo es el valor __USER__, donde se da acceso a las acciones
establecidas, para todas las rdenes de spool que no tengan un grupo de autorizacin definido. (El cual
define cada usuario a la hora de imprimir, lo cual no garantiza la seguridad del mismo)
Adicionalmente a estas autorizaciones es necesario poseer el objeto S_ADMI_FCD con valores SP01 o
SP0R, a travs de los cuales podr gestionar la salida de SPOOL con libertad.
Por todo lo que antes nombrbamos es importantsimo restringir estos permisos, ya que de no hacerlo
estaramos librando la visualizacin de cualquier documentacin impresa desde el sistema SAP a cualquier
usuario si es que el mismo no la restringe apropiadamente.
7.1.9 Proteccin de Mandantes

Los distintos niveles de proteccin que SAP nos brinda para los mismos tienen una importancia mayscula
dentro del marco general de seguridad del sistema y gestin de ambientes.

GESTIN DE CALIDAD
MANUAL SISTEMA SAP
Cdigo: TIC-D02
Versin: 00
Pgina 42 de 55
Por ejemplo, dentro de los parmetros a definir se puede establecer que el mandante sea modificable, la
posibilidad de copiar el mismo, realizar modificaciones independientes de mandante, etc.
Desde la transaccin SCC4 podemos consultar y/o modificar la configuracin de los mandantes, y dentro de
las mismas se nos presentan varias opciones que es importante que nos queden claras y bien definidas.
1- Modificar objetos dependientes de mandante:
Permitir libremente las modificaciones sin realizar rdenes de transporte automticamente (No
recomendado su uso, solo factible para ambientes Sandbox con rutas cerradas de transporte)
Permitir modificaciones pero realizar automticamente las rdenes de transporte respectivas (para
reforzar la nivelacin de ambientes hacia adelante, y la ejecucin del proceso transporte,
recomendable para ambientes de parametrizacin o customizing)
No permitir modificaciones (o lo que se conoce como mandante cerrado, recomendable para
ambientes productivos y no solo recomendable indispensable para mantener cierto control)
Permitir las modificaciones de customizing pero anular las posibilidades de transporte incluso
manuales (no recomendable, solo para entornos cerrados de pruebas)
2- Modificaciones de objetos independientes de mandante:
Permitir todos los cambios (Recomendable para ambientes de desarrollo)
Permitir solo cambios de Repository o workbench (Son solo modificables los programas, reportes,
diccionario de datos, etc.)
Permitir solo cambios de Customizing independiente de mandante (Solo el customizing y no el
workbench)
No permitir ningn cambio independiente de mandante (Ambientes de produccin)
3- Proteccin contra copias de mandante:
Sin restricciones
Sin posibilidad de sobrescribir el mandante (habitual para la mayora de los mandantes, salvo
excepcin puntual)
Eliminar la posibilidad de tomarlo como origen de una copia de mandante (Es para evitar que un
mandante que tiene informacin confidencial pueda ser copiado a otro mandante)
4- Proteccin contra uso de CATTS:
Las herramientas de CATT o ECATT pueden ser utilizadas para realizar cargas masivas de datos en
el sistema y por lo tanto se recomienda que se limite la posibilidad de su uso en los ambientes
productivos.
Es importante destacar que estas configuraciones son solo aproximaciones a lo que debera ser, y que sin
embargo muchas veces ocurren excepciones a las reglas aqu definidas, ya que se habilitan temporalmente
las posibilidades de copiar mandantes de produccin para realizar pruebas (deberan anonimizarse sus
datos), o copiar ambientes de desarrollo, etc.
7.1.10 Acceso a Tablas (S_TABU_DIS y otros)

Uno de los temas ms conflictivos que podemos encontrarnos al tratar de implementar, ajustar, o auditar la
seguridad de un sistema SAP es precisamente el acceso a las tablas de datos.
SAP a diferencia de otros sistemas, posee a travs de su misma interfaz la posibilidad de interactuar con el
sistema operativo, las bases de datos, e incluso el acceso directo a los datos en ella almacenada. Por este
motivo es que se habla de acceso a tablas en SAP, la informacin all almacenada puede ser visualizada y
editada dependiendo de algunas condiciones.

GESTIN DE CALIDAD
MANUAL SISTEMA SAP
Cdigo: TIC-D02
Versin: 00
Pgina 43 de 55
Desde determinadas transacciones puede accederse a la visualizacin y manutencin de los datos.

