Gobierno Riesgo y Cumplimiento DOCUMENTO DE FUNCIONALIDAD Índice ..................................................................................................................................................................................1 Indice ........................................................................................................................................................................2 Objetivo: ..................................................................................................................................................................3 Introducción: ...........................................................................................................................................................3 Componentes GRC .................................................................................................................................................3 Funcionalidad Risk Management ..........................................................................................................................4 Planeación del riesgo. ..............................................................................................................................................5 Identificación de riesgos ...........................................................................................................................................6 Análisis del riesgo .....................................................................................................................................................7 Respuesta del riesgo ................................................................................................................................................8 Monitoreo de riesgos ................................................................................................................................................9 Incident & Losses Management .............................................................................................................................10 Creación de Escenarios Monte Carlo What if.........................................................................................................11 Funcionalidad Process Control ..........................................................................................................................12 Definición de indicadores de control .......................................................................................................................13 Identificación de la excepción .................................................................................................................................14 Resolución de la excepción ....................................................................................................................................14 Evidencias y seguimiento .......................................................................................................................................15 Policy Management ................................................................................................................................................16 Funcionalidad Access Control ............................................................................................................................17 ................................................................................................................................................................................17 Análisis del riesgo y remediación ...........................................................................................................................18 Administración de roles ..........................................................................................................................................20 Aprovisionamiento de usuarios ..............................................................................................................................21 Súper – usuario ......................................................................................................................................................22 User Access Review ...............................................................................................................................................23 Ventajas .................................................................................................................................................................24 Copyright/Trademark OBJETIVO: El objetivo de este documento es mostrar los puntos clave de la funcionalidad de la solución SAP Gobierno Riesgo y Cumplimiento (GRC). INTRODUCCIÓN: SAP GRC (Governance Risk & Compliance) es una solución de negocios integral que permite a las organizaciones asegurar y monitorear un buen gobierno a través de la administración del riesgo y bajo modelos de cumplimiento que permitan tener visibilidad en toda la organización, ligando la estrategia con la operación. Con un modelo de madurez alto, enfocado hacia metodologías como COSO, COBIT, ISO 31000 etc. GRC además de ayudar a asegurar un buen gobierno y cumplimiento ayuda también a reducir el esfuerzo necesario para que la gente pueda centrarse en el negocio. Actualmente los resultados financieros ya no son la única base del éxito de la compañía. Los accionistas ahora quieren evidencia de que sus organizaciones llevan sus operaciones de forma eficiente, rentable y responsable. Impulsado por regulaciones y nuevos métodos para medir la sustentabilidad o la salud de las empresas. GRC ayuda a las organizaciones a maximizar la estrategia y el rendimiento operacional que les permitirá evaluar y administrar los riesgos de negocio, implementar eficientemente controles financieros y operacionales junto con los procesos de negocio y así crear una trasparencia a través de reportes confiables para nuestros accionistas. Se pueden evaluar y