Pułapka uprawnień

Wyobraźmy sobie system, w którym uprawnienia opierają się na profilach przypisywanych do pojedynczych użytkowników. Takich profili będzie więc tyle, ilu różnych użytkowników kiedykolwiek pojawiło się w systemie. A system został wdrożony pięć albo dziesięć lat temu. Do liczby profili możemy dodać również pomyłki administratorów podczas ich tworzenia oraz naturalnie zmiany w profilach – bo pojawił się nowy raport, bo przeszliśmy na nowe rozwiązanie urlopowe, bo wdrożyliśmy Pulpit Menedżera Czasu Pracy, bo…

Dodajmy, że zmiany w uprawnieniach są częste i przeważnie wykonywane ad hoc. Charakter tego typu zmian sprawia, że z czasem do systemu może wkraść się bałagan. Użytkownicy otrzymują niewłaściwe menu, nie mają dostępu do danych, które powinni znać lub (o zgrozo!) mają dostęp do informacji, których już dawno nie powinni widzieć.

Oznacza to, że najwyższy czas na przeprowadzenie gruntownego przeglądu koncepcji uprawnień w SAP HR. Takie porządkowanie systemu daje szansę na twórcze podejście do rozwiązania problemu i przeprowadzenie projektu reorganizacji uprawnień w firmie. W efekcie możemy zwiększyć zadowolenie użytkowników z pracy w systemie, może to być też okazja do przemyślenia podziału kompetencji i obowiązków pracowników. Przedsięwzięcie pomaga również zmniejszyć pracochłonność obsługi administracyjnej systemu.

Role uprawnień – zbiorcze i pojedyncze

System dystrybucji uprawnień w SAP HR może być oparty na koncepcji ról. Rolę możemy rozumieć jako zestaw działań wykonywanych w systemie i skojarzonych z pojedynczym pracownikiem. Zawierają one menu użytkownika oraz profile uprawnień.

Te ostatnie złożone są z tak zwanych obiektów uprawnień dających dostęp do danych. Poszczególne obiekty uprawnień są odpowiedzialne za kontrolę dostępu do typów informacji, raportów, numerów osobowych pracowników, transakcji i operacji.

Na przykład rola specjalisty HR pozwala zatrudnić w systemie nowego pracownika, edytować dane już zatrudnionych (załóżmy, że z wyjątkiem danych dotyczących wynagrodzenia), generować dokumenty zgłoszeniowe do ZUS, drukować umowy i świadectwa pracy itp. Użytkownik może jeszcze edytować strukturę organizacyjną. Nie mniej, nie więcej…

Jeżeli w firmie pracuje dziesięcioro specjalistów HR – wszystkim przypisujemy rolę specjalisty HR.

Wygląda nieźle, prawda? W większości firm korzystających z systemu SAP HR wiele mówi się o rolach uprawnień. A to dlatego, że wiele organizacji projektuje uprawnienia właśnie w ten sposób (w oparciu o role) i niestety, wiele z nich odczuwa pewne dolegliwości z tym związane.

Pojedyncze role tworzone dla grupy pracowników pełniących ściśle określone funkcje w organizacji są założeniem modelowym. W rzeczywistości często zmienia się model odpowiedzialności i zakresy czynności pracowników. Co jakiś czas użytkownikom przydzielane są nowe role lub modyfikowane już istniejące. W ekstremalnych przypadkach może się okazać, że z pozoru drobne zmiany organizacyjne sprawią, że mozolnie budowany system uprawnień wymaga całkowitej rekonstrukcji.

Oczywiście budowanie uprawnień na specjalne potrzeby pojedynczych użytkowników może okazać się niezbędne ze względu na specyfikę organizacji. W firmach z niewielką liczbą użytkowników o zróżnicowanych i niepowtarzalnych poziomach uprawnień można z powodzeniem korzystać z takich rozwiązań. W złożonych organizacjach o zdecentralizowanych kompetencjach użytkowników mogą pojawić się problemy z opanowaniem systemu.

