Gobierno, Riesgo y Cumplimiento SAP

8/13/2019 Gobierno, Riesgo y Cumplimiento SAP

http://slidepdf.com/reader/full/gobierno-riesgo-y-cumplimiento-sap 1/32

Gobierno, Riesgo

y CumplimientoCómo adaptar GRC a la

medida de sus

necesidades

Sebastián Peroni

Gerente - Enterprise Risk ServicesOctubre 2009 - Buenos Aires - Argentina



© 2009 Deloitte Touche Tohmatsu

Entendiendo GRC




Primer definición de GRC

Gobierno

Gestión deRiesgosCumplimiento

• Gobierno ‒ Son las estructuras, políticas, procesos y

controles del Directorio y la Gerencia

Ejecutiva.

• Gestión de Riesgos ‒ Es el proceso sistemático de la organización

que busca identificar, evaluar, administrar y

monitorear todos los riesgos.

• Cumplimiento ‒ El proceso de la organización que busca

demostrar adherencia a las políticas yprocedimientos internos, como así también a

las leyes y regulaciones internas.

3 IT GRC Forum 2009

GRC es una palabra de cuatro letras: Gobierno, Gestión de Riesgo y Cumplimiento




Objetivos

GRC implica diferentes metas para diferentes Ejecutivos

Gobierno

• Directorio

• Soporte CIO

Gestión del Riesgo

• Gerentes de áreas de negocio

Cumplimiento

• CFO• RRHH

• Consejo Corporativo

• Soporte CIO

• Construir Valor de Negocio

• Construir Transparencia

organizacional

• Balancear Riesgos

• Reducción de pérdidas

• Creación de valor

• Cumplir con Regulaciones

• Cumplir con Normas y

requerimientos internos

4 IT GRC Forum 2009




La oportunidad de transformación de GRC

Estado Actual de GRC

• Manejado en silos• Mayormente reactivo

• Proyectos unitarios en vez de programas

integrados

• Recursos de TI limitados y fragmentados

(propenso a errores)

• Soluciones “puntuales” usadas para

diferentes proyectos

• No integrado a la toma de decisiones

Estado Futuro

• Aproximación Integral• GRC integrado con los procesos centrales

y la toma de decisiones.

• Uso efectivo de los recursos de TI

• Reducción de costos de “compliance”

• Mejor gestión de riesgos

5

Resultados:• Mayores riesgos

• Mayor complejidad

• Menor confianza

• Costos elevados

Beneficios:• Reducción de riesgos

• Menor complejidad

• Mayor confianza en la información

• Costos reducidos

• Mejorar la toma de decisiones

• Mejorar Performance del Negocio

IT GRC Forum 2009




Enfoque unificado de GRC – Nueva definición

• Información confiable para la toma dedecisiones;

• Procesos eficientes de seguimiento de

objetivos,

cumplimiento de normas internas yregulaciones

externas;

• Gestión integral de riesgos;• Establecimiento de acciones concretas

para monitoreo

de procesos de negocio e indicadores dedesempeño;

PerformanceManagement

ComplianceMangement

RiskIntelligence

6

Gobierno, Riesgo y Cumplimiento (GRC) es un nuevo enfoque para la gestión de las

organizaciones que implica integrar distintos elementos:

Decisions

IT GRC Forum 2009


http://slidepdf.com/reader/full/gobierno-riesgo-y-cumplimiento-sap 7/32© 2009 Deloitte Touche Tohmatsu

¿Por donde comenzar aaplicar GRC?


http://slidepdf.com/reader/full/gobierno-riesgo-y-cumplimiento-sap 8/32© 2009 Deloitte Touche Tohmatsu

La importancia de TI en el proceso de GRC

GRC necesita

• Procesos integrados

permitiendo que diversos sectores puedan

confiar en un único enfoque de evaluación,

monitoreo y presentación de informes.

• Decisiones Empresariales que resulten en

una serie de procesos consistentes para la

reducción de riesgos y actividades de control

redundantes.

• Gestión Inteligente de Riesgos

• Monitoreo de controles automáticos yrealización de pruebas a través de la

ejecución de procesos eficientes.

