Sistema de Permissões V2
Este manual descreve o Sistema de Permissões V2 e o módulo de Privacidade Financeira V2.1 do sistema
- 1 - Visão geral e justificativa
- 2 - Conceitos fundamentais
- 3 - Ativação e primeiros passos
- 4 - Aba Perfis
- 5 - Aba Operadores
- 6 - Privacidade Financeira
- 7 - Permissão de Relatórios
- 8 - Migração V1 → V2
- 9 - Troubleshooting e glossário
1 - Visão geral e justificativa
Este manual descreve o Sistema de Permissões V2 e o módulo de Privacidade Financeira V2.1 do sistema. Cada capítulo aborda uma área:
- Visão geral e justificativa (este capítulo) — por que o sistema foi criado e o que muda
- Conceitos fundamentais — ações, perfis, exceções e como a permissão é decidida
- Ativação e primeiros passos — como ligar o sistema com segurança
- Aba Perfis — criar perfis e definir o que cada um pode fazer
- Aba Operadores — atribuir perfis e ajustes individuais
- Privacidade Financeira — esconder categorias financeiras sensíveis
- Permissão de Relatórios — controlar quem imprime cada relatório
- Migração V1 → V2 — importar as configurações antigas automaticamente
- Troubleshooting e glossário — dúvidas comuns e termos
O que é: um sistema de controle de acesso baseado em ações e perfis, que substitui gradualmente o antigo controle por flag de "Administrador". Permite dizer exatamente o que cada operador pode fazer — sem precisar torná-lo administrador para liberar uma única tarefa.
Por que o sistema antigo (V1) não era suficiente
O controle de acesso anterior acumulou quatro problemas ao longo dos anos:
1. O "Administrador" virou um canivete suíço
Para liberar qualquer tarefa um pouco mais sensível — reabrir um caixa, cancelar um movimento, editar impostos — muitas vezes a única saída era marcar o operador como Administrador. Mas ao fazer isso, ele ganhava acesso a tudo: excluir faturas, cancelar lançamentos, editar dados de outros operadores, ver toda a parte financeira.
O risco: um operador que só precisava "reabrir o caixa" acabava com poder total no sistema. Não havia meio-termo entre "operador comum" e "pode tudo".
2. Três sistemas de restrição separados e incompatíveis
As restrições de telas, de dashboards e de relatórios eram controladas por três cadastros diferentes, sem nenhuma integração. Não dava para reaproveitar um "perfil de vendedor" entre eles — cada lugar tinha de ser configurado do zero, operador por operador.
3. Cada nova permissão exigia mexer no programa
As permissões eram campos fixos (sim/não) espalhados pelo cadastro de operador. Toda vez que surgia a necessidade de uma permissão nova, era preciso alterar o banco, o programa e a tela de cadastro. Não escalava.
4. Telas novas ficavam abertas sem controle
Quando uma tela nova era adicionada ao sistema, ela nascia liberada para todos por padrão — porque a ausência de uma regra significava "acesso permitido". Não havia uma forma central de decidir o comportamento padrão.
O que muda com o V2
| Antes (V1) | Agora (V2) |
|---|---|
| Liberar 1 tarefa = virar Administrador | Liberar exatamente aquela ação, nada mais |
| Telas, dashboards e relatórios em 3 cadastros | Tudo unificado em ações + perfis |
| Permissões fixas no programa | Catálogo de ações que cresce sozinho |
| Só "permitir" ou "bloquear" | Três estados: Permitir / Bloquear / Solicitar autorização |
| Sem controle sobre dados financeiros sensíveis | Privacidade por categoria de Receita/Despesa |
O conceito central: ação + perfil
Em vez de marcar campos fixos no operador, o V2 trabalha com:
- Ações — cada coisa que se pode fazer no sistema é uma "ação" (ex.: "Excluir faturas", "Reabrir caixa", "Acessar a tela de produtos").
- Perfis — conjuntos reutilizáveis de regras (ex.: "Vendedor", "Caixa", "Financeiro"). Você define uma vez o que o perfil "Vendedor" pode fazer e aplica a quantos operadores quiser.
- Exceções individuais — ajustes pontuais para um operador específico, que sobrepõem o perfil dele.
Exemplo prático: você cria o perfil "Vendedor" bloqueando "Excluir faturas" e "Fechar caixa". Aplica esse perfil a 10 vendedores. Se um desses vendedores também é supervisor e pode fechar o caixa, você adiciona uma exceção individual só para ele — sem mexer no perfil dos outros 9.
Privacidade Financeira (V2.1)
Além do controle de ações, o V2.1 adicionou a capacidade de esconder categorias financeiras sensíveis de operadores específicos. Por exemplo: impedir que um vendedor veja lançamentos de "Folha de Pagamento" ou "Pró-labore dos Sócios" nas telas e relatórios financeiros.
