La modificación PFCG que permite crear y / o modificar roles, no debería ser utilizado en los sistemas SAP PRD y QAS, ya que de lo contrario se perderá el necesario alineamiento de roles que debe existir en los sistemas de Desarrollo (DES), Calidad ( QAS) y Producción (PRD).
En caso de ser necesario asignar al usuario encargado de crear cuentas de usuarios, para visualizar roles en esos sistemas, sus Objetos de Autorización – objeto, campo y valor – se deben configurar de la siguiente forma:
S_USER_AGR ACTVT 3
S_USER_AUT ACTVT 3
S_USER_GRP ACTVT 3
S_USER_PRO ACTVT 3
S_USER_SAS ACTVT 3
Desde la perspectiva del conflicto por segregación de funciones entre la administración de usuarios y la administración de roles, de la forma descrita el riesgo se encuentra mitigado controlado. En el análisis del riesgo, bajo estas condiciones, esto correspondió a un falso.