Implantación de un Modelo de Buen Gobierno Corporativo mediante SAP GRC

Jornadas Técnicas 2014, ISACA

6 de Noviembre de 2014

Implantación de un Modelo de Buen Gobierno Corporativo mediante SAP GRCPágina 2

1a Línea de Defensa:Gestión Operativa

Unidades de Negocio

2a Línea de Defensa:Gestión del Riesgo y

Cumplimiento

3a Línea of Defensa: Auditoría

• Riesgos y Gobierno Corporativo: Las organizaciones, actualmente, gestionan los riesgosinherentes a su actividad , en base a 4 áreas muy bien diferenciadas:

1. Las 3 Líneas de Defensa y SAP GRCAlineamiento de la organización para responder a los riesgos de forma integrada

► a) Unidades de Negocio,

► b) Control Interno,

► c) Gestión Corporativa de Riesgos, y

► d) Auditoría Interna y Externa

► Cada grupo tiene atribuciones, pero las responsabilidadesdeben de estar coordinadas para asegurar que loscontroles operan como se espera, y los esfuerzos no seduplican en tareas comunes a varias áreas.

► Esta coordinación se consigue mediante la alineación de laorganización con las 3 líneas de defensa, que permitemitigar, de una forma integral, los riesgos de una entornoprofesional que está continuamente creciendo.

1a Línea

2a Línea

3a Línea

Implantación de un Modelo de Buen Gobierno Corporativo mediante SAP GRCPágina 3

1a Línea de Defensa: Gestión Operativa Áreas de Negocio

• GRC RM: Identificar los riesgos que afectan al negocio, documentarlos, y hacer una valoración preliminar

• GRC PC: Identificar los controles que ya existen, y documentarlos adecuadamente

• SAP ECC: Implantar los controles anteriores en el ERP

1. Las 3 Líneas de Defensa y SAP GRC¿Cómo encaja cada Línea de Defensa en SAP GRC?

2a Línea de Defensa: CumplimientoControl Interno

Gestión de Riesgo Corporativa

• GRC RM: Cálculo del riesgo inherente y residual (tras la implantación de controles o respuestas ad-hoc)

• GRC PC: Testeo de los controles, evaluación de efectividad y definición de planes de remediación

3a Línea de Defensa: Auditoria

Interna y Externa

• GRC PC: Revisión de la evaluación de los controles• GRC RM: Verificación de la completitud de riesgos• Audit Management: Ejecución y documentación de

todas las tareas propias de auditoría interna

Implantación de un Modelo de Buen Gobierno Corporativo mediante SAP GRCPágina 4

SAP GRC Access Control

SAP GRC Process Control

SAP GRC Audit Management

SAP GRC Risk Management

Área de Gestión de Área de Gestión de Riesgos

Definición y Evaluación de los Riesgos

Área de Control Área de Control Interno

Documentación y evalua-ción del marco de control

Área de Auditoría Área de Auditoría Interna

Supervisión del modelo de control interno

Estrategia / Planificación

Gestión de Riesgos

Operaciones de Negocio

Planificación estratégica

basada en riesgos

Documentación de Documentación de las normativas de control

Respuesta a los riesgos

Valoraciónde los riesgos

Identificaciónde los riesgos

Planificar/ Realizar

evaluacionesy pruebas

Remediar excepciones y

Certificar resultados

Procedimientos de Accesos

Gestión de los accesos

Análisis y respuestas

Monitorización de los accesos

Gestión incidencias

Área de IT

Gestión de los accesos

Auditoría Interna

Control Interno

Supervisión del modelo

Planificar / Realizarpruebas adicionalesPlanificar / Realizarpruebas adicionales

Identificar Riesgos a supervisar

Seguimiento de excepcionesSeguimiento de excepciones

2. SAP GRC como herramienta corporativaÁreas Afectadas, Actividades Principales y Herramientas SAP GRC

Implantación de un Modelo de Buen Gobierno Corporativo mediante SAP GRCPágina 5

3. ¿Qué es SAP GRC Access Control?Suite de herramientas que permiten “Limpiar y Mantener la Limpieza en los Roles”

Emergency Access

Business Role Management

Mantenimiento de la Limpieza en el Tiempo

Access Request Management

Limpiar

Access Risk Analysis

Matriz de SdF-Estándar SAP - Medida Cliente

Permite controlar los accesos de

emergencia a SAP Incidencia Nº1 los

informes de auditoría

Correcta creación y mantenimiento de los roles SAP

Roles SAP libres de conflictos de

SdF

Correcta provisión de roles SAP a

usuariosUsuarios SAP

libres de conflictos de SdF

Z-MM-ROLE_1

Z-MM1 – Tcode 1Z-MM2 – Tcode 2

Automatizar

Re-Diseñar / Remediar

Cumplimiento continuo a tiempo real y prevención sostenible de la segregación

funcional en todos los sistemas SAP

Implantación de un Modelo de Buen Gobierno Corporativo mediante SAP GRCPágina 6

¿Problemas?

