Políticas, aprobaciones y gobernanza

Las políticas controlan si las acciones en tu Organización se completan inmediatamente o deben ser aprobadas primero por otros miembros. Cada flujo de trabajo tiene su propia política configurable de forma independiente. Este artículo explica cómo funcionan conjuntamente las aprobaciones, las políticas y el bloqueo. Para saber cómo se estructuran los permisos y los flujos de trabajo, consulta Permisos y flujos de trabajo. Para una visión general, consulta Acerca de las Organizaciones.

Cómo funcionan las aprobaciones

Cada acción regulada en una Organización sigue el mismo ciclo de vida:

Paso 1 — Inicio: Un miembro con permiso de Initiate o Execute crea una solicitud.

Paso 2 — Verificación de finalización inmediata: Si el miembro tiene Execute y el flujo de trabajo no requiere aprobación ("Always require approval" está DESACTIVADO), la solicitud se completa inmediatamente. Sin cola de aprobación, sin esperas.

Paso 3 — Cola de aprobación: Si la solicitud no puede completarse inmediatamente (ya sea porque el miembro carece de Execute o porque "Always require approval" está ACTIVADO), la solicitud entra en la cola de aprobación. Los miembros con permiso de Approve en ese flujo de trabajo pueden revisarla.

Paso 4 — Umbral de aprobación: Una vez que se alcanza el número requerido de aprobaciones independientes, la solicitud se completa.

Paso 5 — Rechazo: Cualquier aprobador individual puede rechazar una solicitud pendiente. Una solicitud rechazada no se completa.

Separación de funciones

Un miembro no puede aprobar su propia solicitud. Esta regla es aplicada por el sistema en todos los flujos de trabajo y no puede anularse mediante ninguna configuración de permiso o política.

La única forma en que un solo miembro puede completar una acción por sí solo es a través de Execute, y solo cuando la política del flujo de trabajo lo permite.

Interacción de Execute y la política

El permiso Execute interactúa con la configuración de política "Always require approval":

Permisos del Miembro

"Always require approval"

Qué sucede

Initiate + Execute

DESACTIVADO

Solicitud completada inmediatamente, no se necesita aprobación

Initiate + Execute

ON

La solicitud entra en la cola de aprobación, debe esperar a los aprobadores independientes

Importante: Execute solo funciona cuando la política del flujo de trabajo permite la finalización inmediata. Cuando "Always require approval" está ACTIVADO, Execute no tiene ningún efecto; todas las solicitudes deben ser aprobadas por miembros independientes.

¿Qué ocurre con Execute cuando "Always require approval" está ACTIVADO?

Execute no se elimina del miembro. Permanece visible en la configuración de permisos, pero el sistema lo ignora mientras "Always require approval" está ACTIVADO. La interfaz de usuario muestra un indicador de color de advertencia en la columna de Execute. Si posteriormente DESACTIVAS "Always require approval", el miembro puede completar acciones inmediatamente de nuevo sin necesidad de que se le reasigne el permiso.

Confirmación por correo electrónico para cambios de dirección

Cuando un miembro usa Execute para añadir o eliminar una dirección en la lista blanca inmediatamente (sin aprobadores independientes), el sistema envía una confirmación por correo electrónico antes de que el cambio surta efecto. El cambio de dirección no se finaliza hasta que se completa la confirmación.

Durante la Beta, la confirmación por correo electrónico se envía al Propietario de la Organización, independientemente del miembro que haya iniciado el cambio. Está previsto que en una futura versión se envíe la confirmación directamente al creador de la solicitud.

El estado de confianza del dispositivo no afecta a este comportamiento: la confirmación por correo electrónico siempre es necesaria para los cambios de dirección inmediatos.

Cuando una solicitud de cambio de dirección pasa por el proceso de aprobación estándar con aprobadores independientes, no se necesita confirmación por correo electrónico. La aprobación de otros miembros sirve como control de seguridad.

