Implantación de un Modelo de Buen Gobierno Corporativo ... · Página 2 Implantación de un Modelo...
-
Upload
trankhuong -
Category
Documents
-
view
215 -
download
0
Transcript of Implantación de un Modelo de Buen Gobierno Corporativo ... · Página 2 Implantación de un Modelo...
Implantación de un Modelo de Buen Gobierno Corporativo mediante SAP GRC
Jornadas Técnicas 2014, ISACA
6 de Noviembre de 2014
Implantación de un Modelo de Buen Gobierno Corporativo mediante SAP GRCPágina 2
1a Línea de Defensa:Gestión Operativa
Unidades de Negocio
2a Línea de Defensa:Gestión del Riesgo y
Cumplimiento
3a Línea of Defensa: Auditoría
• Riesgos y Gobierno Corporativo: Las organizaciones, actualmente, gestionan los riesgosinherentes a su actividad , en base a 4 áreas muy bien diferenciadas:
1. Las 3 Líneas de Defensa y SAP GRCAlineamiento de la organización para responder a los riesgos de forma integrada
► a) Unidades de Negocio,
► b) Control Interno,
► c) Gestión Corporativa de Riesgos, y
► d) Auditoría Interna y Externa
► Cada grupo tiene atribuciones, pero las responsabilidadesdeben de estar coordinadas para asegurar que loscontroles operan como se espera, y los esfuerzos no seduplican en tareas comunes a varias áreas.
► Esta coordinación se consigue mediante la alineación de laorganización con las 3 líneas de defensa, que permitemitigar, de una forma integral, los riesgos de una entornoprofesional que está continuamente creciendo.
1a Línea
2a Línea
3a Línea
Implantación de un Modelo de Buen Gobierno Corporativo mediante SAP GRCPágina 3
1a Línea de Defensa: Gestión Operativa Áreas de Negocio
• GRC RM: Identificar los riesgos que afectan al negocio, documentarlos, y hacer una valoración preliminar
• GRC PC: Identificar los controles que ya existen, y documentarlos adecuadamente
• SAP ECC: Implantar los controles anteriores en el ERP
1. Las 3 Líneas de Defensa y SAP GRC¿Cómo encaja cada Línea de Defensa en SAP GRC?
2a Línea de Defensa: CumplimientoControl Interno
Gestión de Riesgo Corporativa
• GRC RM: Cálculo del riesgo inherente y residual (tras la implantación de controles o respuestas ad-hoc)
• GRC PC: Testeo de los controles, evaluación de efectividad y definición de planes de remediación
3a Línea de Defensa: Auditoria
Interna y Externa
• GRC PC: Revisión de la evaluación de los controles• GRC RM: Verificación de la completitud de riesgos• Audit Management: Ejecución y documentación de
todas las tareas propias de auditoría interna
Implantación de un Modelo de Buen Gobierno Corporativo mediante SAP GRCPágina 4
SAP GRC Access Control
SAP GRC Process Control
SAP GRC Audit Management
SAP GRC Risk Management
Área de Gestión de Área de Gestión de Riesgos
Definición y Evaluación de los Riesgos
Área de Control Área de Control Interno
Documentación y evalua-ción del marco de control
Área de Auditoría Área de Auditoría Interna
Supervisión del modelo de control interno
Estrategia / Planificación
Gestión de Riesgos
Operaciones de Negocio
Planificación estratégica
basada en riesgos
Documentación de Documentación de las normativas de control
Respuesta a los riesgos
Valoraciónde los riesgos
Identificaciónde los riesgos
Planificar/ Realizar
evaluacionesy pruebas
Remediar excepciones y
Certificar resultados
Procedimientos de Accesos
Gestión de los accesos
Análisis y respuestas
Monitorización de los accesos
Gestión incidencias
Área de IT
Gestión de los accesos
Auditoría Interna
Control Interno
Supervisión del modelo
Planificar / Realizarpruebas adicionalesPlanificar / Realizarpruebas adicionales
Identificar Riesgos a supervisar
Seguimiento de excepcionesSeguimiento de excepciones
2. SAP GRC como herramienta corporativaÁreas Afectadas, Actividades Principales y Herramientas SAP GRC
Implantación de un Modelo de Buen Gobierno Corporativo mediante SAP GRCPágina 5
3. ¿Qué es SAP GRC Access Control?Suite de herramientas que permiten “Limpiar y Mantener la Limpieza en los Roles”
Emergency Access
Business Role Management
Mantenimiento de la Limpieza en el Tiempo
Access Request Management
Limpiar
Access Risk Analysis
Matriz de SdF-Estándar SAP - Medida Cliente
Permite controlar los accesos de
emergencia a SAP Incidencia Nº1 los
informes de auditoría
Correcta creación y mantenimiento de los roles SAP
Roles SAP libres de conflictos de
SdF
Correcta provisión de roles SAP a
usuariosUsuarios SAP
libres de conflictos de SdF
Z-MM-ROLE_1
Z-MM1 – Tcode 1Z-MM2 – Tcode 2
Automatizar
Re-Diseñar / Remediar
Cumplimiento continuo a tiempo real y prevención sostenible de la segregación
funcional en todos los sistemas SAP
Implantación de un Modelo de Buen Gobierno Corporativo mediante SAP GRCPágina 6
¿Problemas?
