Смотрите, какая красота. Пытаюсь изменить ИТ0002, который у сотрудника, которого система выбрала по контекстным полномочиям. Судя по роли, доступа на изменение быть не должно, а трассировка показывает, что проверка прошла успешно.

Вывод? Сначала проверяем роли на стандартных P_ORGIN, а потом уже конвертируем их в контекстные P_ORGINCON.