Convertir los riesgos en resultadosHabilitar la administración de accesos con SAP GRC

Lo que observamos en el mercado

Debido principalmente a la Ley Sarbanes-Oxley de 2002, en los últimos 10 años se ha observado un aumento importante en los esfuerzos por resolver los asuntos de auditoría relacionados con la segregación de funciones (SoD, por sus siglas en inglés) y accesos sensibles y excesivos. Como resultado, muchas compañías implementaron alternativas de administración de accesos como SAP GRC con el módulo de Access Control. Sin embargo, muchas compañías se enfocaron en remediar asuntos relacionados con la auditoría a corto plazo, por lo que no pudieron aprovechar todo el valor de dicha alternativa de administración de accesos a través de GRC.

Este es el momento adecuado para conocer más acerca de las oportunidades para transformar su programa de administración de riesgos relacionados con el control de accesos y habilitar la opción SAP GRC Access Control que le puede traer beneficios como:

• Reducir el costo de la administración de accesos y de las actividades de auditoría relacionadas mediante la centralización y automatización de los procesos relacionados

• Mejorar la sustentabilidad al centralizar y estandarizar las metodologías, procesos y componentes

• Mejorar la eficacia de los procesos de accesos a través de la integración con otros módulos SAP

• Aumentar la eficacia de los procesos del negocio al implementar técnicas de monitoreo continuo

En nuestra reciente Encuesta Global de Seguridad de la Información de EY realizada a más de 1,700 altos ejecutivos de seguridad de la información y de TI, se observó que 46 % de los encuestados considera que las amenazas internas son una preocupación importante. Implementar SAP GRC Access Control mientras se enfoca en mejorar los aspectos fundamentales de la administración de accesos, le ayudará a abordar este tipo de riesgos y al mismo tiempo, reducir los costos y mejorar el valor.

¿Cuáles son las oportunidades en su organización?

Estado típico actual Estado maduro

Complejidad cada vez mayor

Reactivo

Fallas constantes

Presiones de costo

Enfoque incongruente

Simplificado

Proactivo

En cumplimiento

Rentable

Congruente

Procesos de administración de acceso múltiples y manuales

Automatización importante del flujo de trabajo en los procesos de acceso de usuarios

Integración con SAP GRC Process Control

Información fragmentada, manual y ad hoc

Poca visibilidad de los riesgos

Revisiones de SoD obligatorias en el proceso de aprovisionamiento de usuarios

Información en tablero de control sobre el proceso de acceso a usuarios, bitácoras de uso de informes analíticos y tendencias de SoD en tiempo real

Muchos casos de violaciones de acceso Diseño de funciones que cumplen con procesos estandarizados de administración de acceso de usuarios y que consideran SoD

Capacidad para mejorar las actividades de auditoría

Los procesos manuales e incoherenteselevan los costos de TI

Impacto importante sobre el negocio

Eficiencias operativas de seguridad de TI a través de la automatización y estandarización de procesos de control de acceso con SAP GRC

Automatización de las actividades de asignación de accesos

Enfoque incongruente hacia el diseño de roles en todos los procesos del negocio

Roles estandarizados a nivel global en todos los procesos de negocio y procesos homologados de administración de acceso de usuarios para los sistemas de aplicaciones

La tecnología GRC habilita cuatro objetivos clave de la agenda de riesgos

lo cual da como resultado lossiguientes beneficios:

Mejorar la estrategia de riesgos

• Mejor alineación con los objetivos y la estrategia del negocio

• Mejor visibilidad de los riesgos que tienen mayor relevancia para la organización

• Identificación proactiva de riesgos• Mejor toma de decisiones

Mejorar los controles y procesos

• Cobertura de riesgo mejor alineada, incluyendo la identificación de controles más robustos e integrales

• Menor esfuerzo relacionado con la ejecución y prueba de controles

• Mayor eficiencia en los procesos y controles habilitada a través del monitoreo continuo y automatizado

• Mejor mezcla de controles que aborda los riesgos clave del negocio y que a la vez impulsa eficiencias en los procesos

Optimizar las funciones de la administración de riesgos

• Eliminación de actividades de administración de riesgos duplicadas o fragmentadas

