Resumen GRC

Governance, Risk and Compliance Management (GRC)como arma estratégica

Antonio ManeroExperto Soluciones Financieras

SAP Iberia

© SAP AG 2006, Evento GRC - Julio, 2006 / Antonio Manero / 2

Gobierno Corporativo - “Corporate Governance”

Gobierno Corporativo es el método por el que una corporación es dirigida, gestionada y controlada.

Buen Gobierno“voluntario”

Buen Gobierno“impuesto”

ConsejoComités de AuditoríaRemuneraciónProcesos estándar

Deudas, acuerdosAuditores externosLegislación EstatalBuenos usos sectoriales

Una carencia de Gobierno Corporativo expone a una corporación aRiesgos significativos : entre otros fraude y no-cumplimiento normativo.


GobiernoCorporativo

Finanzas RRHHProveedores:

Ciclo de Pagos

Clientes:Ciclo de Cobros

ControlesInternos

Ejecutivos

Empleados

Los Controles proveen una forma de enlazar los objetivos del gobierno corporativo con los procesos de negocio y empleados.La Gestión de Cumplimiento permite gestionar y asegurar que los controles cubren los requerimientos tanto legales como internos.

Riesgos

Cumplimiento y Controles Internos


SAP lanza una nueva Unidad de Negocios: GRC

Facilita a nuestros Clientes soluciones integradas de GRC– Entre plataformas– Solución completa para toda la

empresa– Forma parte de nuestra estrategia

global, no es sólo una oportunidad circunstancial

Proporciona la primera solución global de GRC con aplicaciones concretas– Darle más valor a la arquitectura de

servicios (ESA)– Ampliar la oferta GRC con soluciones

complementarias de partners.

Governance, Risk & Compliance Management


SAP adquiere VIRSA: valor añadido para nuestros clientes

La inversión realizada por nuestros clientes en Virsa está protegida.

Virsa complementa otros componentes de prevención del fraude y de cumplimiento ofrecidos por SAP

Juntos se potencia una visión integrada de la gestión de buen gobierno, riesgo y conformidad, (GRC):

Automatización y engarce con los procesos relevantes de la organizaciónIntegración entre sistemas en una organización (inversiones IT en SAP y no-SAP IT)

Governance, Risk & Compliance Management


Compliance = Conformidad

Puede ser una obligación legal de la empresa (SOX, IFRS, ESA, Basilea 2, FDA ...)

La valoración en Bolsa de la Empresa se vincula con la calidad de su Gobierno Corporativo y de cómo los auditores externos evalúen su gestión.

El fraude es una realidad: un estudio de PWC analiza que el 47% de las grandes empresas europeas están afectadas y que el impacto sobre su margen es de entre el 7% y 10%, y que está en constante aumento.(PWC recomienda que se implementen sistemas preventivos automatizados, consiguiendo así eliminar 50 % de este coste)

GRC: Governance, Risk and Compliance Management

¿Para qué?


En la medida en que GRC es central para su negocio …es central para la estrategia de Soluciones de SAP

En la medida en que GRC es central para su negocio …es central para la estrategia de Soluciones de SAP



Factores Clave para Conformidad

Realizar comprobaciones al final de cada trimestre puede no bastar para prevenir el fraude entre ciclos de informes y consume muchos recursos

No hay comprobaciones periódicas

La gestión de la Conformidad no es sólo algo puntual, sino que requiere un enfoque estructurado y constante

La Conformidad requiere una elevada gestión del cambio

ObservacionesFactores ClaveLos directivos carecen de información fiable que les haga sentir seguros de que los controles internos son los que debieran ser y funcionan adecuadamente

Incertidumbre de si los controles están efectivamente en su sitio

Soluciones basadas en hojas de cálculo son insuficientes a la hora de abordar los requerimientos asociados a la conformidad y proveer seguridad a los directivos

