Beruflich Dokumente
Kultur Dokumente
Gobierno Corporativo es el mtodo por el que una corporacin es dirigida, gestionada y controlada.
Una carencia de Gobierno Corporativo expone a una corporacin a Riesgos significativos : entre otros fraude y no-cumplimiento normativo.
SAP AG 2006,
/2
Ejecutivos
Los Controles proveen una forma de enlazar los objetivos del gobierno corporativo con los procesos de negocio y empleados. La Gestin de Cumplimiento permite gestionar y asegurar que los controles cubren los requerimientos tanto legales como internos.
Gobierno Corporativo
Controles Internos
Proveedores:
Clientes:
Finanzas
Ciclo de Pagos
Ciclo de Cobros
RRHH
Empleados
Riesgos
SAP AG 2006,
Evento GRC - Julio, 2006 / Antonio Manero /3
SAP AG 2006,
/5
Para qu?
Compliance = Conformidad
Puede ser una obligacin legal de la empresa (SOX, IFRS, ESA, Basilea 2, FDA ...) La valoracin en Bolsa de la Empresa se vincula con la calidad de su Gobierno Corporativo y de cmo los auditores externos evalen su gestin. El fraude es una realidad: un estudio de PWC analiza que el 47% de las grandes empresas europeas estn afectadas y que el impacto sobre su margen es de entre el 7% y 10%, y que est en constante aumento.
(PWC recomienda que se implementen sistemas preventivos automatizados, consiguiendo as eliminar 50 % de este coste)
SAP AG 2006,
/6
En la medida en que GRC es central para su negocio es central para la estrategia de Soluciones de SAP
SAP AG 2006,
/7
Observaciones
Los directivos carecen de informacin fiable que les haga sentir seguros de que los controles internos son los que debieran ser y funcionan adecuadamente Los responsables de los procesos de negocio y los ejecutivos deben dedicarse a tareas ajenas a su trabajo real para asegurar manualmente que los controles funcionan
Soluciones basadas en hojas de clculo son insuficientes a la hora de abordar los requerimientos asociados a la conformidad y proveer seguridad a los directivos Realizar comprobaciones al final de cada trimestre puede no bastar para prevenir el fraude entre ciclos de informes y consume muchos recursos
La gestin de la Conformidad no es slo algo puntual, sino que requiere un enfoque estructurado y constante
SAP AG 2006,
/8
SAP AG 2006,
SRM
SCM
Consolida el Core
PLM
ERP
CRM
Asegura conformidad
/9
Procesos
SAP para Ciencias de la Vida SAP para Hospitales SAP para Qumicas xEM
Servicios
RFID
Servicios Financieros
Basilea II
Trade
SAP Global Trade Services
Financial Supply Chain Management Environmental Health & Safety Payroll & Taxes SAP Quality Management
Cualquier Sector
SAP Access Enforcer by Virsa SAP Firefighter by Virsa SAP Role Expert by Virsa SAP Treasury & Risk Management
SAP AG 2006,
/ 10
1. Identificacin riesgos
Identificar riesgos y controles Polticas organizativas
Riegos
6. Prevencin y monitorizacin continua
Anlisis Y si? Monitorizar cambios para usuarios clave
3. Identificar Quebrantos
Reglas de cambio Sealar Causas Correcciones Ajustes
Controles
Finanzas
Proveedores:
Clientes:
Ciclo de Pagos
Ciclo de Cobros
RRHH
SAP AG 2006,
/ 12
Identificar procesos de negocio Establecer criterios estndar para ordenar gravedad de los riesgos Ordenar las amenazas posibles con los activos de la organizacin. Obtener aprobacin del propietario del proceso de negocio para los controles de segregacin de tareas (SoD) a realizar
Documentar controles y riesgos a monitorizar Especificar prioridades para remediacin de deficiencias Asignar responsables de los riesgos, responsables de los procesos, responsables de monitorizacin y de aprobar los controles de mitigacin.