• Mayor integración y coordinación entre el negocio, TI y el cumplimiento

• Sustentabilidad del proceso de administración de riesgos

• Información eficaz de arriba hacia abajo y de abajo hacia arriba

Incorporar la administración de riesgos

• Administración de riesgos y monitoreo integral y continuo

• Administración central de los riesgos financieros, operativos, estratégicos y de cumplimiento en toda la organización

• Mayor integración y coordinación entre el negocio, TI y el cumplimiento

• Notificación en tiempo real de posibles fallas relacionados con el acceso con base en las reglas del negocio

• Sustentabilidad del proceso de administración de acceso

• Información fácil de usar para el usuario

• Menores costos de auditoría debido al ambiente de administración de acceso confiable y automatizado

• Control de gastos relacionados con fallas en la auditoría

• Eficiencias relacionadas con la elaboración y análisis de los informes de SoD

• Menor número de controles manuales que deben diseñarse y operarse para mitigar los asuntos relacionados con el acceso

• Eliminación de procedimientos de administración de acceso redundantes y excesivos

• Proceso de aprobación de acceso simplificado

• Identificación de anomalías de acceso que indican posibles actividades de fraude a través de alertas

• Control continuo de acceso, administración y monitoreo de SoD

• Mejor visibilidad de la exposición a los riesgos relacionados con el acceso en la organización

• Administración de acceso de super usuarios

• Detección temprana de posibles fallas de acceso mediante el análisis de escenarios antes de realizar cambios a los accesos y funciones de los usuarios

Riesgo Valor

Costo Costo

Riesgo Valor

Costo

Riesgo Valor

Acerca de EY

EY es líder global en servicios de aseguramiento, asesoría, impuestos y transacciones. Las perspectivas y los servicios de calidad que entregamos ayudan a generar confianza y seguridad en los mercados de capital y en las economías de todo el mundo. Desarrollamos líderes extraordinarios que se unen para cumplir nuestras promesas a todas las partes interesadas. Al hacerlo, jugamos un papel fundamental en construir un mejor entorno de negocios para nuestra gente, clientes y comunidades.

Para mayor información visite www.ey.com/mx

© 2016 Mancera S.C.Integrante de Ernst & Young GlobalDerechos ReservadosBSC No. 1204-1353150 | EYG No. AU1188ED 0113 | Clave CRR2 001

ey.com

EY se refiere a la organización global de firmas miembro conocida como Ernst & Young Global Limited, en la que cada una de ellas actúa como una entidad legal separada. Ernst & Young Global Limited no provee servicios a clientes.

Contacto:

ciberseguridad@mx.ey.com

EY | Aseguramiento | Asesoría de Negocios | Fiscal-Legal | Fusiones y Adquisiciones

EY SAP GRC Accelerated Analytics Workbench: herramienta que presenta los conflictos SoD en un formato favorable para el negocio que ayuda a identificar los riesgos clave y puntualiza y determina la remediación inicial.

Ambiente demo SAP GRC: un ambiente de demostración para todas las versiones de software más recientes, incluyendo SAP GRC 10.0 y 10.1 para los Servicios de Control de Accesos, Control de Procesos, Administración de Riesgos y Comercio Global.

Comparación de diseño de roles SAP: métricas clave que permiten que la organización compare su diseño de roles SAP con el diseño de otras organizaciones y prácticas líderes.

EY RiskUniverse®: universos de riesgos específicos de la industria, modelos de procesos normativos y riesgos clave del negocio vinculados con controles específicos de las aplicaciones que pueden utilizarse para personalizar las demostraciones SAP GRC.

• Una perspectiva global y flexible con un enfoque en el negocio

• Un equipo con amplios conocimientos y experiencia práctica en las disciplinas de procesos, riesgos y tecnología

• Contenido y habilitadores específicos de la industria

• Modelos de utilización y diagnóstico de evaluaciones con base en prácticas líderes

• Diseño del modelo de entrega de servicio e indicadores clave de desempeño

¿Por qué EY?

• Diagnóstico rápido de la tecnología GRC

• Selección de proveedores de tecnología

GRC

• Implementación y evaluación de

tecnología GRC

• Transformación de riesgos habilitada por

la tecnología GRC

• Evaluación pre y posimplementada de

tecnología GRC

Nuestros servicios

/EYMexico /ernstandyoungglobal

@EYMexico company/ernstandyoung