Convertir los riesgos en resultados Habilitar la administración de accesos con SAP GRC
Lo que observamos en el mercado Debido principalmente a la Ley Sarbanes-Oxley de 2002, en los últimos 10 años se ha observado un aumento importante en los esfuerzos por resolver los asuntos de auditoría relacionados con la segregación de funciones (SoD, por sus siglas en inglés) y accesos sensibles y excesivos. Como resultado, muchas compañías implementaron alternativas de administración de accesos como SAP GRC con el módulo de Access Control. Sin embargo, muchas compañías se enfocaron en remediar asuntos relacionados con la auditoría a corto plazo, por lo que no pudieron aprovechar todo el valor de dicha alternativa de administración de accesos a través de GRC. Este es el momento adecuado para conocer más acerca de las oportunidades para transformar su programa de administración de riesgos relacionados con el control de accesos y habilitar la opción SAP GRC Access Control que le puede traer beneficios como:
•
Reducir el costo de la administración de accesos y de las actividades de auditoría relacionadas mediante la centralización y automatización de los procesos relacionados
• • •
Mejorar la sustentabilidad al centralizar y estandarizar las metodologías, procesos y componentes Mejorar la eficacia de los procesos de accesos a través de la integración con otros módulos SAP Aumentar la eficacia de los procesos del negocio al implementar técnicas de monitoreo continuo
En nuestra reciente Encuesta Global de Seguridad de la Información de EY realizada a más de 1,700 altos ejecutivos de seguridad de la información y de TI, se observó que 46 % de los encuestados considera que las amenazas internas son una preocupación importante. Implementar SAP GRC Access Control mientras se enfoca en mejorar los aspectos fundamentales de la administración de accesos, le ayudará a abordar este tipo de riesgos y al mismo tiempo, reducir los costos y mejorar el valor.
¿Cuáles son las oportunidades en su organización? Estado típico actual Complejidad cada vez mayor
Estado maduro
Procesos de administración de acceso múltiples y manuales
Simplificado
Información fragmentada, manual y ad hoc
Reactivo
Poca visibilidad de los riesgos
Proactivo
Muchos casos de violaciones de acceso
Fallas constantes
En cumplimiento
Automatización importante del flujo de trabajo en los procesos de acceso de usuarios Integración con SAP GRC Process Control
Revisiones de SoD obligatorias en el proceso de aprovisionamiento de usuarios Información en tablero de control sobre el proceso de acceso a usuarios, bitácoras de uso de informes analíticos y tendencias de SoD en tiempo real Diseño de funciones que cumplen con procesos estandarizados de administración de acceso de usuarios y que consideran SoD Capacidad para mejorar las actividades de auditoría
Los procesos manuales e incoherenteselevan los costos de TI
Presiones de costo
Impacto importante sobre el negocio
Rentable
Eficiencias operativas de seguridad de TI a través de la automatización y estandarización de procesos de control de acceso con SAP GRC Automatización de las actividades de asignación de accesos
Enfoque incongruente
Enfoque incongruente hacia el diseño de roles en todos los procesos del negocio
Congruente
Roles estandarizados a nivel global en todos los procesos de negocio y procesos homologados de administración de acceso de usuarios para los sistemas de aplicaciones
La tecnología GRC habilita cuatro objetivos clave de la agenda de riesgos Mejorar la estrategia de riesgos
Incorporar la administración de riesgos
• Mejor alineación con los objetivos y la
• Administración de riesgos y
estrategia del negocio
• Mejor visibilidad de los riesgos que tienen
monitoreo integral y continuo
mayor relevancia para la organización • Identificación proactiva de riesgos • Mejor toma de decisiones
• Administración central de los
Mejorar los controles y procesos
Optimizar las funciones de la administración de riesgos
riesgos financieros, operativos, estratégicos y de cumplimiento en toda la organización
• Cobertura de riesgo mejor
• Eliminación de actividades
alineada, incluyendo la identificación de controles más robustos e integrales • Menor esfuerzo relacionado con la ejecución y prueba de controles • Mayor eficiencia en los procesos y controles habilitada a través del monitoreo continuo y automatizado • Mejor mezcla de controles que aborda los riesgos clave del negocio y que a la vez impulsa eficiencias en los procesos