Há dois níveis de proteção:
- Bloqueio — o lançamento some completamente das telas e relatórios.
-
Mascaramento — o lançamento aparece, mas o valor é exibido como
***(útil para auditoria: o operador sabe que existe um lançamento, mas não vê o valor).
O capítulo Privacidade Financeira detalha quando usar cada um.
Convivência segura com o sistema antigo
Nada muda até você decidir: o V2 nasce desligado. Enquanto não for ativado, o sistema funciona exatamente como antes (V1). Você pode preparar tudo com calma — criar perfis, testar — e só ligar quando estiver confiante. E pode voltar atrás a qualquer momento, desligando o V2.
Operadores marcados como Administrador continuam com acesso total mesmo com o V2 ligado — eles "passam por cima" de todas as regras. Isso garante que você nunca fique trancado para fora do próprio sistema.
2 - Conceitos fundamentais
Antes de configurar, vale entender os quatro conceitos que sustentam o sistema: ação, perfil, exceção individual e os três estados de permissão. Com isso você consegue prever exatamente o que cada operador poderá fazer.
Ação
Uma ação é qualquer coisa que se pode fazer no sistema e que vale a pena controlar: abrir uma tela, clicar num botão sensível, imprimir um relatório.
- Cada ação tem um código (ex.:
FATURA.EXCLUIR,CAIXA.REABRIR) e uma descrição amigável ("Excluir faturas", "Reabrir caixa"). - As ações são organizadas em grupos (Vendas, Financeiro, Caixa, Fiscal, etc.) para facilitar a navegação.
- O sistema já vem com um catálogo de ações pré-cadastradas, e cria novas automaticamente conforme telas e recursos vão sendo usados.
Você não precisa cadastrar ações manualmente. O catálogo já vem populado e cresce sozinho. Seu trabalho é apenas decidir, em cada perfil, o que liberar ou bloquear.
Perfil
Um perfil é um conjunto reutilizável de regras de ação. Em vez de configurar cada operador individualmente, você cria perfis como "Vendedor", "Caixa", "Gerente" e os aplica a vários operadores de uma vez.
O sistema já sugere 5 perfis prontos (todos começam inativos, para você revisar antes de usar):
| Perfil | Ideia geral |
|---|---|
| Administrador | Sem restrições (para documentar/auditar) |
| Gerente | Acesso amplo; pede autorização para excluir faturas e gerar DRE |
| Vendedor | Foco em vender; bloqueado de financeiro, configurações e exclusões |
| Caixa | Foco na frente de caixa; pede autorização para fechar/reabrir caixa |
| Financeiro | Foco em faturas e liquidações; bloqueado de vendas e produção |
Um operador pode ter mais de um perfil ao mesmo tempo (ex.: "Vendedor" + "Caixa").
Exceção individual
A exceção individual é um ajuste pontual para um operador específico, que sobrepõe o que o perfil dele diz.
Exemplo: o perfil "Vendedor" bloqueia "Fechar caixa". Mas o vendedor João, que é também o responsável pela loja, precisa fechar o caixa. Você adiciona uma exceção individual Permitido para o João na ação "Fechar caixa" — sem alterar o perfil "Vendedor" dos demais.
Os três estados de permissão
Cada ação, em cada perfil ou exceção, pode estar em um de três estados:
| Estado | O que acontece |
|---|---|
| Permitido | O operador faz a ação normalmente. |
| Bloqueado | O operador é impedido. O botão fica desabilitado ou aparece uma mensagem de "sem permissão". |
| Solicitar Autorização | O operador pode tentar, mas o sistema pede a autorização de um supervisor antes de prosseguir. |
"Solicitar Autorização" reaproveita o fluxo de supervisor que o sistema já usa em descontos e outras operações sensíveis. É o meio-termo ideal: o operador não fica travado, mas a ação só passa com o aval de alguém autorizado.
Como o sistema decide (hierarquia de resolução)
Quando um operador tenta fazer algo, o sistema decide na seguinte ordem:
- É Administrador? → Permitido (passa por cima de tudo).
- Tem exceção individual para essa ação? → Usa o estado da exceção.
- Tem perfil(s) com essa ação? → Usa o perfil. Se tiver vários perfis com estados diferentes, vence o mais permissivo.
- Nenhuma regra encontrada? → Usa o padrão da ação (em geral, Permitido).
Regra do "mais permissivo vence" entre perfis: se um operador tem o perfil A (que diz Permitido para "Excluir fatura") e o perfil B (que diz Bloqueado), ele poderá excluir — porque Permitido vence Bloqueado quando vêm de perfis diferentes. Para realmente bloquear, use uma exceção individual (que tem prioridade sobre qualquer perfil).
