Caso de éxito | APLIRH Consulting

En los entornos SAP con cierto recorrido, el modelo de autorizaciones rara vez permanece estático.

A medida que la organización crece, cambia su estructura, incorpora nuevos procesos o adapta su operativa, también evolucionan los roles, los perfiles y las asignaciones de usuarios. Esta evolución es necesaria, pero puede generar accesos acumulados, roles sobredimensionados, conflictos de segregación de funciones y pérdida de visibilidad sobre el modelo real de control.

Este fue el contexto del proyecto desarrollado junto a PRIM, compañía española del sector salud con presencia internacional y una fuerte dependencia de SAP para soportar procesos clave de negocio. El reto era claro: reducir riesgos SoD sin comprometer la operación diaria.

El riesgo SoD no es solo un problema de autorizaciones

La segregación de funciones suele abordarse desde una lectura técnica: qué transacciones, objetos de autorización o roles generan conflicto dentro del sistema. Sin embargo, en un entorno empresarial real, el riesgo SoD tiene una dimensión mucho más amplia.

Un conflicto de segregación de funciones puede afectar a procesos financieros, logísticos, comerciales o de compras. También puede comprometer la trazabilidad de determinadas operaciones, dificultar la justificación de accesos ante auditoría o evidenciar debilidades en el modelo de control interno.

Por eso, un proyecto de remediación SoD no debería limitarse a identificar combinaciones conflictivas. El verdadero valor está en entender qué riesgo representa cada conflicto, qué usuarios están afectados, qué accesos son realmente necesarios y qué impacto tendría retirar o modificar determinadas autorizaciones.

De la auditoría a la necesidad de un modelo más gobernado

En el caso PRIM, la auditoría permitió poner foco sobre la necesidad de revisar el modelo de autorizaciones SAP desde una perspectiva de control, cumplimiento y trazabilidad. El objetivo no era únicamente reducir conflictos, sino construir un modelo más gestionable, mantenible y preparado para evolucionar.

La clave estaba en equilibrar cumplimiento, seguridad, automatización y continuidad del negocio. Para ello, el proyecto combinó análisis estructurado del modelo de riesgos, revisión detallada de roles y accesos, remediación progresiva e implementación de herramientas APLIRH Suite.

Saber más

Una metodología orientada a reducir riesgos sin frenar la operación

El proyecto partió de una matriz de riesgos validada, que permitió definir qué debía considerarse riesgo dentro del sistema SAP y bajo qué criterios debía analizarse. Esta matriz actuó como lenguaje común entre auditoría, negocio y tecnología.

A partir de esa base, se revisó el modelo de roles y autorizaciones, identificando conflictos, accesos críticos y uso real de las autorizaciones. El análisis permitió diferenciar entre riesgo teórico, riesgo operativo, acceso necesario y acceso heredado o sobredimensionado.

La remediación se ejecutó de forma progresiva, evitando cambios masivos sin control. Este enfoque permitió tratar los conflictos de manera estructurada, minimizar el impacto en la operación diaria y mantener visibilidad sobre los riesgos durante todo el proceso.

Implementación de herramientas

Del riesgo identificado al control continuo

La segunda parte del proyecto se centró en convertir el modelo definido en una estructura operativa, automatizada y sostenible. Para ello, se implementaron herramientas APLIRH Suite orientadas al análisis, rediseño y automatización del modelo de autorizaciones.

SARC: identificación y análisis de riesgos SoD

SARC permitió reforzar el análisis de riesgos de segregación de funciones, evaluando los conflictos frente a la matriz de riesgos y facilitando una visión más estructurada del riesgo asociado a roles, usuarios y accesos.

SFS: rediseño funcional del modelo de roles

SFS ayudó a trabajar sobre un modelo de roles alineado con procesos de negocio, puestos de trabajo y límites definidos por la matriz de riesgos. El objetivo era construir un modelo libre de riesgos, pero operativo para el negocio.

AAM: automatización y mantenimiento del modelo

AAM permitió convertir el modelo de autorizaciones en una estructura automatizada, mantenible y preparada para el control continuo. La herramienta facilitó la coherencia entre organización y accesos, la reducción de riesgos SoD, la agilidad operativa y la trazabilidad sobre acciones, responsables y controles aplicados.

¿Quieres conocer cómo funciona APLIRH Suite?

SARC, SFS y AAM forman parte de APLIRH Suite, nuestro conjunto de herramientas diseñadas para analizar riesgos, rediseñar modelos de autorizaciones y automatizar la gestión de accesos en SAP.

Resultados del proyecto

El proyecto permitió reducir de forma significativa la exposición al riesgo y simplificar el modelo de accesos en SAP. Entre los indicadores más relevantes destacan:

-38%

Media de riesgos por usuario

-77%

Media de transacciones por usuario

-66%

Total de conflictos SoD

-70%

Total de transacciones críticas en usuarios

Más allá de la reducción de conflictos, el resultado fue un modelo de autorizaciones más controlado, trazable y sostenible, con mayor capacidad de respuesta ante auditoría y mejor base para el control continuo.

Aprendizajes del proyecto

El caso PRIM deja varios aprendizajes aplicables a otras organizaciones SAP que necesitan evolucionar desde revisiones puntuales de riesgo hacia modelos sostenibles de control:

1

La matriz de riesgos debe validarse con negocio, no solo con IT.

2

El uso real de autorizaciones ayuda a evitar decisiones erróneas.

3

La reingeniería de roles requiere visión técnica y funcional a la vez.

4

Auditoría, negocio y tecnología deben trabajar con un criterio común.

5

La automatización facilita mantener el control en el tiempo.

Conclusión: remediar riesgos para fortalecer el gobierno de SAP

Reducir riesgos SoD en SAP no consiste únicamente en eliminar conflictos de una matriz. Implica comprender el modelo de autorizaciones, interpretar el riesgo en su contexto operativo y ejecutar los cambios de forma estructurada.

El caso PRIM demuestra que es posible abordar una remediación de riesgos sin comprometer la operación diaria, siempre que el proyecto combine metodología, análisis detallado, coordinación entre áreas e implementación de herramientas que permitan mantener el modelo en el tiempo.

Con el enfoque adecuado, la reducción de riesgos en SAP puede convertirse en una oportunidad para fortalecer el modelo de control, mejorar la trazabilidad y avanzar hacia una gobernanza más sostenible del sistema.

Reducir riesgos SoD en SAP sin frenar la operación: el caso PRIM