La transacción PFCG que permite crear y/o modificar roles, no debería ser usada en los sistemas SAP PRD y QAS, ya que de lo contrario se perderá el necesario alineamiento de roles que debe existir en los sistemas de Desarrollo (DES), Calidad (QAS) y Producción (PRD).

En caso de ser necesario asignarla al usuario encargado de crear cuentas de usuarios, para visualizar roles en esos sistemas, sus Objetos de Autorización – objeto, campo y valor – se deben configurar de la siguiente forma:

S_USER_AGR ACTVT 3
S_USER_AUT ACTVT 3
S_USER_GRP ACTVT 3
S_USER_PRO ACTVT 3
S_USER_SAS ACTVT 3

Desde la perspectiva del conflicto por segregación de funciones entre la administración de usuarios y la admnistración de roles, de la forma descrita el riesgo se encuentra mitigado controlado. En el análsis del riesgo, bajo estas condiciones, éste corresponderá a un falso.