A ordem de força entre os estados, quando há conflito entre perfis, é:
Permitido > Solicitar Autorização > Bloqueado
Onde isso aparece para o operador
Quando uma ação é bloqueada, o operador vê uma das duas coisas:
A mensagem de bloqueio inclui uma marca [Origem: V2] ou [Origem: V1] — isso ajuda o suporte a diagnosticar rapidamente qual sistema decidiu o bloqueio.
Próximo passo: o capítulo "Ativação e primeiros passos" mostra como ligar o sistema com segurança e qual o roteiro recomendado de implantação.
3 - Ativação e primeiros passos
Este capítulo mostra como ligar o Sistema de Permissões V2 com segurança, sem surpresas para os operadores. A regra de ouro: prepare tudo com o sistema desligado, valide, e só então ative.
Apenas Administradores acessam a tela de configuração de permissões. Se você não for administrador, o sistema não permitirá abrir a tela "Permissões V2".
Onde fica a tela
A tela tem cinco abas, cada uma coberta em um capítulo deste manual:
| Aba | Para quê |
|---|---|
| Perfis | Criar perfis e definir o que cada um pode fazer |
| Operadores | Atribuir perfis aos operadores e ajustes individuais |
| Visão Consolidada | Conferir a permissão final resolvida por operador |
| Privacidade Financeira | Esconder categorias financeiras sensíveis |
| Migração V1 → V2 | Importar automaticamente as configurações antigas |
Os parâmetros que controlam o sistema
Três parâmetros (configurados pelo suporte/administrador) controlam o comportamento global:
| Parâmetro | Padrão | O que faz |
|---|---|---|
| Usar sistema de permissões V2 | Desligado | A chave-mestra. Enquanto desligado, vale o sistema antigo (V1). |
| Liberar novas telas e ações por padrão | Ligado | Telas/recursos novos nascem liberados. Se desligado, nascem bloqueados até você liberar. |
| Liberar novos relatórios por padrão | Ligado | O mesmo, específico para relatórios. |
Recomendação: mantenha "Liberar novas telas/relatórios por padrão" ligado. Assim, ao atualizar o sistema, nenhuma novidade fica acidentalmente bloqueada para os operadores. Você bloqueia conscientemente só o que precisar.
Roteiro de implantação recomendado
Siga esta ordem para uma transição tranquila:
- Sistema desligado (estado inicial) — nada muda para os operadores.
- Rodar a Migração V1 → V2 — importa as restrições que você já tinha (ver capítulo dedicado). Isso cria perfis e regras automaticamente, como ponto de partida.
- Revisar e ativar perfis — na aba Perfis, conferir as regras e marcar como "Ativo" os perfis que vai usar (eles nascem inativos).
- Atribuir perfis aos operadores — na aba Operadores, ligar cada operador aos perfis corretos.
- Conferir na Visão Consolidada — escolher alguns operadores e verificar se a permissão final faz sentido.
- (Opcional) Configurar Privacidade Financeira — esconder categorias sensíveis, se necessário.
- Ativar o V2 — só agora ligar a chave-mestra.
- Validar com operadores reais — pedir a alguns operadores não-administradores que testem suas rotinas.
Pode voltar atrás: se algo sair diferente do esperado depois de ativar, basta desligar o parâmetro "Usar sistema de permissões V2". O sistema volta imediatamente ao comportamento antigo (V1), sem perder nada do que você configurou — é só religar quando ajustar.
Como ativar e desativar
A ativação é feita alterando o parâmetro "Usar sistema de permissões V2". Em muitos ambientes isso é feito pelo suporte (alteração direta no parâmetro do sistema). Confirme com seu administrador/suporte o procedimento exato na sua instalação.
Antes de ativar, garanta que existe pelo menos um operador Administrador funcional. Como o Administrador passa por cima de todas as regras, ele é sua "saída de emergência" caso algum perfil seja configurado de forma restritiva demais.
Checklist rápido antes de ativar
- ☐ Migração V1 → V2 executada e conferida
- ☐ Perfis revisados e os necessários marcados como Ativos
- ☐ Operadores vinculados aos perfis corretos
- ☐ Visão Consolidada conferida para operadores-chave
- ☐ Pelo menos um Administrador ativo garantido
- ☐ Equipe avisada sobre a mudança
4 - Aba Perfis
A aba Perfis é onde você cria os conjuntos de permissões reutilizáveis e define o que cada um pode fazer. É o ponto de partida da configuração.
Layout da aba
- Esquerda: lista de perfis existentes, com botões Novo, Excluir e Salvar.
- Direita: dados do perfil selecionado (descrição e situação Ativo) e a árvore de ações, agrupada por área (Vendas, Financeiro, Caixa, etc.), com uma coluna "Permissão" para cada ação.
