La plataforma global e independiente para la comunidad SAP.
Gestión empresarial, MAG 15-07

Proyecto piloto para la nueva Compliance Suite

¿Quién puede hacer qué? En los sistemas SAP, las autorizaciones SAP determinan quién puede ver o editar qué datos. El problema aquí es que cuanto mayor es la empresa, más fácil es perder de vista las autorizaciones SAP, también debido al uso de demasiados roles.
Revista E-3
2 julio 2015
Contenido:
2015
avatar
Este texto ha sido traducido automáticamente del alemán al español.

La empresa de sistemas Ciber ha introducido un nuevo concepto de autorización SAP con funciones claras en el operador de sistemas de transmisión TenneT TSO: Más de 5.000 funciones se han reducido a unas 200.

El rediseño garantiza la transparencia en las autorizaciones de SAP, simplifica y armoniza los procesos de administración de usuarios de SAP y, junto con Ciber Compliance Suite (CCS) de Ciber, garantiza el cumplimiento continuo de las directrices de conformidad.

Ciber ha implementado con éxito su suite de cumplimiento interno en TenneT TSO en un proyecto piloto global. Ciber ha introducido sucesivamente los dos componentes Ciber Usage Monitor y Ciber Access Control en el operador de la red eléctrica alemana con sede en Bayreuth.

Fase 1: Rediseño del concepto de autorización SAP

El amplio proyecto comenzó en 2013 con el rediseño del concepto de autorización SAP. Ciber ganó la licitación frente a varios competidores especializados.

La principal razón para elegir a Ciber fueron las referencias existentes de proyectos similares con clientes muy satisfechos. También resultaron convincentes el enfoque bien estructurado propuesto por Ciber para la ejecución del proyecto de rediseño, el experimentado equipo de consultores, la presentación del proyecto al cliente y la confianza en Ciber como proveedor de servicios CMS de probada eficacia.

Ruedas reducidas drásticamente

Una de las principales preocupaciones del rediseño fue la adaptación de las autorizaciones SAP a la nueva organización tras la separación de TenneT de E.ON. Las numerosas funciones que surgieron a raíz de ello, la insuficiente transparencia de los responsables y la falta de autorizaciones SAP exigían nuevas soluciones.

Por ello, Ciber redefinió por completo las autorizaciones de SAP utilizando sus propias funciones de mejores prácticas en los sistemas ECC, SRM, BI y HCM en abril de 2014.

Para ello, Ciber implicó estrechamente a los usuarios clave de TenneT en el diseño de las funciones. Gracias a este enfoque, conocen muy bien sus respectivas funciones.

Los riesgos de segregación de funciones (SoD) se definieron conjuntamente por primera vez, se tuvieron en cuenta al diseñar las funciones y se minimizaron en la medida de lo posible. El SAC de Ciber supervisa constantemente estos riesgos de SoD.

Fase 2: Utilización del Ciber Compliance Suite

El proyecto de seguimiento lógico comenzó entonces en septiembre de 2014, en el que la consultora de Heidelberg colaboró con Ciber Dinamarca para implantar en TenneT la suite interna Ciber Compliance Suite (CCS) con el fin de controlar el uso del sistema y los riesgos de SoD en los sistemas ECC y HCM.

Primero se personalizaron paso a paso los productos CCS antes de configurar el Ciber Usage Monitor para optimizar la medición del sistema SAP.

La fase final del proyecto consistió en la posterior implantación de la herramienta Ciber Access Control, que siempre reconoce directamente los riesgos de SoD en las autorizaciones SAP y garantiza el cumplimiento continuo para TenneT.

Cómo funciona Ciber Access Control

Una matriz SoD se almacena en Ciber Access Control, por lo que un riesgo SoD siempre consiste en la combinación de dos funciones SAP, por ejemplo "F1 - Procesar pedidos" y "F2 - Contabilizar la entrada de mercancías". Las transacciones SAP asociadas, los objetos de autorización y los valores se almacenan en la herramienta.

La comprobación preventiva de la DdS debe dar respuesta a las siguientes preguntas: ¿Qué autorizaciones se han introducido recientemente? ¿Suponen por sí mismas un riesgo de SoD? ¿Existe riesgo en combinación con las autorizaciones existentes para el usuario o en las funciones?

