Gobierno, Riesgo y Cumplimiento SAP
-
Upload
anonymous-ur2pcmta -
Category
Documents
-
view
218 -
download
0
Transcript of Gobierno, Riesgo y Cumplimiento SAP
8/13/2019 Gobierno, Riesgo y Cumplimiento SAP
http://slidepdf.com/reader/full/gobierno-riesgo-y-cumplimiento-sap 1/32
Gobierno, Riesgo
y CumplimientoCómo adaptar GRC a la
medida de sus
necesidades
Sebastián Peroni
Gerente - Enterprise Risk ServicesOctubre 2009 - Buenos Aires - Argentina
8/13/2019 Gobierno, Riesgo y Cumplimiento SAP
http://slidepdf.com/reader/full/gobierno-riesgo-y-cumplimiento-sap 2/32
© 2009 Deloitte Touche Tohmatsu
Entendiendo GRC
8/13/2019 Gobierno, Riesgo y Cumplimiento SAP
http://slidepdf.com/reader/full/gobierno-riesgo-y-cumplimiento-sap 3/32
© 2009 Deloitte Touche Tohmatsu
Primer definición de GRC
Gobierno
Gestión deRiesgosCumplimiento
• Gobierno ‒ Son las estructuras, políticas, procesos y
controles del Directorio y la Gerencia
Ejecutiva.
• Gestión de Riesgos ‒ Es el proceso sistemático de la organización
que busca identificar, evaluar, administrar y
monitorear todos los riesgos.
• Cumplimiento ‒ El proceso de la organización que busca
demostrar adherencia a las políticas yprocedimientos internos, como así también a
las leyes y regulaciones internas.
3 IT GRC Forum 2009
GRC es una palabra de cuatro letras: Gobierno, Gestión de Riesgo y Cumplimiento
8/13/2019 Gobierno, Riesgo y Cumplimiento SAP
http://slidepdf.com/reader/full/gobierno-riesgo-y-cumplimiento-sap 4/32
© 2009 Deloitte Touche Tohmatsu
Objetivos
GRC implica diferentes metas para diferentes Ejecutivos
Gobierno
• Directorio
• Soporte CIO
Gestión del Riesgo
• Gerentes de áreas de negocio
Cumplimiento
• CFO• RRHH
• Consejo Corporativo
• Soporte CIO
• Construir Valor de Negocio
• Construir Transparencia
organizacional
• Balancear Riesgos
• Reducción de pérdidas
• Creación de valor
• Cumplir con Regulaciones
• Cumplir con Normas y
requerimientos internos
4 IT GRC Forum 2009
8/13/2019 Gobierno, Riesgo y Cumplimiento SAP
http://slidepdf.com/reader/full/gobierno-riesgo-y-cumplimiento-sap 5/32
© 2009 Deloitte Touche Tohmatsu
La oportunidad de transformación de GRC
Estado Actual de GRC
• Manejado en silos• Mayormente reactivo
• Proyectos unitarios en vez de programas
integrados
• Recursos de TI limitados y fragmentados
(propenso a errores)
• Soluciones “puntuales” usadas para
diferentes proyectos
• No integrado a la toma de decisiones
Estado Futuro
• Aproximación Integral• GRC integrado con los procesos centrales
y la toma de decisiones.
• Uso efectivo de los recursos de TI
• Reducción de costos de “compliance”
• Mejor gestión de riesgos
5
Resultados:• Mayores riesgos
• Mayor complejidad
• Menor confianza
• Costos elevados
Beneficios:• Reducción de riesgos
• Menor complejidad
• Mayor confianza en la información
• Costos reducidos
• Mejorar la toma de decisiones
• Mejorar Performance del Negocio
IT GRC Forum 2009
8/13/2019 Gobierno, Riesgo y Cumplimiento SAP
http://slidepdf.com/reader/full/gobierno-riesgo-y-cumplimiento-sap 6/32
© 2009 Deloitte Touche Tohmatsu
Enfoque unificado de GRC – Nueva definición
• Información confiable para la toma dedecisiones;
• Procesos eficientes de seguimiento de
objetivos,
cumplimiento de normas internas yregulaciones
externas;
• Gestión integral de riesgos;• Establecimiento de acciones concretas
para monitoreo
de procesos de negocio e indicadores dedesempeño;
PerformanceManagement
ComplianceMangement
RiskIntelligence
6
Gobierno, Riesgo y Cumplimiento (GRC) es un nuevo enfoque para la gestión de las
organizaciones que implica integrar distintos elementos:
Decisions
IT GRC Forum 2009
8/13/2019 Gobierno, Riesgo y Cumplimiento SAP
http://slidepdf.com/reader/full/gobierno-riesgo-y-cumplimiento-sap 7/32© 2009 Deloitte Touche Tohmatsu
¿Por donde comenzar aaplicar GRC?