Impacto en IT

• Arquitectura tecnológica común.

• Arquitectura de Datos común.

• Base de datos abierta para reportes a

demanda.

• Repositorio común para requerimientos,

riesgos y controles.

• Motor analítico de riesgos.

• Workflow integrado para la notificación y

seguimiento de eventos.

• Enfoque de colaboración entre todas las

áreas de la organización

8 IT GRC Forum 2009




Gestión actual de riesgos como silos

Los silos conllevan a la existencia de procesos y sistemas duplicados e inconsistentes.

9

PCI SOX Privacidad Leyes Basilea II 3ras Partes BCRA

Líderes

Funcionales

Gerentes

Cumplimiento

Líderes

Servicio/Arch

Seguridad

Información AuditoríaLegal

Gerentes

Cumplimiento

Líneas de Negocio TICorporativo

IT GRC Forum 2009




Dónde deberíamos estar en el futuro

Reducir la complejidad a través de un enfoque integrado.

10

PCI SOX Privacidad Leyes Basilea II 3ras Partes BCRA

LDN Función TIFunción TIFunción TILDNLDN

Soluciones de TI para GRC con:

Arquitectura Común Datos

Arquitectura Tecnológica Común

Repositorios único de Riesgos, Controles y Procesos

IT GRC Forum 2009




GRC impacta en todos los niveles

Finance

CFO

Controller

Accounting Director

Accounting Manager

IT

CIO

IT Director

Apps Manager

DBA/Bus. Analyst

Internal Audit

Chief Audit Executive

VP Audit

Audit Manager

Internal Auditors

11

Control Performance Consolidation Innovation Compliance Assurance

Beneficios de GRC para el CFO

• Reducir el tiempo y costos de

auditorías

• Validar el cumplimiento de

normas de forma rápida y sencilla

• Reducción de riesgos e

incremento de confianza al sobreel Reporte Financiero

• Mejorar el proceso de toma de

decisiones a través de

diagnósticos en tiempo real

• Instalar pautas de control interno

en la cultura organizacional

Beneficios de GRC para el CIO

• Administración por excepción,

reducir el tiempo y costos

incurridos en cumplimiento

• Permite responder con menor

esfuerzo a las necesidades de

cumplimiento de las áreas denegocio y auditoría interna

• Acelera los procesos de

aprovisionamiento de usuarios,

garantiza la seguridad de los

datos

Beneficios de GRC para el CAE• Rápida identificación de

potenciales issues debido a un flujo

de información rápido y a la mayor

visibilidad dentro de la organización

• Reducir tiempos de ejecución de

planes de auditoría gracias a

reportes auto-gestionados yevidencias online centralizadas

• Mejor coordinación y utilización de

los recursos del área

• Información oportuna y precisa de

las operaciones de negocio

(monitoreo continuo)

• Mejora en el proceso de

remediación y gestión de riesgos

IT GRC Forum 2009




Las dimensiones de aplicación para GRC

12

Evaluar las necesidades de cumplimiento y planificar acorde

• Cada una de estos niveles o dimensiones

implica distintas:

‒ Actividades

‒ Metas

‒ Herramientas

• Automatizar el proceso es la respuesta

inmediata, pero…

• Pensar en “UNA SOLUCION” confunde!

• Focalizarse en las necesidades puntuales,

sin perder de vista el enfoque integrador

futuro.

• Herramientas de gestión deriesgos y desempeño. ERM /ORM

CEO

CFO

• Herramientas especializadasde monitoreo del cumplimientoen procesos de negocio

Gerentes

Auditores

• Herramientas de

instrumentación decumplimiento en seguridad ytecnología

CIO

CISO

IT GRC Forum 2009




Los primeros pasos realizados

• Las empresas que adoptaron estrategias de GRC han tomado acciones vinculadas a la toma del

control de los procesos de negocio y la información por éstos generada, mediante herramientasde GRC que:

‒ Restringen y controlan el acceso a la información operativa y estratégica;

‒ Establecen medidas de control eficientes acordes a la organización;

• Son de todas maneras acciones válidas para abandonar el modelo reactivo de cumplimiento, a

pesar de que han estado orientadas a solo una de las dimensiones de GRC mencionadas.