Criar um perfil
- Clicar em Novo.
- Informar a descrição (ex.: "Vendedor Loja 2", "Caixa Turno Noite").
- O perfil é criado já Ativo. Você pode desmarcar "Ativo" se quiser configurá-lo antes de colocá-lo em uso.
Perfis inativos não têm efeito. Um perfil só influencia as permissões dos operadores quando está marcado como Ativo. Use isso para preparar um perfil com calma antes de "ligá-lo".
Definir o que o perfil pode fazer
Com o perfil selecionado, percorra a árvore de ações à direita. Para cada ação, escolha o estado na coluna Permissão:
| Estado | Use quando |
|---|---|
| Permitido | O perfil pode fazer a ação livremente |
| Bloqueado | O perfil não pode fazer de jeito nenhum |
| Solicitar Autorização | O perfil pode tentar, mas precisa do aval de um supervisor |
Você só precisa mexer no que quer restringir. Toda ação que você deixar como "Permitido" se comporta como o padrão — não é preciso configurar ação por ação. Foque em marcar como Bloqueado ou Solicitar Autorização apenas o que o perfil não deve fazer livremente. Isso mantém a configuração enxuta e fácil de revisar.
Salvar
O botão Salvar fica habilitado assim que você faz alguma alteração. Ao salvar:
- As regras do perfil são gravadas.
- O sistema recarrega as permissões imediatamente — a mudança vale na hora para os operadores daquele perfil (não precisa reiniciar o sistema).
Alterações não salvas: se você trocar de perfil (ou criar um novo) com mudanças pendentes, o sistema pergunta se deseja salvar antes de continuar. Responda com atenção para não perder o que configurou.
Excluir um perfil
O botão Excluir remove o perfil selecionado. O sistema pede confirmação e avisa que todas as associações daquele perfil (com operadores e ações) serão removidas.
Cuidado: excluir um perfil afeta imediatamente todos os operadores que o utilizavam. Antes de excluir, confira na aba Operadores quem está usando aquele perfil.
Dicas de organização
- Comece pelos perfis sugeridos (Vendedor, Caixa, Gerente, Financeiro). Eles já trazem restrições realistas como ponto de partida — ajuste em vez de criar do zero.
- Nomeie por função, não por pessoa: "Vendedor" é melhor que "Perfil da Maria". Pessoas mudam de função; perfis permanecem.
- Prefira poucos perfis bem definidos a muitos perfis quase iguais. Use exceções individuais (aba Operadores) para os casos especiais.
Próximo passo: com os perfis prontos, vá para a aba Operadores para atribuí-los às pessoas.
5 - Aba Operadores
A aba Operadores é onde você liga as pessoas aos perfis e faz ajustes individuais. É também aqui que se responde à pergunta "afinal, o que este operador pode fazer?".
Layout da aba
- Esquerda: campo de filtro e a lista de operadores (apenas operadores ativos aparecem).
- Direita — topo: nome do operador selecionado e o botão SALVAR.
- Direita — meio: quadro Perfis Atribuídos, com caixas de seleção para marcar os perfis do operador.
- Direita — abaixo: árvore de ações mostrando o resultado resolvido, a origem e a coluna de exceção individual.
Atribuir perfis a um operador
- Encontre o operador (use o filtro por nome, se a lista for grande).
- No quadro Perfis Atribuídos, marque um ou mais perfis.
- Clique em SALVAR.
Um operador pode ter vários perfis. Quando isso acontece e há conflito entre eles, vence o mais permissivo (ver capítulo "Conceitos fundamentais"). Se precisar de um bloqueio firme, use uma exceção individual.
Entender a árvore de ações resolvida
A árvore abaixo dos perfis mostra, para cada ação, três informações úteis:
| Coluna | O que mostra |
|---|---|
| Resolvido | O estado final da ação para este operador (Permitido / Bloqueado / Solicitar Autorização) |
| Origem | De onde veio a decisão: de um Perfil, de uma Exceção Individual, ou do Padrão da ação |
| Exceção Individual | Onde você pode sobrepor o resultado, só para este operador |
A coluna "Resolvido" é sua melhor amiga. Ela responde exatamente "o que este operador consegue fazer", já considerando todos os perfis e exceções. Use-a para conferir antes de ativar o sistema.
Criar uma exceção individual
Quando um operador precisa de um tratamento diferente do perfil dele, use a coluna Exceção Individual:
- Localize a ação na árvore.
- Na coluna Exceção Individual, escolha o estado desejado:
- (Herdado) — sem exceção; segue o perfil/padrão (é o estado normal).
- Permitido / Bloqueado / Solicitar Autorização — sobrepõe o perfil só para este operador.
- Clique em SALVAR.
