BANCO DE CRDITO DEL PER

DATOS RESGUARDADOS
CON LA SOLIDEZ DE UN TESORO
RESUMEN

En una entidad bancaria es fundamental

la minimizacin de riesgos de acceso.
El control en la gestin de la seguridad
slo podamos confirselo
a SAP BusinessObjects GRC.
Hayde Urquiaga, Gerente del Programa SAP
de Banco de Crdito del Per

Compaa
Nombre: Banco de Crdito del Per
Localizacin: Lima
Industria: Banca
Productos y servicios: servicios
financieros
Cantidad de empleados: 15.000
Utilidad neta: 1.209,3 millones de dlares
Website: www.viabcp.com
Partner de implementacin: SAP SSSA
and Caribe Services
Desafos y oportunidades
El escaso control de la segregacin de
funciones impeda tener un exhaustivo
control de acceso y dificultaba la labor de
las auditoras
BCP tiene 320 oficinas, 5.000 roles por
almacn asociado y 3.000 usuarios
crticos

Competencia
Oracle y PeopleSoft
Claves de la implementacin
El primer paso fue lograr una visin clara de
los conflictos, para poder anticiparlos, resolverlos y lograr sostener el xito en el tiempo
Se realiz un piloto de alcance limitado para
identificar conflictos y que el equipo tcnico
incorporara el procedimiento de depuraciones
Se incluy en el diagnstico y diseo de la
herramienta final a los autorizadores de
procesos, que los comprometi y les permiti ver inmediatamente los beneficios

Soluciones y servicios SAP

SAP Enterprise Central Component v. 6.0
SAP ERP Financials (Contabilidad general,
costos, activos fijos, tesorera, cuentas por
pagar, cuentas por cobrar, activos fijos,
consolidacin), Material Management
(compras, inventarios y almacenes),
Objetivos del proyecto
El principal objetivo era la integracin. Para SAP Human Capital Management (Nmina,
atender las exigencias del negocio, BCP
administracin de personal, organizacin,
fue habilitando aplicaciones independientes
administracin de viajes, administracin
y desintegradas que finalmente tenan un
de tiempos, reclutamiento, salud ocupaalto costo de mantenimiento y consolicional, Cost Planning, Compensaciones,
dacin de la informacin
Desarrollo de Personal, e-learning, ESS y MSS)
Fortalecer el sistema de control interno y
Beneficios
dar cumplimiento a la normativa interna y

El mayor impacto de la implementacin fue en

externa relacionada con los posibles riesla metodologa de trabajo, que se reflej rpigos de gestin de accesos (segregacin
damente en la seguridad de la operatividad y
de funciones y accesos crticos)
facilit planificar
Por qu SAP
SAP BusinessObjects GRC permiti a BCP
cumplir las normativas, facilitar las audi Solucin completa y robusta
toras, asegurar el acceso restringido, esta Trayectoria y experiencia exitosa en el sector
blecer reglas de segregacin de funciones y
Capacidad de integracin y orientacin a
facilitar el soporte de forma segura
procesos

Historia de xito
SAP BusinessObjects Governance, Risk and Compliance

La cantidad de usuarios del sistema, que asciende a 13 mil, sumado a la cantidad

de roles definidos da un total de unos tres mil usuarios crticos. Contar con una
herramienta confiable y verstil como SAP BusinessObjects GRC era vital para BCP.

SSSA
www.referenciassap.com

Gonzalo F. Aller, Analista de Seguridad Informtica de Banco de Crdito del Per

El Banco de Crdito del Per es la institucin bancaria ms antigua del pas. Cuenta
con 326 oficinas, 995 cajeros automticos,
1,800 Agentes BCP y ms de 14 mil
empleados. Con 120 aos de trayectoria,
el lema principal de BCP es ser un banco
antiguo con espritu siempre moderno. Y
SAP acompaa los valores principales.

Confiabilidad
El Banco necesitaba una herramienta
confiable que facilitara su gestin
cotidiana, pero que adems le permitiera satisfacer los requerimientos de la
normativa vigente, tanto en el mbito
local como internacional. Los objetivos
establecidos por el Comitee of Sponsoring
Organization of Treadway Comission
(COSO) y por la Sarbanes Oxley Act
son muy precisos, y la aceptacin de
SAP como fuente oficial de informacin
por PriceWaterhouseCoopers avala la
performance de SAP en el rea.
Despus de los resultados demostrados por SAP ERP, que el Banco ya
utilizaba, la decisin de confiar en SAP
era natural. Del mismo modo que uno
de los pilares en la industria de Banca
es poder presentar una institucin
respaldada y confiable, BCP busc, para
su solucin de seguridad informtica, al
lder mundial en credibilidad: SAP.