3. ¿Qué es SAP GRC Process Control?La respuesta a las necesidades de Control Interno y Auditoría Interna
Optimización de Recursos
Dispongo de un número de recursos limitado y necesito optimizar el testing, para así poder dedicar tiempo a otras
tareas también muy relevantes
Incrementar el Testing
Quiero disponer de una mayor frecuencia en el testeo de los controles, y así tener
un mejor input acerca de la efectividad de los controles automáticos
Mejor nivel de Reporting
El top management de la organización y los agentes externos reclaman un mayor
nivel de reporting, de un modo más dinámico y en menor período de tiempo
Seguimiento de Excepciones
Necesito un mayor control de los planes de remediación vinculados a los testeos
concluidos con excepciones. Desde la definición hasta la ejecución del mismo
Certificación del Modelo
Los requerimientos regulatorios actuales (SOX, SCIIF, etc.) me piden certificar el
testeo del modelo garantizando la integridad del mismo
Implantación de un Modelo de Buen Gobierno Corporativo mediante SAP GRCPágina 7
160 controles automáticos ¿Tiempo esperado para la ejecución de los controles?
75 minutos Todas compañías: 4 días y 5 horas1 control cada 28 segundos
80 controles dependientes de compañía / 80 controles independientes de compañía
(80 controles x 28 segs. x 162 compañías) + (80 controles x 28 segs.) = 365.120 segs.
Esto implica Ejecución 90 veces de todos los controles automáticos en un año…
El enfoque de auditoría de una compañía cambia El enfoque de auditoría de una compañía cambia significativamente después de la implantación de una
solución de CCM como SAP GRC Process Control
3. ¿Qué es SAP GRC Process Control?Caso de Éxito: Resultados Obtenidos
Implantación de un Modelo de Buen Gobierno Corporativo mediante SAP GRCPágina 8
ConsecuenciasConsecuencias
CausasCausas
Estrategia del Negocio
ObjetivosObjetivosProcesos de Negocio
ActividadesActividades K.P.I.K.P.I.
K.R.I.K.R.I.
RespuestasRespuestasCatálogo Controles
GRC PCGRC PCCatálogo Respuestas
GRC RMGRC RM
SAP Otros
3. ¿Qué es SAP GRC Risk Management?Datos Maestros que forman parte del Modelo de Gestión de Riesgos de SAP GRC
RIESGORIESGOEvento
Implantación de un Modelo de Buen Gobierno Corporativo mediante SAP GRCPágina 9
3. ¿Qué es SAP GRC Risk Management?Modelo de Gestión de Riesgos con GRC Risk Management
Planificación Identificación Análisis Respuesta Monitoreo
Estrategia del Negocio
ObjetivosObjetivos
Procesos de Negocio
ActividadesActividades
Definición
K.R.I.K.R.I.
SAP Otros
Asignación
K.R.I.K.R.I.
Disparadores del Riesgo
DriversDrivers
Daño Causado
ImpactosImpactos
DocumentarInterrelación de Interrelación de
RiesgosRiesgos
Revisar
BD PérdidasBD Pérdidas
Construir
Escenarios Escenarios de Riesgode Riesgo
Ejecutar
AnálisisAnálisis(Montecarlo)
Priorizar y Agrupar
RiesgosRiesgos
RespuestasRespuestasPreventivas y Correctivas
Catálogo Controles
GRC PCGRC PC
Asignar
Plan y Plan y ResponsableResponsable
PlanificarReRe--evaluaciónevaluación
Monitorizar
K.R.I.K.R.I.
Monitorizar
Respuesta y Respuesta y EfectividadEfectividad
Reportar
Exposición al Exposición al
RiesgoRiesgo
Actualizar
BD PérdidasBD Pérdidas
Implantación de un Modelo de Buen Gobierno Corporativo mediante SAP GRCPágina 10
3. ¿Qué es SAP Audit Management?Gestión integral del proceso de auditoría interna
Herramienta de SAP que cubre todo el proceso de gestión y ejecución de la auditoría interna.