8/13/2019 Gobierno, Riesgo y Cumplimiento SAP
http://slidepdf.com/reader/full/gobierno-riesgo-y-cumplimiento-sap 8/32© 2009 Deloitte Touche Tohmatsu
La importancia de TI en el proceso de GRC
GRC necesita
• Procesos integrados
permitiendo que diversos sectores puedan
confiar en un único enfoque de evaluación,
monitoreo y presentación de informes.
• Decisiones Empresariales que resulten en
una serie de procesos consistentes para la
reducción de riesgos y actividades de control
redundantes.
• Gestión Inteligente de Riesgos
• Monitoreo de controles automáticos yrealización de pruebas a través de la
ejecución de procesos eficientes.
Impacto en IT
• Arquitectura tecnológica común.
• Arquitectura de Datos común.
• Base de datos abierta para reportes a
demanda.
• Repositorio común para requerimientos,
riesgos y controles.
• Motor analítico de riesgos.
• Workflow integrado para la notificación y
seguimiento de eventos.
• Enfoque de colaboración entre todas las
áreas de la organización
8 IT GRC Forum 2009
8/13/2019 Gobierno, Riesgo y Cumplimiento SAP
http://slidepdf.com/reader/full/gobierno-riesgo-y-cumplimiento-sap 9/32
© 2009 Deloitte Touche Tohmatsu
Gestión actual de riesgos como silos
Los silos conllevan a la existencia de procesos y sistemas duplicados e inconsistentes.
9
PCI SOX Privacidad Leyes Basilea II 3ras Partes BCRA
Líderes
Funcionales
Gerentes
Cumplimiento
Líderes
Servicio/Arch
Seguridad
Información AuditoríaLegal
Gerentes
Cumplimiento
Líneas de Negocio TICorporativo
IT GRC Forum 2009
8/13/2019 Gobierno, Riesgo y Cumplimiento SAP
http://slidepdf.com/reader/full/gobierno-riesgo-y-cumplimiento-sap 10/32
© 2009 Deloitte Touche Tohmatsu
Dónde deberíamos estar en el futuro
Reducir la complejidad a través de un enfoque integrado.
10
PCI SOX Privacidad Leyes Basilea II 3ras Partes BCRA
LDN Función TIFunción TIFunción TILDNLDN
Soluciones de TI para GRC con:
Arquitectura Común Datos
Arquitectura Tecnológica Común
Repositorios único de Riesgos, Controles y Procesos
IT GRC Forum 2009
8/13/2019 Gobierno, Riesgo y Cumplimiento SAP
http://slidepdf.com/reader/full/gobierno-riesgo-y-cumplimiento-sap 11/32
© 2009 Deloitte Touche Tohmatsu
GRC impacta en todos los niveles
Finance
CFO
Controller
Accounting Director
Accounting Manager
IT
CIO
IT Director
Apps Manager
DBA/Bus. Analyst
Internal Audit
Chief Audit Executive
VP Audit
Audit Manager
Internal Auditors
11
Control Performance Consolidation Innovation Compliance Assurance
Beneficios de GRC para el CFO
• Reducir el tiempo y costos de
auditorías
• Validar el cumplimiento de
normas de forma rápida y sencilla
• Reducción de riesgos e
incremento de confianza al sobreel Reporte Financiero
• Mejorar el proceso de toma de
decisiones a través de
diagnósticos en tiempo real
• Instalar pautas de control interno
en la cultura organizacional
Beneficios de GRC para el CIO
• Administración por excepción,
reducir el tiempo y costos
incurridos en cumplimiento
• Permite responder con menor
esfuerzo a las necesidades de
cumplimiento de las áreas denegocio y auditoría interna
• Acelera los procesos de
aprovisionamiento de usuarios,
garantiza la seguridad de los
datos
Beneficios de GRC para el CAE• Rápida identificación de
potenciales issues debido a un flujo
de información rápido y a la mayor
visibilidad dentro de la organización
• Reducir tiempos de ejecución de
planes de auditoría gracias a
reportes auto-gestionados yevidencias online centralizadas
• Mejor coordinación y utilización de
los recursos del área
• Información oportuna y precisa de
las operaciones de negocio
(monitoreo continuo)
• Mejora en el proceso de
remediación y gestión de riesgos
IT GRC Forum 2009
8/13/2019 Gobierno, Riesgo y Cumplimiento SAP
http://slidepdf.com/reader/full/gobierno-riesgo-y-cumplimiento-sap 12/32
© 2009 Deloitte Touche Tohmatsu
Las dimensiones de aplicación para GRC
12
Evaluar las necesidades de cumplimiento y planificar acorde
• Cada una de estos niveles o dimensiones
implica distintas:
‒ Actividades
‒ Metas
‒ Herramientas
• Automatizar el proceso es la respuesta
inmediata, pero…
• Pensar en “UNA SOLUCION” confunde!