Los desarrollos a medida suelen ser inconsistentes e insuficientes

Los responsables de los procesos de negocio y los ejecutivos deben dedicarse a tareas ajenas a su “trabajo real” para asegurar manualmente que los controles funcionan

Evaluar y monitorizar los controles internos consume mucho tiempo


ERPSRM SCM PLM CRM

Medir Rendimiento

Facilitar mayor Crecimento

Gestionar Relaciones

Optimiza relaciones operacionales

Consolida el Core

Asegura conformidad

Centrado D

iferenciaciónC

entrado Diferenciación

Centrado P

roductividadC

entrado Productividad

GRC en el Centro de la Estrategia de Soluciones SAP


Soluciones GRC para todas las industrias o verticales

Discreta Procesos Servicios ServiciosFinancieros

Trade

SAP Global Trade Services

CualquierSector

SAP para Ciencias de la Vida

SAP para Hospitales

SAP para Químicas

xEM

Cumplimiento Medioambiental

RoHS

WEEE

RFID

xEM

RFID Basilea II

SAP Compliance Calibrator by Virsa

SAP Access Enforcer by Virsa

SAP Firefighter by Virsa

SAP Role Expert by Virsa

SAP Treasury & Risk Management

Financial Supply Chain Management

Environmental Health & Safety

Payroll & Taxes

SAP Quality Management


Características de la Solución GRC

Características de la Solución GRC


Riegos

Finanzas RRHHProveedores:

Ciclo de Pagos

Clientes:Ciclo de Cobros

Controles

2. Análisis automatizado del Riesgo

Construir reglas y controles basadas en riesgos identificadosAnalizar roles, usuarios, etc.

3. Identificar Quebrantos

Reglas de cambioSeñalar CausasCorreccionesAjustes

1. Identificación riesgosIdentificar riesgos y controlesPolíticas organizativas

6. Prevención y monitorización continua

Análisis “¿Y si…?”Monitorizar cambios para usuarios clave

5.Test & InformesResultados de los Tests periódicos Informes sobre quebrantos y remediacionesCertificación de Efectividad

4.Remediación & Mitigación

Correcciones Rol & UsuarioAprobar controles mitigaciónAsignar usuario a riesgos

Ciclo totalmente Integrado de Conformidad


Identificar riesgos y objetivos a controlar

Seleccionar comprobaciones alineadas con la política, procesos y regulaciones organizativos de la empresa.

Relacionar controles con los procesos de negocio, riesgos y evaluaciones

– Identificar procesos de negocio

– Establecer criterios estándar para ordenar gravedad de los riesgos

– Ordenar las amenazas posibles con los activos de la organización.

– Obtener aprobación del propietario del proceso de negocio para los controles de segregación de tareas (SoD) a realizar

Documentar controles y riesgos a monitorizar

Especificar prioridades para remediación de deficiencias

Asignar responsables de los riesgos, responsables de los procesos, responsables de monitorización y de aprobar los controles de mitigación.

Mejores Prácticas Clave

1. Identificación

de Riesgos

1. Identificar Riesgos y Controles


Identificar las tareas de negocio que generan riesgos cuando los ejecuta el mismo individuo.

Asociar funciones de negocio conflictivas con los riesgos identificados

Establecer el enfoque y los procesos para gestionar reglas de riesgo globales y locales

Identificar los propietarios de las reglas de riesgo por funciones de negocio o por procesos

Centrarse en la identificación dinámica de riesgos mientras se construyen las reglas de riesgo para poder evitar que los quebrantos lleguen a ocurrir

Validar las reglas de riesgo a través de comprobaciones conjuntas con los propietarios de los procesos.