A exceção individual sempre vence o perfil. É a forma mais forte de definir uma permissão para um operador. Use com critério: muitas exceções espalhadas tornam difícil entender quem pode o quê. Quando perceber que vários operadores têm a mesma exceção, considere criar um novo perfil em vez disso.
Indicador de alterações pendentes
Ao mexer nos perfis ou exceções, aparece um aviso de "Alterações não salvas" e o botão SALVAR é habilitado. Se você tentar trocar de operador sem salvar, o sistema avisa para não perder o trabalho.
Conferindo o resultado final
Depois de configurar, vale conferir o operador na aba Visão Consolidada (ou na própria coluna "Resolvido" desta aba). Procure especialmente por:
- Ações sensíveis que deveriam estar Bloqueadas e aparecem como Permitidas (pode ser efeito do "mais permissivo vence" entre perfis).
- Ações essenciais do dia-a-dia que ficaram Bloqueadas por engano.
Próximo passo: se precisar esconder informações financeiras sensíveis (folha, pró-labore), vá para a aba Privacidade Financeira.
6 - Privacidade Financeira
A aba Privacidade Financeira (recurso V2.1) permite esconder categorias financeiras sensíveis de operadores específicos. É a resposta para situações como: "o vendedor não pode ver a folha de pagamento" ou "só os sócios veem o pró-labore".
O que controla: a visibilidade de lançamentos financeiros por categoria de Receita/Despesa (ou Grupo de Receita/Despesa), nas telas e relatórios financeiros do sistema.
Os dois níveis de proteção
| Nível | O que o operador vê | Quando usar |
|---|---|---|
| Bloqueado | O lançamento some completamente das telas e relatórios. | A categoria inteira é confidencial (ex.: Folha de Pagamento para vendedores). |
| Mascarar Valor | O lançamento aparece, mas o valor vira ***. |
O operador pode saber que o lançamento existe (auditoria), mas não deve ver o montante. |
| Permitido | Vê tudo normalmente (é o padrão). | Sem restrição. |
Diferença na prática: "Bloqueado" é como se o lançamento não existisse para aquele operador. "Mascarar Valor" deixa o operador ver a linha (data, parceiro, descrição) mas troca o valor por *** — inclusive na exportação para Excel, evitando vazamento.
Como configurar
- Escolher o alvo: no topo, selecione se a regra vale para um Perfil ou para um Operador específico.
- Selecionar o perfil ou operador no combo que aparece.
- Na árvore de categorias (organizada por Grupo → Receita/Despesa), defina o acesso de cada item:
- (Sem regra) — segue o padrão (Permitido).
- Bloqueado / Permitido / Mascarar Valor.
- Clicar em SALVAR.
Regra do Grupo e da categoria individual
Você pode aplicar a regra em um Grupo inteiro (todas as categorias dentro dele) ou em uma categoria específica. Quando há conflito:
A categoria individual vence o Grupo (regra mais específica prevalece). Exemplo: você bloqueia o Grupo "Despesas Administrativas" inteiro, mas marca a categoria "Energia Elétrica" (dentro dele) como Permitido. O operador verá Energia Elétrica e não verá as demais despesas do grupo.
Perfil ou Operador? Qual vence
Assim como nas ações, uma regra definida diretamente no operador sobrepõe a regra do perfil. Use a regra por perfil para o caso geral e a por operador para exceções.
Onde a privacidade é aplicada
As regras valem nas principais telas e relatórios financeiros, incluindo:
- Consulta de Faturas
- Contas a Pagar / Receber
- Consulta de Liquidação
- Movimentação Bancária (ao expandir os detalhes)
- Borderô de Caixa, Relatório Mensal de Caixa, Movimento Financeiro Diário, Fluxo de Caixa
- DRE e Balancetes
- Os relatórios de impressão correspondentes
Atenção especial: DRE, Balancete e relatórios consolidados
Mascarar valor NÃO funciona em DRE, Balancete e relatórios com totais. Nesses relatórios, cada linha soma para um total visível. Se uma linha fosse mascarada com *** mas o total continuasse aparecendo, qualquer pessoa descobriria o valor escondido por subtração (total menos as outras linhas). Por isso, nesses relatórios o sistema usa somente Bloqueio: a categoria some e o total é recalculado corretamente sem ela.
| Tipo de tela/relatório | Bloqueio | Mascarar Valor |
|---|---|---|
| Listas de lançamentos individuais (Faturas, Contas a Pagar, Liquidação) | ✔ Funciona | ✔ Funciona |
| Demonstrativos contábeis (DRE, Balancete) | ✔ Funciona | ✘ Não se aplica (vulnerável a inferência) |
| Relatórios que somam várias categorias por linha (Borderô, Fluxo de Caixa) | ✔ Funciona | ✘ Não se aplica |
Regra prática: comece sempre pensando em Bloqueio. Use Mascarar Valor apenas em listas de lançamentos individuais, quando o caso de uso for "o operador precisa ver que existe um lançamento, mas não o valor".