Especficamente, en principio hablamos de las transacciones SE16, SE16N, SM16* (todas las variantes),
SE17, SM30, SM30* (todas las variantes), SM31, SM31_OLD.
A travs de las mismas es posible la modificacin o visualizacin (depende del cdigo de la transaccin y los
permisos que tengamos) de las tablas, sin pasar por validaciones de integridad referencial o de otro tipo.
Justamente este es el principal problema. Las organizaciones entre muchas de las cualidades que ven en un
ERP como SAP es el trabajar con datos con mltiples validaciones, un fuerte control interno, y numerosas
verificaciones de integridad intrnsecas del aplicativo. Modificando los datos directamente se pierde la
confianza en todas estas caractersticas porque los controles no aplican en las mismas.
Este concepto, es el mismo criterio que tiene una auditora sobre los Controles Generales y los Controles de
Aplicacin. Primero se debe confiar en los controles generales (evitar fallas en el acceso fsico a equipos, al
sistema operativo, al servidor de bases de datos, y un largo etc., y luego si se puede empezar a descansar
sobre los controles de aplicacin, que son los de ms alto nivel dentro de las aplicaciones (lgica de negocio
o control interno). Si el control interno de la aplicacin es una maravilla, pero el acceso a modificar la base
de datos es libre la aplicacin pierde el sentido para el que fue creada.
Volviendo a temas ms tcnicos de SAP, estas transacciones adems del control por el objeto de
autorizacin S_TCODE correspondiente (a esta altura ya debiramos saber que todas lo tienen), poseen
bsicamente 3 objetos de autorizacin que controlan su comportamiento.
Estos son:
S_TABU_CLI: A travs de este objeto se permite la modificacin de las tablas independientes de
mandante (Ver este link si se desconoce este concepto). Posee un solo campo pudiendo tomar el valor
vacio o X, siendo este ltimo el que permite la modificacin de este tipo especial de tablas. Es
requerido para determinadas tareas de customizing y para permitir las modificaciones o nuevos
programas en un ambiente de desarrollo.
S_TABU_DIS: Es el objeto que determina si se posee permiso para modificar una tabla determinada.
Tiene dos campos uno es el ya conocido Actividad (ACTVT) con las posibilidades 02 (modificar), 03
(visualizar datos) y BD (distribucin de customizing), y el otro es DICBERCLS o Grupo de Autorizacin.
Este ltimo campo permite determinar un grupo para ser asignado a tablas (1 o ms) el cual puede
crearse editando las tablas TBRG y la tabla TDDAT o mediante la transaccin SE54 (preferentemente).
Las tablas que no poseen un grupo asignado automticamente adoptan el grupo &NC&, a su vez otro
grupo predefinido por ejemplo son las tablas de sistema SS.
S_TABU_LIN: Es propio de las ltimas versiones de SAP, su utilizacin se activa en el customizing
(SPRO SAP NetWeaver Servidor de Aplicacin Gestin del Sistemas Usuarios y Autorizaciones
Autorizaciones Referentes a Lnea) y permite que los datos sean filtrados por campos determinados.
Permitiendo, por ejemplo, que solo pueda visualizarse la informacin perteneciente al pas Argentina
(un campo definido en la tabla) cuando se consulta una tabla especfica. El objeto tiene 10 campos (8
criterios posibles), otro de actividad (02 modificar y 03 visualizar) y otro que define el criterio
organizacional. Es importante detallar que la definicin de numerosas autorizaciones por lnea tiene un
impacto para nada despreciable en la performance general de las consultas. Un documento detallando
la configuracin puede verse aqu en idioma ingls.
Resumiendo, resulta de suma importancia restringir el acceso a tablas, en principio la modificacin de las
mismas directamente solo debiera permitirse como una excepcin y como tal no debera ser un permiso
estndar incluido en un rol.

GESTIN DE CALIDAD
MANUAL SISTEMA SAP
Cdigo: TIC-D02
Versin: 00
Pgina 44 de 55
En el caso de ser necesario para modificar tablas Z o algunas muy especficas necesidades funcionales
siempre debiera otorgarse la modificacin de grupos de autorizacin lo suficientemente acotados para que
sepamos cuales son todas las tablas incluidas en los mismos
A su vez hay que tener sumo cuidado en otorgar el permiso amplio de visualizacin de tablas (S_TABU_DIS,
Actividad 03, Grupo *) ya que se estara poniendo a disposicin del usuario toda la informacin transaccional
de la empresa, la cual muchas veces estaramos cuidando con restricciones fsicas en el mundo real pero
dejando a libre disposicin en los sistemas.
7.1.11 Algunas Transacciones Importantes

Por ahora vamos a ir detallando algunas transacciones que pueden ser importantes para quien trabaje
administrando o analizando la seguridad, ms adelante vamos a incorporar otras siguiendo algn criterio de
criticidad de las mismas, pero por lo pronto:
SU01
Sirve como ABM de Usuarios, desde este transaccin se da el alta a nuevos usuarios, se los
puede borrar definitivamente, se pueden modificar sus datos, bloquearlos, asignarles Roles,
entre varias actividades ms
SU01D
Igual a la anterior pero solo para visualizacin de datos de usuarios.
SU10
Esta transaccin sirve para hacer modificaciones en masa de usuarios, desde la misma pueden
modificarse campos en los mismos, borrar un conjunto de roles o asignar en masa roles a
usuarios. Hay que tener mucha precaucin al trabajar con la misma por el impacto que puede
ocasionar.
PFCG
Esta transaccin sirve como ABM de Roles (Papeles o Grupos de Autorizacin), dentro de la
misma se crean nuevos roles, se modifican existentes, o se los borra, tambin desde esta
transaccin con los permisos adecuados uno puede asignar estos roles a los usuarios. Al
trabajar con roles hay que tener en cuenta que si errneamente borramos uno NO HAY una
papelera de reciclaje o similar.
SU02
Modificacin/Creacin de Perfiles de Usuario. Si bien est cuasi-obsoleta todava pueden
crearse roles y asignar los mismos a los usuarios con lo cual sigue siendo importante.
SU1, SU2, SU3
Actualizacin de Datos propios del usuario (incluida la contrasea). Aqu el usuario puede
modificar sus propios datos personales, en versiones anteriores de SAP (4.6 o 4.7) o en las ms
nuevas dependiendo como est configurado el sistema si se da acceso libre a modificar su
propia contrasea es posible que un usuario cambie ms de una vez la suya en un mismo da
para evitar tener que hacer una modificacin por caducidad de la misma (precaucin)
SUIM
Sistema de informacin de Usuarios. Esta transaccin va a merecer no solo un post entero, si
no que probablemente ms de uno para explicarla en su totalidad. Pero bsicamente podemos
decir que es el lugar desde donde se pueden realizar consultas sobre los permisos de los
usuarios con diferentes parmetros. Es de extrema utilidad para el usuario que revisa o analiza
la seguridad de un sistema SAP.

