Conversión rápida y segura de funciones a S/4HANA
PUMA SE es una empresa internacional con aproximadamente 14.000 empleados en 50 países, muchos desarrollos e interfaces internos específicos de cada país, así como elevados requisitos de cumplimiento normativo. El proyecto supuso el inicio de la migración con 4 países y diferentes sistemas ERP de SAP a S/4HANA.
Debido a las numerosas unidades organizativas, los procesos distribuidos y las particularidades críticas de cada país, entre otras cosas, se planteó el reto de crear un concepto de autorización global que luego pudiera implantarse "en profundidad" en cada país.
Para PUMA era especialmente importante elegir un socio que estuviera a la altura del dinamismo y la determinación de la empresa: "PUMA significa siempre más rápido. Esto también lo vivimos en nuestros procesos y proyectos. Como la marca deportiva más rápida, también necesitamos el socio adecuado en el ámbito de la seguridad informática que pueda actuar con flexibilidad. Lo hemos encontrado en el equipo de SAST SOLUTIONS.", afirma Karsten Krebs, Director de Soluciones Empresariales.
Además de la introducción de un nuevo concepto uniforme en todos los países y empresas, el objetivo era la implantación de nuevos procesos según el principio de "¡Fiori primero!
Planteamiento, procedimiento y elección del concepto de autorización
En primer lugar, había que tomar decisiones fundamentales: ¿Green-, Brown- o Bluefield, gestión de proyectos clásica o ágil? En función de los objetivos, se optó por un enfoque greenfield y una gestión ágil de proyectos.
Alina Demuth, consultora SAP S/4HANA de SAST SOLUTIONS, subraya: "A menudo, la elección del concepto de autorización se basa en la propuesta de un único consultor o en un enfoque basado en las mejores prácticas, sin tener en cuenta las necesidades específicas de la empresa y del proyecto. Es esencial conocer las ventajas e inconvenientes de los distintos conceptos de autorización, que tienen todos su razón de ser en función de la situación.
Si se toma una decisión equivocada, a menudo no se reconoce hasta después de varios días de aplicación o, lo que es peor, cuando los efectos negativos se hacen patentes más tarde en la vida cotidiana. Una corrección posterior puede suponer un esfuerzo y unos costes elevados."
Diversidad de conceptos de autorización
Para tomar esta decisión, por tanto, hay que tener en cuenta numerosos aspectos desde el principio: ¿Cuáles son las necesidades reales de la empresa, cuáles son los objetivos del proyecto y cuál es el nivel de exigencia en materia de seguridad? ¿Cuál es el presupuesto y los recursos de tiempo y personal?
Factores limitantes como las estructuras y procesos organizativos existentes, el número de usuarios de SAP y, básicamente, el tipo y la arquitectura del sistema proporcionan un marco fijo. La priorización de los objetivos viene determinada por la estrategia de TI correspondiente.
Por tanto, la elección del concepto de autorización "adecuado" es, en última instancia, un acto de equilibrio entre la necesidad de una alta seguridad con autorizaciones ajustadas con precisión y el deseo de un esfuerzo administrativo mínimo. El conflicto de objetivos es, por tanto, la asignación mínima de autorizaciones frente a la normalización de los procesos.
Roozbeh Noori-Amoli, Director Adjunto de Consultoría SAP en SAST SOLUTIONS, cita algunos escenarios en los que un concepto concreto tiene sentido: "En una organización internacional con muchas partes de la empresa iguales y procesos recurrentes, funcionan el enfoque plantilla-rol con derivaciones según las unidades organizativas o el concepto menú/valor-rol. En cambio, si existe una gran necesidad de seguridad y se desea una asignación precisa de las autorizaciones, un número reducido de transacciones utilizadas por usuario y un sistema con pocos procesos pero diferentes, se recomienda el concepto 1 transacción - 1 rol."
Escenario del proyecto PUMA: retos y enseñanzas
"Con PUMA, optamos finalmente por rodillos individuales de procedimiento con rodillos funcionales de recogida en el lugar de trabajo", dice Demuth, "porque hay muchas unidades que son similares, gestionadas centralmente, con auditoría central y un concepto uniforme con funciones especiales, así como derivaciones a través de los niveles organizativos."
Sin embargo, Noori-Amoli subraya que este concepto no es en absoluto la opción adecuada para todo el mundo: "En otro proyecto, por ejemplo, se optó exactamente por este concepto a petición urgente del cliente. Sin embargo, en los talleres con los departamentos quedó claro rápidamente que sólo era posible, hasta cierto punto, separar a los usuarios en grupos homogéneos e implantar una separación clara de los procesos individuales. En este caso, era preferible un concepto de autorización híbrido para responder mejor a las circunstancias específicas del país y del departamento."
