Descarga aquí el documento de SAP en pdf

Gobierno Riesgo y
Cumplimiento
DOCUMENTO DE
FUNCIONALIDAD
Índice
..................................................................................................................................................................................1
Indice ........................................................................................................................................................................2
Objetivo: ..................................................................................................................................................................3
Introducción: ...........................................................................................................................................................3
Componentes GRC .................................................................................................................................................3
Funcionalidad Risk Management ..........................................................................................................................4
Planeación del riesgo. ..............................................................................................................................................5
Identificación de riesgos ...........................................................................................................................................6
Análisis del riesgo .....................................................................................................................................................7
Respuesta del riesgo ................................................................................................................................................8
Monitoreo de riesgos ................................................................................................................................................9
Incident & Losses Management .............................................................................................................................10
Creación de Escenarios Monte Carlo What if.........................................................................................................11
Funcionalidad Process Control ..........................................................................................................................12
Definición de indicadores de control .......................................................................................................................13
Identificación de la excepción .................................................................................................................................14
Resolución de la excepción ....................................................................................................................................14
Evidencias y seguimiento .......................................................................................................................................15
Policy Management ................................................................................................................................................16
Funcionalidad Access Control ............................................................................................................................17
................................................................................................................................................................................17
Análisis del riesgo y remediación ...........................................................................................................................18
Administración de roles ..........................................................................................................................................20
Aprovisionamiento de usuarios ..............................................................................................................................21
Súper – usuario ......................................................................................................................................................22
User Access Review ...............................................................................................................................................23
Ventajas .................................................................................................................................................................24
Copyright/Trademark
OBJETIVO:
El objetivo de este documento es mostrar los puntos clave de la funcionalidad de la solución SAP Gobierno
Riesgo y Cumplimiento (GRC).
INTRODUCCIÓN:
SAP GRC (Governance Risk & Compliance) es una solución de negocios integral que permite a las
organizaciones asegurar y monitorear un buen gobierno a través de la administración del riesgo y bajo modelos
de cumplimiento que permitan tener visibilidad en toda la organización, ligando la estrategia con la operación.
Con un modelo de madurez alto, enfocado hacia metodologías como COSO, COBIT, ISO 31000 etc.
GRC además de ayudar a asegurar un buen gobierno y cumplimiento ayuda también a reducir el esfuerzo
necesario para que la gente pueda centrarse en el negocio.
Actualmente los resultados financieros ya no son la única base del éxito de la compañía. Los accionistas ahora
quieren evidencia de que sus organizaciones llevan sus operaciones de forma eficiente, rentable y responsable.
Impulsado por regulaciones y nuevos métodos para medir la sustentabilidad o la salud de las empresas. GRC
ayuda a las organizaciones a maximizar la estrategia y el rendimiento operacional que les permitirá evaluar y
administrar los riesgos de negocio, implementar eficientemente controles financieros y operacionales junto con
los procesos de negocio y así crear una trasparencia a través de reportes confiables para nuestros accionistas.
Se pueden evaluar y alinear proceso y estrategias dentro de la compañía y hacerlas extensibles a partners,
proveedores y clientes, realmente representar ese entorno tanto interno como externo.
COMPONENTES GRC
La soluciones de GRC (Governance Risk & Compliance) se divide en 3 módulos:
 Risk Management
 Process Control
 Access Control
Risk Management: Permite administrar los riesgos a través de la evaluación de ellos tanto cualitativa como
cuantitativamente, generando visibilidad de cómo se encuentra actualmente el riesgo y las posibles respuestas
a implementar para su mitigación.
Process Control: Permite realizar controles eficientes que ayuden a monitorear de forma continua cada uno de
los procesos y subprocesos de la empresa. Así como ligar las políticas internas a cada uno de los riesgos o
controles.
Access Control: Segregación de Funciones ligada a los roles y accesos dentro de los sistemas. Realiza un
monitoreo en tiempo real para identificar los riesgos que existan en el acceso y asignación de roles en todos los
sistemas SAP o NO SAP.
Copyright/Trademark
FUNCIONALIDAD RISK MANAGEMENT
GRC 10.0 Risk Management está diseñado bajo Enteprise Risk Mangement. El modelo de referencia de GRC
10.0 Risk Management es “Agnóstico“. Esto significa que no importa el modelo de procesos que una empresa
quiera adoptar, ya sea de propiedad o genérico. GRC 10.0 Risk Management debe ser ampliamente compatible
La filosofía de Risk Management es poder tener visibilidad de todos los eventos que puedan desviar a la
empresa de los objetivos o estrategias actuales.
El ciclo de vida dentro de la administración del riesgo contempla: Planeación, Identificación, Análisis, Respuesta
y Monitoreo (Ver figura de abajo).
Copyright/Trademark
Planeación del riesgo.
Permite realizar una planeación del riesgo mediante la recopilación de información de toda la organización a
través de encuestas configurables para cada una de las áreas y riesgos que se puedan identificar.
