7 errores en roles y autorizaciones SAP que generan riesgos
21 de mayo de 2026
Spotlight · RISE with SAP · Roles SAP · Licenciamiento
Cómo preparar y optimizar los roles antes de migrar a RISE with SAP
Escrito por
Violeta Dimitrievski
Product Owner en APLIRH Consulting
La conversación sobre migraciones SAP en 2026 ya no gira únicamente en torno al deadline de ECC o al movimiento técnico hacia S/4HANA. El verdadero foco estratégico está en el impacto comercial y operativo del modelo RISE with SAP: especialmente en licenciamiento, gobierno de accesos y control de costes.
Uno de los errores más comunes en los proyectos de migración es asumir que los roles actuales pueden trasladarse “tal cual” a S/4HANA y RISE.
En el modelo tradicional, SAP medía principalmente el uso efectivo de transacciones. En RISE, el enfoque cambia: SAP evalúa qué autorizaciones tiene asignadas un usuario y qué capacidad podría ejecutar.
Idea clave
En RISE, los roles y autorizaciones se convierten en un elemento crítico tanto para la seguridad como para el coste de licencias.
Nuevo modelo de licenciamiento
El gran cambio: de usuarios nombrados a FUE
RISE with SAP introduce el modelo FUE, Full Use Equivalent, donde el coste ya no depende únicamente del número de usuarios, sino del nivel funcional al que cada usuario tiene acceso.
Esto implica que:
Roles sobredimensionados
Un usuario con roles sobredimensionados puede consumir más FUE de los necesarios.
Roles históricos heredados
Los roles acumulados durante años pueden incrementar significativamente el coste de suscripción.
Autorizaciones potenciales
Las auditorías SAP ya no se centran únicamente en uso real, sino también en autorizaciones potenciales.
Diversos análisis del mercado indican que una migración sin una revisión previa de roles y autorizaciones puede incrementar significativamente los costes de licenciamiento en RISE.
Riesgo heredado de ECC
El problema heredado: roles “acumulativos”
La mayoría de organizaciones llegan a S/4HANA con un ecosistema de roles construido durante años.
Roles duplicados
Accesos temporales nunca retirados
Usuarios con privilegios excesivos
Copias de roles entre departamentos
Accesos técnicos mezclados con funcionales
Roles diseñados para SAP GUI que no encajan con Fiori
En ECC esto podía mantenerse relativamente controlado. En RISE, este modelo se convierte en un riesgo económico y de cumplimiento.
Además, S/4HANA introduce nuevas capas de autorización
- Catálogos y grupos Fiori.
- OData Services.
- CDS Views.
- Embedded Analytics.
- Extensiones BTP.
Por ello, una simple conversión técnica de roles rara vez funciona correctamente.
Preparación previa a la migración
Cómo preparar los roles antes de migrar a RISE
Antes de abordar la migración, es necesario entender el estado real del modelo de autorizaciones y trabajar sobre una base limpia, medible y alineada con negocio.
01
Realizar un Role Inventory completo
Antes de cualquier conversión, es fundamental entender el estado real del modelo de autorizaciones.
02
Diseñar roles basados en negocio
El objetivo no debe ser replicar ECC, sino construir un modelo sostenible para cloud ERP.
03
Optimizar roles para reducir FUE
Cada autorización adicional puede elevar la clasificación de usuario y aumentar el consumo de FUE.
04
Revisar accesos indirectos e integraciones
Bots, RPA, middleware, interfaces, APIs y aplicaciones satélite deben revisarse antes de la migración.
05
Incorporar seguridad y compliance desde el inicio
En RISE, los roles afectan simultáneamente a coste, auditoría, riesgo operativo, cumplimiento regulatorio y gobierno IAM.
1. Realizar un Role Inventory completo
El primer paso debe incluir una revisión detallada del modelo de autorizaciones actual.
Dato relevante
En revisiones realizadas por APLIRH, es habitual encontrar organizaciones en las que entre un 20% y un 40% de los roles no presentan un uso efectivo, lo que evidencia oportunidades significativas de simplificación.
En estos casos, muchos de estos roles pueden eliminarse, consolidarse o rediseñarse antes de abordar la migración, reduciendo complejidad operativa, riesgos de seguridad y costes asociados.
Rediseño del modelo
2. Diseñar roles basados en negocio, no en histórico
Uno de los mayores errores es migrar roles “porque siempre han existido”.
RISE y S/4HANA son una oportunidad para rediseñar el modelo de seguridad bajo principios modernos:
Role-Based Access Control, RBAC
Principio de mínimo privilegio
Separación entre operaciones y administración
Roles orientados a procesos end-to-end
Catálogos Fiori específicos por función
El objetivo no debe ser “replicar ECC”, sino construir un modelo sostenible para cloud ERP.