2. Análisis Automático de

Riesgos

2. Aplicar Reglas de Riesgo y Controles


Ejecutar análisis de riesgos detallados sobre el 100% de los escenarios

Identificar las violaciones de controles de acceso desde la gestión de usuarios hasta la asignación de los mismos

– Roles simples

– Roles compuestos

– Posiciones

– Asignaciones

Identificar y clasificar según violaciones potenciales frente a reales

Identificar alternativas para acciones correctivas según procesos de negocio

Ejecutar evaluaciones recurrentes frente a controles puntuales





Obtener la aprobación de todos los interesados para las alternativas de mitigación

Realizar correcciones para eliminar riesgo

Precisar el origen de las deficiencias y de la información para identificar medidas preventivas

Revisar políticas organizativas y de procedimientos para incorporar medidas preventivas - cuando proceday sea factible

Basado en excepciones, poner en marcha controles de mitigación alternativos para quebrantos y riesgos

Separar las cuestiones técnicas de las cuestiones de negocio (elaboración de un rol frente a la asignación de dicho rol)

Seguimiento del estatus de la remediación y mantenimiento del rastro auditor


4. Remediación y Mitigación

4. Resolver y Documentar Mitigación


Documentar los resultados de las sucesivas comprobaciones y quebrantos por procesos de negocio y organizativos

Documentar resultados por control de diseño, evaluación de efectividad

Mantener conjunto de reglas y criterios documentados por periodo, así como el histórico de los cambios.

Proveer un repositorio para el estatus de las comprobaciones por procesos de negocio, así como los controles para ejecutivos, colaboradores interesados y auditores

Mantener documentación de los cambios y de las aprobaciones, así como el rastro auditor de los mismos


5. Tests & Informes

5. Tests de Control e Informes de Deficiencias


Realizar análisis “¿y si …?” antes de comprometerse y aprobar cambios en los controles de acceso:

– Aprobación de Roles

– Aprobación de asignación de Usuario

Notificar a los responsables de los riesgos de las emergencias, deficiencias y cambios críticos

Prevenir sucesos de riesgos accidentales a roles, asignación usuarios, y control de diseño.

Alertar a los propietarios de procesos o hitos relevantes y controlar las deficiencias de acuerdo con la gravedad del riesgo

Ejecutar revisiones periódicas de riesgos y reglas para estar al día con políticas y procedimientos organizativos, así como cambios del marco regulador

Seguimiento del estatus de remediación y mantener rastro auditor


6. Prevención &

Monitorización continua

6. Prevención Deficiencias & Monitorización continua


GRC: Aplicaciones para Controles de Acceso

SAP® Compliance Calibrator™

Solución para el análisis de riesgos, detección y remediación de controles de accesos y autorización


Solución para el análisis de riesgos, detección y remediación de controles de accesos y autorización

Role Expert™

Solución parala definición

de roles

Role Expert™

Solución parala definición

de roles

Firefighter™

Solución de Accesos para Superusuarios

Firefighter™

Solución de Accesos para Superusuarios

Access Enforcer™

Solución para cumplimiento

preventivo

Access Enforcer™

Solución para cumplimiento

preventivo

Permiten Cubrir todos los procesos de una organización

CoastCoast PhasePhase(Mantenerse)(Mantenerse)

Fase Fase EsprintEsprint(Limpiarse)(Limpiarse)

Identificar y remediar Riesgos

Gestionar los Roles

Super Usuario:

Control de AccesosPrevención


Autorización: Mantenimiento

Maestro Proveedor

Autorización: Pagar Factura

Proveedor

Escenario IT Heterogéneo

Legacy Custom

Finanzas y Contabilidad

Inventario y Compras

!RIESGO

SAP Compliance Calibrator:Fijación de reglas multi-empresa

Sistemas no-SAP

Detección Riesgo en todos los Sistemas



No-SAP

Cliente

SAP® Compliance Calibrator™ by Virsa - Resumen

Gestión de Riesgos

Segregación de Tareas (SoD)

Monitorización de Transacciones Críticas

Remediación / Mitigación Automatizada

Gestión de Riesgos

Identificar riesgosEjecutar valoración de riesgosAnalizar quebrantos (‘violaciones’)Llevar a cabo remediaciónDocumentar controles mitigaciónIdentificar & monitorizar transacciones criticasEjecutar simulación SoDMonitorización continua de violaciones

