Autorizaciones SAP: riesgos ocultos en la suma de objetos
12 de marzo de 2026
Quién debe definir, mantener y gobernar la matriz de riesgos en una organización y por qué esta responsabilidad forma parte del gobierno corporativo del riesgo.
Autora: Sonia de la Fuente del Rincón
Cargo: Risk & Compliance Leader
Fecha: Marzo 2026
Cargo: Risk & Compliance Leader
Fecha: Marzo 2026
En las primeras reuniones que se mantienen cuando se inicia un proyecto para crear o mantener una matriz de riesgos, una de las preguntas que suele generar más dudas es: ¿quién es el owner de la matriz de riesgos? Con frecuencia no está claro a quién dirigirse.
El problema radica en que la matriz de riesgos no es un elemento técnico, sino de gobierno corporativo. Sin embargo, pocas compañías cuentan con un área claramente responsable de esta función. En un modelo adecuado, el owner debería ser el área de Control Interno, es decir, un área que conozca los procesos de la organización y que sea consciente de la importancia del mantenimiento del marco de riesgos. Se trata de una función dedicada a la metodología y a la supervisión del riesgo.
Actores del proceso
En muchas organizaciones esta responsabilidad termina recayendo en las áreas de negocio, lo que provoca que no exista una separación clara entre las actividades. Cuando esto ocurre, se pierde independencia: el negocio debería ser propietario del proceso, responsable de ejecutar controles y de aceptar o mitigar riesgos, pero no de definir el marco de gobierno del riesgo.
Por su parte, las áreas de Auditoría interna y externa suelen estar bien definidas dentro de las organizaciones. Su función consiste en controlar y supervisar lo que hacen los usuarios dentro del sistema, verificando que existan restricciones de acceso a procesos críticos que puedan tener un gran impacto sobre la compañía si se utilizan de forma indebida, lo que podría derivar en implicaciones regulatorias o reputacionales. Auditoría exige evidencias de la gestión, pero no define el riesgo.
En algunos casos, IT asume la responsabilidad del riesgo, lo que provoca que la matriz no se actualice adecuadamente, IT debería limitarse a ejecutar las configuraciones técnicas, pero no a definir el marco de riesgos.
En algunos casos, IT asume la responsabilidad del riesgo, lo que provoca que la matriz no se actualice adecuadamente, IT debería limitarse a ejecutar las configuraciones técnicas, pero no a definir el marco de riesgos.
Preguntas que suelen aparecer
Esto plantea varias preguntas clave:
- ¿Quién decide qué es crítico?
- ¿Qué debe controlarse?
- ¿Qué reglas deben modificarse?
- ¿Quién se hace responsable de la gobernanza del riesgo en la compañía
- ¿Quién define la metodología?
La respuesta, en un modelo maduro, suele ser Control Interno.
En los modelos de control más evolucionados, la definición del marco de riesgos recae en funciones como Riesgos, Compliance o Control Interno, mientras que el negocio se encarga de gestionar los conflictos que aparecen dentro de ese marco. De esta forma se mantiene un equilibrio: alguien define las reglas del juego y otros operan dentro de ellas.
Cuando esta distribución de responsabilidades no existe, la matriz suele quedar en una zona intermedia. Se implementa porque auditoría lo solicita y se mantiene porque el sistema lo requiere, pero nadie asume realmente la responsabilidad sobre su definición. Con el tiempo aparecen falsos positivos, mitigaciones documentales y discusiones recurrentes sobre si determinadas reglas tienen sentido o no.
Alinear quién debe asumir la responsabilidad sobre la matriz de riesgos suele requerir un proceso de definición previo. Aclarar qué significa ejercer como owner de la matriz, qué papel corresponde a los responsables de cada riesgo y cómo se articulan las actividades asociadas a esta gestión es fundamental para garantizar el éxito de la implementación.
Además, en algunos casos los usuarios finales pueden percibir estos cambios como una modificación en la forma habitual de trabajar, especialmente cuando se introducen controles adicionales, se revisan determinadas actividades o se establecen dependencias entre distintos roles para ejecutar ciertos procesos. En entornos donde la operativa diaria está muy orientada a la rapidez, la necesidad de coordinarse con otros perfiles o de seguir nuevos circuitos puede generar cierta resistencia inicial hacia el modelo propuesto.
¿Qué implica ser owner de la matriz de riesgos?
Ser owner de la matriz conlleva, entre otras responsabilidades:
1
Definir qué se considera riesgo, estableciendo criterios y niveles de tolerancia.
2
Aprobar los cambios en la matriz de riesgos.
3
Asegurar que los conflictos estén gestionados adecuadamente.
4
Responder ante auditoría aportando las evidencias necesarias.
Una gestión eficaz de la matriz de riesgos garantiza que el control no sea improvisado, sino que se base en reglas transversales para toda la compañía. Estas reglas deben ser conocidas y aceptadas por las unidades de negocio, que son responsables de decidir si evitan, aceptan o mitigan cada riesgo, permitiendo así entregar evidencias sólidas a auditoría.
La matriz de riesgos es propia de cada organización. Existen tantas matrices como organizaciones, ya que su contenido responde al apetito de riesgo, al entorno de control y a las decisiones internas de gobierno. Además, la matriz es un instrumento vivo, sujeto a revisión y mantenimiento continuo.
Si un auditor identifica una posible deficiencia, corresponde al owner de la matriz evaluar si procede incorporar el riesgo señalado o, en su caso, justificar técnicamente por qué no es necesario incluirlo. No todos los riesgos teóricamente posibles en el mercado son necesariamente aplicables a todas las organizaciones.
El consultor que apoya a las compañías en este proceso debe enfatizar la relevancia de esta función. En la práctica, esto suele requerir un trabajo continuo sobre que significa gestionar el riesgo y como se articula la responsabilidad dentro de la organización. Sólo cuando las distintas áreas comprenden su papel y participan activamente en la toma de decisiones, la matriz de riesgos se convierte en una herramienta efectiva de gobierno y control.