• Focalizarse en las necesidades puntuales,
sin perder de vista el enfoque integrador
futuro.
• Herramientas de gestión deriesgos y desempeño. ERM /ORM
CEO
CFO
• Herramientas especializadasde monitoreo del cumplimientoen procesos de negocio
Gerentes
Auditores
• Herramientas de
instrumentación decumplimiento en seguridad ytecnología
CIO
CISO
IT GRC Forum 2009
8/13/2019 Gobierno, Riesgo y Cumplimiento SAP
http://slidepdf.com/reader/full/gobierno-riesgo-y-cumplimiento-sap 13/32
© 2009 Deloitte Touche Tohmatsu
Los primeros pasos realizados
• Las empresas que adoptaron estrategias de GRC han tomado acciones vinculadas a la toma del
control de los procesos de negocio y la información por éstos generada, mediante herramientasde GRC que:
‒ Restringen y controlan el acceso a la información operativa y estratégica;
‒ Establecen medidas de control eficientes acordes a la organización;
• Son de todas maneras acciones válidas para abandonar el modelo reactivo de cumplimiento, a
pesar de que han estado orientadas a solo una de las dimensiones de GRC mencionadas.
13
ModeloReactivo
Control deAccesos a lainformación
Control de losprocesos y
transacciones
IT GRC Forum 2009
8/13/2019 Gobierno, Riesgo y Cumplimiento SAP
http://slidepdf.com/reader/full/gobierno-riesgo-y-cumplimiento-sap 14/32
© 2009 Deloitte Touche Tohmatsu
El Objetivo: Establecer modelo de GRC preventivo
• Para lograr afianzar los procesos GRC iniciados es necesario evaluar y mesurar los riesgos
estratégicos, financieros, operacionales y regulatorios a los que la organización se encuentraexpuesta, mediante un modelo de gestión integral y unificado.
• Del éxito de este proceso depende:
‒ La eficacia en la toma de decisiones;
‒ La asignación de recursos organizacionales;
‒ La definición de metas y objetivos de mediano y largo plazo;
‒ La prevención o reducción de eventos o sucesos que puedan afectar de forma negativa a la
organización (perjuicio de la imagen, reducción del market share, multas, continuidad del
negocio)
14
Gestión integralde Riesgos
ModeloPreventivo
IT GRC Forum 2009
8/13/2019 Gobierno, Riesgo y Cumplimiento SAP
http://slidepdf.com/reader/full/gobierno-riesgo-y-cumplimiento-sap 15/32
© 2009 Deloitte Touche Tohmatsu
Las soluciones de GRC
8/13/2019 Gobierno, Riesgo y Cumplimiento SAP
http://slidepdf.com/reader/full/gobierno-riesgo-y-cumplimiento-sap 16/32
© 2009 Deloitte Touche Tohmatsu
El modelo general a cubrir es complejo
16
Tablero Intregado de Gestión de Riesgos
KPI, KRI, KCI Reportes
Evaluación y Medición delRiesgo
Documentación
Controles Manuales
Infraestructura Tecnológica
Evaluación de Controles
ControlesAutomáticos
Monitoreo Controles
Admin. del Programa
Controles Generales TI
Accesos
Configuración
Transacción
SDF
Procesos
Datos
Maestros
Controles Generales TI
Accesos SDFBPM
Aplicación / Configurables
Planes de Auditoria Encuestas
IT GRC Forum 2009
8/13/2019 Gobierno, Riesgo y Cumplimiento SAP
http://slidepdf.com/reader/full/gobierno-riesgo-y-cumplimiento-sap 17/32
© 2009 Deloitte Touche Tohmatsu
Herramientas
Gobierno
• Mecanismos para velar por la adecuada implementación de los requerimientos regulatorios externosy políticas internas
• Tableros que reporten estado en tiempo real
Gestión del Riesgo
• Evaluaciones de controles y auditorías
• Herramientas de concientización de amenazas
• Controles de mitigación (autenticación, seguridad, control de eventos, filtro de contenidos, encripcióny firma digital)
Cumplimiento
• Crear documentación que demuestre que se tomaron las acciones requeridas por la regulación:
• Entrenamiento
• Chequeos, Auditorías y Evaluaciones• Comunicación de responsabilidades
• Reportes
• Herramientas de attestation
• Administración de quejas
Herramientas de valuación de portfolio