alinear proceso y estrategias dentro de la compañía y hacerlas extensibles a partners, proveedores y clientes, realmente representar ese entorno tanto interno como externo. COMPONENTES GRC La soluciones de GRC (Governance Risk & Compliance) se divide en 3 módulos: Risk Management Process Control Access Control Risk Management: Permite administrar los riesgos a través de la evaluación de ellos tanto cualitativa como cuantitativamente, generando visibilidad de cómo se encuentra actualmente el riesgo y las posibles respuestas a implementar para su mitigación. Process Control: Permite realizar controles eficientes que ayuden a monitorear de forma continua cada uno de los procesos y subprocesos de la empresa. Así como ligar las políticas internas a cada uno de los riesgos o controles. Access Control: Segregación de Funciones ligada a los roles y accesos dentro de los sistemas. Realiza un monitoreo en tiempo real para identificar los riesgos que existan en el acceso y asignación de roles en todos los sistemas SAP o NO SAP. Copyright/Trademark FUNCIONALIDAD RISK MANAGEMENT GRC 10.0 Risk Management está diseñado bajo Enteprise Risk Mangement. El modelo de referencia de GRC 10.0 Risk Management es “Agnóstico“. Esto significa que no importa el modelo de procesos que una empresa quiera adoptar, ya sea de propiedad o genérico. GRC 10.0 Risk Management debe ser ampliamente compatible La filosofía de Risk Management es poder tener visibilidad de todos los eventos que puedan desviar a la empresa de los objetivos o estrategias actuales. El ciclo de vida dentro de la administración del riesgo contempla: Planeación, Identificación, Análisis, Respuesta y Monitoreo (Ver figura de abajo). Copyright/Trademark Planeación del riesgo. Permite realizar una planeación del riesgo mediante la recopilación de información de toda la organización a través de encuestas configurables para cada una de las áreas y riesgos que se puedan identificar. Ayuda a tener una mayor visibilidad del riesgo a través de gráficos interactivos como Bowtie que ayuda a identificar y reutilizar sus causas, impactos, actividades, así como categorizar los riesgos por afectación u organización. Copyright/Trademark Identificación de riesgos Una vez recabada toda la información necesaria, ayuda a poder identificar el riesgo, sus causas, actividades, impactos, ponderación y probabilidad. Se puede tener una visibilidad del riesgo a través de analíticos incrustados como los mapas de calor que identifican la probabilidad y ponderación por cada uno de los riesgos segmentado por cada una de las áreas involucradas, así como el análisis del riesgo residual e inherente. Copyright/Trademark Análisis del riesgo Realización de análisis del riesgo de forma cuantitativa o cualitativa generando reportes que ayudan a tener una mejor visibilidad del riesgo. Puede ser definido para realizarse en un tiempo estimado promedio a través de un workflow de forma automática, segmentarlo por cada uno de los dueños del riesgo, cada vez que un KRI sea marcado como fallido. Definición de Collaborative Risk Assessment a través de gráficos como MARCI para generar una mayor visibilidad de los ejecutores del análisis de riesgo. Copyright/Trademark Respuesta del riesgo Permite crear respuesta de mitigación del riesgo el cual ayude a mitigar su impacto considerando como uno de los más importantes el control, el cual está ligado directamente con la parte de Process Control. El cual nos ayudara a realizar un monitoreo continuo del procesos en el cual este identificado el riesgo y generación de alertas en cuanto al comportamiento del control. Copyright/Trademark Monitoreo de riesgos Motor de monitoreo continuo del riesgo que ayuda a tener una visibilidad actual de cómo se está comportando el riesgo, a través de la identificación de KRI, que monitorearan de forma continua el desempeño del proceso, para así poder realizar una identificación o re evaluación del riesgo. Ejemplo: Riesgo: Compras indebidas KRI: Cantidad de la compra Regla de negocio: Compras mayores a 1 millón de dólares serán aprobadas por alguno de los gerentes. Descripción: El riesgo compras indebidas estará siendo monitoreado a través del proceso de compras mediante un KRI definido que alertara de todas aquellas compras mayores a 1 millón de dólares que no han sido aprobadas por alguno de los gerentes. Copyright/Trademark Incident & Losses Management Si bien el riesgo puede ser monitoreado de forma preventiva, y cuantificar las posibles pérdidas que se tenga, también es posible el poder documentar las perdidas e incidentes que surjan en el evento de riesgo. Copyright/Trademark Creación de Escenarios Monte Carlo What if Una vez definido todo el ambiente y marco de control de los riesgos, la solución permite crear escenarios de riesgo como Monte Carlo y What if, donde podremos tener una proyección a futuro de como mediante diferentes factores configurables puede llegar a comportarse cada uno de los riesgos. Esto además de darnos esta proyección a futuro también nos sirve para poder tener una mejor planeación de cada una de las estrategias de la empresa conociendo el mejor peor escenario. Copyright/Trademark FUNCIONALIDAD PROCESS CONTROL Algunas de las aplicaciones tiene un comportamiento configurable alto, y los clientes deben ajustar sus procesos de negocio a cada uno de ellos para asegurar que todas las transacciones y procesos están alineados. Pero desconocen o no tienen el panorama completo de cómo se está llevando el proceso dentro de cada una de las soluciones. SAP GRC Process Control provee una solución con mayor claridad.: a través del análisis de los procesos mantenidos por los sistemas ligados así mismo a controles que ofrecen máxima fiabilidad. La filosofía es que ningún cambio se puede perder, a través de un monitoreo continuo automático o manual, todo el proceso se encuentra estrictamente monitoreado por las personas correctas y bajo un marco de cumplimiento