SAP Compliance Calibrator

Fácil de utilizar con las “mejores prácticas" con contenido de negocio incorporadoAnálisis del riesgo en tiempo realPosibilidad de navegar hasta el origen de la causaInterfaz sencillo para documentar & gestionar mitigaciones autorizadas Análisis de Segregación de Tareas (SoD) para prevenir incumplimientos de conformidadInformes potentes para diferentes grupos de interés

Prevención en tiempo real


Conformidad: Seis pasos principales

1. Identificación de RiesgosViene con contenido de negocio: reglas predefinidas

Reglas de clientes fácil de añadir (en arquitectura WAS)

2.Análisis automatizado Riesgos

Comunicación vía RFC a SAP u otros sistemas (desde WAS)

3. Identificar Violaciones & Quebrantos

Herramienta en tiempo real para analizar sistema objetivo frente a las reglas de análisis definidas

5.Test & InformesResultados del análisis obtenidos en los sistemas objetivo a través de conexión RFC y presentados en entrono WAS

4.Remediación & MitigaciónNavegación en tiempo real desde informe presentación hasta sistema origen de datosGestión centralizada desde WASColaboración vía workflow

6.Prevención & MonitorizaciónSimulación realizada en tiempo real sobre sistema y datos reales


SAP® Compliance Calibrator™ - Funcionalidad

Construir y mantener reglas para aceso y autorización de usuarios

Análisis de Riesgos (SoD, transacciones criticas)

Controles mitigación (creación y mantenimiento)

Monitorización de los controles de mitigación

Aprovechar las soluciones SAP de control y seguridad ya existentes (p.ej., AIS, MIC, generador de perfiles)

Remediación

Simulación (conformidad pro-activa)

Simulación remota (conformidad tiempo real 24/7)

Informes de gestión


Funcionalidad Clave

Estructura de Alertas

InformesInfo

rmes

Simulación en tiempo real

Gestión de Mitigaciones

Workflow de Remediación

Monitorización transacciones Criticas

Análisis de Riesgos en tiempo real

Marco de Reglas de Negocio

Integración de AplicacionesIden

tific

ar R

iesg

oR

emed

iar

Rie

sgo

Prev

enci

ónOfrece una cobertura en tiempo real 24/7, al evitar quebrantamientos de la

seguridad antes de que puedan ocurrir gracias a controles adecuados

Prevención obligatoria

Facilita una automatización total del proceso

Identificar Riesgos

Remediación

Informes

Prevención

Proceso Automatizado



Recursos / Esfuerzo

Cos

te /

Rie

sgo

Desarrollo

Testeo

Productivo

Lo más Costoso:Identificar violaciones durante proceso de auditoría

Utilizar SAP Compliance Calibrator desde la fase de

Definición para reducir costes

Definición



Análisis proceso SAP automatizadoEnfoque tradicional - Manual, por pasos

Informe transacciones

analizadas

Manual

Informe Informe de usuarios de las transacciones

Manual

Correlaciones

Manual

Análisis de Riesgos

Manual

Revisión Pro-activa como parte

del Control?

No Posible

Detección de Riesgos en cada Usuario / Empresa

Identificar las transacciones por usuario / sistema

Incluir “transacciones utilizadas” en el perfil

usuario

Análisis de Riesgos

Identificar punto exacto donde se produce el riesgo

Resumen pro-activo como parte

del Control

Informe

Informe Informe

98%98% de los clientes consideran la monitorizacide los clientes consideran la monitorizacióón de los datos por empresa como n de los datos por empresa como importante*importante* * Encuesta Cliente Julio 2005