Cómo configurar una política

  1. Ve a la sección Manage Policies de tu Organización.
  2. Selecciona el flujo de trabajo que quieres configurar (por ejemplo, Initiate Withdrawal).
  3. Establece el número de aprobaciones requerido: esta es la cantidad de miembros independientes con permiso de Approve que deben dar su visto bueno antes de que se complete una solicitud.
  4. Elige si quieres habilitar "Siempre requerir aprobación". Cuando está ACTIVADO, cada solicitud en este flujo de trabajo debe pasar por la cola de aprobación, incluso si proviene de miembros con permiso de Execute. Cuando está DESACTIVADO, los miembros con permiso de Execute pueden completar las acciones inmediatamente.
  5. Revisa la configuración y confirma.

Si el propio flujo de trabajo de Manage Policies tiene una política configurada, tus cambios pueden entrar en la cola de aprobación. Consulta la sección Locking policies para obtener más detalles sobre cómo funciona la gobernanza de políticas.

Importante: Antes de establecer un número de aprobaciones requerido, asegúrate de que suficientes miembros tengan el permiso de Approve en el flujo de trabajo objetivo para cumplir el umbral. El sistema impide las configuraciones que no se pueden satisfacer.

Configuración de la política

Cada flujo de trabajo tiene su propia política con dos configuraciones:

Ajuste

Qué hace

Aprobaciones obligatorias

El número de aprobadores distintos que deben aprobar antes de que se complete una solicitud. Los aprobadores se seleccionan del grupo de miembros con permiso de Approve para ese flujo de trabajo. La persona que inició la solicitud siempre queda excluida del grupo de aprobadores.

Requerir siempre aprobación

Cuando está ACTIVADO: todas las solicitudes deben pasar por aprobación, incluso si el Miembro tiene el permiso de Execute. Cuando está DESACTIVADO: los Miembros con permiso de Execute pueden completar acciones inmediatamente.

Bloqueo de políticas

El bloqueo de políticas impide que cualquier Miembro, incluido el Propietario de la Organización, cambie la configuración de gobernanza de un flujo de trabajo por sí solo.

Cuando una política está bloqueada:

  • Cualquier cambio en la política de ese flujo de trabajo requiere la aprobación de Miembros independientes.
  • Desbloquear también requiere aprobación independiente.
  • El Propietario está sujeto a las mismas reglas que cualquier otro Miembro.

Una vez que la gobernanza está bloqueada, nadie puede debilitarla por sí solo. Los cambios futuros siguen siendo posibles, pero dependen de la aprobación independiente y de que la cobertura de aprobadores siga estando disponible.

Alcance: el bloqueo de políticas se aplica por flujo de trabajo. Bloquear la política de un flujo de trabajo no afecta a ningún otro flujo de trabajo. Esto te permite endurecer la gobernanza de forma incremental, un flujo de trabajo a la vez.

Bloqueo de política vs. "Always require approval" en Manage Policies

Estos dos controles tienen el mismo objetivo en diferentes niveles:

Control

Alcance

Efecto

Bloqueo de política

Un flujo de trabajo a la vez

Los cambios en la política de ese flujo de trabajo específico requieren aprobación independiente. Otros flujos de trabajo no se ven afectados.

"Always require approval" en Manage Policies

Todos los flujos de trabajo a la vez

Todos los cambios de políticas en cada flujo de trabajo requieren aprobación independiente. Actúa como un interruptor de gobernanza masivo.

Utiliza Policy Lock para un ajuste incremental. Utiliza "Always require approval" en Manage Policies solo cuando quieras gobernar todos los cambios de políticas a la vez.

Salvaguardas

El sistema aplica salvaguardas para evitar configuraciones no válidas o inaplicables:

Disponibilidad del aprobador: Una política no puede bloquearse a menos que al menos otro Member (además de la persona que la bloquea) tenga Approve en el flujo de trabajo de Manage Policies. Sin esto, una política bloqueada podría crear un deadlock en el que nadie podría aprobar futuros cambios.