Herramientas de soporte para la decisiónHerramientas de simulación
Herramientas financieras
ELEGIR LAS HERRAMIENTAS EN FUNCIÓN DE LAS NECESIDADESCONCRETAS
17 IT GRC Forum 2009
8/13/2019 Gobierno, Riesgo y Cumplimiento SAP
http://slidepdf.com/reader/full/gobierno-riesgo-y-cumplimiento-sap 18/32
© 2009 Deloitte Touche Tohmatsu
Soluciones de TI para GRC
18
Automatización de
auditorias y gestión deriesgos
Soluciones demonitoreo y prueba
de controles
Confianza en elpersonal por sobresoluciones de TI
• Paisley
• Oracle
• Open Pages
• IBM• CA
• SAP
• ACL
• Approva
• Oracle
• Oversight
• SAP
• Agiliance
• Archer
• Brabeion
• Securityworks
• Symantec
Source: Burton Group
“Financial GRC”ERM / ORMAudit Management
“IT GRC”
Instrumentaciónde cumplimientoen Seguridad y TI
Sistemas Personas, Procesos
Gestión deVulnerabilidades,
Soluciones de IDM
Otras evaluacionestécnicas
Evaluaciones notécnicas: Encuestas
IT GRC Forum 2009
8/13/2019 Gobierno, Riesgo y Cumplimiento SAP
http://slidepdf.com/reader/full/gobierno-riesgo-y-cumplimiento-sap 19/32
© 2009 Deloitte Touche Tohmatsu
Un poco de historia del mercado en GRC
19
Evolución de soluciones - 2007
IT GRC Forum 2009
8/13/2019 Gobierno, Riesgo y Cumplimiento SAP
http://slidepdf.com/reader/full/gobierno-riesgo-y-cumplimiento-sap 20/32
© 2009 Deloitte Touche Tohmatsu
Un poco de historia… (cont.)
20
Evolución de soluciones - 2008
IT GRC Forum 2009
8/13/2019 Gobierno, Riesgo y Cumplimiento SAP
http://slidepdf.com/reader/full/gobierno-riesgo-y-cumplimiento-sap 21/32
© 2009 Deloitte Touche Tohmatsu21
El contexto del 2009
Los movimientos del mercado de productos orientados a GRC
IT GRC Forum 2009
• Los proveedores han buscado ampliar su oferta de productos para cubrir más dimensiones deGRC.
Oracle adquiere LogicalApps (2007) y recientemente SUN (2009).
SAP integra los productos de GRC e IDM a la solución de BusinessObjects.
CA se reposiciona con “CA GRC Manager” y abarca otra dimensión con la adquisición de
Eurikify (2008)
IBM integra a Cognos
• Otros proveedores buscan una porción del mercado, integrando sus productos con otras
marcas:
Novell IDM certifica integración con SAP GRC Control de Accesos (2009).
• Comienzan a tomar posición o consolidarse otros proveedores como:
Paisley
OpenPages
Symantec
McAfee
8/13/2019 Gobierno, Riesgo y Cumplimiento SAP
http://slidepdf.com/reader/full/gobierno-riesgo-y-cumplimiento-sap 22/32
© 2009 Deloitte Touche Tohmatsu
Conclusiones
8/13/2019 Gobierno, Riesgo y Cumplimiento SAP
http://slidepdf.com/reader/full/gobierno-riesgo-y-cumplimiento-sap 23/32
© 2009 Deloitte Touche Tohmatsu
Conclusiones
• Los requisitos de Compliance están consolidados y en crecimiento.
• La presión para establecer procesos eficientes será aun mayor.
• Todavía no existe la UNICA solución de GRC.
• GRC implica distintas actividades, para distintos responsables y distintas
herramientas.
• Las 3 actividades están completamente relacionadas.
• Identificar claramente el objetivo que se quiere alcanzar y el destinatario al
seleccionar herramientas de GRC.
• Definir roadmap para implementación de GRC a corto plazo, pero sin dejar de
lado la visión estratégica e integradora a largo plazo.
23 IT GRC Forum 2009
8/13/2019 Gobierno, Riesgo y Cumplimiento SAP
http://slidepdf.com/reader/full/gobierno-riesgo-y-cumplimiento-sap 24/32
© 2009 Deloitte Touche Tohmatsu
El valor agregadode Deloitte
8/13/2019 Gobierno, Riesgo y Cumplimiento SAP
http://slidepdf.com/reader/full/gobierno-riesgo-y-cumplimiento-sap 25/32
© 2009 Deloitte Touche Tohmatsu
La diferencia Deloitte
25 IT GRC Forum 2009
Consultoría + Auditoría Interna
Nuestra firma fusiona profesionales con experiencia en consultoría de negocios,
procesos, riesgos y tecnología, así como profesionales con una vasta experiencia en
seguridad, auditoría interna y operativa.