de administración de riesgos duplicadas o fragmentadas • Mayor integración y coordinación entre el negocio, TI y el cumplimiento • Sustentabilidad del proceso de administración de riesgos • Información eficaz de arriba hacia abajo y de abajo hacia arriba
lo cual da como resultado los siguientes beneficios:
Riesgo
Valor
Riesgo
Costo
• Mayor integración y coordinación entre el negocio, TI y el cumplimiento
• Notificación en tiempo real de posibles fallas relacionados con el acceso con base en las reglas del negocio
• Sustentabilidad del proceso de administración de acceso
• Información fácil de usar para el usuario
Riesgo
Valor
Costo
Valor
Costo
• Menores costos de auditoría debido al
• Identificación de anomalías de acceso
• Control de gastos relacionados con
• Control continuo de acceso,
• Eficiencias relacionadas con la
• Mejor visibilidad de la exposición a los
• Menor número de controles manuales
• Administración de acceso de super
ambiente de administración de acceso confiable y automatizado fallas en la auditoría
elaboración y análisis de los informes de SoD que deben diseñarse y operarse para mitigar los asuntos relacionados con el acceso
• Eliminación de procedimientos de
administración de acceso redundantes y excesivos
• Proceso de aprobación de acceso simplificado
que indican posibles actividades de fraude a través de alertas
administración y monitoreo de SoD riesgos relacionados con el acceso en la organización usuarios
• Detección temprana de posibles fallas
de acceso mediante el análisis de escenarios antes de realizar cambios a los accesos y funciones de los usuarios
¿Por qué EY?
Nuestros servicios
• •
Una perspectiva global y flexible con un enfoque en el negocio
• •
• •
Contenido y habilitadores específicos de la industria
•
Diseño del modelo de entrega de servicio e indicadores clave de desempeño
Un equipo con amplios conocimientos y experiencia práctica en las disciplinas de procesos, riesgos y tecnología
Modelos de utilización y diagnóstico de evaluaciones con base en prácticas líderes
Diagnóstico rápido de la tecnología GRC Selección de proveedores de tecnología GRC • Implementación y evaluación de tecnología GRC • Transformación de riesgos habilitada por la tecnología GRC • Evaluación pre y posimplementada de tecnología GRC
EY SAP GRC Accelerated Analytics Workbench: herramienta que presenta los conflictos SoD en un formato favorable para el negocio que ayuda a identificar los riesgos clave y puntualiza y determina la remediación inicial.
Ambiente demo SAP GRC: un ambiente de demostración para todas las versiones de software más recientes, incluyendo SAP GRC 10.0 y 10.1 para los Servicios de Control de Accesos, Control de Procesos, Administración de Riesgos y Comercio Global.
Comparación de diseño de roles SAP: métricas clave que permiten que la organización compare su diseño de roles SAP con el diseño de otras organizaciones y prácticas líderes.
EY RiskUniverse®: universos de riesgos específicos de la industria, modelos de procesos normativos y riesgos clave del negocio vinculados con controles específicos de las aplicaciones que pueden utilizarse para personalizar las demostraciones SAP GRC.
EY | Aseguramiento | Asesoría de Negocios | Fiscal-Legal | Fusiones y Adquisiciones Acerca de EY
Contacto:
EY es líder global en servicios de aseguramiento, asesoría, impuestos y transacciones. Las perspectivas y los servicios de calidad que entregamos ayudan a generar confianza y seguridad en los mercados de capital y en las economías de todo el mundo. Desarrollamos líderes extraordinarios que se unen para cumplir nuestras promesas a todas las partes interesadas. Al hacerlo, jugamos un papel fundamental en construir un mejor entorno de negocios para nuestra gente, clientes y comunidades.
[email protected]
Para mayor información visite www.ey.com/mx © 2016 Mancera S.C. Integrante de Ernst & Young Global Derechos Reservados BSC No. 1204-1353150 | EYG No. AU1188 ED 0113 | Clave CRR2 001 ey.com EY se refiere a la organización global de firmas miembro conocida como Ernst & Young Global Limited, en la que cada una de ellas actúa como una entidad legal separada. Ernst & Young Global Limited no provee servicios a clientes.
/EYMexico
/ernstandyoungglobal
@EYMexico
company/ernstandyoung