Relatórios customizados podem precisar de novas customizações para atender as regras de bloqueio
Categorias sem classificação
Lançamentos sem categoria de Receita/Despesa definida não são afetados pelas regras de privacidade — eles aparecem normalmente. A privacidade atua sobre lançamentos classificados em uma categoria.
Próximo passo: se você já tinha categorias marcadas como "apenas administradores" no sistema antigo, o capítulo Migração V1 → V2 mostra como elas são importadas automaticamente para cá.
7 - Permissão de Relatórios
Além de controlar telas e ações, o V2.1 permite definir quem pode imprimir cada relatório do sistema. Isso é tratado como um tipo especial de ação, dentro dos mesmos perfis e exceções.
Como funciona: cada relatório vira uma ação com o código RELATORIO.IMPRIMIR.<nome do relatório>. Você controla essa ação exatamente como qualquer outra — na aba Perfis ou via exceção individual na aba Operadores.
Onde configurar
Na aba Perfis, procure os grupos de ações de relatórios (organizados por área: Relatórios Financeiros, Relatórios de Vendas, Relatórios Fiscais, etc.). Marque como Bloqueado ou Solicitar Autorização os relatórios que aquele perfil não deve imprimir livremente.
O que o operador vê ao ser bloqueado
Se um operador sem permissão tenta imprimir um relatório bloqueado, o sistema impede a geração e exibe uma mensagem de "sem permissão". O relatório simplesmente não abre.
Relatórios fiscais sempre liberados
Documentos fiscais nunca são bloqueados. DANFE, DANFCe, DACTE, DAMDFE, DANFSe e similares têm liberação garantida — mesmo que alguém tente bloqueá-los num perfil, o sistema ignora o bloqueio. Isso evita que a emissão fiscal pare por um erro de configuração de permissão.
Essa "lista branca fiscal" é fixa no sistema e cobre os documentos auxiliares obrigatórios para a operação fiscal. Você não precisa (nem consegue) bloqueá-los.
Relatórios personalizados (Custom)
Quando um cliente tem uma versão personalizada de um relatório (ex.: um modelo próprio de duplicata), essa versão compartilha a mesma permissão do relatório original. Você não precisa configurar a permissão duas vezes — o sistema entende que a versão personalizada e a padrão são "o mesmo relatório" para fins de permissão.
Relatórios novos
Quando o sistema é atualizado e ganha relatórios novos, o comportamento padrão é definido pelo parâmetro "Liberar novos relatórios por padrão":
| Parâmetro | Comportamento ao surgir um relatório novo |
|---|---|
| Ligado (recomendado) | O relatório novo nasce liberado para todos. Você bloqueia depois, se quiser. |
| Desligado | O relatório novo nasce bloqueado. Ninguém imprime até o admin liberar conscientemente. |
Recomendação: deixe ligado, a menos que sua empresa tenha uma política rígida de "tudo bloqueado por padrão". Com ligado, atualizações nunca interrompem o trabalho por um relatório novo inesperadamente bloqueado.
Rotinas automáticas
Impressões disparadas por rotinas automáticas do sistema (não por um operador clicando) não passam pela verificação de permissão de relatório — elas rodam sem operador interativo. A permissão se aplica às impressões feitas manualmente pelos operadores.
Exemplos de uso
Exemplo 1 — "Vendedores não podem imprimir o DRE": no perfil "Vendedor", marque RELATORIO.IMPRIMIR.DRE como Bloqueado.
Exemplo 2 — "Gerente precisa de aprovação para imprimir comissões": no perfil "Gerente", marque os relatórios de comissão como Solicitar Autorização.
Exemplo 3 — "Só o financeiro imprime balancete": bloqueie os relatórios de balancete em todos os perfis, exceto no perfil "Financeiro".
Próximo passo: para trazer rapidamente todas as restrições que você já tinha no sistema antigo, use o capítulo Migração V1 → V2.
8 - Migração V1 → V2
A aba Migração V1 → V2 importa automaticamente as configurações de acesso do sistema antigo para o novo. É o atalho para não recomeçar do zero: tudo o que você já restringia no V1 vira perfis e regras do V2.
Não destrutiva e reversível: a migração apenas lê os dados antigos e cria cópias no formato novo. Os dados do V1 permanecem intactos. Se você desligar o V2, tudo volta a funcionar como antes.