Ayuda a tener una mayor visibilidad del riesgo a través de gráficos interactivos como Bowtie que ayuda a
identificar y reutilizar sus causas, impactos, actividades, así como categorizar los riesgos por afectación u
organización.
Copyright/Trademark
Identificación de riesgos
Una vez recabada toda la información necesaria, ayuda a poder identificar el riesgo, sus causas, actividades,
impactos, ponderación y probabilidad.
Se puede tener una visibilidad del riesgo a través de analíticos incrustados como los mapas de calor que
identifican la probabilidad y ponderación por cada uno de los riesgos segmentado por cada una de las áreas
involucradas, así como el análisis del riesgo residual e inherente.
Copyright/Trademark
Análisis del riesgo
Realización de análisis del riesgo de forma cuantitativa o cualitativa generando reportes que ayudan a tener una
mejor visibilidad del riesgo. Puede ser definido para realizarse en un tiempo estimado promedio a través de un
workflow de forma automática, segmentarlo por cada uno de los dueños del riesgo, cada vez que un KRI sea
marcado como fallido.
Definición de Collaborative Risk Assessment a través de gráficos como MARCI para generar una mayor
visibilidad de los ejecutores del análisis de riesgo.
Copyright/Trademark
Respuesta del riesgo
Permite crear respuesta de mitigación del riesgo el cual ayude a mitigar su impacto considerando como uno de
los más importantes el control, el cual está ligado directamente con la parte de Process Control. El cual nos
ayudara a realizar un monitoreo continuo del procesos en el cual este identificado el riesgo y generación de
alertas en cuanto al comportamiento del control.
Copyright/Trademark
Monitoreo de riesgos
Motor de monitoreo continuo del riesgo que ayuda a tener una visibilidad actual de cómo se está comportando
el riesgo, a través de la identificación de KRI, que monitorearan de forma continua el desempeño del proceso,
para así poder realizar una identificación o re evaluación del riesgo.
Ejemplo:
Riesgo: Compras indebidas
KRI: Cantidad de la compra
Regla de negocio: Compras mayores a 1 millón de dólares serán aprobadas por alguno de los gerentes.
Descripción: El riesgo compras indebidas estará siendo monitoreado a través del proceso de compras mediante
un KRI definido que alertara de todas aquellas compras mayores a 1 millón de dólares que no han sido
aprobadas por alguno de los gerentes.
Copyright/Trademark
Incident & Losses Management
Si bien el riesgo puede ser monitoreado de forma preventiva, y cuantificar las posibles pérdidas que se tenga,
también es posible el poder documentar las perdidas e incidentes que surjan en el evento de riesgo.
Copyright/Trademark
Creación de Escenarios Monte Carlo What if
Una vez definido todo el ambiente y marco de control de los riesgos, la solución permite crear escenarios de
riesgo como Monte Carlo y What if, donde podremos tener una proyección a futuro de como mediante diferentes
factores configurables puede llegar a comportarse cada uno de los riesgos. Esto además de darnos esta
proyección a futuro también nos sirve para poder tener una mejor planeación de cada una de las estrategias de
la empresa conociendo el mejor peor escenario.
Copyright/Trademark
FUNCIONALIDAD PROCESS CONTROL
Algunas de las aplicaciones tiene un comportamiento configurable alto, y los clientes deben ajustar sus
procesos de negocio a cada uno de ellos para asegurar que todas las transacciones y procesos están
alineados. Pero desconocen o no tienen el panorama completo de cómo se está llevando el proceso dentro de
cada una de las soluciones.
SAP GRC Process Control provee una solución con mayor claridad.: a través del análisis de los procesos
mantenidos por los sistemas ligados así mismo a controles que ofrecen máxima fiabilidad.
La filosofía es que ningún cambio se puede perder, a través de un monitoreo continuo automático o manual,
todo el proceso se encuentra estrictamente monitoreado por las personas correctas y bajo un marco de
cumplimiento organizacional ligado a las políticas internas.
Dentro de estas soluciones podemos realizar todo el ciclo de vida de la administración de una política desde su
creación hasta su publicación y verificación del entendimiento por cada uno de los involucrados dentro del
proceso que es responsable de cumplir con la política.
Dentro del ciclo de vida de Process control se encuentra: Documentar, Probar y evaluar, Monitorear, Reporteo y
Certificación.
Evidencias y
seguimiento
Resolución de la
excepción
Identificación de
la excepción
Definición de
indicadores de
control
Definición de
reglas de
negocio para
cada indicador
Copyright/Trademark
Definición de indicadores de control
Fase donde se define el control que va ser ligado directamente al subproceso que se quiera monitorear, esto
puede tener una frecuencia diaria, mensual, anual etc.
