Permisos y Roles
El módulo HRM utiliza un sistema de permisos granular para controlar quién puede ver, crear, editar, eliminar y realizar acciones específicas en cada tipo de registro. Los permisos se asignan a roles, y a cada usuario se le asignan uno o más roles. Esto le permite ajustar el acceso con precisión — por ejemplo, permitir que un gerente de RRHH apruebe permisos y procese nómina, mientras limita a los empleados a ver sus propios registros y enviar solicitudes.
Cómo Funcionan los Permisos
Los permisos en el módulo HRM se organizan en dos categorías:
- Permisos CRUD — Controlan operaciones básicas (crear, ver, editar, eliminar) en cada tipo de recurso (Empleados, Solicitudes de Permiso, Hojas de Tiempo, etc.).
- Permisos de Acción — Controlan acciones específicas del flujo como aprobar permisos, procesar nómina o finalizar recibos.
Los permisos se asignan a roles a través de la página Settings > Permissions. Cada rol obtiene una combinación de permisos que definen lo que los usuarios en ese rol pueden hacer.
Verificaciones de Permisos en Acciones
Muchas acciones de flujo en el módulo HRM requieren que se cumplan dos condiciones:
- El usuario debe tener el permiso correcto (ej., "Approve Leave Requests").
- El registro debe estar en el estado correcto (ej., la solicitud debe estar en estado Pendiente).
Si alguna condición no se cumple, el botón de acción no aparecerá. Por ejemplo, incluso si tiene el permiso "Approve Leave Requests", el botón Aprobar no se mostrará en una solicitud que ya ha sido aprobada.
Permisos CRUD (Crear, Ver, Editar, Eliminar)
Cada recurso HRM recibe automáticamente un conjunto de permisos CRUD. Estos siguen un patrón consistente en todos los recursos.
Permisos de Visualización
| Permiso | Qué Permite |
|---|---|
| Ver Todos | Ver todos los registros de este tipo, sin importar quién los creó |
| Ver Propios | Ver solo registros creados por el usuario conectado |
| Ver de Equipo | Ver registros creados por miembros de equipos que usted gestiona |
Permisos de Creación
| Permiso | Qué Permite |
|---|---|
| Crear | Crear nuevos registros de este tipo |
Permisos de Edición
| Permiso | Qué Permite |
|---|---|
| Editar Todos | Editar cualquier registro de este tipo |
| Editar Propios | Editar solo registros creados por el usuario conectado |
| Editar de Equipo | Editar registros creados por miembros de equipos que gestiona |
Permisos de Eliminación
| Permiso | Qué Permite |
|---|---|
| Eliminar Cualquiera | Eliminar cualquier registro de este tipo |
| Eliminar Propios | Eliminar solo registros creados por el usuario conectado |
| Eliminar de Equipo | Eliminar registros creados por miembros de equipos que gestiona |
| Eliminación Masiva | Eliminar múltiples registros a la vez usando la acción masiva |
Recursos con Permisos CRUD
Los permisos CRUD se generan para cada uno de los siguientes recursos:
- Empleados
- Solicitudes de Permiso
- Saldos de Permisos
- Tipos de Permiso
- Asistencia
- Hojas de Tiempo
- Ejecuciones de Nómina
- Entradas de Nómina
- Componentes de Nómina
- Recibos de Nómina
- Estructuras Salariales
La variante de permiso Propios verifica quién creó el registro (el campo created_by). Para empleados conectados al Portal del Empleado, "propios" se refiere a registros asociados con su perfil de empleado — no solo registros que crearon personalmente.
Permisos de Acción (Aprobar, Cancelar, Finalizar, etc.)
Más allá de las operaciones CRUD, el módulo HRM define permisos dedicados para acciones específicas del flujo. Estos deben otorgarse explícitamente — tener acceso de edición a un recurso no otorga automáticamente la capacidad de realizar sus acciones.