GESTIN DE CALIDAD
MANUAL SISTEMA SAP
Cdigo: TIC-D02
Versin: 00
Pgina 45 de 55
SU53
Permite ver el ltimo error de autorizacin que tuvo el usuario en el ambiente SAP (u otro
usuario que previamente hubiera ejecutado la SU53). Es de suma utilidad para el anlisis de
errores de seguridad y una herramienta muy conocido por los administradores de seguridad.
7.2
Parmetros de configuracin de seguridad
Qu son los parmetros de seguridad en SAP R/3? Es la manera que nos provee el sistema para
determinar diferentes configuraciones del mismo ya sea de funcionamiento o performance (BASIS), como de
seguridad y estas ltimas son las que ms nos interesan.
A travs de los mismos podremos definir cosas como el largo de la contrasea, la cantidad de dgitos
obligatorios, tiempo de caducidad, entre otras opciones. La configuracin de los mismos se hace a travs de
las transacciones RZ10 y RZ11 (perfiles globales, de instancia, o modificacin dinmica).
A continuacin se enumeran los principales parmetros de la seguridad de SAP definidos en Americana:
Parmetros de restriccin a las contraseas:
Parmetro
login/min_password_lng
login/min_password_lowercase
login/min_password_uppercase
login/min_password_specials
login/min_password_letters
login/min_password_digits
login/min_password_diff
login/password_history_size
login/password_expiration_time
login/password_change_waittime
login/password_compliance_with_
current_policy
login/password_max_idle_initial
login/password_max_idle_product
ion
Descripcin
Tamao mnimo de la contrasea
Cantidad mnima de caracteres en minsculas
Cantidad mnima de caracteres en maysculas
Cantidad mnima de caracteres especiales
Mnimo de caracteres del alfabeto en la contrasea
Mnimo de dgitos obligatorios en la contrasea (0-9)
Cantidad de caracteres que deben diferenciarse entre la
nueva contrasea y la anterior (para cambios de contrasea
realizados por el usuario)
Cantidad de contraseas guardadas como historial
Cantidad de tiempo definida en das que transcurre antes
que expir la contrasea del usuario y el sistema solicite un
cambio de la misma.
Cantidad de das que deben transcurrir antes que el usuario
pueda cambiar por sus propios medios nuevamente una
contrasea. (Es para impedir que se evite el control de
historial de contraseas cambiando numerosas veces una
misma contrasea)
Este parmetro determina que durante los nuevos logins se
verifique si la contrasea cumple con el estndar
actualmente definido. (o no chequea, 1 chequea) De esta
manera las modificaciones de parmetros de seguridad
impactarn inmediatamente en los usuarios requiriendo que
los mismos realicen un cambio de contraseas en su
prximo loguin si no cumplen la poltica actual.
Mximo nmero de das que la contrasea definida por el
administrador (inicial) puede permanecer habilitada para que
el usuario la utilice. (0 a 1000). Es utilizado para evitar que
los usuarios sean dados de alta con contraseas iniciales
pero nunca ingresen al sistema dejando una puerta semiabierta en el mismo sistema (contraseas iniciales dbiles)
Similar al anterior pero aplicable a los cambios realizados por
los mismos usuarios.
Valor
7
1
1
0
1
1
2
5
30
40

GESTIN DE CALIDAD
MANUAL SISTEMA SAP
login/disable_password_logon
login/password_logon_usergroup
login/password_change_for_SSO
Cdigo: TIC-D02
Versin: 00
Pgina 46 de 55
Permite desactivar el logueo por contrasea si se utiliza otro

medio como ser SSO o SNC, para acceder al sistema
Grupo de usuarios que podr loguearse con contrasea a
pesar de haber usado el parmetro
login/disable_password_logon.
Define el comportamiento de la solicitud de cambio de
contraseas para sistemas con SSO (o a 3)
Parmetros de Multiloguin
Parmetro
login/disable_multi_gui_login
login/multi_login_users
login/failed_user_auto_unlock
login/fails_to_session_end
login/fails_to_user_lock
Descripcin
Determina si el sistema permite logins desde ms de un GUI.
(o permite, 1 deshabilita). Es utilizado para evitar riesgos no
detectados que un usuario sea utilizado desde ms de una
terminal, para ahorrar en trminos de performance y para
evitar problemas de licencias con SAP)
En l se definen separados por comas, las excepciones al
parmetro anterior, sea quienes pueden loguearse desde
ms de un gui independientemente de la definicin del otro
parmetro.
Aqu entre 0 y 1 se define si despus de la medianoche los
usuarios bloqueados por errores de contrasea se
desbloquean automticamente. Lo recomendable es que esto
no suceda a diferencia del valor por defecto de SAP
En este caso se define la cantidad de errores en el ingreso de
contrasea hasta que la sesin de un usuario llegu a su fin
(pero no se bloquea el usuario, solo se lo desconecta del SAP
GUI)
Este parmetro determina la cantidad de errores consecutivos
en el ingreso de la contrasea a partir del cual se bloquea el
usuario, el cual debe ser desbloqueado por el administrador
salvo que el parmetro logins/failed_user_auto_unlock tenga
un valor distinto de 0.
Valor
Descripcin
A partir del mismo se deshabilitan las conexiones por el viejo
protocolo CPIC
Este parmetro deshabilita el usuario harcodeado SAP* con
contrasea PASS en caso que se borre el usuario SAP* del
maestro de usuarios. (0 habilitado, 1 deshabilita).
Mediante este parmetro se determina en segundos la
cantidad de tiempo de inactividad antes que se termin la
sesin del usuario (0 deshabilitado)
Valor
Otros parmetros
Parmetro
login/disable_cpic
login/no_automatic_user_sapstar
rdisp/gui_auto_logout
login/system_client
El mismo define el mandante por defecto que nos aparecer