Można bardziej kreatywnie

Konstrukcja systemu uprawnień powinna zostać bardzo dokładnie i logicznie rozplanowana. System ma być elastyczny i dawać możliwości łatwego dostosowywania uprawnień dla dużych grup użytkowników, przy niewielkich zmianach konfiguracyjnych. Uelastycznienie i uszczelnienie systemu wymaga bardziej kreatywnego podejścia do katalogu ról. Kreatywność domeną dziecka, więc spójrzmy na temat z jego perspektywy.

Pojedyncze role, zawierające kompletnie opracowane obiekty uprawnień, potraktujmy jak klocki. Klocki muszą dać się składać w rozmaite konfiguracje. Pierwszy niech zawiera informacje o menu użytkownika, drugi o tym, które infotypy można edytować, a które wyświetlać, trzeci – do których obszarów kadrowych dajemy dostęp, a czwarty o tym, czy można importować pliki do SAP lub je z niego eksportować.

Teraz utworzenie nowego infotypu wymaga uwzględnienia go w jednej roli (klocek drugi). Utworzenie nowego obszaru kadrowego to edycja jednej roli (klocek trzeci). Zmiana menu – również tylko jedna rola musi zostać dostosowana.

Role pojedyncze (klocki) możemy zebrać w rolę zbiorczą i taką przypisać do grupy użytkowników (na przykład wszystkich specjalistów HR).

Dzięki standardowym raportom można łatwo sprawdzić, którzy użytkownicy posiadają dane uprawnienie. Dokonując zmian jednej roli, administrator ma ścisłą kontrolę, czyje uprawnienia zostaną przez to zmodyfikowane.

Na straży porządku

Bardzo ważnym elementem systemu jest dokumentacja techniczna i koncepcja uprawnień. Administrator powinien zawsze stać na straży określonego w koncepcji porządku i konwencji nazewnictwa ról. Nowo powstające role lub dokonywane zmiany należy dokładnie opisywać w dokumentacji technicznej.

Zasady budowania efektywnego systemu uprawnień

  • Oddzielenie menu użytkowników od profili uprawnień
  • Upraszczanie pojedynczych profili uprawnień (role pojedyncze to klocki do składania uprawnień dla poszczególnych użytkowników)
  • Wyodrębnienie grup użytkowników o podobnych zakresach zadań i uprawnień
  • Wyodrębnienie stałych elementów uprawnień i zawarcie ich w odrębnych rolach pojedynczych
  • Wyodrębnienie zmiennych elementów uprawnień i stworzenie przejrzystego katalogu ról ze zmieniającymi się zakresami uprawnień
  • Stworzenie odrębnego dokumentu koncepcji funkcjonowania uprawnień
  • Ustalenie procedur dokonywania zmian w uprawnieniach (raporty z uprawnień, ścieżki akceptacji, testy)
  • Ustalenie ścisłej konwencji nazewnictwa
  • Prowadzenie dokumentacji technicznej

Dokumentacja może mieć formę katalogu ról z dokładnym opisem ich funkcjonowania. Dodatkowo warto rozważyć przeniesienie odpowiedzialności za uprawnienia na pracowników spoza działu IT. Dlaczego informatycy mają weryfikować, czy dany użytkownik powinien mieć dostęp do jednych funkcji a do innych nie?