Acciones de Gestión de Permisos
| Permiso | Acciones que Habilita | Estado Requerido del Registro |
|---|---|---|
| Aprobar Solicitudes de Permiso | Aprobar Permiso, Rechazar Permiso | La solicitud debe estar en estado Pendiente |
| Cancelar Solicitudes de Permiso | Cancelar Permiso | La solicitud debe estar en estado Pendiente o Aprobada |
El permiso "Aprobar Solicitudes de Permiso" cubre tanto la aprobación como el rechazo. Un usuario con este permiso puede realizar cualquier acción en solicitudes pendientes.
Acciones de Hojas de Tiempo
| Permiso | Acciones que Habilita | Estado Requerido del Registro |
|---|---|---|
| Enviar Hojas de Tiempo | Enviar Hoja de Tiempo | La hoja debe estar en estado Borrador |
| Aprobar Hojas de Tiempo | Aprobar Hoja de Tiempo, Rechazar Hoja | La hoja debe estar en estado Enviada |
Los empleados también pueden enviar sus propias hojas si tienen el permiso "Edit Own Timesheets", incluso sin el permiso "Submit Timesheets".
Acciones de Nómina
| Permiso | Acciones que Habilita | Estado Requerido del Registro |
|---|---|---|
| Procesar Nómina | Procesar Nómina, Marcar como Completada | La ejecución debe estar en Borrador (Procesar) o Procesando (Marcar como Completada) |
| Aprobar Nómina | Aprobar Nómina | La ejecución debe estar en estado Completada |
| Generar Recibos | Generar Recibos | La ejecución debe estar en estado Completada o Aprobada |
Acciones de Recibos
| Permiso | Acciones que Habilita | Estado Requerido del Registro |
|---|---|---|
| Finalizar Recibos | Finalizar Recibo | El recibo debe estar en estado Borrador |
| Enviar Recibos | Enviar Recibo | El recibo debe estar Finalizado |
Permisos de Exportación
Cada recurso también tiene un permiso de exportación dedicado:
| Permiso | Qué Permite |
|---|---|
| Exportar Empleados | Exportar datos de empleados |
| Exportar Solicitudes de Permiso | Exportar datos de solicitudes |
| Exportar Tipos de Permiso | Exportar datos de tipos de permiso |
| Exportar Asistencia | Exportar registros de asistencia |
| Exportar Hojas de Tiempo | Exportar datos de hojas de tiempo |
| Exportar Ejecuciones de Nómina | Exportar datos de ejecuciones |
| Exportar Entradas de Nómina | Exportar datos de entradas |
| Exportar Componentes de Nómina | Exportar datos de componentes |
| Exportar Recibos | Exportar datos de recibos |
| Exportar Estructuras Salariales | Exportar datos de estructuras |
Los permisos de exportación son independientes de los permisos de visualización. Un usuario puede ver registros en pantalla pero no exportarlos, dependiendo de la configuración de su rol.
Permisos Predeterminados del Rol de Empleado
El sistema incluye un rol Employee preconfigurado diseñado para empleados que usan el Portal del Empleado. Este rol proporciona acceso de autoservicio mientras restringe las funciones administrativas.
Qué Pueden Hacer los Empleados
| Área | Permisos |
|---|---|
| Perfil del Empleado | Ver y editar su propio registro de empleado |
| Solicitudes de Permiso | Crear, ver y editar sus propias solicitudes; cancelar solicitudes propias pendientes o aprobadas |
| Saldos de Permisos | Ver sus propios saldos (solo lectura) |
| Hojas de Tiempo | Crear, ver y editar sus propias hojas; enviar borradores para aprobación |
| Asistencia | Crear, ver y editar sus propios registros de asistencia |
| Recibos | Ver sus propios recibos (solo lectura) |
| Estructuras Salariales | Ver sus propias estructuras salariales (solo lectura) |
Qué No Pueden Hacer los Empleados
- Ver, editar o eliminar registros de otros empleados
- Aprobar o rechazar solicitudes de permiso u hojas de tiempo
- Acceder a ejecuciones de nómina o componentes de nómina
- Crear o modificar saldos de permisos, recibos o estructuras salariales
- Exportar datos
- Acceder a la configuración administrativa
Comportamiento del Portal del Empleado
Cuando un empleado inicia sesión a través del Portal, la interfaz se ajusta automáticamente:
- El campo Empleado está oculto en formularios — el sistema asocia automáticamente registros con el perfil del empleado conectado.