13

ModeloReactivo

Control deAccesos a lainformación

Control de losprocesos y

transacciones

IT GRC Forum 2009




El Objetivo: Establecer modelo de GRC preventivo

• Para lograr afianzar los procesos GRC iniciados es necesario evaluar y mesurar los riesgos

estratégicos, financieros, operacionales y regulatorios a los que la organización se encuentraexpuesta, mediante un modelo de gestión integral y unificado.

• Del éxito de este proceso depende:

‒ La eficacia en la toma de decisiones;

‒ La asignación de recursos organizacionales;

‒ La definición de metas y objetivos de mediano y largo plazo;

‒ La prevención o reducción de eventos o sucesos que puedan afectar de forma negativa a la

organización (perjuicio de la imagen, reducción del market share, multas, continuidad del

negocio)

14

Gestión integralde Riesgos

ModeloPreventivo

IT GRC Forum 2009




Las soluciones de GRC




El modelo general a cubrir es complejo

16

Tablero Intregado de Gestión de Riesgos

KPI, KRI, KCI Reportes

Evaluación y Medición delRiesgo

Documentación

Controles Manuales

Infraestructura Tecnológica

Evaluación de Controles

ControlesAutomáticos

Monitoreo Controles

Admin. del Programa

Controles Generales TI

Accesos

Configuración

Transacción

SDF

Procesos

Datos

Maestros

Controles Generales TI

Accesos SDFBPM

Aplicación / Configurables

Planes de Auditoria Encuestas

IT GRC Forum 2009




Herramientas

Gobierno

• Mecanismos para velar por la adecuada implementación de los requerimientos regulatorios externosy políticas internas

• Tableros que reporten estado en tiempo real

Gestión del Riesgo

• Evaluaciones de controles y auditorías

• Herramientas de concientización de amenazas

• Controles de mitigación (autenticación, seguridad, control de eventos, filtro de contenidos, encripcióny firma digital)

Cumplimiento

• Crear documentación que demuestre que se tomaron las acciones requeridas por la regulación:

• Entrenamiento

• Chequeos, Auditorías y Evaluaciones• Comunicación de responsabilidades

• Reportes

• Herramientas de attestation

• Administración de quejas

Herramientas de valuación de portfolio

Herramientas de soporte para la decisiónHerramientas de simulación

Herramientas financieras

ELEGIR LAS HERRAMIENTAS EN FUNCIÓN DE LAS NECESIDADESCONCRETAS

17 IT GRC Forum 2009




Soluciones de TI para GRC

18

Automatización de

auditorias y gestión deriesgos

Soluciones demonitoreo y prueba

de controles

Confianza en elpersonal por sobresoluciones de TI

• Paisley

• Oracle

• Open Pages

• IBM• CA

• SAP

• ACL

• Approva

• Oracle

• Oversight

• SAP

• Agiliance

• Archer

• Brabeion

• Securityworks

• Symantec

Source: Burton Group

“Financial GRC”ERM / ORMAudit Management

“IT GRC”

Instrumentaciónde cumplimientoen Seguridad y TI

Sistemas Personas, Procesos

Gestión deVulnerabilidades,

Soluciones de IDM

Otras evaluacionestécnicas

Evaluaciones notécnicas: Encuestas

IT GRC Forum 2009




Un poco de historia del mercado en GRC

19

Evolución de soluciones - 2007

IT GRC Forum 2009




Un poco de historia… (cont.)

20

Evolución de soluciones - 2008

IT GRC Forum 2009



© 2009 Deloitte Touche Tohmatsu21

El contexto del 2009

Los movimientos del mercado de productos orientados a GRC

IT GRC Forum 2009

• Los proveedores han buscado ampliar su oferta de productos para cubrir más dimensiones deGRC.

Oracle adquiere LogicalApps (2007) y recientemente SUN (2009).

SAP integra los productos de GRC e IDM a la solución de BusinessObjects.