O que é migrado
| Do sistema antigo (V1) | Vira no V2 |
|---|---|
| Grupos de operador | Perfis (criados inativos) |
| Restrições de tela por grupo | Regras de perfil (Bloqueado) |
| Restrições de tela por operador | Exceções individuais (Bloqueado) |
| Restrições de dashboard | Exceções individuais |
| Restrições de relatório | Exceções individuais |
| Flags de permissão do operador | Exceções individuais conforme cada flag |
| Categorias "apenas administradores têm acesso" | Regras de Privacidade Financeira (Bloqueado) |
Passo 1 — Analisar
Clique em "1. Analisar dados V1 existentes". O sistema percorre os cadastros antigos e mostra um relatório (sem alterar nada) com a contagem do que existe:
- Quantos grupos de operador, restrições de tela, dashboards e relatórios existem.
- Quantos operadores têm flags restritivas.
- Quantas categorias de Receita/Despesa estão marcadas como "apenas administradores".
- O estado atual do V2 (quantos perfis, ações e regras já existem).
Analisar é seguro: esta etapa só lê e conta. Use-a para ter uma ideia do volume antes de executar.
Passo 2 — Executar
Clique em "2. Executar Migração V1 → V2" e confirme. O sistema importa tudo, registrando cada passo na área de log. Ao final, mostra um resumo com o que foi criado.
O perfil "Não-Administradores (migrado V1)"
Para migrar a antiga marcação de categorias financeiras "apenas administradores têm acesso", o sistema cria um perfil especial chamado "Não-Administradores (migrado V1)":
- Todos os operadores não-administradores são vinculados a esse perfil.
- Cada categoria que era "apenas admin" recebe uma regra de Bloqueio nesse perfil.
- O perfil nasce inativo — você deve revisá-lo e ativá-lo conscientemente.
Revise antes de ativar: o perfil sintético é um ponto de partida automático. Confira na aba Privacidade Financeira se as categorias bloqueadas fazem sentido, e só então marque o perfil como Ativo na aba Perfis.
Pode rodar várias vezes (idempotente)
A migração é idempotente: executá-la novamente não duplica nada. Se você rodar duas vezes, a segunda execução vai apenas reportar "já existia" para tudo. Isso é útil, por exemplo, quando:
- Você cadastra novos operadores depois da primeira migração — rode de novo para vinculá-los ao perfil sintético.
- Você quer garantir que nada ficou para trás após ajustes no V1.
A flag antiga não é alterada
A migração não mexe na marcação antiga de "apenas administradores" das categorias. Ela continua lá, servindo de rede de segurança: se você desligar o V2, o comportamento antigo volta a valer normalmente.
Depois de migrar
- Aba Perfis: revise os perfis criados (vieram inativos) e ative os que vai usar. Lembre-se de que as restrições foram importadas como Bloqueado — ajuste para "Solicitar Autorização" onde fizer sentido.
- Aba Operadores: confira se os operadores estão nos perfis certos.
- Aba Privacidade Financeira: revise as categorias bloqueadas no perfil "Não-Administradores (migrado V1)".
- Visão Consolidada: confira alguns operadores antes de ativar.
- Por fim, ative o V2.
Resultado: em poucos cliques você sai de "nada configurado no V2" para "todas as restrições antigas reproduzidas e prontas para ajuste fino", sem digitar regra por regra.
9 - Troubleshooting e glossário
Dúvidas e problemas comuns
Ativei o V2 e um operador perdeu acesso a algo essencial
Causa: algum perfil dele bloqueia a ação, ou a ação foi importada como Bloqueada na migração.
Solução rápida: na aba Operadores, selecione o operador, encontre a ação na árvore e use a Exceção Individual = Permitido. Salve. O efeito é imediato.
Solução definitiva: se vários operadores do mesmo perfil precisam, ajuste o perfil em vez de criar várias exceções.
Bloqueei uma ação no perfil mas o operador ainda consegue fazer
Causa mais comum: o operador tem outro perfil que permite a ação. Entre perfis, o mais permissivo vence.
Solução: use uma Exceção Individual = Bloqueado no operador (a exceção sempre vence o perfil), ou revise os outros perfis dele.
Confira sempre a coluna "Resolvido" na aba Operadores — ela mostra o resultado final considerando todos os perfis e exceções.
Um operador Administrador "ignora" todas as restrições
Isso é esperado: operadores marcados como Administrador passam por cima de todo o sistema de permissões — é proposital, para você nunca ficar trancado para fora. Se quiser aplicar restrições a alguém, ele não pode ser Administrador.
A mensagem de bloqueio mostra "[Origem: V1]" — o que significa?
Indica que aquele bloqueio veio do sistema antigo (V1), não do V2. Geralmente acontece quando o V2 está desligado, ou quando uma ação ainda não tem regra no V2 e o sistema usou o controle antigo como fallback. Para o suporte, é uma pista de onde a decisão foi tomada.