Impacto financiero
3. Optimizar roles para reducir consumo FUE
Aquí aparece el verdadero impacto financiero. Cada autorización adicional puede elevar la clasificación de usuario y aumentar el consumo de FUE.
Por ello es clave:
Evitar roles “superusuario”
Reducir accesos amplios que elevan capacidad funcional innecesaria.
Separar accesos avanzados y básicos
Diferenciar accesos operativos de permisos más avanzados.
Revisar múltiples funciones incompatibles
Identificar usuarios con combinaciones que puedan generar riesgo.
Eliminar autorizaciones “por si acaso”
Evitar permisos preventivos que incrementan riesgo y coste.
En muchos casos, una optimización adecuada de roles permite reducir considerablemente la necesidad total de FUE contratados.
Integraciones y accesos técnicos
4. Revisar accesos indirectos e integraciones
En RISE, los accesos indirectos siguen siendo un área sensible. Muchos proyectos descubren tarde que determinadas integraciones requieren revisión contractual o rediseño técnico.
Por ello, la revisión de roles debe incluir también usuarios técnicos, comunicaciones RFC, service accounts, integraciones BTP y automatizaciones externas.
Gobierno desde el inicio
5. Incorporar seguridad y compliance desde el inicio
En demasiados proyectos, seguridad y compliance entran tarde en la conversación. Sin embargo, en RISE los roles afectan simultáneamente a coste, auditoría, riesgo operativo, cumplimiento regulatorio y gobierno IAM.
Estos equipos deben participar desde las primeras fases del programa.
Modelo continuo
Clean Core y gobierno continuo
SAP está impulsando claramente la estrategia Clean Core, donde las extensiones y customizaciones se desacoplan del núcleo ERP.
Esto también afecta directamente al modelo de autorizaciones:
Menos modificaciones custom
Más extensiones en BTP
Mayor dependencia de APIs y servicios
Gobierno continuo de identidades
La migración a RISE no debería verse como un proyecto puntual, sino como el inicio de un modelo continuo de optimización.
Qué están implantando las organizaciones más maduras
Las organizaciones más maduras están incorporando prácticas de gobierno continuo para evitar que el modelo de autorizaciones vuelva a degradarse con el tiempo.
Revisiones trimestrales de roles
Evaluación periódica del modelo para detectar desviaciones.
Gobernanza continua de accesos
Control permanente de autorizaciones, roles y permisos asignados.
Automatización de recertificaciones
Validación recurrente de accesos con trazabilidad.
Role mining basado en uso real
Optimización del modelo a partir de evidencias de uso.
Integración IAM + GRC + Licensing
Visión conjunta de identidad, riesgo y coste.
Remediación y optimización
Gobierno y remediación continua de accesos
La experiencia demuestra que la falta de un gobierno continuado termina generando una acumulación progresiva de autorizaciones innecesarias.
En este escenario, muchas organizaciones están incorporando enfoques y herramientas específicas que les permitan abordar la remediación y optimización de roles de forma estructurada antes de la migración a RISE.
Qué visibilidad se necesita antes de migrar
- Uso real de accesos.
- Riesgos asociados.
- Segregación de funciones.
- Potencial impacto en licenciamiento.
Contar con esta visibilidad se ha convertido en un factor clave para reducir complejidad y evitar sobrecostes futuros.
Enfoque APLIRH
Soluciones como EUM ayudan a centralizar el análisis y la remediación de roles
Desde una perspectiva de gobierno continuo, soluciones como EUM ayudan a centralizar el análisis y la remediación de roles, aportando trazabilidad, control y capacidades de optimización alineadas con los nuevos modelos de seguridad y licenciamiento en entornos SAP cloud.
Este tipo de aproximación permite afrontar la transición hacia RISE de una forma más controlada, sostenible y alineada con los objetivos de negocio y compliance.
Conclusión
En RISE with SAP, los roles ya no son solo seguridad: son estrategia de negocio
La migración a RISE with SAP ya no es únicamente un desafío técnico. Es una transformación estratégica donde el modelo de roles y autorizaciones se convierte en uno de los principales factores de coste, seguridad, compliance y sostenibilidad operativa.
Las empresas que migren “levantando y moviendo” sus roles ECC heredarán también sus problemas históricos: sobrecostes, complejidad y riesgos de auditoría.
Por el contrario, aquellas organizaciones que aprovechen la transición para rediseñar y optimizar sus autorizaciones podrán convertir RISE en una oportunidad real de modernización, eficiencia y control financiero.
En el nuevo paradigma SAP, los roles ya no son solo seguridad: son estrategia de negocio.
