La première étape à la création d'un profil de sécurité utilisateur est d'identifier les rôles requis de l'organisation. Une organisation pouvant être relativement grande et donc avoir beaucoup d'utilisateurs, il est logique de créer des profils de sécurité pour les utilisateurs partageant le même accès de sécurité. Parallèlement, il est important de distinguer les différents niveaux de compétence parmi les utilisateurs ayant des profils similaires. Même si les assistants sociaux junior et senior travaillent sur des dossiers, certaines opérations métier ne pourront pas être réalisées par les assistants sociaux junior. Exemple : un assistant social junior ne peut pas conduire de revues de dossiers, ni approuver des dossiers. Dès lors, ce n'est pas seulement la fonction principale d'un utilisateur qui définit son rôle de sécurité, mais aussi son niveau de compétence. En organisant les SID dans une hiérarchie, les processus métier similaires et partagés entre les utilisateurs peuvent facilement être distribués, sans avoir à déclarer manuellement tous les éléments sécurisés pour chaque profil utilisateur.