- El campo Estado está oculto en hojas de tiempo — las hojas comienzan como Borrador y siguen el flujo normal.
- Los campos administrativos como creador, aprobador y notas internas están ocultos.
- La navegación solo muestra recursos a los que el empleado tiene permiso de acceso.
Los permisos del rol Employee pueden personalizarse a través de Settings > Permissions. Los valores predeterminados descritos arriba se asignan cuando el rol se crea por primera vez y pueden ajustarse según las necesidades de su organización.
Bypass de Super Admin
Los usuarios designados como Super Admins omiten todas las verificaciones de permisos por completo. El sistema les otorga acceso sin restricciones a cada recurso y cada acción, independientemente de qué permisos estén asignados a sus roles.
Esto significa:
- Los super admins pueden ver, crear, editar y eliminar cualquier registro.
- Los super admins pueden realizar cualquier acción (aprobar, rechazar, procesar, finalizar, etc.) en cualquier registro, siempre que el registro esté en el estado correcto.
- Los super admins ven todos los botones de acción, todos los campos y todos los recursos.
- La configuración de permisos en Settings > Permissions no afecta a los usuarios super admin.
Debido a que los super admins omiten todas las verificaciones, sea selectivo sobre quién tiene este acceso. Para la mayoría de usuarios, es mejor crear un rol con permisos administrativos específicos en lugar de otorgar el estatus de super admin.
Las Verificaciones de Estado Aún Aplican
Incluso para super admins, los requisitos de estado del registro aún se aplican. Por ejemplo, un super admin no puede aprobar una solicitud que ya está aprobada, ni procesar una ejecución de nómina que ya se completó. Estas son reglas de lógica de negocio, no verificaciones de permisos.
Configurar Roles y Permisos
Crear un Rol Personalizado
- Navegue a Settings > Permissions.
- Cree un nuevo rol (ej., "Gerente de RRHH", "Líder de Equipo", "Oficial de Nómina").
- Asigne los permisos apropiados de la lista disponible.
Ejemplos de Configuración de Roles
Gerente de RRHH — Acceso completo a todos los recursos y acciones HRM:
- Todos los permisos CRUD (Ver Todos, Editar Todos, Crear, Eliminar Cualquiera) para todos los recursos
- Aprobar Solicitudes, Cancelar Solicitudes
- Enviar Hojas, Aprobar Hojas
- Procesar Nómina, Aprobar Nómina, Generar Recibos
- Finalizar Recibos, Enviar Recibos
- Todos los permisos de exportación
Líder de Equipo — Gestionar permisos y hojas de su equipo:
- Permisos Ver Equipo / Editar Equipo para Empleados, Solicitudes, Hojas, Asistencia
- Aprobar Solicitudes de Permiso
- Aprobar Hojas de Tiempo
- Permisos Ver Propios para Saldos, Recibos, Estructuras Salariales
Oficial de Nómina — Procesar nómina pero no aprobar:
- Ver Todos / Editar Todos para Ejecuciones, Entradas, Componentes, Estructuras Salariales
- Procesar Nómina
- Generar Recibos, Finalizar Recibos, Enviar Recibos
- Exportar Ejecuciones, Exportar Entradas, Exportar Recibos
Para una separación de funciones en nómina, considere dar el permiso "Procesar Nómina" a un rol y el permiso "Aprobar Nómina" a otro rol diferente. Esto asegura que ninguna persona pueda tanto procesar como aprobar la nómina.