3. ¿Qué es SAP GRC Process Control?La respuesta a las necesidades de Control Interno y Auditoría Interna

Optimización de Recursos

Dispongo de un número de recursos limitado y necesito optimizar el testing, para así poder dedicar tiempo a otras

tareas también muy relevantes

Incrementar el Testing

Quiero disponer de una mayor frecuencia en el testeo de los controles, y así tener

un mejor input acerca de la efectividad de los controles automáticos

Mejor nivel de Reporting

El top management de la organización y los agentes externos reclaman un mayor

nivel de reporting, de un modo más dinámico y en menor período de tiempo

Seguimiento de Excepciones

Necesito un mayor control de los planes de remediación vinculados a los testeos

concluidos con excepciones. Desde la definición hasta la ejecución del mismo

Certificación del Modelo

Los requerimientos regulatorios actuales (SOX, SCIIF, etc.) me piden certificar el

testeo del modelo garantizando la integridad del mismo

Implantación de un Modelo de Buen Gobierno Corporativo mediante SAP GRCPágina 7

160 controles automáticos ¿Tiempo esperado para la ejecución de los controles?

75 minutos Todas compañías: 4 días y 5 horas1 control cada 28 segundos

80 controles dependientes de compañía / 80 controles independientes de compañía

(80 controles x 28 segs. x 162 compañías) + (80 controles x 28 segs.) = 365.120 segs.

Esto implica Ejecución 90 veces de todos los controles automáticos en un año…

El enfoque de auditoría de una compañía cambia El enfoque de auditoría de una compañía cambia significativamente después de la implantación de una

solución de CCM como SAP GRC Process Control

3. ¿Qué es SAP GRC Process Control?Caso de Éxito: Resultados Obtenidos

Implantación de un Modelo de Buen Gobierno Corporativo mediante SAP GRCPágina 8

ConsecuenciasConsecuencias

CausasCausas

Estrategia del Negocio

ObjetivosObjetivosProcesos de Negocio

ActividadesActividades K.P.I.K.P.I.

K.R.I.K.R.I.

RespuestasRespuestasCatálogo Controles

GRC PCGRC PCCatálogo Respuestas

GRC RMGRC RM

SAP Otros

3. ¿Qué es SAP GRC Risk Management?Datos Maestros que forman parte del Modelo de Gestión de Riesgos de SAP GRC

RIESGORIESGOEvento

Implantación de un Modelo de Buen Gobierno Corporativo mediante SAP GRCPágina 9

3. ¿Qué es SAP GRC Risk Management?Modelo de Gestión de Riesgos con GRC Risk Management

Planificación Identificación Análisis Respuesta Monitoreo

Estrategia del Negocio

ObjetivosObjetivos

Procesos de Negocio

ActividadesActividades

Definición

K.R.I.K.R.I.

SAP Otros

Asignación

K.R.I.K.R.I.

Disparadores del Riesgo

DriversDrivers

Daño Causado

ImpactosImpactos

DocumentarInterrelación de Interrelación de

RiesgosRiesgos

Revisar

BD PérdidasBD Pérdidas

Construir

Escenarios Escenarios de Riesgode Riesgo

Ejecutar

AnálisisAnálisis(Montecarlo)

Priorizar y Agrupar

RiesgosRiesgos

RespuestasRespuestasPreventivas y Correctivas

Catálogo Controles

GRC PCGRC PC

Asignar

Plan y Plan y ResponsableResponsable

PlanificarReRe--evaluaciónevaluación

Monitorizar

K.R.I.K.R.I.

Monitorizar

Respuesta y Respuesta y EfectividadEfectividad

Reportar

Exposición al Exposición al

RiesgoRiesgo

Actualizar

BD PérdidasBD Pérdidas

Implantación de un Modelo de Buen Gobierno Corporativo mediante SAP GRCPágina 10

3. ¿Qué es SAP Audit Management?Gestión integral del proceso de auditoría interna

Herramienta de SAP que cubre todo el proceso de gestión y ejecución de la auditoría interna.