propuesto
6
hours
400

GESTIN DE CALIDAD
MANUAL SISTEMA SAP
7.3
Cdigo: TIC-D02
Versin: 00
Pgina 47 de 55
AUDITORA
Aqu trataremos de abarcar paso a paso, las tareas a realizar para evaluar la seguridad del sistema. Lo
principal a fines de empezar, es entender el alcance de la auditora que vamos a realizar.
Metodolgicamente, una auditora del sistema se concentra en revisar la configuracin del mismo, con el fin
de exponer las falencias que puedan poner en jaque la seguridad de la informacin que en el reside.
Tenemos que comenzar entendiendo que el sistema SAP como ERP, es un sistema que puede aportar un
alto grado de seguridad en las operaciones, y posee un buen nmero de controles embebidos en el mismo,
tanto configurables como inherentes. Pero esta seguridad tiene que ser configurada, para que sea efectiva.
Y tambin es importante destacar una caracterstica particular de SAP a la hora de auditarlo, y es que en el
mismo no solo se configuran y por consiguiente, se revisan, los controles de aplicacin (controles internos
del negocio, validaciones de datos, etc.) sino que tambin un gran nmero de controles de base o generales
deben efectuarse en el mismo, ya que desde dentro de un sistema SAP es posible acceder directamente a
las tablas de base de datos, ejecutar programas, ver cdigo fuente, ejecutar comandos de sistema operativo,
apagar el servicio, realizar debugging, y un largo etc. de actividades que en otros sistemas deben
controlarse por fuera de la aplicacin y en el caso de SAP deben controlarse en ambos lugares. Y
resaltamos ambos lugares porque incluso en muchas revisiones de seguridad se pierde el foco y se
controlan los permisos dentro del sistema con el fin de verificar controles generales y de aplicacin,
abandonando un poco el control sobre los servidores de base de datos, de aplicacin, etc.
Antes de empezar efectivamente con la auditora sobre el sistema, hay cierta informacin que se debe
recopilar, y vamos a explicar porque:
Versin, o versiones de SAP sobre la que se va a trabajar - Distintos parmetros y configuraciones son
posibles dependiendo de la versin del sistema.
Cualquier informe de auditora previo Nos puede dar una idea general del sistema, aunque la revisin
deba hacerse de cero.
Landscape, nmero y nombre de instancias - Por motivos obvios es necesario conocer el landscape
sobre el que se trabaja, servidores involucrados, application servers lgicos, fsicos, ambientes de
desarrollo, pruebas, produccin etc. Es importante que los ambientes se encuentren correctamente
aislados el uno del otro.
Sistema operativo y Base de Datos (Nombre, versiones, etc.) Averiguar el sistema operativo sobre el
que est instalado el application server y la base de datos sobre la que corre es importante tanto para
la revisin de software de base, como para algunas transacciones especficas del sistema segn donde
se instale.
Mandantes - Conocer los mandantes existentes y el objetivo de los mismos es necesario por las
mismas razones que las instancias, y para conocer las necesidades de auditora.
Cantidad de usuarios - Complejidad y extensin de la revisin.
Mdulos utilizados/implementados - Para conocer el alcance de la revisin, una aproximacin del
nmero de roles involucrados y complejidad, la cual puede depender de los mdulos (sobre todo si son
incluidos mdulos de industria especficos que si bien pueden no agregar muchos controles de
seguridad, pueden ser desconocidos para nosotros)
Esquema general de Sociedades, Centros, Sociedades CO, y otros datos funcionales - Resultan tiles a
la hora de evaluar un esquema de roles acorde a las necesidades de la organizacin.
Nmero de desarrollos ABAP o Z - Nos servir como dato sobre la complejidad del sistema y de su
diferencia con el sistema estndar. Este dato es de suma importancia a la hora de saber lo complejo del
anlisis de roles y en un posible caso de reingeniera de los mismos.
Toda la documentacin del rea de sistema definiendo procedimientos, misiones y funciones,
organigrama, nmina de empleados del rea de sistemas con funciones, monitoreo, etc. - Es til con el
fin de confirmar que estos procedimientos y puestos se vean reflejados en la estructura del sistema, y