organizacional ligado a las políticas internas. Dentro de estas soluciones podemos realizar todo el ciclo de vida de la administración de una política desde su creación hasta su publicación y verificación del entendimiento por cada uno de los involucrados dentro del proceso que es responsable de cumplir con la política. Dentro del ciclo de vida de Process control se encuentra: Documentar, Probar y evaluar, Monitorear, Reporteo y Certificación. Evidencias y seguimiento Resolución de la excepción Identificación de la excepción Definición de indicadores de control Definición de reglas de negocio para cada indicador Copyright/Trademark Definición de indicadores de control Fase donde se define el control que va ser ligado directamente al subproceso que se quiera monitorear, esto puede tener una frecuencia diaria, mensual, anual etc. Copyright/Trademark Identificación de la excepción Fase en la cual se estarán llevando a cabo las pruebas tanto manuales como automáticas, las cuales estarán ligadas directamente dentro de los sistemas hacia el proceso que se desee. Esto ayuda a poder tener una mejor visibilidad de cómo se está llevando a cabo el proceso dentro de la organización. Y poder medir la eficiencia del control. Resolución de la excepción Fase de detección de excepciones y creación de remediación ante los posibles problemas Copyright/Trademark Evidencias y seguimiento Todo el detalle del control de proceso será monitoreado y guardado por el sistema para tener la evidencia ante futuras auditorias y poder llevar un seguimiento correcto para llegar al cumplimiento organizacional. Copyright/Trademark Policy Management Una de las grandes ventajas de Process Control es poder llevar a cabo la administración total de la política desde la creación de esta pasando por su administración, aprobación y publicación, hasta la verificación de cumplimiento y entendimiento de cada una de las políticas a través 3 métodos disponibles. 1) Envío de la política junto con la aprobación de lectura por parte del involucrado. 2) Envío de la política y retroalimentación a través de los surveys por parte del involucrado 3) Envío de la política junto con un examen con preguntas predeterminadas que permitan conocer más a detalle el entendimiento de la política. Copyright/Trademark FUNCIONALIDAD ACCESS CONTROL SAP Access Control es una de las grandes ventajas dentro de la suite de GRC de SAP ya que además de tener control de procesos y administración de procesos, este nos ayuda hacer una perfecta segregación de funciones definiendo ciertas reglas que van a comparar cada uno de los roles que le son asignados a los empleados de la organización. Ayuda a mantener un monitoreo en tiempo real sobre los roles y perfiles que se tienen de los usuarios de todos los sistemas de la organización evitando que tengan permisos inadecuados los cuales puedan ver información sensible a la cual jamás debería de tener acceso, o simplemente tener la seguridad de que al momento de que algún empelado deje la organización sean eliminados totalmente todos sus accesos hacia los sistemas. Access Control se divide en 4 funcionalidades principales las cuales son: Análisis del riesgo y remediación Administración de roles Aprovisionamiento de usuarios Súper-Usuarios Copyright/Trademark Análisis del riesgo y remediación Permite dar un panorama actual de cómo se cuentan los roles definidos para cada uno de los sistemas, si representan un riesgo. Y poder dar respuesta a cada uno de ellos. Copyright/Trademark Copyright/Trademark Administración de roles A través de un ciclo de vida completo y con diferentes niveles de aprobación se determinan los roles principales fuera de riesgo para cada una de las funciones que tendrán dentro de la organización. Copyright/Trademark Aprovisionamiento de usuarios Una vez que un usuario necesite un acceso pasara por un ciclo en el cual se le darán accesos correspondientes a su función y bajo una valoración en la cual no exista un riesgo de acceso Copyright/Trademark Súper – usuario Muchas de las veces se debe de vivir con algún riesgo por lo cual en situaciones críticas se crea un súper usuario acotado el cual va estar siendo monitoreado cada vez que sea usuario para tener visibilidad de que es lo que se está modificando dentro de él. Copyright/Trademark User Access Review Ayuda a realizar una autoevaluación a nivel de cuantas veces se ha accesado al sistema identificado por el rol, por cada uno de los usuarios que tenga asignados el dueño del rol. Y así poder Reasignar rediseñar o eliminar los roles para cada uno de los usuarios. Copyright/Trademark VENTAJAS Solución integral de negocio bajo una misma plataforma, la cual permite administrar el riesgo, monitorear de forma continua los procesos mediante controles y tener una segregación de funciones. Administración de proyectos dentro de RIsk management a través de la identificación de los riesgos y evaluación mediante KRI´s en cada uno de ellos. Monitoreo continuo automatizado del comportamiento del riesgo mediante KRI´s. Esto ayuda a tomar mejores decisiones. Comunicación con soluciones administración de las estrategias (SAP Strategy Managemet). Administración de políticas a través de Policy Management ligadas a los controles, riesgos etc. dentro de la organización Respuestas a los riesgos mediante el monitoreo continuo de forma automatizada de los riesgos y procesos. Creación de escenarios de simulación como What If y Monte Carlo. Creación de análisis de riesgos inherentes residuales. Analíticos incrustados dentro de la organización que dan mayor visibilidad dentro de la organización. Con distintos niveles de visibilidad para cada uno de los niveles jerárquicos. Conexión con cualquier sistema sea SAP o No SAP Conectividad y reutilización de la información entre los 3 módulos de GRC (RM PC AC). Respaldo de SAP (Líder global de soluciones de negocio). Implementación con Partners de gran experiencia a nivel global. Copyright/Trademark