Entre sus características destacan:
► Definición del plan de auditoría,
► Definición de alcance y ejecución de cada una de las auditorías,
► Definición y seguimiento de las deficiencias identificadas y planes de remediación asociados,
► Integración con PC y RM,
► Accesibilidad y reporting a través de dispositivos móviles
► Trabajo colaborativo a distancia
► Desarrollo de funcionalidades a medida, gracias al entorno de desarrollo que SAP incorpora por defecto.
Implantación de un Modelo de Buen Gobierno Corporativo mediante SAP GRCPágina 11
SAP GRC Access Control / Matriz de SdF / Controles de SdF+ Remediación / Re-Diseño de Roles
SAP GRC Process Control / Controles Manuales y Automáticos
Modelo de Control Interno NUEVO Modelo de Control Interno
SAP GRC Risk Management / Mapa Riesgos Corp. + Riesgos Compliance
Riesgos Identificados Mapa de Riesgos Compliance
Operacional Estratégico Financiero Legal Mercado
Mapa de Riesgos Corporativo
4. Enfoque UnificadoEnfoque Real: Cómo han implantado SAP GRC las compañías en los últimos años
Implantación de un Modelo de Buen Gobierno Corporativo mediante SAP GRCPágina 12
SAP GRC Process Control / Controles Manuales y Automáticos
Modelo de Control Interno: Cliente
SAP GRC Access Control / Matriz de SdF a medida / Controles SdF
SAP GRC Risk Management/ Modelo de Gestión de RiesgosRiesgos: Operacionales / Legales / CUMPLIMIENTO / Financiero / Mercado / Estratégicos
Buen Gobierno y Cumplimiento “Multi-Regulación”
Infraestr. Criticas SCIIF Protección Datos Otras Regulaciones
4. Enfoque UnificadoEnfoque Teórico: Cómo debería implantarse de una forma correcta
Implantación de un Modelo de Buen Gobierno Corporativo mediante SAP GRCPágina 13
A. Seleccionar un subprocesode todos los procesos de negocio
dentro del alcance
C. Identificación de controles “no formalizados” efectuados por las unidades
de negocio / funciones operativas
B. Analizar un subproceso para identificar todos los
riesgos subyacentes
SAP GRC Risk Management
SAP Audit Management
Evaluación y cálculo del
riesgo inherente
Riesgos identificados
Creación del control “formal” en GRC PC y ubicación en la estructura de procesos
Manual: Evaluar evidencias obtenidas en el proceso de auditoría y formalizar como requerimientos para el testing
SAP
Interno
Cliente
Modelo Control Interno
Cliente
Mapa Riesgos
Automáticos: Creación de query para automatizar la ejecución del control.
Uso de los controles de GRC PC como respuesta para cálculo
de riesgo residual en GRC RM
Aprobación del mapa de riesgos
Aprobación del modelo de Control Interno
Crear riesgos
Identificación de riesgos a auditar
Identificar controles y evaluar su efectividad. Si son OK Incluir en el modelo de CI
SAP GRC Process Control
SAP GRC Access Control
Controles Automáticos
de SdF
4. Enfoque UnificadoImplantación de un Modelo de Buen Gobierno Corporativo con SAP GRC
Implantación de un Modelo de Buen Gobierno Corporativo mediante SAP GRCPágina 14
• Definición de una estructura organizativa únicapara Process Control (PC), Risk Management (RM), y también Audit Management (AM).
• Funcionalidad para transferir nuevos controles y riesgos a PC/RM que han sido creados durante el proceso normal de auditoría, en AMS.
• Funcionalidad para traer desde PC/RM elementose integrarlos en la estructura de AMS y así poder trabajar con ellos en la auditoría en curso.
• Funcionalidad para modificar la estructura de AMS para incluir nuevos elementos a medidasolicitados por el cliente.
• Funcionalidad de trazabilidad completa sobre todas las modificaciones efectuadas sobre cualquier componente de SAP GRC.
• Introducir el concepto de materialidad in el proceso de testing para descartar debilidades.
Conceptos Clave
4. Enfoque UnificadoImplantación de un Modelo de Buen Gobierno Corporativo con SAP GRC
Implantación de un Modelo de Buen Gobierno Corporativo mediante SAP GRCPágina 15
Análisis Predictivo + HANAAnálisis Predictivo + HANA
Business IntelligenceBusiness Intelligence
5. Integración a FuturoExpansión de SAP GRC e integración con otros productos de SAP
Reporte FinancieroReporte Financiero