Case study: firma przemysłowa Przykładem projektu porządkowania uprawnień jest przedsięwzięcie zrealizowane w ostatnim czasie przez BCC (aktualnie All for One Poland) dla firmy z sektora przemysłowego, zatrudniającej ponad 2000 osób. Firma korzysta  z SAP HR niemal od dziesięciu lat. Dotychczasowa koncepcja uprawnień opierała się na profilach  – w starszych wersjach systemu była to jedyna możliwość. Opracowany na początku zestaw profili wkrótce się zdezaktualizował – każda zmiana wymuszała tworzenie nowego profilu.  Konsultanci BCC wespół z użytkownikami systemu i działem IT wypracowali nową koncepcję uprawnień, która zakłada przede wszystkim przeniesienie odpowiedzialności za nadawanie uprawnień na pracowników spoza działu IT. Role zostały przypisane do struktury organizacyjnej,  więc zmiana warunków zatrudnienia czy zatrudnianie nowych pracowników odbywa się teraz „bezboleśnie”. Założono również, że role uprawnień będą zbudowane na możliwie niskim poziomie skomplikowania, tak aby nie trzeba ich było modyfikować. Decyduje się jedynie, które elementarne role przypisać do struktury.

Lepiej zrobi to bezpośredni przełożony lub tak zwany administrator uprawnień. A zatem osoba, która dobrze zna dokumentację uprawnień i decyduje, czy role przypisane do użytkownika nadają mu wymagane uprawnienia. Wykorzystując odpowiedni formularz, administrator uprawnień komunikuje się z działem IT i ten „fizycznie” przypisuje odpowiednie role zbiorcze lub pojedyncze do użytkowników.

Prościej i szybciej

Ten proces można jeszcze bardziej uprościć. SAP umożliwia pośrednie przypisanie ról uprawnień. Polega to na wiązaniu ról (zbiorczych lub pojedynczych) do obiektów struktury organizacyjnej – przede wszystkim jednostek organizacyjnych, funkcji i stanowisk.

Przykładowo jeżeli wszyscy kierownicy (oznaczeni jako pracownicy zatrudnieni na stanowiskach opisanych funkcją „kierownik”) mają mieć dostęp do Pulpitu Menedżera – stwórzmy rolę pojedynczą, dającą odpowiednie uprawnienia, i przypiszmy ją do funkcji.

Następnie do jednostek organizacyjnych reprezentujących poszczególne działy przypiszmy rolę dającą dostęp do wybranego obszaru, podobszaru kadrowego, grupy pracowników oraz do określonego zestawu podstawowych transakcji.

Uprawnienia będą dziedziczone „w dół struktury” i mogą być rozszerzane dla kolejnych stanowisk czy jednostek organizacyjnych, należących do jednostki nadrzędnej.

Korzyści są spore – przeniesienie pracownika w strukturze organizacyjnej i zatrudnienie kogoś innego na jego miejsce nie wymaga żadnej pracy. Raport, uruchomiony w tle, zadba o aktualizację uprawnień pracowników – usunie stare i nada nowe.

Przełamać inercję

Jeżeli niemożliwe jest przypisanie uprawnień do struktury organizacyjnej, jest to najprawdopodobniej sygnałem, że struktura organizacyjna wymaga przebudowania. Oznacza to, że komunikacja, sieć powiązań i odpowiedzialności za realizację pewnych zadań w strukturze organizacyjnej mogą szwankować. Reorganizacja uprawnień może być dobrym momentem, by przeprowadzić analizę tak zwanych social nets, czyli relacji, które występują między stanowiskami w organizacji.

Projekty rekonstrukcji i uporządkowania uprawnień nie należą do łatwych. Rozwiązania funkcjonujące i modyfikowane przez lata cechują się dużą inercją. Aby efektywnie zreorganizować system, trzeba go bardzo dokładnie przeanalizować i rozważyć alternatywne koncepcje. Korzyści po przeprowadzeniu takiego uporządkowania są jednak nieocenione. Przejrzysty, łatwy do zarządzania, bezpieczny i efektywny system kontroli dostępu do informacji to cel, do którego warto dążyć.

Stawka jest duża – efektem takiego projektu może być szczelny i elastyczny system uprawnień, który będzie dostosowywał się do rozwoju i zmian w organizacji. Wysiłek i czas, jednorazowo zainwestowane w stworzenie efektywnych procedur, zaprocentują znacznym zmniejszeniem obsługi administracyjnej systemu uprawnień na lata.