Visibilidad de conformidad centralizada y multiempresa

Basado en el servidor de Aplicación de SAP Netweaver

Impacto cero en Sistemas Productivos

Panel de mandos de Conformidad Único

Fácilmente integrado con los procesos de negocio

Arquitectura orientada a servicios completa (ESA)Integrado con SAP CompositeApplication Framework (CAF)

Login desde cualquier lugarCliente SAP no necesario

Arquitectura Web Orientada a Servicios centralizados


Riesgos

Funciones de negocio

Transacciones Sistema & Permisos

=Reglas de Riesgo

+

No específicos de Sistema

Alto grado de automatización

Gran complejidad

Autorización usuarios

Estructura de Reglas Empresariales de Identificación


Más de 200 Grupos de Riesgo, p.ej. Caja, Pagos, Contabilidad Financiera, HR/Nóminas, APO, CRM, EBP/SRM, …

Lenguaje de Negocios

SAP Resultados - Más de 180.000 reglas de Segregación de Tareas (SoD)

Reglas a nivel de Objeto de Autorización eliminan la posibilidad de Falsos Positivos.

Construcción de nuevas reglas automatizada

Reducimos el tiempo de Conformidad y Coste de Propiedad (TCO)

Validado por 4 Grandes Auditoras en + 400 clientes

BD de Riesgos Integral y construcción de reglas automatizada


Interfaz personalizado

Para TODAS las funciones de conformidad, auditoría, seguridad …

Posibilidad de añadir CUALQUIER aplicación Web al mismo interfaz

Adaptación de Informes ilimitada

Interfaz con SAP BI/BW

Construcción de informes con SAP Visual Composer, BEx Analyzer, Web Application Designer.

Sistema de Información de Conformidad


Info-proveedores de Conformidad

Info Cubos, Objetos ODS

Informes, Extractores,…

SAP ComplianceCalibrator

SAP BW >= 3.0

Violaciones de Control de Acceso

Info-proveedores propios

Integración entre SAP CC y BI


Resumen - Resolución de Riesgos Integrada

La rápida resolución del riesgo acelera el Valor

Identificación riesgo en tiempo real

Navegación hasta la causa

Workflow de remedio o mitigación

Validación inmediata

Informe

ERP

ERP

Ir a sistema off-linepara detalles

Ir a SAP para averiguar la

causa

Remediar en SAP

Validación fija

Recepción desde sistema off-line

Mitigación off-line

Remedios Off-line - Lentos, Ineficientes

Proceso completamente integrado con SAP / ERP

1 2

3

4a 4b

6

esperar 24 hrs.

5

ERP

ERP

ERP

ERP

Con Inteligencia!

Workflow de aprobación eficiente, controlado y documentadoOpciones de seguimiento para todos los cambios en riesgosOpciones de seguimiento para cambios en mitigaciones


Los resultados del test son documentados y almacenados en p.ej. SAP MIC, ARIS Audit Manager

Documentación de Controles e integración de Testeo


Soporte para todos los tipos de autorizaciones SAP

… definir qué tipo de autorizaciones tiene el

usuario en los sistemas ERP

… definir qué se visualiza en el portal


Otras Soluciones GRC - SAP Access Enforcer

Funcionalidad Clave

Autoservicio de reseteo de Claves

Informes auditables

Selección de roles flexible

Integración Gestión Identificación

Solicitud automática

Confirmación / aprobación de Rol

Abastecimiento automáticoWor

kflo

wD

inám

ico

Info

rmes

Serv

icio

sus

uario

Interfaz Análisis Riesgo en tiempo real

Aná

lisis

R

iesg

oProporciona flujo de conformidad de principio a fin

Proporciona Conformidad a través de Workflow dinámico

Solicitud generada

Creaciónautomática

AprobarManager

Análisis Riesgo

Workflow basado en tipo de solicitud y atributos usuario

Workflow de redirección

Workflow de excepción

100% AutomáticaEvento HR

Contratación empleado

Vía e-mail

Simulación Preventiva

100% Automático


Otras Soluciones GRC - Access Enforcer (ejemplo)

mwongRol1(blaw)Rol2

(cperkins)