Entre sus características destacan:

► Definición del plan de auditoría,

► Definición de alcance y ejecución de cada una de las auditorías,

► Definición y seguimiento de las deficiencias identificadas y planes de remediación asociados,

► Integración con PC y RM,

► Accesibilidad y reporting a través de dispositivos móviles

► Trabajo colaborativo a distancia

► Desarrollo de funcionalidades a medida, gracias al entorno de desarrollo que SAP incorpora por defecto.

Implantación de un Modelo de Buen Gobierno Corporativo mediante SAP GRCPágina 11

SAP GRC Access Control / Matriz de SdF / Controles de SdF+ Remediación / Re-Diseño de Roles

SAP GRC Process Control / Controles Manuales y Automáticos

Modelo de Control Interno NUEVO Modelo de Control Interno

SAP GRC Risk Management / Mapa Riesgos Corp. + Riesgos Compliance

Riesgos Identificados Mapa de Riesgos Compliance

Operacional Estratégico Financiero Legal Mercado

Mapa de Riesgos Corporativo

4. Enfoque UnificadoEnfoque Real: Cómo han implantado SAP GRC las compañías en los últimos años

Implantación de un Modelo de Buen Gobierno Corporativo mediante SAP GRCPágina 12

SAP GRC Process Control / Controles Manuales y Automáticos

Modelo de Control Interno: Cliente

SAP GRC Access Control / Matriz de SdF a medida / Controles SdF

SAP GRC Risk Management/ Modelo de Gestión de RiesgosRiesgos: Operacionales / Legales / CUMPLIMIENTO / Financiero / Mercado / Estratégicos

Buen Gobierno y Cumplimiento “Multi-Regulación”

Infraestr. Criticas SCIIF Protección Datos Otras Regulaciones

4. Enfoque UnificadoEnfoque Teórico: Cómo debería implantarse de una forma correcta

Implantación de un Modelo de Buen Gobierno Corporativo mediante SAP GRCPágina 13

A. Seleccionar un subprocesode todos los procesos de negocio

dentro del alcance

C. Identificación de controles “no formalizados” efectuados por las unidades

de negocio / funciones operativas

B. Analizar un subproceso para identificar todos los

riesgos subyacentes

SAP GRC Risk Management

SAP Audit Management

Evaluación y cálculo del

riesgo inherente

Riesgos identificados

Creación del control “formal” en GRC PC y ubicación en la estructura de procesos

Manual: Evaluar evidencias obtenidas en el proceso de auditoría y formalizar como requerimientos para el testing

SAP

Interno

Cliente

Modelo Control Interno

Cliente

Mapa Riesgos

Automáticos: Creación de query para automatizar la ejecución del control.

Uso de los controles de GRC PC como respuesta para cálculo

de riesgo residual en GRC RM

Aprobación del mapa de riesgos

Aprobación del modelo de Control Interno

Crear riesgos

Identificación de riesgos a auditar

Identificar controles y evaluar su efectividad. Si son OK Incluir en el modelo de CI

SAP GRC Process Control

SAP GRC Access Control

Controles Automáticos

de SdF

4. Enfoque UnificadoImplantación de un Modelo de Buen Gobierno Corporativo con SAP GRC

Implantación de un Modelo de Buen Gobierno Corporativo mediante SAP GRCPágina 14

• Definición de una estructura organizativa únicapara Process Control (PC), Risk Management (RM), y también Audit Management (AM).

• Funcionalidad para transferir nuevos controles y riesgos a PC/RM que han sido creados durante el proceso normal de auditoría, en AMS.

• Funcionalidad para traer desde PC/RM elementose integrarlos en la estructura de AMS y así poder trabajar con ellos en la auditoría en curso.

• Funcionalidad para modificar la estructura de AMS para incluir nuevos elementos a medidasolicitados por el cliente.

• Funcionalidad de trazabilidad completa sobre todas las modificaciones efectuadas sobre cualquier componente de SAP GRC.

• Introducir el concepto de materialidad in el proceso de testing para descartar debilidades.

Conceptos Clave

4. Enfoque UnificadoImplantación de un Modelo de Buen Gobierno Corporativo con SAP GRC

Implantación de un Modelo de Buen Gobierno Corporativo mediante SAP GRCPágina 15

Análisis Predictivo + HANAAnálisis Predictivo + HANA

Business IntelligenceBusiness Intelligence

5. Integración a FuturoExpansión de SAP GRC e integración con otros productos de SAP

Reporte FinancieroReporte Financiero

Gracias por su atención