Categoria financeira continua aparecendo para quem eu bloqueei
Possíveis causas:
- O V2 está desligado (a privacidade financeira só atua com o V2 ligado).
- O operador é Administrador (vê tudo).
- A regra foi salva para o perfil errado, ou o operador não está nesse perfil.
- A regra individual da categoria está como Permitido, sobrepondo o bloqueio do Grupo.
- O relatório pode estar pendente de customizações
Marquei "Mascarar Valor" no DRE mas não funcionou
Isso é intencional. DRE, Balancete e relatórios com totais aceitam somente Bloqueio — mascarar valor permitiria descobrir o número escondido por subtração do total. Use Bloqueado para esconder uma categoria do DRE.
Cadastrei um operador novo depois de migrar — ele não tem as restrições
Solução: rode a Migração V1 → V2 novamente (ela é idempotente e não duplica nada). O operador novo será vinculado ao perfil sintético. Ou, simplesmente, atribua os perfis a ele na aba Operadores.
Quero desfazer tudo e voltar ao sistema antigo
Desligue o parâmetro "Usar sistema de permissões V2". O sistema volta imediatamente ao comportamento do V1. Nada que você configurou no V2 é perdido — basta religar quando quiser.
Uma tela nova apareceu bloqueada após atualizar o sistema
Causa: o parâmetro "Liberar novas telas e ações por padrão" está desligado.
Solução: ligue o parâmetro (recomendado), ou libere a ação da tela nova manualmente nos perfis.
Boas práticas
- Prepare com o V2 desligado. Configure, migre e revise antes de ativar.
- Poucos perfis, bem definidos. Use exceções individuais para os casos raros, não para a regra.
- Comece pelo Bloqueio. Em privacidade financeira, só use mascaramento em listas de lançamentos individuais.
- Confira na Visão Consolidada antes de ativar, especialmente operadores-chave.
- Garanta um Administrador ativo como saída de emergência.
- Restrições importadas vêm como Bloqueado — reveja e troque para "Solicitar Autorização" onde for mais adequado.
Glossário
| Termo | Significado |
|---|---|
| Ação | Cada coisa controlável no sistema (abrir tela, clicar botão, imprimir relatório). Tem um código e uma descrição. |
| Perfil | Conjunto reutilizável de regras de ação (ex.: "Vendedor"). Aplicável a vários operadores. |
| Exceção individual | Ajuste de permissão para um operador específico, que sobrepõe o perfil dele. |
| Permitido | Estado em que a ação é liberada. |
| Bloqueado | Estado em que a ação é impedida. |
| Solicitar Autorização | Estado em que a ação só prossegue com o aval de um supervisor. |
| Administrador | Operador que passa por cima de todas as regras de permissão. Vê e faz tudo. |
| Resolvido | O estado final de uma ação para um operador, já considerando perfis e exceções. |
| Origem | De onde veio a decisão de permissão: Perfil, Exceção Individual ou Padrão. |
| Privacidade Financeira | Recurso que esconde categorias financeiras sensíveis de operadores específicos. |
| Bloqueio (financeiro) | O lançamento da categoria some das telas/relatórios. |
| Mascarar Valor | O lançamento aparece, mas o valor vira ***. Só em listas de lançamentos individuais. |
| Receita/Despesa (RD) | Cadastro de classificação contábil dos lançamentos. Base da Privacidade Financeira. |
| Grupo de Receita/Despesa | Agrupamento de categorias RD. Uma regra de Grupo vale para todas as categorias dentro dele. |
| Whitelist fiscal | Lista de documentos fiscais (DANFE, DACTE, etc.) que nunca podem ser bloqueados. |
| Migração V1 → V2 | Processo que importa automaticamente as configurações do sistema antigo para o novo. |
| Perfil sintético | O perfil "Não-Administradores (migrado V1)", criado pela migração para reproduzir a antiga marcação de categorias "apenas administradores". |
| Idempotente | Característica de uma operação que pode ser repetida sem causar efeito duplicado (caso da migração). |
| V1 / V2 | V1 = sistema de permissões antigo (flags + restrições). V2 = sistema novo (ações + perfis), descrito neste manual. |
Suporte
Em caso de dúvida ou comportamento inesperado:
- Confira a coluna "Resolvido" na aba Operadores para entender a permissão final.
- Verifique se o operador não é Administrador (que ignora as regras).
- Confirme se o V2 está ligado.
- Reproduza o cenário com um operador de teste.
- Contate o suporte informando: nome do operador, ação/relatório envolvido, mensagem de erro (incluindo a marca
[Origem: V1/V2]) e o que esperava que acontecesse.
Versão deste manual: Rev 1 — Sistema de Permissões V2 + Privacidade Financeira V2.1.