CA se reposiciona con “CA GRC Manager” y abarca otra dimensión con la adquisición de

Eurikify (2008)

IBM integra a Cognos

• Otros proveedores buscan una porción del mercado, integrando sus productos con otras

marcas:

Novell IDM certifica integración con SAP GRC Control de Accesos (2009).

• Comienzan a tomar posición o consolidarse otros proveedores como:

Paisley

OpenPages

Symantec

McAfee




Conclusiones




Conclusiones

• Los requisitos de Compliance están consolidados y en crecimiento.

• La presión para establecer procesos eficientes será aun mayor.

• Todavía no existe la UNICA solución de GRC.

• GRC implica distintas actividades, para distintos responsables y distintas

herramientas.

• Las 3 actividades están completamente relacionadas.

• Identificar claramente el objetivo que se quiere alcanzar y el destinatario al

seleccionar herramientas de GRC.

• Definir roadmap para implementación de GRC a corto plazo, pero sin dejar de

lado la visión estratégica e integradora a largo plazo.





El valor agregadode Deloitte




La diferencia Deloitte


Consultoría + Auditoría Interna

Nuestra firma fusiona profesionales con experiencia en consultoría de negocios,

procesos, riesgos y tecnología, así como profesionales con una vasta experiencia en

seguridad, auditoría interna y operativa.

Esto constituye un factor distintivo en el mercado para proyectos de GRC donde ambasvisiones son requeridas para el éxito.

Nuestro principal valor agregado radica fundamentalmente en que tenemos la

experiencia para potenciar y maximizar el uso de las herramientas de GRC, evitando que

las mismas se conviertan en simples repositorios de procedimientos o datos.




Enfoque de Inteligencia en Riesgos





Mapa Riesgo Empresarial

27

Risk Intelligence MapSi bien no incluye todos los posibles riesgos, el Mapa de Inteligencia

de Riesgos de Deloitte resume e identifica la mayoría de los riesgos

comunes a las organizaciones y a sus programas de GRC.

Diagrama del Mapa de Inteligencia de Riesgos

IT GRC Forum 2009




GRC Roadmap

El ciclo de vida de implementación de GRC

para una organización cubre distintasetapas:

• Evaluar. Los riesgos pueden crear tanto oportunidades

como caos en las organizaciones. La habilidad para

identificar y evaluar el impacto de riesgos a través de

una metodología integrada de GRC es un primer paso

crucial.

• Diseñar. La solución justa de GRC requiere de

tecnología, procesos, personas and políticas para estar

alineada a los objetivos de negocio. Tenemos

experiencia en diseñar soluciones prácticas y

sustentables de GRC.

• Implementar. Nuestro enfoque asegura la contrucciónde soluciones robustas de GRC usando la tecnología

más eficiente y efectiva, en contexto tecnológico

dinámico. Un factor clave es la integració de las

soluciones de GRC con todas las tecnologías

implementadas por el cliente.

• Mantener. Un esquema de GRC consistente y medible

son los pilares claves para el mantenimiento de las

iniciativas de GRC. Nuestro enfoque asegura que el

modelo de GRC se mantendrá en linea con los objetivos

de negocio y las necesidades de cumplimiento.





Alianzas estratégicas globales

Nuestros Servicios de GRC

• Contamos con alianzas estratégicas a nivel global con los principales proveedores desoluciones de GRC y Seguridad, asegurando el conocimiento de dichas soluciones y

cómo pueden ser aplicadas para beneficio de nuestros clientes.





¿Preguntas?




Muchas gracias



Deloitte se refiere a Deloitte Touche Tohmatsu, una asociación suiza, o a una o más integrantes de su red de firmas miembros, cada una de

las cuales constituye una entidad separada e independiente desde el punto de vista legal. Una descripción detallada de la estructura legalde Deloitte Touche Tohmatsu y sus firmas miembros puede verse en el sitio web www.deloitte.com/about.

Gobierno, Riesgo y Cumplimiento SAP

Documents

Transcript of Gobierno, Riesgo y Cumplimiento SAP