SAP AG 2006,
Evento GRC - Julio, 2006 / Antonio Manero / 13
SAP AG 2006,
/ 14
3. Identificar Quebrantos
Mejores Prcticas Clave
3. Identificar Quebrantos Ejecutar anlisis de riesgos detallados sobre el 100% de los escenarios Identificar las violaciones de controles de acceso desde la gestin de usuarios hasta la asignacin de los mismos
Identificar y clasificar segn violaciones potenciales frente a reales Identificar alternativas para acciones correctivas segn procesos de negocio Ejecutar evaluaciones recurrentes frente a controles puntuales
SAP AG 2006,
/ 15
4. Remediacin y Mitigacin
SAP AG 2006,
/ 16
SAP AG 2006,
/ 17
Notificar a los responsables de los riesgos de las emergencias, deficiencias y cambios crticos Prevenir sucesos de riesgos accidentales a roles, asignacin usuarios, y control de diseo. Alertar a los propietarios de procesos o hitos relevantes y controlar las deficiencias de acuerdo con la gravedad del riesgo Ejecutar revisiones peridicas de riesgos y reglas para estar al da con polticas y procedimientos organizativos, as como cambios del marco regulador Seguimiento del estatus de remediacin y mantener rastro auditor
SAP AG 2006,
/ 18
Firefighter Firefighter
Solucin de Solucin de Accesos para Accesos para Superusuarios Superusuarios
SAP AG 2006,
/ 19
Legacy
Custom
Inventario y Compras
!
RIESGO
SAP AG 2006,
/ 20
Gestin de Riesgos
Identificar riesgos Ejecutar valoracin de riesgos Analizar quebrantos (violaciones) Llevar a cabo remediacin Documentar controles mitigacin Identificar & monitorizar transacciones criticas Ejecutar simulacin SoD Monitorizacin continua de violaciones
Fcil de utilizar con las mejores prcticas" con contenido de negocio incorporado Anlisis del riesgo en tiempo real Posibilidad de navegar hasta el origen de la causa Interfaz sencillo para documentar & gestionar mitigaciones autorizadas Anlisis de Segregacin de Tareas (SoD) para prevenir incumplimientos de conformidad Informes potentes para diferentes grupos de inters
SAP AG 2006,
/ 21
1. Identificacin de Riesgos
Viene con contenido de negocio: reglas predefinidas Reglas de clientes fcil de aadir (en arquitectura WAS)
3.
SAP AG 2006,
/ 22
Construir y mantener reglas para aceso y autorizacin de usuarios Anlisis de Riesgos (SoD, transacciones criticas) Controles mitigacin (creacin y mantenimiento) Monitorizacin de los controles de mitigacin Aprovechar las soluciones SAP de control y seguridad ya existentes (p.ej., AIS, MIC, generador de perfiles) Remediacin Simulacin (conformidad pro-activa) Simulacin remota (conformidad tiempo real 24/7) Informes de gestin
SAP AG 2006,
/ 23
Marco de Reglas de Negocio Anlisis de Riesgos en tiempo real Monitorizacin transacciones Criticas Integracin de Aplicaciones Workflow de Remediacin Gestin de Mitigaciones Estructura de Alertas Informes Simulacin en tiempo real Prevencin obligatoria
Remediar Riesgo
Remediacin
Informes
Informes
SAP AG 2006,
Prevencin
Prevencin
/ 24
Productivo
Testeo Desarrollo
Definicin
Recursos / Esfuerzo
Utilizar SAP Compliance Calibrator desde la fase de Definicin para reducir costes
SAP AG 2006,
Evento GRC - Julio, 2006 / Antonio Manero / 25
Manual
Informe de usuarios de las transacciones
Identificar las transacciones por usuario / sistema Incluir transacciones utilizadas en el perfil usuario Anlisis de Riesgos
Manual
Correlaciones
Informe Informe
Manual
Anlisis de Riesgos
Identificar punto exacto donde se produce el riesgo Resumen proactivo como parte del Control
No Posible
Revisin Proactiva como parte del Control?