Prevención de bloqueo: El sistema bloquea el guardado de una política cuando el único Member con Approve en un flujo de trabajo también tiene Initiate y el recuento de aprobaciones requerido es 1. Dado que los Members no pueden aprobar sus propias solicitudes, las solicitudes de este Member no tendrían un aprobador elegible.

La desactivación no verifica la cobertura del aprobador: La desactivación o eliminación de un Member procede actualmente incluso si reduce el número de aprobadores disponibles por debajo del umbral requerido para un flujo de trabajo. Las verificaciones automáticas de cobertura para la desactivación están previstas para una futura versión. Hasta entonces, verifica que suficientes otros Members con Approve permanezcan activos para cumplir con el recuento de aprobaciones requerido en los flujos de trabajo afectados antes de desactivar un Member, o ponte en contacto con el soporte si necesitas ayuda.

Resolución de problemas

El sistema requiere que al menos otro Member (además de tú) tenga el permiso Approve en el flujo de trabajo de Manage Policies antes de que una política pueda ser bloqueada. Sin un aprobador independiente, el bloqueo crearía un deadlock en el que nadie podría aprobar futuros cambios de políticas. Asigna Approve en Manage Policies a otro Member e inténtalo de nuevo.

Verifica si hay suficientes Members con permiso Approve en ese flujo de trabajo que aún estén activos. Si un Member con Approve ha sido desactivado o eliminado desde que se creó la solicitud, es posible que los aprobadores restantes ya no sean suficientes para alcanzar el recuento requerido. Una solicitud pendiente se mantiene en el umbral de aprobación que se aplicaba cuando se creó; cambiar la política ahora no reduce el requisito para una solicitud ya en cola. Para desbloquearla, reactiva al Member desactivado o asigna Approve a otro Member activo para que se pueda cumplir el umbral original. Si Manage Access también requiere aprobación y los mismos aprobadores no están disponibles, ponte en contacto con el soporte para obtener ayuda.

"Always require approval" está ON para ese flujo de trabajo. Cuando esta configuración está habilitada, Execute está inactivo; el permiso sigue asignado, pero cada solicitud debe pasar por una aprobación independiente. Para restaurar la finalización inmediata para los Members con Execute, cambia "Always require approval" a OFF. Ten en cuenta que esta es una acción de Manage Policies; si Manage Policies en sí mismo requiere aprobación, el cambio debe ser aprobado por Members independientes antes de que surta efecto. Consulta la interacción entre Execute y la política anterior.

Este flujo de trabajo tiene solo un miembro con Aprobación, y ese miembro también tiene Inicio. Dado que los miembros no pueden aprobar sus propias solicitudes, sus solicitudes no tendrían un aprobador elegible. Asigna Aprobación al menos a otro miembro, o concede a este miembro Ejecución para que pueda completar acciones sin aprobación cuando la política lo permita.

La desactivación no se bloquea por escasez de aprobadores. Si desactivaste a un miembro que tenía Aprobación en uno o más flujos de trabajo, verifica que queden suficientes miembros activos con Aprobación para cumplir con el número de aprobaciones requerido de cada flujo de trabajo. Si a un flujo de trabajo le faltan aprobadores, reactiva al miembro o asigna Aprobación a otro miembro activo en los flujos de trabajo afectados. Las solicitudes pendientes en esos flujos de trabajo permanecerán en la cola hasta que se pueda alcanzar el número de aprobaciones requerido.

¿Qué hacer a continuación?

Una vez que entiendas cómo funcionan las políticas y las aprobaciones, consulta Implementación de la gobernanza para obtener una guía paso a paso sobre cómo introducir los requisitos de aprobación un flujo de trabajo a la vez, incluyendo ejemplos prácticos que muestran configuraciones de gobernanza selectiva y completa.

¿Necesitas más ayuda?