GESTIN DE CALIDAD
MANUAL SISTEMA SAP
Cdigo: TIC-D02
Versin: 00
Pgina 48 de 55
que los permisos de usuarios en el sistema no excedan o limiten sus responsabilidades. Es importante
conocer el procedo de gestin de usuarios y accesos, para ver que el mismo se refleje de manera
adecuada en el sistema.
Procedimiento de cambios, y cambios de emergencia Es importante contar con este procedimiento
escrito para comprobar que el sistema de transporte y los permisos estn configurados de manera
acorde.
Procedimiento de ABM de Usuarios y roles Es de suma importancia conocer el procedimiento para
poder contrastar la realidad del sistema contra lo tericamente definido, y si lo tericamente definido es
correcto o adecuado.
Usuarios de Interfaz o no nomenclados - Es importante conocer de antemano cuales son estos usuarios
para verificar su correcta parametrizacin o recomendar su eliminacin.
Esquema de Nomenclatura de roles - Como son nomenclados los roles es vital para entender la
estructura de los mismos.
Nomenclatura de usuarios - Para verificar que se cumpla y comprender la misma.
Metodologa de Acceso al sistema - A travs del SAP GUI, Web, interfaz desde otras aplicaciones,
usuarios de internet, externos, SAP Router, Citrix. Es importante determinarlo con el fin de verificar el
alcance y saber con qu estamos tratando.
Implementacin de Seguridad a travs de la estructura organizativa, o la utilizacin de perfiles
estructurales - Cambio nuestro punto de vista sobre como revisar la seguridad del sistema.
Topologa de Red del sistema SAP - Realizar un anlisis preliminar de la instalacin y su seguridad.
Planes de continuidad del sistema - Adems de lo obvio, para conocer la redundancia, el riesgo y otros
sistemas que debamos verificar.
Existencia de permisos de visualizacin para auditar el sistema - Es de suma importancia poseer
permisos a todo lo que necesitemos, pero sin modificacin, para poder trabajar con tranquilidad sobre el
sistema. Ya que de ser negado el acceso interactivo al sistema tendremos que encarar una auditora
COMPLETAMENTE DISTINTA.
7.3.1 Auditar SAP

En el presente grfico podemos observar la pirmide de una auditora completa, pero identificando que en
este primer esquema nos vamos a concentrar en la auditora del Sistema Basis de SAP.
Mdulos funcionales
Sistema Basis
Gestin y Organizacin del rea de TI
Sistema de Base de Datos
Sistema Operativo
Esquema de redes y Comunicaciones
Seguridad fsica de entorno de TI
En el tema apartado anterior vimos los primeros pasos a seguir y en el presente ya ahondaremos en los
primeros controles tcnicos a realizar.
1- Verificar el acceso al customizing, especficamente a la transaccin SPRO por parte de los usuarios
y los permisos del objeto S_IMG_ACTV. Lo ideal es restringir estos permisos a los usuarios en

GESTIN DE CALIDAD
MANUAL SISTEMA SAP
Cdigo: TIC-D02
Versin: 00
Pgina 49 de 55
general y solo usuarios de emergencia o funcionales puedan visualizar (03) el customizing en pos de
la solucin de problemas de desarrollo. Adicionalmente podran verificarse que no existan permisos
innecesarios directamente a muchas de las transacciones del customizing (O*).
Este control es independiente de los permisos definidos para el mandante en general mediante la
transaccin SCC4, ya que se busca restringir los permisos a fin de evitar que un mandante abierto por
error pueda ser modificado, y como siempre tambin, evitar el otorgamiento de permisos innecesarios.
2- Restringir el acceso a la transaccin SCC4 para evitar la gestin del mandante por usuarios no
autorizados.
3- Verificar en la transaccin SCC4 la configuracin del mandante, de forma de no permitir cambios en
un mandante productivo, as como tampoco debera permitirse la ejecucin de CAATs o eCAATs, ni
sobrescribir el mandante (S_TABU_DIS ACTVT=2, Group=SS; S_ADMI_FCD=T000; S_TABU_CLI=X)
(Ms info)
4- Revisar los permisos otorgados mediante S_TABU_DIS a los usuarios (permisos de modificacin
directa de tablas) evitando otorgar cualquier permiso a todas las tablas o tablas del sistema (* o SS,
entre otros), controlar los permisos a las tablas Z* y que las mismas tengan grupos de autorizacin
vinculados. Verificar en conjunto con el acceso a las transacciones SE16, SE16N, SE17, SM30, SM31 y
variantes. (Ms info)
5- Verificar la posibilidad de ejecutar programas directamente por parte de usuarios finales (acceso a
transacciones SA38, SE38, SE80, SE37), en conjunto con el objeto S_PROGRAM, y la existencia de
programas sin grupo de autorizacin (tabla TRDIR campo SECU). (Ms info)
6- Verificar que los permisos para trabajar con rdenes de transporte, tareas, y pasajes entre
ambientes, estn asignados a las personas que deben cumplir los respectivos roles y que se cumpla la
segregacin de funciones. Verificar el objeto S_TRANSPRT, y los permisos a las transacciones SE09,
SE10, STMS, etc. (Ver este link sobre el sistema de transporte, y detalles sobre los objetos de
autorizacin en este link)
7- Verificar que los programas Z (customizados) posean los authority check que requiramos. Esta
bsqueda se puede realizar fcilmente a travs del programa RSABAPSC ejecutado desde la
transaccin SA38.
8- Revisar los parmetros definidos en el perfil de instancia (a travs del reporte RSPARAM (SA38), o la
transaccin RZ11. (Ms info)
9- Verificar todos los usuarios que posean permisos para desarrollar en ambientes productivos (Objeto
S_DEVELOP con actividades 01, 02 o 06), y que tambin dispongan de la transaccin SE38
10- Verificar que los permisos de debug con modificacin de variables no estn asignados en un
ambiente productivo (S_DEVELOP, actividad 02 y tipo de objeto DEBUG) (Ms info)
11- Ejecucin de Querys, verificarlo revisando qu usuarios pueden ejecutar la transaccin SQ01 y el
objeto S_QUERY con 02 o 23.
7.3.2 AIS Sistema de Informacin de Auditora

Las necesidades organizacionales muchas veces llevan a que se efecten auditoras sobre los sistemas que
las empresas tienen en pos de cumplir con requerimientos tanto internos, como externos.