El cambio a S/4HANA modifica los procesos y las descripciones de los puestos de trabajo. Las empresas deben decidir qué enfoque adoptar en términos de experiencia de usuario. "Los usuarios finales no saben lo que les va a llegar a través de S/4HANA y lo que va a cambiar. Por lo tanto, cabe esperar resistencia a las nuevas tecnologías y procesos.dice Alina Demuth.
La enseñanza del proyecto PUMA: es importante identificar y adoptar lo mejor de ambos mundos. El proceso debe estar en primer plano, no la estrategia de experiencia del usuario. Son importantes la implicación temprana de todos los participantes en el proyecto, la comunicación abierta del proyecto y la formación para promover activamente las ventajas y sensibilizar sobre las innovaciones.
Gestión ágil y nuevas transacciones de S/4HANA
La migración va acompañada del traslado de los desarrollos internos y la aplicación de un nuevo concepto de autorización. Las pruebas de integración, regresión y autorización no se consideran por separado, sino que se realizan en paralelo. Esto se debe a que la motivación de los usuarios finales disminuye si hay muchos cambios y se encuentra una falta de autorización durante las pruebas funcionales.
Noori-Amoli resume lo aprendido: "Sobre todo, debe preverse tiempo suficiente para las pruebas. Además, debe garantizarse una coordinación detallada entre el equipo de pruebas, la dirección de formación y el equipo de autorización. El apoyo de herramientas, como SAST SUITE, es útil para garantizar las pruebas de los procesos.
Es importante actualizar los valores SU24 de las transacciones estándar de S/4HANA y sensibilizar a los desarrolladores para que los mantengan también en los desarrollos internos. Y la compleja cuestión de los interlocutores comerciales debe abordarse junto con los departamentos especializados en una fase temprana. Por último, es importante tomar decisiones interdepartamentales sobre el contenido de las funciones de autorización."
Gestión de autorizaciones y "¡Fiori primero!"
Análogamente a la transformación, también debe producirse un cambio en la mentalidad de los empleados: "Think global!" exige armonizar los procesos para que haya autorizaciones idénticas en toda la empresa.
El aprendizaje, según Alina Demuth: "Lejos del equipo de autorización, hacia un responsable en cada departamento. El apoyo de herramientas, por ejemplo a través de SAST SUITE, también tiene sentido en este caso. Se necesitan plantillas estándar para los roles por defecto para las pruebas, así como roles limpios y libres de SoD. Las autorizaciones no sólo deben someterse a pruebas de funcionalidad, sino también a pruebas negativas. De este modo, se garantiza la continuidad de las actividades cotidianas mediante un enfoque "safe-go-live".."
Muchas empresas se centran en una estrategia Fiori con la introducción de S/4HANA. Sin embargo, son muchos los factores que influyen en cómo se vive luego en la práctica y cómo se integra la nueva interfaz como un "cuerpo extraño" en los procesos existentes: por ejemplo, la creación de una nueva mentalidad, la configuración de la arquitectura, la concepción de las autorizaciones y el despliegue de los nuevos procesos empresariales en las unidades individuales.
Además, SAP aún no ha implantado Fiori de forma generalizada y no todos los procesos están cubiertos. Esto da lugar a discontinuidades de medios poco atractivas, ya que es necesario operar en parte con Fiori y en parte con Backend.
Noori-Amoli resume así lo aprendido: "Fiori solo debe utilizarse cuando ofrezca un valor añadido real y simplifique las cosas. Es importante planificar más tiempo y recursos, porque los departamentos a menudo carecen de conocimientos sobre los procesos y sobre cómo quieren trabajar en S/4HANA. El tema no puede implementarse simplemente junto con el negocio diario. Es necesario crear catálogos y grupos específicos de clientes para no tener que recurrir al sobrecargado estándar de SAP."
Dinámico, ágil y perfectamente adaptado: el proyecto de autorización de PUMA
El éxito de un proyecto de autorización de S/4HANA altamente dinámico y ágil es posible con la experiencia adecuada de un socio, herramientas a medida y una planificación cuidadosa; la elección del concepto de autorización depende fundamentalmente de los factores de coste, tiempo y alcance.
Es esencial determinar de antemano las necesidades de las partes interesadas y los objetivos del proyecto. La experiencia demuestra que los proyectos de autorización de S/4HANA están sujetos a una fuerte dinámica debido a su estrategia general, inicialmente a menudo poco clara, y a los frecuentes cambios de los requisitos.
Por ello, los expertos de SAP de SAST SOLUTIONS aplicaron en PUMA SE un enfoque de gestión de proyectos ágil, adaptado con precisión a la complejidad de los retos y a las expectativas del cliente, afirma Karsten Krebs, de PUMA SE: "Con SAST SOLUTIONS, hemos reunido el equipo adecuado con la herramienta de software adecuada para poder reaccionar con agilidad a nuestra dinámica. Juntos, hemos implantado con éxito un concepto global de seguridad y autorización para nuestro entorno de sistemas S/4HANA."