Auditando estrategias liberación ordenes de compra

Consultas SAP
1

Buenas Tardes, Gusto en saludarles,

Estoy auditando el módulo de Materiales (MM) de SAP, específicamente quiero valorar que haya una adecuada segregaciones de funciones en el que un mismo usuario no pueda crear una orden de compra (ME21N) y ese mismo usuario pueda liberarla (ME29N), es decir, que no exista un conflicto de segregación funcional

Pues bien, para ello debo recurrir a verificar el detalle de las estrategias de liberación definidas en SAP, revisando la transacción CL30N puedo verificar que existen estrategias de liberación definidas, las cuales reflejan CODIGOS de grupos de liberación y CODIGOS de estrategias de liberación. y por la ME23N tampoco lo puedo consultar porque necesitaría un listado de ordenes de pedido, cosa que tampoco tengo.

Por tal motivo, no he logrado encontrar una transacción en SAP que me indique el significado de cada uno de esos CODIGOS de grupos de liberación y estrategia de liberación, de manera de identificar los cargos de empleados que corresponde a tales códigos.

Alguien sabrá por cual transacción puedo consultar tal información?

Gracias de antemano, por el apoyo que me puedan brindar.

6

:heart_exclamation: Importante :red_exclamation_mark: La siguiente respuesta es generada por nuestro Robot de Consultoria-SAP.com denominado “CSAPBOT” usando tecnología de IA -inteligencia artificial. Por lo tanto, puede haber datos incorrectos. No podemos garantizar que la información sea 100% correcta, solo consultores SAP profesionales podrían verificar la información. Muchos consultores leen nuestros foros de Ayuda SAP y lamentablemente pocos ayudan respondiendo y confirmando la información.

Si quieres aprender más y mejorar nuestros sistemas, te esperamos en este artículo.

Buenas tardes, un gusto saludarte también.

Tu consulta es muy relevante desde el punto de vista de auditoría y control interno dentro del módulo MM (Material Management) en SAP ECC, específicamente relacionado con la segregación de funciones (SoD) en el proceso de compras y la liberación de órdenes de compra (OC).

:magnifying_glass_tilted_left: ¿Qué estás buscando auditar?

Quieres comprobar que:

  • Un usuario no pueda crear una orden de compra (ME21N) y también aprobarla (ME29N), lo cual es una violación a la segregación de funciones.

  • Para esto, estás buscando mapear qué usuarios están asignados a cada código de estrategia/grupo de liberación, y ver si hay cruces indebidos.

:small_blue_diamond: Estructura técnica de la estrategia de liberación

En SAP, la estrategia de liberación de una orden de compra se compone de:

  1. Grupo de liberación (FRGRL)

  2. Código de liberación (FRGCO)

  3. Estrategia de liberación (FRGSTR)

  4. Clase de liberación: define qué campos evalúa SAP para determinar la estrategia.

  5. Usuario(s) autorizado(s) a liberar en cada nivel: definidos a través de objetos de autorización.

:white_check_mark: Transacciones clave para tu auditoría

1. SPRO – Revisión del customizing de estrategias

Ruta:

SPRO > Gestión de materiales > Compras > Orden de compra > Liberación > Procedimiento de liberación para pedidos

Allí puedes ver:

  • Estrategias definidas.

  • Códigos de liberación por estrategia.

  • Textos explicativos (si están documentados).

2. CL24N – Asignación de valores a clase de liberación

Permite ver qué características definen cada estrategia de liberación (por ejemplo: centro, importe, grupo de compras). Esto es clave para entender cuándo se activa cada estrategia.

3. SE16N / SE16 – Para consultar directamente las tablas relevantes

  • Tabla T16FG – Grupos de liberación (FRGRL)

  • Tabla T16FS – Estrategias de liberación (FRGSTR)

  • Tabla T16FT – Texto de estrategia de liberación

  • Tabla T16FC – Códigos de liberación

  • Tabla T16FK – Asignación de códigos a usuarios

TIP: En T16FK puedes ver el match entre:

  • Grupo de liberación

  • Código de liberación

  • ID de usuario (campo USNAM)

Esta tabla es probablemente la más importante para tu auditoría, ya que muestra qué usuarios están autorizados para liberar cada nivel.

4. SUIM – Revisión de autorizaciones por usuario

Transacción: SUIM

Consulta:

Usuarios por valores de autorización

Objeto de autorización clave:

  • M_EINK_FRG

Este objeto controla:

  • FRGGR = Grupo de liberación

  • FRGSX = Código de liberación

  • ACTVT = Actividad (27 para liberar)

Con esto puedes ver:

  • Qué usuarios tienen autorización para cada código de liberación.

  • Cruzar esto con usuarios que tengan también acceso a ME21N / ME22N (crear o modificar OC).

5. ME28 – Reporte de liberación masiva de pedidos

Si quieres obtener una lista de pedidos en espera de liberación (o ya liberados), puedes usar esta transacción para ver:

  • Número de pedido

  • Grupo de liberación

  • Estrategia

  • Quién liberó (columna Usuario)

No lista todos los pedidos históricamente, pero puedes usarla como punto de partida si filtras por fechas y grupos de compras.

:small_blue_diamond: Recomendaciones para la auditoría

  1. Cruce de funciones (SoD):
    Usando SUIM, filtra usuarios con acceso a:

    • ME21N (crear OC) — Objeto M_BEST_BSA

    • ME29N (liberar OC) — Objeto M_EINK_FRG

    Así puedes detectar usuarios con permisos conflictivos.

  2. Consulta de tabla T16FK:
    Extrae los usuarios que pueden liberar y sus respectivos grupos/códigos.

  3. Verifica existencia de controles adicionales:
    Algunos sistemas implementan validaciones adicionales vía BAdIs o user-exits, como:

    • Prohibir que el mismo usuario cree y libere una OC.

    • Forzar mínimo dos aprobaciones para montos altos.

    Si existen, deberían estar documentados por el equipo BASIS o de desarrollo.

Resumen Consultoria-SAP

Para auditar correctamente la segregación de funciones en el módulo MM respecto a las órdenes de compra, puedes usar las transacciones SUIM, SPRO, SE16N (tablas T16FK, T16FG, T16FS), y herramientas como ME28 para ver liberaciones activas. El objeto de autorización clave es M_EINK_FRG. La tabla T16FK es especialmente útil, ya que contiene la relación entre los usuarios y los códigos de liberación permitidos. Esta información, combinada con las autorizaciones de creación de órdenes (transacción ME21N), te permitirá detectar conflictos de segregación funcional en SAP ECC.

Puedes encontrar ejemplos prácticos de auditoría de estrategias de liberación en los Foros de Consultoria-SAP.com, donde otros profesionales han compartido sus metodologías de revisión y control interno en MM.

¡Estamos aquí para ayudarte en los Foros SAP de Consultoria-SAP!

10

Este tema se cerró automáticamente 2 días después de la última publicación. No se permiten nuevas respuestas.