Esto constituye un factor distintivo en el mercado para proyectos de GRC donde ambasvisiones son requeridas para el éxito.
Nuestro principal valor agregado radica fundamentalmente en que tenemos la
experiencia para potenciar y maximizar el uso de las herramientas de GRC, evitando que
las mismas se conviertan en simples repositorios de procedimientos o datos.
8/13/2019 Gobierno, Riesgo y Cumplimiento SAP
http://slidepdf.com/reader/full/gobierno-riesgo-y-cumplimiento-sap 26/32
© 2009 Deloitte Touche Tohmatsu
Enfoque de Inteligencia en Riesgos
26 IT GRC Forum 2009
8/13/2019 Gobierno, Riesgo y Cumplimiento SAP
http://slidepdf.com/reader/full/gobierno-riesgo-y-cumplimiento-sap 27/32
© 2009 Deloitte Touche Tohmatsu
Mapa Riesgo Empresarial
27
Risk Intelligence MapSi bien no incluye todos los posibles riesgos, el Mapa de Inteligencia
de Riesgos de Deloitte resume e identifica la mayoría de los riesgos
comunes a las organizaciones y a sus programas de GRC.
Diagrama del Mapa de Inteligencia de Riesgos
IT GRC Forum 2009
8/13/2019 Gobierno, Riesgo y Cumplimiento SAP
http://slidepdf.com/reader/full/gobierno-riesgo-y-cumplimiento-sap 28/32
© 2009 Deloitte Touche Tohmatsu
GRC Roadmap
El ciclo de vida de implementación de GRC
para una organización cubre distintasetapas:
• Evaluar. Los riesgos pueden crear tanto oportunidades
como caos en las organizaciones. La habilidad para
identificar y evaluar el impacto de riesgos a través de
una metodología integrada de GRC es un primer paso
crucial.
• Diseñar. La solución justa de GRC requiere de
tecnología, procesos, personas and políticas para estar
alineada a los objetivos de negocio. Tenemos
experiencia en diseñar soluciones prácticas y
sustentables de GRC.
• Implementar. Nuestro enfoque asegura la contrucciónde soluciones robustas de GRC usando la tecnología
más eficiente y efectiva, en contexto tecnológico
dinámico. Un factor clave es la integració de las
soluciones de GRC con todas las tecnologías
implementadas por el cliente.
• Mantener. Un esquema de GRC consistente y medible
son los pilares claves para el mantenimiento de las
iniciativas de GRC. Nuestro enfoque asegura que el
modelo de GRC se mantendrá en linea con los objetivos
de negocio y las necesidades de cumplimiento.
28 IT GRC Forum 2009
8/13/2019 Gobierno, Riesgo y Cumplimiento SAP
http://slidepdf.com/reader/full/gobierno-riesgo-y-cumplimiento-sap 29/32
© 2009 Deloitte Touche Tohmatsu
Alianzas estratégicas globales
Nuestros Servicios de GRC
• Contamos con alianzas estratégicas a nivel global con los principales proveedores desoluciones de GRC y Seguridad, asegurando el conocimiento de dichas soluciones y
cómo pueden ser aplicadas para beneficio de nuestros clientes.
29 IT GRC Forum 2009
8/13/2019 Gobierno, Riesgo y Cumplimiento SAP
http://slidepdf.com/reader/full/gobierno-riesgo-y-cumplimiento-sap 30/32
© 2009 Deloitte Touche Tohmatsu
¿Preguntas?
8/13/2019 Gobierno, Riesgo y Cumplimiento SAP
http://slidepdf.com/reader/full/gobierno-riesgo-y-cumplimiento-sap 31/32
© 2009 Deloitte Touche Tohmatsu
Muchas gracias
8/13/2019 Gobierno, Riesgo y Cumplimiento SAP
http://slidepdf.com/reader/full/gobierno-riesgo-y-cumplimiento-sap 32/32
Deloitte se refiere a Deloitte Touche Tohmatsu, una asociación suiza, o a una o más integrantes de su red de firmas miembros, cada una de
las cuales constituye una entidad separada e independiente desde el punto de vista legal. Una descripción detallada de la estructura legalde Deloitte Touche Tohmatsu y sus firmas miembros puede verse en el sitio web www.deloitte.com/about.