98% de los clientes consideran la monitorizacin de los datos por empresa como
SAP AG 2006,
Evento GRC - Julio, 2006 / Antonio Manero / 26
importante*
Panel de mandos de Conformidad nico Fcilmente integrado con los procesos de negocio Arquitectura orientada a servicios completa (ESA) Integrado con SAP Composite Application Framework (CAF) Login desde cualquier lugar Cliente SAP no necesario
SAP AG 2006,
Evento GRC - Julio, 2006 / Antonio Manero / 27
No especficos de Sistema
Riesgos
Funciones de negocio
+
Transacciones Sistema & Permisos Reglas de Riesgo
SAP AG 2006,
Evento GRC - Julio, 2006 / Antonio Manero / 28
Interfaz personalizado
Para TODAS las funciones de conformidad, auditora, seguridad Posibilidad de aadir CUALQUIER aplicacin Web al mismo interfaz
SAP AG 2006,
/ 30
SAP AG 2006,
/ 31
SAP AG 2006,
/ 32
SAP AG 2006,
/ 33
ERP
4a Ir a SAP para averiguar la causa 4b
Identificacin riesgo en tiempo real Navegacin hasta la causa Workflow de remedio o mitigacin Validacin inmediata
ERP
ERP
Remediar en SAP
ERP
Con Inteligencia!
Mitigacin off-line 5
ERP
ERP
/ 34
Los resultados del test son documentados y almacenados en p.ej. SAP MIC, ARIS Audit Manager
SAP AG 2006,
/ 35
SAP AG 2006,
/ 36
Solicitud automtica Integracin Gestin Identificacin Seleccin de roles flexible Abastecimiento automtico
Contratacin empleado
Anlisis Riesgo
Informes
Informes auditables
Servicios usuario
100% Automtico
SAP AG 2006,
/ 37
mwong
Rol1
blaw
Seguridad
mwong
Rol1
(blaw)
mwong
Rol1
(blaw)
(blaw)
Rol2
(cperkins)
mwong
Rol1
(blaw) Creacin Automtica en SAP
Rol2
(cperkins)
Rol2
(cperkins)
cperkins
Rol2
(cperkins)
mwong
Anlisis Riesgo tiempo real
Mitigacin
Rol1
(blaw)
Rol2
(cperkins)
Compliance Calibrator
SAP AG 2006,
/ 38
SAP AG 2006,
/ 39
SAP AG 2006,
/ 40
SAP AG 2006,
/ 41
SAP AG 2006,
/ 42
Fase Sprint (Limpiar) Identificar y remediar Riesgos Gestionar los Roles Control Acceso Superusuarios
SAP Compliance Calibrator Solucin de anlisis del riesgo, deteccin y remedio para accesos y controles de autorizacin
SAP AG 2006,
/ 43
Poltica Poltica
Evaluar Evaluar
Monitor Monitor
Respuesta Respuesta
Optimizar Optimizar
Interaccin Usuario
MS Office MS Office
Mvil Mvil
Cliente Cliente
Repositorio GRC Comn Repositorio GRC Comn Integracin ESA Integracin ESA
GRC Aplicaciones
Servicios Comunes
Fuentes
JDE
Hyperion
Legacy
Custom
SAP AG 2006,
/ 44
Phase 0 - May 06
Access Controls & Process Control Monitoring
Compliant provisioning Role Management Superuser access management Segregation of Duties analysis & enforcement Process control monitoring
SAP AG 2006,
Phase I Q4 06
Expanded Process Control Management
Control documentation Expanded automated process control monitoring and testing library Manual control testing Global compliance risk dashboard
Phase II Q2 07
Enterprise Risk Process Management
Collaborative enterprise risk assessments Risk mitigation management Risk & compliance analytics & dashboards Additional automated process controls
Phase III Q4 07
Integrated GRC
Governance & policy development management Integrated GRC analytics & dashboards Expanded risk assessment models SEM / Strategic Planning integration
/ 45
SAP AG 2006,
/ 46
Preguntas ?
Antonio Manero
antonio.manero@sap.com Experto Soluciones Financieras SAP Iberia