GESTIN DE CALIDAD
MANUAL SISTEMA SAP
Cdigo: TIC-D02
Versin: 00
Pgina 50 de 55
SAP es una herramienta desarrollada para las grandes corporaciones, y por ello es que dispone de
facilidades para realizar auditoras sobre el mismo, que no es lo mismo que decir que es fcil realizar una
auditora de SAP.
Vamos a hacer un breve resumen del Sistema de Informacin de Auditora (AIS), las posibilidades que nos
brinda y como utilizarlo.
En las versiones ms viejas de SAP, exista una transaccin llamada SECR, a travs de la cual se acceda a
los distintos reportes. Por cuestiones de compatibilidad en las versiones ms nuevas se mantiene, aunque
est obsoleta.
Las necesidades organizacionales muchas veces llevan a que se efecten auditoras sobre los sistemas que
las empresas tienen en pos de cumplir con requerimientos tanto internos, como externos.
SAP es una herramienta desarrollada para las grandes corporaciones, y por ello es que dispone de
facilidades para realizar auditoras sobre el mismo, que no es lo mismo que decir que es fcil realizar una
auditora de SAP.
El AIS de las nuevas versiones (posteriores a la 4.6c) est conformado por un conjunto de roles, los cuales
habilitan a realizar distintas actividades en el sistema. Mediante la generacin y posteriores asignacin de
los mismos a los usuarios finales, se otorgan permisos para realizar diferentes reportes y queries sobre el
sistema.
Cuando estos roles son asignados a un usuario el mismo dispone de un men de rbol especial, donde tiene
numerosos reportes y acceso a transacciones que pueden brindar informacin til para realizar una
auditora.
Los roles que forman parte del AIS son todos los que poseen la siguiente estructura de nombre
SAP*AUDITOR*, existen numerosos roles simples y tambin dos compuestos que integran varios otros,
SAP_AUDITOR (auditor general) y SAP_AUDITOR_TAX (auditor de impuestos).
El rol SAP_AUDITOR est pensado para una auditora general de controles y datos en el sistema, en
cambio el SAP_AUDITOR_TAX como su nombre lo indica est mayormente enfocado al auditor de
impuestos (accesos a la contabilidad en su mayora).
Estos roles simples tambin tienen unas caractersticas particulares. Existen los roles como
SAP_CA_AUDITOR_SYSTEM el cual no contiene men alguno, solo objetos de autorizacin que nos
brindan permisos tanto de visualizacin como de modificacin en algunas transacciones. A su vez, tambin
encontramos el SAP_CA_AUDITOR_SYSTEM_DISPLAY, el cual solamente permite la visualizacin de
datos, y es ms adecuado para un auditor en muchas situaciones.
Estos roles como dijimos no contienen men alguno, y el men est dado por otros roles, que no tienen
autorizaciones, solo el men:
SAP_AUDITOR_SA_BC (AIS Sistema auditora)

SAP_AUDITOR_SA_BC_CCM_USR AIS (Sist.auditora Usuarios y autorizaciones)
SAP_AUDITOR_SA_BC_CUS_TOL AIS (Sist.auditora Repository / Tablas)

GESTIN DE CALIDAD
MANUAL SISTEMA SAP
Cdigo: TIC-D02
Versin: 00
Pgina 51 de 55
Esta flexibilidad que nos brinda SAP, permite justamente combinarlos para otorgar con el mismo men,
permisos de visualizacin o modificacin.
Siempre debemos respetar la idea global, de no trabajar con los roles estndar si no realizar copias Z de
los mismos para evitar inconvenientes en upgrade o posibles parches.
7.3.3 Auditora de tablas en SAP