Solicitud Nuevo UsuarioManager

mwongRol1(blaw)Rol2

(cperkins)

mwongRol1(blaw)Rol2

(cperkins)

mwongRol1(blaw)Rol2

(cperkins)

Seguridadblaw

cperkins

Creación Automática

en SAP

mwongRol1(blaw)Rol2

(cperkins)

Propietarios Rol

ComplianceCalibrator

Análisis Riesgo tiempo real Mitigación



Aprobación de Solicitudes de Acceso con Simulaciones en tiempo real


Resultados de una Simulación en tiempo real



¿ Hacia dónde va SAP con GRC ?¿ Hacia dónde va SAP con GRC ?




La Solución se basa totalmente en SAP NetWeaver

WAS como plataforma de desarrollo

SAP Enterprise Portal como Interfaz de usuario

SAP Exchange Infrastructure (Xi) para Conectividad

SAP Business Information Warehouse para los Informes

Integración total con los sistemas SAP (en tiempo real, basado en eventos)

Adaptadores ya existentes para conectividad con otros sistemas (Peopletools, Oracle, Hyperion, …)

Soporte Global (24 / 7) vía SAP Service Marketplace


GRC: Conjunto de Soluciones SAP


Solución de análisis del riesgo, detección y remedio para accesos y controles de autorización

Role Expert™

Definición roles & solución de gestión

Firefighter™

Solución de control de acceso a

Superusuarios

Access Enforcer™

Solución de abastecimiento de

conformidad

Fase maratón (Mantenerse Limpio)

Fase Sprint(Limpiar)

Gestionar los Roles Control Acceso Superusuarios

PrevenciónIdentificar y remediar Riesgos


OptimizarOptimizarRespuestaRespuestaPolíticaPolítica EvaluarEvaluar MonitorMonitorGestión total GRC

Interacción Usuario

Servicios Comunes

Fuentes

GRC Aplicaciones

SAP AnalyticsSAP Analytics MóvilMóvilMS OfficeMS Office ClienteCliente

BPMBPM AdaptadoresAdaptadores SeguridadSeguridadWorkflowWorkflow ……

JDE CustomLegacy

Aplicaciones VerticalesAplicaciones VerticalesAplicacionesHorizontalesAplicacionesHorizontales Aplicaciones de PartnersAplicaciones de Partners

Ecosistema Partners

SI’s, Auditors, Content, E-Learning,

Consulting, Hardware,

Infrastructure

Ecosistema Partners

SI’s, Auditors, Content, E-Learning,

Consulting, Hardware,

Infrastructure

Hyperion

Integración ESAIntegración ESA

Repositorio GRC ComúnRepositorio GRC Común

Integración ESAIntegración ESA

Solución SAP para GRC - Arquitectura


SAP Solutions for GRC – Roadmap

• Compliant provisioning

• Role Management

• Superuser access management

• Segregation of Duties analysis & enforcement

• Process control monitoring

• Control documentation

• Expanded automated process control monitoring and testing library

• Manual control testing

• Global compliance risk dashboard

• Collaborative enterprise risk assessments

• Risk mitigation management

• Risk & compliance analytics & dashboards

• Additional automated process controls

Expanded Process Control

Management

Enterprise Risk Process Management

Integrated GRC

Access Controls & Process Control

Monitoring

Phase 0 - May 06

• Governance & policy development management

• Integrated GRC analytics & dashboards

• Expanded risk assessment models

• SEM / Strategic Planning integration

Phase I – Q4 06 Phase II – Q2 07 Phase III – Q4 07

SAPPHIRE Launch of SAP GRC Business Unit


> 300 empresas - Objetivo: Conformidad permanente

¿ Preguntas ?

Antonio [email protected]

Experto Soluciones Financieras

SAP Iberia

Resumen GRC

Documents

Transcript of Resumen GRC