Previsin
El camino al xito estaba marcado por la
antelacin al suceso. Todo esfuerzo se
orientaba a anticipar el anlisis, la prevencin, la deteccin y la remediacin de
riesgos causados por conflictos de segre-

gacin de funciones y accesos crticos en

los procesos de negocio soportados por
SAP ERP.
El primer escollo al que se enfrentaba
BCP era el de lograr definir una base
completa de reglas de control de acceso.
Considerando que el Banco incluye 5.000
roles por almacn asociado y 3.000 usuarios crticos, la labor se volva inabarcable.

proceso para clarificarlo.

Con estas premisas, se realiz un piloto
de alcance limitado para identificar
conflictos y para que el equipo tcnico
incorporara el procedimiento de
depuraciones. Tanto en las etapas de
diagnstico como de diseo de la
herramienta final se incluy a los
autorizadores de procesos, comprometindolos con el cambio y permitindoles
ver los beneficios de forma inmediata.

Uno de los puntos centrales del xito del

proyecto fue la concientizacin del usuario
final respecto de los riesgos que represen- Capitalizacin
taba solicitar u otorgar accesos a SAP ERP.
A travs de SAP BusinessObjects GRC,
Transparencia
Banco de Crdito del Per consolid la
seguridad informtica en sus transacEl limitado control en la segregacin de
ciones. El ordenamiento y la metodolofunciones impeda tener un exhaustivo
ga unificada de trabajo, en todas las
control de acceso y dificultaba la labor de oficinas y localizaciones, fueron el
las auditoras. Esto era un conflicto para
mayor beneficio inmediato de la impleBCP, porque sus especialistas saban que mentacin. A consecuencia, la segurila informacin era ptima y la calificacin
dad de la operatividad se increment y
sera impecable, pero los extensos
se facilit la planificacin de estrategias
tiempos de anlisis complicaban la
de seguridad.
consecucin de esos datos.
SAP BusinessObjects GRC permiti a
SAP BusinessObjects GRC reduce los
BCP cumplir las normativas, facilitar las
tiempos de anlisis y documenta los
auditoras, asegurar el acceso restringiaccesos a travs de reportes y logs, para do, establecer reglas de segregacin
de funciones y facilitar el soporte de
clarificar la administracion de los roles.
forma segura.

Operatividad
A la hora de implementar la solucin, se
tuvieron en cuenta los valores que haban
acompaado el diagnstico y la decisin.
Se definieron necesidades certeras a
partir de indicadores confiables, se
previeron contingencias y errores no
intencionales y se document todo el

2010 SAP AG. Reservados todos los derechos.

SAP, R/3, SAP NetWeaver, Duet, PartnerEdge, ByDesign, Clear Enterprise,
SAP BusinessObjects Explorer, y otros productos y servicios de SAP mencionados
aqu, as como sus respectivos logotipos, son marcas comerciales o marcas registradas de SAP AGen Alemania y en otros pases. Business Objects y el logotipo
de Business Objects, BusinessObjects, Crystal Reports, Crystal Decisions,
Web Intelligence, Xcelsius y otros productos y servicios de Business Objects
mencionados, as como sus logotipos respectivos, son maras comerciales o
marcas registradas de SAP Francia en los Estados Unidos y otros pases.

Todos los dems nombres de productos y servicios mencionados son marcas

comerciales de sus respectivas empresas. Los datos de este documento slo
tienen carcter informativo. Las especificaciones de productos en cada pas pueden
ser diferentes. Estos materiales pueden modificarse sin previo aviso. Estos materiales los proporciona SAP AG y sus empresas afiliadas (SAP Group) con carcter
informativo, sin representacin ni garanta de ningn tipo y SAP Group no se hace
responsable de los errores u omisiones en dichos materiales. Las nicas garantas
para los productos y servicios de SAP Group son aquellas especificadas en las
clusulas expresas de garanta que acompaan a dichos productos y servicios, si
las hubiera. Nada de lo que aparezca en este documento debe interpretarse como
garanta adicional.