A la hora de auditar un sistema, una pregunta frecuente es Cmo monitoreo las modificaciones a los datos.
Con este fin, puede resultar interesante monitorear las modificaciones que determinadas tablas puedan tener
en sus datos. SAP nos brinda la posibilidad de registrar las modificaciones de una o varias tablas de manera
nativa.
Cabe destacar que este registro es distinto de los documentos de modificacin que en su mayora registran
las modificaciones a datos maestros y otras informaciones crticas del sistema. El registro de documentos de
modificacin se encuentra activado por defecto en el sistema y no necesita de una configuracin especfica
para que comience a registrar las modificaciones.
Cmo activar la auditora de tablas?
Para activar la auditora de modificacin de tablas se necesita configurar en un parmetro del sistema
rec/client. Mediante el mismo se puede especificar que la grabacin se va a realizar para un mandante
especfico (separados por coma) o para todos (ALL en lugar de *).
Una vez que este parmetro tiene un valor asignado y SAP fue iniciado con el parmetro ya definido, los
datos de modificacin de tablas se comienzan a registrar.
Ahora falta definir (en realidad hay que hacerlo antes de activar la auditora), que tablas queremos que sean
monitoreadas. Esto se hace a travs del flag Log data changes de la vista tcnica de la transaccin SE13.
Cabe destacar que muchas tablas vienen activadas por defecto y el hecho de activar el rec/client sin verificar
previamente las tablas que graban informacin puede tener un impacto importante en la performance.
Igualmente tambin es importante destacar que muchas de las tablas que vienen marcadas por defecto son
de customizing y no debieran tener un mayor impacto en cuestiones de performance.
En algunas implementaciones se opta por desactivar masivamente todas las tablas y solo marcar unas
pocas para registrar. Si este es su caso, debern modificar el flag de Log (PROTOKOLL) en la tabla
DD09L. Para conocer todas las tablas con el flag activo se puede utilizar el reporte RSTBHIST.
La tabla en donde son guardados los registros de modificacin es la DBTABLOG (antes DBTABPRT y objeto
de archiving BC_DBLOGS), donde por cada modificacin a una tabla con el flag seteado se guarda un
registro. La consulta a la misma puede hacerse desde la transaccin SCU3 o desde el reporte RSTBHIST
(SA38).
Una salvedad a tener en cuenta, es que a pesar de su nombre Log de modificacin de tablas, lo que se
registra son las modificaciones realizadas en SAP, no as las modificaciones a las tablas realizadas
directamente sobre la base de datos y fuera del sistema. Las mismas en todo caso debieran ser logueadas
desde la misma base de datos.
Como comentario final, cabe destacar que una de las excusas para no implementar este tipo de auditora es
la baja en la performance, la cual puede ser muchas veces vlida, pero no siempre. La auditora de tablas se
puede activar, pero con la precaucin de utilizarla para tablas que no requieran constantes modificaciones, y
hacindolo de manera progresiva, comenzando por unas pocas e ir ampliando lentamente las tablas a
monitorear para poder evaluar el impacto en la performance global del sistema.

GESTIN DE CALIDAD
MANUAL SISTEMA SAP
8
Cdigo: TIC-D02
Versin: 00
Pgina 52 de 55
RIESGOS TECNOLOGICOS
El EarlyWatch Alert (EWA) es la herramienta de SAP que permite al cliente mantenerse al tanto del estado de
sus sistemas y tomar decisiones ante los problemas crticos que se detecten, garantizando as el buen
funcionamiento de sus sistemas SAP.
Se trata de una funcionalidad estratgica que lleva a la reduccin del coste total de propiedad y mejor
rendimiento del sistema.
Objetivos de EWA:
1. Prevencin de los cuellos de botella
2. Facilitar la temprana identificacin de problemas potenciales
3. Generacin de informes peridicos
4. Provisin de un seguimiento regular y automtico de los resultados de los componentes de SAP
5. Prestacin de un seguimiento regular y automtico de los componentes crticos de administracin del
sistema SAP.
Monitorizacin de EWA:
1. Estado de los componentes generales
2. La configuracin del sistema
3. Recursos de hardware
4. Gestin de base de datos
5. Mensajes de errores crticos
6. Mejora del rendimiento
7. Promedios del tiempo de respuesta
8. Carga de trabajo actual
CAPACITACIN
Reduccin de tickets de soporte y problemas de soporte tcnico al servicio de asistencia

Mejora la productividad del usuario y la eficiencia
Reduccin en las transacciones errneas o la creacin de documentos
Mejora la confianza en SAP
Reduccin del tiempo de formacin para los nuevos miembros del equipo de la organizacin
La capacitacin eficaz para los usuarios finales y los usuarios clave, reducen las solicitudes a la mesa
de ayuda.
La formacin del usuario final es fundamental para el xito del despliegue y la aceptacin de SAP
dentro de la organizacin.
Ms all de la formacin impartida durante la primera implementacin de SAP, los usuarios originales
pueden dejar la organizacin para ser reemplazados por nuevos empleados.
Muchas de las soluciones de apoyo y los problemas pueden deberse a desconocimiento y la falta de la
compresin de la utilizacin de SAP.
Implementos:
Manuales de capacitacin

GESTIN DE CALIDAD
MANUAL SISTEMA SAP
10
Videos
Seminarios
Glosario de terminologa
Demostraciones, ejercicios y soluciones
Lista de fuentes comunes de problemas y errores cometidos frecuentemente por los usuarios
MEJORA CONTINUA
11
Cdigo: TIC-D02
Versin: 00
Pgina 53 de 55
Estabilizar la inicial de implementacin de SAP y los mdulos bsicos