Copyright/Trademark
Identificación de la excepción
Fase en la cual se estarán llevando a cabo las pruebas tanto manuales como automáticas, las cuales estarán
ligadas directamente dentro de los sistemas hacia el proceso que se desee. Esto ayuda a poder tener una mejor
visibilidad de cómo se está llevando a cabo el proceso dentro de la organización. Y poder medir la eficiencia del
control.
Resolución de la excepción
Fase de detección de excepciones y creación de remediación ante los posibles problemas
Copyright/Trademark
Evidencias y seguimiento
Todo el detalle del control de proceso será monitoreado y guardado por el sistema para tener la evidencia ante
futuras auditorias y poder llevar un seguimiento correcto para llegar al cumplimiento organizacional.
Copyright/Trademark
Policy Management
Una de las grandes ventajas de Process Control es poder llevar a cabo la administración total de la política
desde la creación de esta pasando por su administración, aprobación y publicación, hasta la verificación de
cumplimiento y entendimiento de cada una de las políticas a través 3 métodos disponibles.
1) Envío de la política junto con la aprobación de lectura por parte del involucrado.
2) Envío de la política y retroalimentación a través de los surveys por parte del involucrado
3) Envío de la política junto con un examen con preguntas predeterminadas que permitan conocer más a
detalle el entendimiento de la política.
Copyright/Trademark
FUNCIONALIDAD ACCESS CONTROL
SAP Access Control es una de las grandes ventajas dentro de la suite de GRC de SAP ya que además de tener
control de procesos y administración de procesos, este nos ayuda hacer una perfecta segregación de funciones
definiendo ciertas reglas que van a comparar cada uno de los roles que le son asignados a los empleados de la
organización.
Ayuda a mantener un monitoreo en tiempo real sobre los roles y perfiles que se tienen de los usuarios de todos
los sistemas de la organización evitando que tengan permisos inadecuados los cuales puedan ver información
sensible a la cual jamás debería de tener acceso, o simplemente tener la seguridad de que al momento de que
algún empelado deje la organización sean eliminados totalmente todos sus accesos hacia los sistemas.
Access Control se divide en 4 funcionalidades principales las cuales son:




Análisis del riesgo y remediación
Administración de roles
Aprovisionamiento de usuarios
Súper-Usuarios
Copyright/Trademark
Análisis del riesgo y remediación
Permite dar un panorama actual de cómo se cuentan los roles definidos para cada uno de los sistemas, si
representan un riesgo. Y poder dar respuesta a cada uno de ellos.
Copyright/Trademark
Copyright/Trademark
Administración de roles
A través de un ciclo de vida completo y con diferentes niveles de aprobación se determinan los roles principales
fuera de riesgo para cada una de las funciones que tendrán dentro de la organización.
Copyright/Trademark
Aprovisionamiento de usuarios
Una vez que un usuario necesite un acceso pasara por un ciclo en el cual se le darán accesos correspondientes
a su función y bajo una valoración en la cual no exista un riesgo de acceso
Copyright/Trademark
Súper – usuario
Muchas de las veces se debe de vivir con algún riesgo por lo cual en situaciones críticas se crea un súper
usuario acotado el cual va estar siendo monitoreado cada vez que sea usuario para tener visibilidad de que es
lo que se está modificando dentro de él.
Copyright/Trademark
User Access Review
Ayuda a realizar una autoevaluación a nivel de cuantas veces se ha accesado al sistema identificado por el rol,
por cada uno de los usuarios que tenga asignados el dueño del rol. Y así poder Reasignar rediseñar o eliminar
los roles para cada uno de los usuarios.
Copyright/Trademark
VENTAJAS













Solución integral de negocio bajo una misma plataforma, la cual permite administrar el riesgo,
monitorear de forma continua los procesos mediante controles y tener una segregación de funciones.
Administración de proyectos dentro de RIsk management a través de la identificación de los riesgos y
evaluación mediante KRI´s en cada uno de ellos.
Monitoreo continuo automatizado del comportamiento del riesgo mediante KRI´s. Esto ayuda a tomar
mejores decisiones.
Comunicación con soluciones administración de las estrategias (SAP Strategy Managemet).
Administración de políticas a través de Policy Management ligadas a los controles, riesgos etc. dentro
de la organización
Respuestas a los riesgos mediante el monitoreo continuo de forma automatizada de los riesgos y
procesos.
Creación de escenarios de simulación como What If y Monte Carlo.
Creación de análisis de riesgos inherentes residuales.
Analíticos incrustados dentro de la organización que dan mayor visibilidad dentro de la organización.
Con distintos niveles de visibilidad para cada uno de los niveles jerárquicos.
Conexión con cualquier sistema sea SAP o No SAP
Conectividad y reutilización de la información entre los 3 módulos de GRC (RM PC AC).
Respaldo de SAP (Líder global de soluciones de negocio).
Implementación con Partners de gran experiencia a nivel global.
Copyright/Trademark