Si existen riesgos, éstos aparecen en SAP en función de la configuración CSS. Ahora son posibles tres acciones: "Mostrar el riesgo sólo como mensaje", "Debe adjuntarse un documento para autorizar el riesgo" y "El cambio está bloqueado porque el riesgo no está permitido".

El informe de SoD posterior analiza los usuarios SAP o las funciones SAP en busca de riesgos existentes. La matriz SoD almacenada se coteja con los usuarios SAP o roles SAP y los resultados se muestran en formato Excel.

Evaluación de riesgos

Desde febrero de 2015, el operador de la red eléctrica cuenta con una comprobación preventiva de los riesgos de SoD en el mantenimiento en línea de los usuarios y roles de SAP.

Cada trimestre también se lleva a cabo una revisión de todos los riesgos de SoD utilizando el Ciber Compliance Suite.

"Estamos muy satisfechos de haber dominado también el proyecto de seguimiento para la introducción de nuestra Compliance Suite a satisfacción de nuestro cliente.

Desde luego, no es habitual que un proyecto piloto mundial en el marco de una colaboración internacional se desarrolle con tanta fluidez y éxito".

afirma Mario Hendrich, Jefe de Proyecto y Jefe de Equipo de "Servicios de Cumplimiento" en Ciber.

Resultados del proyecto

Con la realización de ambos proyectos, TenneT obtuvo los siguientes resultados:

  • Simplificación del proceso de administración de usuarios de SAP mediante la reducción del número de funciones en el portal de funciones de TenneT de más de 5.000 a unas 200 funciones.
  • Transparencia para los gestores de funciones de TenneT en cuanto al contenido y la asignación de funciones
  • Definición y reducción de los riesgos de segregación de funciones (SoD) para TenneT en las autorizaciones de usuarios de SAP.
  • Garantizar el cumplimiento continuo de las autorizaciones SAP con la herramienta Ciber Access Control
  • Asignación optimizada de licencias SAP a usuarios SAP mediante funciones de trabajo estructuradas y supervisión del uso de SAP a través de la herramienta Ciber Usage Monitor.
avatar
Revista E-3

Trabajo informativo y educativo por y para la comunidad SAP.


Todos los artículos del autor

Escriba un comentario

Como dominar los retos de la transformación

Los males del joven CIO

La IA debe considerarse una iniciativa de equipo

Regístrese aquí
*
*
Guardar contraseña
¿Ha olvidado su contraseña?
 

Trabajar sobre la base de SAP es crucial para el éxito de la conversión a S/4. 

Esto confiere al centro de competencia una importancia estratégica para los clientes actuales de SAP. Independientemente del modelo operativo de S/4 Hana, temas como Automatización, Supervisión, Seguridad, Gestión del ciclo de vida de las aplicaciones y Gestión de datos la base de las operaciones S/4.

Por segunda vez, E3 Magazine organiza una cumbre para la comunidad SAP en Salzburgo con el fin de ofrecer información exhaustiva sobre todos los aspectos del trabajo preliminar de S/4 Hana.

Lugar de celebración

En breve recibirá más información.

Fecha del acontecimiento

Miércoles 21 de mayo y
Jueves, 22 de mayo de 2025

Entrada anticipada

Disponible hasta el viernes 24 de enero de 2025
390 EUROS sin IVA

Entrada normal

590 EUROS sin IVA

Lugar de celebración

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Fecha del acontecimiento

Miércoles, 5 de marzo, y
Jueves, 6 de marzo de 2025

Entradas

Entrada normal
590 EUR sin IVA
Entrada anticipada

Disponible hasta el 20 de diciembre de 2024

390 EUR sin IVA
El acto está organizado por la revista E3, publicada por B4Bmedia.net AG. Las presentaciones irán acompañadas de una exposición de socios seleccionados de SAP. El precio de la entrada incluye la asistencia a todas las ponencias de la Cumbre Steampunk y BTP 2025, una visita a la zona de exposición, la participación en el acto nocturno y el catering durante el programa oficial. El programa de ponencias y la lista de expositores y patrocinadores (socios de SAP) se publicarán en este sitio web a su debido tiempo.