Identificar oportunidades de mejora de procesos de negocio en el ncleo del proceso, tales como
contratacin, pagos, conciliacin de facturas, gestin de inventarios, etc.
Proporcionar capacitacin de los usuarios para mejorar la precesin y la eficiencia en el uso de SAP.
Despus de alcanzar la estabilizacin del sistema, identificar los nuevos mdulos de aplicacin para
hacer frente a ms proceso de negocio
Identificar los requisitos de informacin, cuadros de mando y el uso de SAP BW para informes en toda
la empresa.
Se especifican las estrategias de Backup o copias de seguridad que se realizan en caso de ser
necesario la recuperacin de alguna informacin digital. (Anexo1 Estrategia Backup SAP)
ANEXOS
11.1 Tips
Bloqueo de Transacciones
Entre tantas opciones de seguridad que tenemos en la herramienta SAP ECC nos encontramos que
tenemos la posibilidad de bloquear el uso de una transaccin para todos los usuarios independientemente
de sus autorizaciones (siempre y cuando no tengan autorizacin para desactivar el bloqueo), a travs de la
transaccin SM01, en la misma podemos indicar el cdigo de transaccin a bloquear y a partir de confirmar
el mismo no se permitir la ejecucin de esa transaccin por ningn usuario hasta que no se vuelva a
desbloquear.
Esta opcin es til para impedir la ejecucin de transacciones que consideremos crticas y no queramos que
en ese ambiente nadie ejecute, o tal vez para impedir temporalmente la ejecucin de una transaccin
especfica (ocurre durante la ejecucin de algunos procesos en batch, o actualizaciones del sistema).
Generacin de Contraseas
Uno de los grandes problemas a la hora de generar contraseas iniciales o reinicializar las mismas est
dado por el uso de contraseas triviales y por las dificultades que nos presenta la generacin de contraseas
al azar estndar de SAP.
Sin embargo existe una posibilidad de configuracin en el generador de contraseas, que suele pasar
desapercibida a la mayora de los usuarios, y que se encuentra poco documentada.
Esta configuracin se realiza en la tabla PRGN_CUST, en la que pueden definirse los parmetros:
GEN_PSW_MAX_LETTERS
GEN_PSW_MAX_DIGITS
GEN_PSW_MAX_SPECIALS
Respectivamente, para definir el nmero mximo de letras, dgitos y caracteres especiales que el generador
automtico de contraseas (SU01 o SU10) va a utilizar, siempre y cuando no se contradigan con los
parmetros definidos en el perfil del sistema.

GESTIN DE CALIDAD
MANUAL SISTEMA SAP
Cdigo: TIC-D02
Versin: 00
Pgina 54 de 55
Cuando las polticas de la organizacin as lo permitan, o durante la generacin de un nmero importante de

usuarios en una implementacin, podra ser til deshabilitar colocando en 0 (cero) el uso de caracteres
especiales para que las nuevas contraseas no sean complicadas de escribir para los usuarios finales, ya
que a veces por defecto SAP suele utilizar caracteres especiales difciles de repetir en algunas
configuraciones de teclado, o por usuarios impacientes
Sistema de Transporte
Existe un control poco conocido y utilizado en el sistema SAP que permite crear advertencias, o errores en el
sistema de transporte si una orden modifica algn objeto definido como crtico. Es un til sistema de control
para hacer ms simple y prctica, la revisin de las rdenes de transporte.
Para definir los objetos primero debemos asegurarnos que este chequeo est activado en el perfil de
transporte. El parmetro es CHK_CRIOBJ_AT_EXPORT y puede cambiarse su valor desde la transaccin
STMS - Resumen (documentacin de sap), el valor 0 no realizara chequeo alguno, W crea un warning y por
ltimo E genera un error en caso de encontrar un objeto crtico e impide el transporte.
La configuracin ideal habitualmente es W, para alertar al usuario responsable de los transportes.
Los objetos crticos se definen tambin en la transaccin STMS - Resumen, luego Detalles y Objetos
Crticos.
Este control es de suma utilidad a la hora de ayudar a la siempre ardua tarea de controlar que lo transportes
realizados en el sistema no comprometan la seguridad del mismo, o la confidencialidad de la informacin
que en el poseemos.
Transacciones con asignacin manual
Es posible en la transaccin PFCG agregar transacciones que no estn en el men de usuario de manera
manual directamente en los objetos de autorizacin.
Es importante saber esto al momento de revisar la seguridad configurada en nuestro sistema SAP para no
dejar pasar por alto determinados permisos que no aparecen en el men de usuario, pero si directamente en
el objeto de autorizacin S_TCODE.
Si nosotros ingresamos a modificar los valores de los objetos de autorizacin dentro de la transaccin PFCG
e intentamos incorporar un nuevo valor al campo TCD del objeto S_TCODE vamos a ver que SAP no nos lo
permite.
El pequeo truco est en ir al botn titulado Manualmente e incorporar en el mismo un nuevo objeto de
autorizacin S_TCODE de manera que ahora una nueva lnea para el campo TCD aparecer y esta
podremos editarla manualmente.
Es interesante notar que si estamos controlando los permisos de los usuarios a travs de tablas y
chequeamos la tabla AGR_TCODES, estos que incorporemos no van a aparecer ya que la misma solo
muestra las transacciones incorporadas a travs del men del Rol o Grupo de Autorizacin y tendremos que
ir a ver especficamente la tabla AGR_1251 y el campo TCD del objeto S_TCODE o ya a ms bajo nivel las
autorizaciones propiamente dichas (perfiles)

GESTIN DE CALIDAD
MANUAL SISTEMA SAP
Cdigo: TIC-D02
Versin: 00
Pgina 55 de 55
CONTROL DE CAMBIOS
CDIGO
VERSIN
FECHA
TIC D02 V00
16-04-2013
DESCRIPCIN DEL CAMBIO

Original

Manual Sistema Sap Soporte Seguridad y Mantenimiento PDF

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Manual Sistema Sap Soporte Seguridad y Mantenimiento PDF

Enviado por

Direitos autorais:

Formatos disponíveis

DOCUMENTO DEL SISTEMA DE

DOCUMENTO DEL SISTEMA DE GESTIN DE